zonealarm防火墙使用指南

易于使用但功能强大的ZoneAlarm是一个集成5种安全服务技术的个人防火墙软件，它把防火墙、应用程序控制、Internet锁定、动态安全级别及域分配有机地整结在一起。

易于使用是ZoneAlarm一贯的特点，虽然对中国人来说英文界面看起来不舒服，但是，ZoneAlarm使用方法如此简单，即使是刚刚出道的新手也能够很容易得就掌握它的使用。功能强大是ZoneAlarm的另一个特点，ZoneAlarm不再是一个简单的网络防火墙，而是一款综合防火墙软件。除了防火墙外，它还包括一些个人隐私保护工具以及弹出广告屏蔽工具，同时还具有一个高级邮件监视器，它将会监视每一个有可能是由于病毒导致的可疑行为，如果你是家长不希望孩子浏览暴力网站，它具备网页过滤功能，另外，它还将会对网络入侵者的行动进行汇报。新版ZoneAlarmPro5.0.556.003Beta增强了AlertAdvisor，具有自动的策略建议；更新了反病毒监测（AntivirusMonitoring）；全新的警报查看器功能。ZoneAlarm支持在线智能升级和人工升级。ZoneAlarm还有网关管理功能，通过专家级的规则制定，它能够让高级用户自由控制上网资源。专家级的规则制定功能也存在于其它防火墙中，但是，ZoneAlarm专家级的规则制定功能更强大，体现在可以对组操作（避免重复操作）、间控制和可以控制到MAC级别，这正是网管需要的功能，好戏在后面。

一、安装与界面

目前可以看到的ZoneAlarm版本有多个：ZoneAlarmPro、ZoneAlarmPlus、ZoneAlarm和ZoneAlarmwithAntivirus等，笔者使用的是ZoneAlarmProwithWebFiltering版。它们对系统的要求很低，Windows98SE/Me/2000/XP,233MHzPentiumorhigher,10MBofavailableharddiskspace,Internetaccess.MinimumsystemRAM:48MB(98SE/ME),64MB(2000Pro),128MB(XP)就足够了，无论全新安装还是升级安装都能轻松完成。与其它软件不同，ZoneAlarmPro4.5以后的版本为你提供了一项选择：你可以选择下载免费的ZoneAlarm4.5，并且以后再也不会被产品购买提示所打扰，也可以选择ZoneAlarmPro有效期为30天的免费试用版。在30天的免费试用期满后，如果你还是决定暂时不支付50美元来购买ZoneAlarmPro，则该软件会自动转变成ZoneAlarm4.5，无需任何重新安装的操作，你也不会看到任何变成灰色而无法使用的功能。无论你选择哪一个版本，在软件的安装过程中，ZoneAlarm都会提供有一个无需你做太多思考的向导，它会询问你几个简单的问题，并带领你完成所有的配置。对于大多数用户来说，最为适合的也许就是一路点击“下一步”，使用该软件的默认配置来为自己的计算机提供安全保护。而且，在任何时候你都可以对这些配置随意的进行修改。

ZoneAlarm的主界面是那种漂亮、同时对任何人来说都足够简单的外观。这种设计看起来和WindowsXP极其相似，导航条标签位于屏幕的左侧，当你点击它们的时候会详细的显示出每一项设置的内容（如图1）。

图1

导航条中包括ZoneAlarm的主要功能：

Overview.................常规状态

Firewall.................防火墙保护网络安全

Programcontrol..........应用程序控制

Antivirusmonitoring.....反病毒监测

E-mailprotection........高级邮件管理

Privacy..................保护隐私信息

WebFiltering............网页过滤

IDLock..................逆向追踪黑客的来源

AlertsandLogs..........警报和日志查看器

最小化窗口dashboard

点击“缩放”按纽可以将整个窗口最小化，只显示出“停止”和“锁定”键（图2），它们分别可以用来屏蔽一切网络连接和取消保护。“停止”是相对一切网络通讯而言的，比如遭网络（冲击波/高波病毒等）攻击时使用它屏蔽一切网络连接；“锁定”功能是对应用程序而言，被标记为信任的应用程序仍然可以通讯，而其它应用程序的通讯被中断，笔者使用VNC远程控制连接就要用到这个功能，把VNC标记为可信任服务就可以了，总的来说，这个软件的外观体现了简洁又漂亮的特点。dashboard中间显示的是当前可用的网络连接，比如有2块网卡分别连接2个不同的网络，当鼠标指向网络仪表板上相应的网络参数就显示出来了。

