如果回到过去的计算时代，没有人会考虑在单独的计算机上安装防火墙。谁需要这么做呢?很少有人听说过 Internet，TCP/IP 并不存在，LAN 协议不会在您的房子或校园上方传送。重要的数据都保存在大型机或文件服务器 — 人们保留在他们台式计算机上的信息很少会是关键性的，计算机自身的重量也一定程度上确保了相当的物理安全性。如果存在到 Internet 的连接，那么中间很可能有一些协议转换器，在网络边缘还可能有数据包筛选路由器(即“防火墙”)，而且很可能配置了太多的规则和异常处理。

 

　　现代的计算环境和这样的过去年代差别很大。每个设备都连接到 Internet(而且现在都用 TCP/IP 通信)，并且便携式设备是当前的标准。您的雇主很可能给您配了一台便携式计算机，这并不是因为他们关心您，而是因为他们希望您多做点贡献 — 他们非常希望您一旦有了五分钟的空闲，就可以随时随地通过 Wi-Fi 连接工作。便携式计算机也许比台式计算机昂贵，但是通过生产力的提高，这笔投资肯定得到了回报。您看，便携性是如此诱人 — 无论是对您还是对您的对手都是如此。

　　回想一下：在您的便携式计算机开机并连接到某个网络的总时间里，有多大比例是连接到您公司的网络?如果您的情况和我类似，也许最多是百分之二十。也就是说，只有百分之二十的时间里，我的便携式计算机安全地处在 Microsoft 的公司网络之内，受到网络外围防护的保护，以免遭到外部攻击。但是在百分之八十的时间里，我的便携式计算机因各种实际需要而直接连接到 Internet，这会怎么样?(而且，我相当频繁地连接到世界上最危险的网络：计算机安全会议所在旅馆的 LAN!)当我在那些场合连接到公司网络时，该环境内的其他计算机又会给我带来什么样的威胁?

　　安全控制不断发展以应对威胁，但有时候远远落在后面。病毒曾经是客户端的问题，原因是人们相互交换软盘，所以防病毒程序首先出现在客户端。此后，随着电子邮件得到广泛使用以及恶意软件逐渐演变为依靠电子邮件传播的蠕虫，反恶意软件的程序开始发展并出现在电子邮件网关上。随着 Web 的兴起，恶意软件逐渐演变为木马，反恶意软件工具随之出现在 Internet 访问代理服务器上。这是一个广为了解的发展过程，没有人对此有异议。

　　现在让我们把同样的逻辑用到防火墙上。虽然您网络边缘的防火墙足以抵御原先的威胁，但现在的威胁已不同以往，它们更加复杂，更加普遍。更不用说现在的设备和工作方式都与过去大相径庭。许多计算机在本地保存敏感的信息，而且在大量的时间里它们都处在公司网络之外(也就是说，在防护边缘之外)。因此，防火墙必须演化成单个客户端的保护机制。没错：客户端防火墙不再是可有可无的。为了在公司网络和 Internet 中保护您的计算机，客户端防火墙是必需的。

　　客户端防火墙和安全性表演

　　许多人没有意识到最初发布的 Windows? XP 包括一个客户端防火墙。这并不让人意外，因为默认情况下该防火墙是关闭的，而且需要很多操作才能打开。这个防火墙的登台多少有点遮遮掩掩，没有任何对真正用途的说明或者使用指导。但是它的确有效。如果您开启了该防火墙，它可能已经使您免受 Nimda 、Slammer、Blaster、Sasser 以及网络端口上未经请求的通信之害。在认识到保护客户端的重要性之后，Windows XP Service Pack 2 (SP2) 在默认情况下启动了防火墙，创建了两个配置文件(Internet 和公司网)，并允许启用组策略。

　　遗憾的是，采用 Windows XP SP2 防火墙有两个障碍：关于应用程序的顾虑和安全性表演。许多人担心防火墙会使他们的应用程序无法正常工作。但这种情况很少出现，原因在于防火墙的设计。防火墙允许所有出站通信离开您的计算机，但是阻止所有不属于对先前出站请