电脑防火墙下载哪个好，电脑防火墙软件推荐

　　大家都听说过防火墙(哪怕只看过网络犯罪电影里的相关剧情设定)。很多人也知道自己的电脑很可能在运行防火墙，很少有人知道在必要的时候如何控制它们。

　　防火墙用于拦截未经请求的网络流量，但不同的网络需要不同的安全级别。例如，当你在家里时，你可以比在外面的咖啡馆使用公共WiFi时更信任网络中的其他计算机和设备。您可能希望您的计算机区分可信网络和不可信网络，最好学会自己管理(或至少验证)您的安全设置。

　　防火墙的工作原理网络中不同设备之间的通信是通过一个叫做端口的网关来实现的。这里的端口不是指像USB端口或HDMI端口这样的物理连接。在网络术语中，端口是一个纯粹的虚拟概念，用来表示某类数据到达或离开计算机时所采取的路径。实际上，它们可以被称为其他名称，如“连接”或“门口”，但它们早在1981年就被称为端口，这个名称一直沿用到今天。实际上，端口并没有什么特别的，它只是一种表示可能发生数据传输的地址的方式。

　　 1972年，公布了端口号列表(当时端口被称为“套接字”)，从那时起，它演变成一组众所周知的标准端口号，以帮助管理特定类型的网络流量。比如你每天访问网站都会用到80端口和443端口，因为互联网上大多数人都认同(或者默认)数据是从web服务器通过这两个端口传输的。如果您想验证这一点，可以在使用浏览器访问网站时，在URL后面添加一个非标准端口号。例如，访问example.com:42的请求将被拒绝，因为example.com不在端口42上提供网站服务。

　　导航到非标准端口会产生错误

　　如果通过80端口访问同一个网站，可以(不出意外)正常访问。您可以在URL中添加80来指定使用端口80，由于端口80是HTTP访问的标准端口，您的浏览器已经默认使用端口80。

　　当计算机(如web服务器)准备在指定端口接收网络流量时，保持该端口对网络流量开放是一种可接受的(也是必要的)行为。但如果不需要接收流量的端口也打开了，那就危险了，这就是防火墙需要解决的问题。

　　安装防火墙d时配置防火墙的方式有很多种，本文介绍防火墙d，在桌面环境下，集成在网管中，在终端，集成在firewall-cmd中。许多Linux发行版都预装了这些工具。如果您的发行版中没有它，您可以将本文作为管理防火墙的一般建议，并在您使用的防火墙软件中使用类似的方法，或者您可以选择安装Firewall D。

　　例如，在Ubuntu上，您必须启用universe软件仓库，关闭默认的ufw防火墙，然后安装firewalld:

　　 $ sudo system CTL disable ufw $ sudo add-apt-repository universe $ sudo apt安装firewalldfedora、CentOS、RHEL、OpenSUSE和许多其他发行版默认包含firewalld。

　　无论你使用哪一个发行版，如果你想让防火墙工作，你必须保持它打开，并设置它在你启动时自动加载。你应该设法减少你在防火墙维护上花费的精力。

　　 $ sudo system CTL enable-now firewall d使用网络管理器选择区域。也许你每天都会连接到许多不同的网络。我在工作中使用一个网络，在咖啡馆使用另一个，在家里使用另一个。你的电脑可以知道哪个网络使用频率高，但不知道你信任哪个网络。

　　防火墙的区域包含打开和关闭端口的预设规则。您可以通过使用区域来选择最适合当前网络的策略。

　　您可以在网络管理器中打开连接编辑器(可以在应用程序菜单中找到)，或者使用nm-connection-editor命令获得所有可用区域的列表。

　　网络管理器连接编辑器

　　在网络连接列表中，双击您现在使用的网络。

　　在出现的“网络配置”窗口中，单击“常规”选项卡。

　　在常规面板中，单击防火墙区域旁边的下拉菜单以获取所有可用区域的列表。

　　防火墙区域

　　您也可以使用以下终端命令来获得相同的列表

　　 $ sudo firewall-cmd-get-zones每个区域的名称已经可以透露设计者创建该区域的意图，您也可以使用以下终端命令来获取任何区域的详细信息

　　 $ sudo firewall-cmd-zone work-list-all work target :默认icmp-block-inversion:无接口源服务 ssh DHCP V6-客户端端口协议

　　s: [...]