二、强劲功能逐个数

ZoneAlarmPro的核心部分，还是它的个人防火墙，它能够确保任何入侵者都无法通过互联网进入到你的计算机中。同时还具有一个能够捕捉到可能会群发邮件的病毒或者蠕虫的电子邮件监视器、一个cookie管理器、一个弹出或者广告屏蔽器，以及一个ActiveX和JavaScript防御工具。

常规设置（Overview）：

ZoneAlarm的Overview能够很快的让你了解到最近所遭受到的入侵攻击,包括一些常规详细和设置。

版本信息和自动升级

Overview中的productinfo显示当前的版本信息和版权信息，如果Licensing中显示还有XX天，你注意要及时注册呀，如果不是最新的版本可以通过Overview菜单-preference(参数)选项卡-checkforupdates(检查最新版本信息)来设置自动更新或手工更新。

开机自动运行

在安装中，ZoneAlarm能够进行自我配置，以便能够与你默认的浏览器相兼容。默认设置下次开机时ZoneAlarm自动运行，ZoneAlarm占资源不大，这样的设置保证了计算机开机后立即得到保护，如果要关闭开机自动运行，在Overview菜单-preference(参数)选项卡-general(常规)中取消选择“LoadZoneLabssecuritysoftwareatstartup”就可以了。

密码保护和参数备份

密码保护用来保护ZoneAlarm不被意外停止和恶意修改参数，在Overview菜单-preference(参数)选项卡-password中点击setpassword设置保护密码(如图3)。

参数备份是备份系统自我配置和用户配置的参数，一般来说由于不同的计算机网络和应用环境差别很大，不同用户的参数设置不同，不能互用。备份时点击Overview菜单-preference(参数)选项卡-Backingupandrestoringsecuritysettings中的backup/Restore完成备份/恢复，是一个XML文件。

图3

防火墙保护(Firewall)

功能介绍

ZoneAlarm的防火墙(图4)具有三个安全级别（高、中和低），并将其安全分成三个区域（锁定、本地和Internet）。ZoneAlarm创造了域的管理方式，使得用户管理更简单：把对象简单的分为3个域，可以信赖的对象组成的域---TrustedZone、绝对不可以信任的对象组成的域--BlockedZone和不能确定是否能信赖的对象组成的域--InternetZone。域的对象可以是一个网段，一个主机，一个网址等。

图4对所有的Internet活动，ZoneLab推荐使用“高”安全级别设置，这样的设置将锁定每一活动，直到您作出明确授权为止。这是ZoneAlarm仍未能用于批量安装的原因之一，因为每一安装都不得不这样做。ZoneAlarm也使用秘密模式，这种模式对端口状态请求（如端口扫描期间遇到的请求）不做出响应，将已授权程序没有使用的所有端口隐藏起来。

安全设置“中”最好留给本地(TrustedZone)使用，此设置实施用户设置的所有应用程序特权，但允许本地网络访问Windows服务、共享文件和驱动器。用户必须定义在本地区域中允许使用的资源。这些资源可以包括机器自己的适配器（用于循环回路和其他服务）以及其他计算机。幸运的是有了域的分配，您不必为每台计算机输入IP地址，因为ZoneAlarm允许您输入主机/网站名称、单一IP地址、范围或子网归于域。最后，如果您在网络内部运行服务器，则安全设置“低”为最好的选择（图5）。此情况下最有可能的安装将是基于硬件的防火墙后的文件和打印服务器的安装。

操作步骤：

在FireWall功能页面下，我们可以通过“add”按钮来将指定的计算机或者网络设置为信任主机或者受保护的区域（图6），例如将那些需要进行共享的计算机或者我们进行需要使用ping命令来测试的计算机设置为信任主机时，单击“add”按钮，然后再选择是通过“Addipaddress”命令添加指定的主机IP地址还是通过“Addiprange”命令添加局域网中的ip地址范围，或者是添加子网掩码，让ZoneAlarm把局域网和Internet分开来管理。如果要取消信任主机或者受保护的网络区域，只要先在该界面的列表上选中指定目标，再单击一下“remove”按钮就可以了，如果要对这些内容进行编辑，只要单击edit按钮就行了，设置好后单击“apply”按钮就开始生效了。

