分享個人使用過十種以上的軟硬體防火牆的感想

1.分享器或是IP table或是Windows 內建防火牆的功能都太陽春.只有做心安的功能.
因為目前的威脅來源都是client端的活動. Layer3-4 的ACL都看不到port裡面的細部行為.
例如是那個程式要求網路行為? 怎麼驅動的? 這樣的要求合理嗎? ...等等.

2.硬體式防火牆防禦效果對於"外界來"的攻擊有效果, 免裝軟體,也絕無相容性的問題.
但是主機"出去"的活動,就沒有什麼保護.對client security的深度還是不太夠.

3.軟體式防火牆的確是比較安全的方案, 但是也要看你用的是什麼東西,以及如何設定.
Personal firewall 要的重點是對於你電腦上各種使用網路存取的程式去監管,而不僅是
看IP 或是 service port而已.甚至比較高檔的,可以check程式有無被修改,有無呼叫其他
執行檔甚至dll動態連結資料庫,以確保該存取行為被管理.

4.安全的解決方案不僅是防火牆,也要注意防毒防釣魚防間諜程式等多層次防禦.

5.單純就個人軟體式防火牆, ZoneAlarm的產品還不錯,但是最強的嚴密監管,我認為是
Tinysoftware的 desktop firewall Pro. 美國空軍就是用這個,目前公司已經被CA併購,
個人使用有提供簡化的免費版,要在internet找到專業版(或是快樂版)也不難.
只是功能多,管理工作就多,安全深度與簡單管理這是一個要取捨的地方.

6.最後,就算有裝firewall,也要多少留意一下你的政策設定,不然疏鬆失誤的設定,可能讓你跟沒裝都差不多吶....