看來你對防火牆是 "防內重於防外"
首先你要知道程式連線是做何用途: 瀏覽? 檔案傳輸? 即時通訊?....等等, 若全部的攔截或允許, 那就形同虛設
假設一個情況: 某個病毒或木馬透過 iexplore.exe (真有這種木馬喔) 連線來傳輸你的資料或發送訊息, 怎麼辦? 全部允許 iexplore.exe, 那你的資料就被看光了, 全部攔截 iexplore.exe, 那 IE 等於是廢物
很多防火牆都可控制程式連線的用途, 只是種類多寡而已, 著名的 ZoneAlarm Pro 可控制4種... 我目前用的, 依連線的程式來決定控制的連線用途類型, 最多10種
防火牆沒有"最好的", 只有"適用的".....
對 client 端而言, 一般的個人IP防火牆都夠用了(其實每種的差異性也不大)
若你真的是"防內重於防外", ZoneAlarm 是易用且不錯的選擇,
但一般防火牆遇到特殊封包或以偽裝的IP繞過, 就莫可奈何了, 不過個人使用的 client 端很少會碰到這種事, 其多半以各類伺服器為目標...
若你不幸常遭攻擊入侵, 那就該選用封包過濾式且有入侵檢測系統(雖然目前還不很完美) 的防火牆
|