图6

用户要做的就是编辑域成员和设置域的安全级别，域成员角色的转换也很方便，域安全级别的设置对所有域成员都起作用，真是太方便了。内外有别保护不同网段

ZoneAlarm其核心的个人防火墙可以保护您的电脑不受互联网上非法用户的入侵，同时还能够自动检测局域网络的设置，确保来自内部网络的通信不受影响。比如，你上互联网的同时还有一个办公网，内部需要交流文件或打印共享，可以把内部网络归为TrustedZone域而把互联网归到InternetZone域，ZoneAlarm对不同的域实施不同的防火墙规则，这样上网办公两不误，而且都受到防火墙的保护。

用域对付恶意网站

把恶意网站的网址输入BlockedZone就可以达到不能访问恶意网站的目的（图7），网上关于恶意网站的网址很多，都归于BlockedZone域，你感染恶意网页的机会就小多了，如果已经感染恶意网页，也可以把它归于BlockedZone域，隔离断了它的后路，然后清除。用域封已经感染的恶意网页的方法是：

Firewall|Zones|Add|Host/Site(...)|Blocked|OK。增添对话框设置如图8，其中ZONE(域类型)、Hostname（恶意网址）、Description(描述)。

图7

图8

拒绝内部恶意网络攻击

如今的病毒太可恶，如果内部网络有一台计算机感染病毒，其它计算机就有被感染的可能，防火墙虽然可以阻挡已知的网络攻击，但是对新病毒的攻击未必有效，通过分析ZoneAlarm的日志可以确定是谁攻击你，把它的IP(或者它所在的IP段)指定为BlockedZone域，接上网线，你的正常工作可以继续做而不用担心被感染了。

应用程序控制(Programcontrol)

应用程序控制包括应用程序管理、自动的策略建议和自动锁定功能。

功能介绍

对应用程序控制有4个安全级别，分别对应应用程序(Program)和组件(components)的进行管理，设置为“低”级别时应用程序和组件可以直接访问网络；“中”级别适合应用程序需要确认才能访问网络，组件可以直接访问网络的情况；而“高”级别对应用程序和组件都需要确认才可以访问网络。自动的策略建议也是很实用的功能，用应用程图访问网络时，它会给出策略建议。如果您选中“AutomaticLock”（自动锁定）中的ON选项，那么你可以在指定时间或屏幕保护时锁定网络。

操作方法

如果ZoneAlarm在运行过程中碰到一个新程序需要和网络连接的话，它就会跳出一个确认对话框，问你是否允许该程序访问网络。选择允许或不允许后可以到Programcontrol-Program中设权限（图9）。应用程序的权限包括访问权限和服务权限，访问权限和服务权限含义是不同的，对外而言，访问权限(AccessPermissions)是控制是否可以主动访问外部对象，服务权限(ServerPermissions)是控制是否允许开启服务端口提供外人连接，区别是发起连接的对象个别是自己和对方。

图9

该设置界面列出了所有可能访问Internet的程序，并且提供程序名、是否允许连接、是否允许使用服务器、是否允许通过锁定应用程序控制功能等控制信息；其中是否允许连接又分为对本地和Internet的两种连接方式，绿色的“√”为允许连接而无须询问；红色的“×”为禁止连接；问号则是在每次出现连接企图时都会先提出询问。另外应用程序控制功能允许你决定哪个软件可以或者不能使用Internet，可以确保欺骗程序（或者说是盗贼程序）不能发送你的敏感信息给那些不法分子。在这里，我们可以通过鼠标的右键功能，来选择是允许程序和网络连接、禁止和网络连接、询问后再连接等３种状态(图10)。

如果选中“AutomaticLock”（自动锁定）中的ON选项，弹出自动锁定对话框，其中第一个选项是用来设置在停止操作以后多长时间启动锁定功能，程序默认为10分钟；第二个选项确定是否在运行屏幕保护程序的时候启动锁定功能。下面还有两项设置内容；其中第一项是在锁定状态下是否允许一些仍然处于激活状态下的程序如Email程序保持与INTERNET的联系，例如检查是否有新的邮件到来；第二项是停止所有的与INTERNET相关的操作，单击“Stop”按纽可以在锁定和解锁状态之间切换。

图10

PASSLOCK(激活)的设置方法(图11)：

图11

组件控制可能是其它防火墙所没有的功能(图12)，它将禁止一个程序去控制另外一个应用程序的能力。因为某个程序可能利用了了一个称为DLL（动态链结库）的程序的可再度使用部分，使得因特网浏览器让程序发送数据。只有在高级安全模式才启用组件控制功能。

图12

其它功能介绍

反病毒监测(Antivirusmonitoring)不是网络防火墙的强项，但是病毒和防火墙的关系越来越亲密，有了用户的需要，ZoneAlarm就有了反病毒功能，如果安装的是ZoneAlarmwithAntivirus那么就具备了反病毒功能（图13），笔者安装的是NortonAntivirus2004，ZoneAlarm依然可以实现反病毒监测功能。

