防黑利器“Sygate Personal Firewall” 刘阳 2001年 19期 这里介绍一款免费的个人防火墙“Sygate Personal Firewall”。以下简称“SPF”。   SPF安装完毕以后,会自动弹出注册窗口,填写好个人信息──特别是电子邮箱──SPF会通过邮件提供技术支持,选中“Personal Use”(个人使用),就可以免费注册。注意:一定要连接到互联网上才能注册!(使用公共账号的用户需要使用163拨号。)   #1主窗口   防火墙被激活后,在系统栏里会出现一个双箭头图标,主窗口从上到下依次是菜单条、工具条、流量图、连接应用程序列表(Running Applications field)、状态条。流量图从上往下的三个指示条显示发送流量、接收流量和拦截流量。状态条显示的状态是“ALLOW ALL”(允许一切)──相当于关闭防火墙功能。系统默认的状态是“Normal”(普通)。改变防火墙的安全状况可以在菜单条中选择“Security”(安全)来改变。连接程序列表显示当前正在进行网络连接的程序和进程。带问号的图标在该防火墙中被称为“ASK”(询问)状态,每次该程序或者进程进行连接的时候,SPF都会询问你是否“允许”。系统的默认设置是“ASK”。带有红色禁止标志的图标被称为“BLOCK”(拦阻)状态,防火墙将禁止该程序或者进程进行任何连接。不带任何标记的正常图标处于“ALLOW”(允许)状态,当这个程序或者进程在已经被允许的端口(或者是用户制定的时间段)使用时,防火墙不会给出提示。如果想改变某个程序的状态,在列表中选中,点击右键即可。右键的弹出菜单中也可以改变列表显示的方式。每当有新的进程要进行连接的时候,防火墙就会弹出“New Application Pop-up”,提示你是否同意该进程尝试连接,在选择“Yes”或者“No”之前,选择“记住我的选择”,下一次该进程再进行连接时,防火墙将直接阻拦或者通过,不再提示。   #1工具栏   第一个工具按钮是“Block All”,通过点击,可以直接将防火墙置于完全阻拦的安全状态。   第二个工具按钮“Applications”按钮用来打开应用程序列表(Application list)。显示自防火墙安装以来所有曾经尝试接入的程序。显示的内容包括:文件名、版本、接入状态(AskAllow.Block)、程序所在的路径。你也可以用列表下方的“Remove”、“Remove all”按钮来删除列表中的某一个或者全部记录。点击“Advance”高级选项按钮,进入高级配置。最上方是程序的路径,下方区域是程序权限设置区。勾选“Allow during Screensaver Mode”,该程序被允许在进入屏保以后保持连接。在“Trusted IP”(可信任的IP地址)一栏里,你可以填入该程序允许进行连接的IP地址或者是地址段。只要是从信任地址传来的数据或者发送的数据,防火墙将放行。“Trusted Port”(信任端口)栏用来配置程序可以使用的端口或者是使用端口范围。选择了“Enable Scheduling”的用户,可以选择“During the period below”(在以下时段有效)或者“Excluding the period below”(以下时段以外的时间有效),再设置好开始时间(Beginning at),持续时间(Duration),就可以给被配置的程序制定合法接入时间。高级配置完毕后,点击OK立即生效。在此,对菜鸟级的用户建议:不要随便进行高级配置,以免给自己的正常使用造成不必要的麻烦。   第三个工具按钮是用来查看记录(log)的。直接点击,防火墙将弹出安全记录(Security Log);点击下拉箭头,可以选择查看安全记录、系统记录(System Log)、流量记录(Traffic Log,记录了所有传送和接收的信息包)、包记录(Packet Log,记录了所有的包,SPF默认情况下关闭了该记录,以免产生大量无用的记录)。记录窗口的菜单条都一样(File,view,action,filter,help五项)。在File(文件菜单中)有clear(清除记录)、export(导出记录)、option(选项)、exit(退出)。View(查看)中可以在四种记录之间切换以及Refresh(刷新)。Action(动作)菜单下只有BackTrace(追踪)一个选项,可以查看数据包的来源。Filter(过滤)菜单主要是让用户选择列表显示多少天来的记录以及记录哪一种危险级别的攻击(共有三种级别)。Help是帮助文件。这四种记录的详细情况,用户可以再参考Help中的Log目录,不过是英文的!   第四个工具按钮是在线测试工具,点击它以后,SPF将自动连接到Sygate的主页http://scan.sygatech.com。在线提供了六种测试:快速检测、漏洞检测、木马检测、TCP检测、UDP检测和ICMP检测。进行在线检测的时候,用户一定要关闭所有的防火墙,不然检测将无法进行。   最后一个工具按钮是SPF帮助。   #1菜单条   File菜单的唯一功能就是退出。   Security安全菜单提供了SPF三种工作状态的转换(Allow All、Normal、Block All)。   Tools菜单的内容最丰富。Application选项和工具栏中的Application功能是一样的。Logs和工具栏里Logs的功能是一致的。Options选项跟四个记录窗口的File菜单下的Option的功能是一样的,稍后作介绍。中间的三个复选项用来选择是否自动检测新版本、系统启动的时候防火墙自动加载和隐藏系统栏里SPF的图标。Test Your System Security跟工具条中的Test功能一样。View菜单里的选项和在SPF主界面中连接应用程序列表中点击右键所弹出的菜单是一样的。   #1Option选项   现在来介绍General标签下的内容。从上到下的选项依次是:启动时自动装入防火墙、自动检查新版本、进入屏保状态时拦截所有的包、隐藏SPF系统图标。Network Neighborhood标签,当你的计算机遭到攻击的时候,该项服务能自动用邮件通知指定的接收者。选择:Do Not Notify,防火墙将禁止该项服务;Notify Immediately,一旦计算机遭到攻击,防火墙将立即用电子邮件通知指定的用户;After Every……Minutes,当计算机遭到攻击时,防火墙按照一定间隔时间发送通知邮件。最后一个标签,用来设置记录,用户可以指定记录文件的大小和保留天数,也可以在这里清除记录。   注意:如果在Capture Full Packet选项上打勾,包记录将被打开,会记录所有流量中的包信息!   SPF好像更多地从较高的层次上进行防护,至少是在OSI模型的高四层上,它对链路层和网络层关心不多。对TCP/IP包也只是检查地址和端口信息,对包的内容不作进一步检查。而且SPF界面比较友好,功能比较完备,对个人的使用是免费的,所以还是值得一试的。但是,SPF对系统的消耗很大,特别是CPU占用率很高──大约在80%以上,大大超过了国内的天网个人防火墙──大约是15%。拥有一颗强劲的“芯”并且大内存的朋友,感兴趣的话可以一试。