　　在这个例子中，work 区域的配置是允许接收 SSH 和 DHCPv6-client 的流量，拒绝接收其他任何用户没有明确请求的流量。（换句话说，work 区域并不会在你浏览网站的时候拦截 HTTP 响应流量， 会 拦截一个针对你计算机上 80 端口的 HTTP 请求。）

　　你可以依次查看每一个区域，弄清楚它们分别都允许什么样的流量。比较常见的有

　　work这个区域应该在你非常信任的网络上使用。它允许 SSH、DHCPv6 和 mDNS，并且还可以添加更多允许的项目。该区域非常适合作为一个基础配置，然后在此之上根据日常办公的需求自定义一个工作环境。public 用在你不信任的网络上。这个区域的配置和工作区域是一样的，你不应该再继续添加其它任何允许项目。drop 所有传入连接都会被丢弃，并且不会有任何响应。在不彻底关闭网络的条件下，这已经是最接近隐形模式的配置了，因为只允许传出网络连接（不过随便一个端口扫描器就可以通过传出流量检测到你的计算机，所以这个区域并不是一个隐形装置）。如果你在使用公共 WiFi，这个区域可以说是最安全的选择；如果你觉得当前的网络比较危险，这个区域也一定是最好的选择。block 所有传入连接都会被拒绝，会返回一个消息说明所请求的端口被禁用了。只有你主动发起的网络连接是被允许的。这是一个友好版的 drop 区域，因为虽然还是没有任何一个端口允许传入流量，说明了会拒绝接收任何不是本机主动发起的连接。home 在你信任网络里的其它计算机的情况下使用这个区域。该区域只会允许你所选择的传入连接，你可以根据需求添加更多的允许项目。internal 和工作区域类似，该区域适用于内部网络，你应该在基本信任网络里的计算机的情况下使用。你可以根据需求开放更多的端口和服务，保持和工作区域不同的一套规则。trusted 接受所有的网络连接。适合在故障排除的情况下或者是在你绝对信任的网络上使用。为网络指定一个区域

　　你可以为你的任何一个网络连接都指定一个区域，并且对于同一个网络的不同连接方式（比如以太网、WiFi 等等）也可以指定不同的区域。

　　选择你想要的区域，点击“保存”按钮提交修改。

　　Setting a new zone

　　养成为网络连接指定区域的习惯的最好办法是从你最常用的网络开始。为你的家庭网络指定家庭区域，为工作网络指定工作区域，为你最喜欢的图书馆或者咖啡馆的网络指定公关区域。

　　一旦你为所有常用的网络都指定了一个区域，在之后加入新的网络的时候（无论是一个新的咖啡馆还是你朋友家的网络），试图也为它指定一个区域吧。这样可以很好地让你意识到不同的网络的安全性是不一样的，你并不会仅仅因为使用了 Linux 而比任何人更加安全。

　　默认区域

　　每次你加入一个新的网络的时候，firewalld 并不会提示你进行选择，而是会指定一个默认区域。你可以在终端里输入下面这个命令来获取你的默认区域

　　$ sudo firewall-cmd --get-defaultpublic

　　在这个例子里，默认区域是 public 区域。你应该保证该区域有非常严格的限制规则，这样在将它指定到未知网络中的时候才比较安全。或者你也可以设置你自己的默认区域。

　　比如说，如果你是一个比较多疑的人，或者需要经常接触不可信任的网络的话，你可以设置一个非常严格的默认区域

　　$ sudo firewall-cmd --set-default-zone dropsuccess$ sudo firewall-cmd --get-defaultdrop

　　这样一来，任何你新加入的网络都会被指定使用 drop 区域，除非你手动将它制定为另一个没有这么严格的区域。

　　通过开放端口和服务实现自定义区域

　　Firewalld 的开发者们并不是想让他们设定的区域能够适应世界上所有不同的网络和所有级别的信任程度。你可以直接使用这些区域，也可以在它们基础上进行个性化配置。