图13

高级邮件管理(E-mailprotection)

通过电子邮件传播病毒已经是一个严重的网络问题，ZoneAlarm包含一个邮件监视器，它能够对所有接受的和发出的电子邮件都进行监控，以便于能够及时制止那些群发邮件病毒的可疑行为（以前的版本只能够对所受到的邮件进行监控）。在侦测到有病毒在进行自我复制后开始向外群发邮件时，它会自动关闭掉你的电子邮件客户端。MailSafe功能扫描所有电子邮件中出现的VisualBasic脚本附件（如臭名昭著的ILOVEYOU“我爱您”病毒）。如果发现此类附件，MailSafe会将其隔离，并在您试图运行该附件时发出警告。尽管在默认情况下MailSafe处于活动状态，但可以通过安全面板禁用它（图14）。

保护隐私信息(Privacyprotection)

ZoneAlarm具备智能管理Cookie能力，Cookie是网站保存到用户硬盘，记录用户冲浪和购买习惯的文本文件。这些数据一般用于根据您的网上习惯有针对性地给您发广告，通常是无害的。但是这些数据可能会落入不怀好意的人之手，因此，您也许要考虑一下使用Cookie管理工具了。像CookieCrushera这样的程序能让您自己控制哪个网站可保存Cookie。

图14

ZoneAlarm广告拦(ADBLOCKING)截能力也是很强的，启用ADBLOCKING后，网站的广告基本上都被成功拦截了，而在安装防火墙以前只有使用第三方软件才能达到广告拦截效果（图15）。

ZoneAlarm具备拦截Java和ActiveX的能力(MobileCode)（图16）。具备破坏性的代码通过网页和电子邮件不断的被下载，而ZoneAlarm具备拦截Java和ActiveX的分析和拦截能力，保护的上网更安全。

图16

一个缓冲区清理工具(CacheClean)（图17），它能够将保存在你计算机上的网络临时文件、浏览器历史纪录，以及cookie全都删掉，平时需要多个步骤才能完成的功能，现在点击鼠标就可以轻松完成了

图17

逆向追踪黑客的来源(IDLock)在遭到攻击后，可以逆向追踪黑客的来源,另外，ZoneAlarm还新增加了一个汇报工具。以前，HackerID功能只能够在受到攻击后向你报告那些入侵者的地址（IP地址或者物理方位）（不用担心，在追踪任何可疑的入侵者的时候，ZoneAlarm会自动遮蔽掉你的IP地址）。不过现在，ZoneLabs公司会自动收集这些追踪报告，并将它们发给相应的ISP厂商。不过好像用不上。

警报和日志查看器(AlertsandLogs)

弹出警报是用户和ZoneAlarm交流的方式，比如有新的应用程序需要访问网络就弹出警报（图18），如果关闭了警报功能，ZoneAlarm使用智能策略实施权限配置，以避免分散用户的注意力，简化用户配置难度。日志记录的是网络通信和应用程序通讯的过程，通过分析日志可以发现木马或受到的攻击极其来源以及应用程序访问网络的情况，而是否记录到日志可以通过面板设置。

图18

网页过滤(WebFiltering)网页中包括暴力色情等内容时（图19），WebFiltering过滤这些不健康的内容，用户要做的就是选择过滤哪些敏感内容，然后启动WebFiltering功能。专家级的规则设定

防火墙自定义规则并不是ZoneAlarm的“专利”，但是新版本中专家级的规则设定具有独特的功能（图20），突出特点表现在3个方面：定义组、时间控制和控制到数据链路层。到目前为止，控制到数据链路层只有ZoneAlarm可以作到。而且，ZoneAlarm可以工作在ICS/NAT的网关计算机上，针对内部计算机，ZoneAlarm根据设置决定是否对NAT数据包进行过滤，默认设置对所有本地数据包进行过滤，而对NAT转发的数据不做过滤，自定义规则可以针对外部和内部发起的通讯分别控制。

组的对象可以按照主机、协议和时间分类。主机类可以是HOST/SITE(网址)、IP(地址)、IPRANG(地址段)、SUBNET(子网)、TRUSTZONE(信赖域)、INTERNETZONE(INTERNET域)、ANY(任意)、GATEWAY(物理地址)等，协议类对象包括TCP、UDP、TCP&UDP、ICMP、IGMP、CUSTOM定制等