病毒基础防治知识（六）

病毒基础防治知识（六）我的杀毒软件为什么是下等？很多朋友都热衷于下载各种各样的防火墙规则包，试图把自己电脑保护的更安全一些。首先，我们要肯定两点，一是朋友们普遍具有了一些信息安全意识，自发地主观地追求主动保护自己电脑的安全；二是朋友们对我们常用的防火墙软件有了一些感性的认识，认识到包过滤型防火墙只是一个工具，要靠规则包才能完成安全防护。但是防火墙规则真的是越多越好么？下面我们就来一起分析一下这个问题。 我们常用的防火墙其主要功能原理是包过滤机制，什么是包过滤呢？我们都知道网络上的数据传输并不是连续进行的，而是分割成一个数据包一个数据包分别传输。包过滤防火墙的意思就是鉴别发送和传输的每一个数据包，看他们是否和防火墙规则相匹配，按照规则的设定，规则上允许放行的就放行，不允许放行的就把数据包抛弃（相当于阻断了该网络连接）。包过滤防火墙判断的主要依据就是每个数据包的源IP地址和端口，目的IP地址和端口，协议类型（如TCP、UDP、ICMP、IGMP等），TCP六个标志位等等。 因为包过滤防火墙对每一个数据包都要按照防火墙规则顺序比对规则，所以我们说防火墙规则数量越少，比对规则消耗的时间就会越小，防火墙的效率就越高，消耗的CPU资源就越低；体现在网速上就是规则越少对网速的影响会越小，也就是网速会越快。所以我们说在同等效力的情况下，包过滤防火墙的规则数量应该是越少越好。 有的朋友可能会去实际做实验，尝试不同数量规则包对网络速度的影响，结果很可能会是看不出有明显的影响。为什么会这样呢？因为我们目前的网络条件属于低速网络，我国主流的ADSL上网，速率不过512K-2M，数据包比对的工作量相对于我们目前主流电脑G级主频的CPU来说，并不算是太繁重的任务。所以对一般的ADSL用户来说，并没有明显感觉到规则包数量对系统和网速的影响。有兴趣的局域网用户可以去尝试一下，带宽越大，差异会越明显，这也就是企业硬件防火墙为了保证效率，需要严格限制规则数量的主要原因。防火墙规则越多越好么？很多朋友都热衷于下载各种各样的防火墙规则包，试图把自己电脑保护的更安全一些。首先，我们要肯定两点，一是朋友们普遍具有了一些信息安全意识，自发地主观地追求主动保护自己电脑的安全；二是朋友们对我们常用的防火墙软件有了一些感性的认识，认识到包过滤型防火墙只是一个工具，要靠规则包才能完成安全防护。但是防火墙规则真的是越多越好么？下面我们就来一起分析一下这个问题。 我们常用的防火墙其主要功能原理是包过滤机制，什么是包过滤呢？我们都知道网络上的数据传输并不是连续进行的，而是分割成一个数据包一个数据包分别传输。包过滤防火墙的意思就是鉴别发送和传输的每一个数据包，看他们是否和防火墙规则相匹配，按照规则的设定，规则上允许放行的就放行，不允许放行的就把数据包抛弃（相当于阻断了该网络连接）。包过滤防火墙判断的主要依据就是每个数据包的源IP地址和端口，目的IP地址和端口，协议类型（如TCP、UDP、ICMP、IGMP等），TCP六个标志位等等。 因为包过滤防火墙对每一个数据包都要按照防火墙规则顺序比对规则，所以我们说防火墙规则数量越少，比对规则消耗的时间就会越小，防火墙的效率就越高，消耗的CPU资源就越低；体现在网速上就是规则越少对网速的影响会越小，也就是网速会越快。所以我们说在同等效力的情况下，包过滤防火墙的规则数量应该是越少越好。 有的朋友可能会去实际做实验，尝试不同数量规则包对网络速度的影响，结果很可能会是看不出有明显的影响。为什么会这样呢？因为我们目前的网络条件属于低速网络，我国主流的ADSL上网，速率不过512K-2M，数据包比对的工作量相对于我们目前主流电脑G级主频的CPU来说，并不算是太繁重的任务。所以对一般的ADSL用户来说，并没有明显感觉到规则包数量对系统和网速的影响。有兴趣的局域网用户可以去尝试一下，带宽越大，差异会越明显，这也就是企业硬件防火墙为了保证效率，需要严格限制规则数量的主要原因。