　　你可以根据自己所需要进行的网络活动决定开放或关闭哪些端口，这并不需要对防火墙有多深的理解。

　　预设服务

　　在你的防火墙上添加许可的最简单的方式就是添加预设服务。严格来讲，你的防火墙并不懂什么是“服务”，因为它只知道端口号码和使用协议的类型。不过在标准和传统的基础之上，防火墙可以为你提供一套端口和协议的组合。

　　比如说，如果你是一个 web 开发者并且希望你的计算机对本地网络开放（这样你的同事就可以看到你正在搭建的网站了），可以添加 http 和 https 服务。如果你是一名游戏玩家，并且在为你的游戏公会运行开源的 murmur 语音聊天服务器，那么你可以添加 murmur 服务。还有其它很多可用的服务，你可以使用下面这个命令查看

　　$ sudo firewall-cmd --get-services amanda-client amanda-k5-client bacula bacula-client bgp bitcoin bitcoin-rpc ceph cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns elasticsearch freeipa-ldap freeipa-ldaps ftp [...]

　　如果你找到了一个自己需要的服务，可以将它添加到当前的防火墙配置中，比如说

　　$ sudo firewall-cmd --add-service murmur

　　这个命令 在你的默认区域里 添加了指定服务所需要的所有端口和协议，不过在重启计算机或者防火墙之后就会失效。如果想让你的修改永久有效，可以使用 –permanent 标志

　　$ sudo firewall-cmd --add-service murmur --permanent

　　你也可以将这个命令用于一个非默认区域

　　$ sudo firewall-cmd --add-service murmur --permanent --zone home端口

　　有时候你希望允许的流量并不在 firewalld 定义的服务之中。也许你想在一个非标准的端口上运行一个常规服务，或者就是想随意开放一个端口。

　　举例来说，也许你正在运行开源的 虚拟桌游 软件 MapTool 。由于 MapTool 服务器应该使用哪个端口这件事情并没有一个行业标准，所以你可以自行决定使用哪个端口，然后在防火墙上“开一个洞”，让它允许该端口上的流量。

　　实现方式和添加服务差不多

　　$ sudo firewall-cmd --add-port 51234/tcp

　　这个命令 在你的默认区域 里将 51234 端口向 TCP 传入连接开放，不过在重启计算机或者防火墙之后就会失效。如果想让你的修改永久有效，可以使用 –permanent 标志

　　$ sudo firewall-cmd --add-port 51234/tcp --permanent

　　你也可以将这个命令用于一个非默认区域

　　$ sudo firewall-cmd --add-port 51234/tcp --permanent --zone home

　　在路由器的防火墙上设置允许流量和在本机上设置的方式是不同的。你的路由器可能会为它的内嵌防火墙提供一个不同的配置界面（原理上是相同的），不过这就超出本文范围了。

　　移除端口和服务

　　如果你不再需要某项服务或者某个端口了，并且设置的时候没有使用 –permanent 标志的话，那么可以通过重启防火墙来清除修改。

　　如果你已经将修改设置为永久生效了，可以使用 –remove-port 或者 –remove-service 标志来清除

　　$ sudo firewall-cmd --remove-port 51234/tcp --permanent

　　你可以通过在命令中指定一个区域以将端口或者服务从一个非默认区域中移除。

　　$ sudo firewall-cmd --remove-service murmur --permanent --zone home自定义区域

　　你可以随意使用 firewalld 默认提供的这些区域，不过也完全可以创建自己的区域。比如如果希望有一个针对游戏的特别区域，你可以创建一个，然后只有在玩儿游戏的时候切换到该区域。

　　如果想要创建一个新的空白区域，你可以创建一个名为 game 的新区域，然后重新加载防火墙规则，这样你的新区域就启用了

　　$ sudo firewall-cmd --new-zone game --permanentsuccess$ sudo firewall-cmd --reload

　　一旦创建好并且处于启用状态，你就可以通过添加玩游戏时所需要的服务和端口来实现个性化定制了。

　　勤勉

　　从今天起开始思考你的防火墙策略吧。不用着急，可以试着慢慢搭建一些合理的默认规则。你也许需要花上一段时间才能习惯于思考防火墙的配置问题，以及弄清楚你使用了哪些网络服务，不过无论是处在什么样的环境里，只要稍加探索你就可以让自己的 Linux 工作站变得更为强大。