看见ZA7.0出来有很长一段时间了，有些用户可能对这个墙还不是很会配置，小弟不才，发个配置图解说，希望能够帮助到大家。
我要说明的是，我的电脑就是512的内存，使用ZA一点也不感觉到卡机。至于为什么我在后面会为大家详细的说明。




这个选项是互联网区域的选项
第一个图片是允许的选项。第一个勾是允许区域广播，第二个勾是允许你的电脑可以Ping别人。


第二个图片是拦截的选项：
这里我只说明我打勾的选项的含义，没打勾的一般是普通用户用不上的，不做详细的说明了。
第一个勾选项是拦截进入 NetBIOS （局域网）。此处选项ADSL单机用户推荐选上，局域网用户根据自己的需求是否选上.
第二个勾的选项是拦截进入ping  这个地方选上可以有效的拦截一些网络攻击，可以让别人无法ping通你机子的IP。
第三个勾的选项是拦截其它进入ICMP（Internet控制消息协议）这个地方选上可以有效的拦截黑客通过一些漏洞入侵。
第四个勾的选项是拦截IGMP进入（Internet组管理协议）这个选上可以有效的防止黑客通过路由器入侵你的电脑。
第五到第八个勾的选项意思是拦截
TCP/UDP端口参数我2年前曾经发表过一篇ZA防火墙关闭端口参数配置。
第五个选项是：拦截进入UDP端口
第六个选项是：拦截出去UDP端口
第七个选项是：拦截进入TCP端口
第八个选项是：拦截出去TCP端口

第三个图片是信任区域选项
这个选项是信任区域的拦截选项，这里我只列出了拦截选项，允许选项同上一张图片。
注意：ADSL的单机用户可以按照我的配置图片配置，而局域网用户则需要按照我上张互联网的选项进行操作。
由于时间的关系我就不一一列出在互联网选项里面我没打勾的选项而这里打上勾选项的含义，大家可以参照ZA5.5中文版里面的图片进行查看。

第四个图片是Advancad选项
大家可以参照我的配置进行配置就行了，

我这个里面的规则配置加上端口配置可以非常有效的达到专家模式里面的设置效果。所以我上面提到的我取消了专家模式的选择。

拦截进入UDP 67, 80, 137, 161, 4000-8080

拦截外出UDP 31, 41, 58, 146, 531, 555, 666, 911, 999, 1001, 1010, 1011, 1012, 1015, 1024, 1025, 1026, 1027, 1028, 1029, 1030, 1042, 1045, 1090, 1234, 1492, 1600, 1807, 1981, 1999, 2000, 2001, 2002, 2003, 2004, 2005, 2023, 2115, 2140, 2565, 2583, 2773, 2774, 2801, 3024, 3129, 3150, 3700, 4092, 4267, 4567, 5000, 5001, 5321, 5400, 5401, 5402, 5555, 5556, 5557, 5569, 5742, 6400, 6670, 6771, 6776, 6939, 6969, 6970, 7000, 7215, 7300, 7301, 7306, 7307, 7308, 7597, 7789, 9872, 9873, 9874, 9875, 9989, 10067, 10167, 10520, 50607, 11000, 11223, 12076, 12223, 12345, 12346, 12361, 12362, 12363, 12631, 13000, 16959, 20034, 21554, 22222, 23456, 23476, 23477, 26274, 27374, 30100, 30101, 30102, 31337, 31785, 31787, 31788, 31789, 31791, 31792, 40421, 40422, 40423, 40425, 40426, 54283, 54320, 54321, 60000

拦截进入TCP 21, 22, 23, 25, 53, 79, 80, 110, 113, 119, 135, 138, 139, 143, 443, 445, 1025, 1026, 1080, 1433, 1723, 3389, 4000, 4444, 5000, 5631, 5632-8080

拦截外出TCP 31, 41, 58, 146, 531, 555, 666, 911, 999, 1001, 1010, 1011, 1012, 1015, 1024, 1025, 1026, 1027, 1028, 1029, 1030, 1042, 1045, 1090, 1234, 1492, 1600, 1807, 1981, 1999, 2000, 2001, 2002, 2003, 2004, 2005, 2023, 2115, 2140, 2565, 2583, 2773, 2774, 2801, 3024, 3129, 3150, 3700, 4092, 4267, 4567, 5000, 5001, 5321, 5400, 5401, 5402, 5555, 5556, 5557, 5569, 5742, 6400, 6670, 6771, 6776, 6939, 6969, 6970, 7000, 7215, 7300, 7301, 7306, 7307, 7308, 7597, 7789, 9872, 9873, 9874, 9875, 9989, 10067, 10167, 10520, 50607, 11000, 11223, 12076, 12223, 12345, 12346, 12361, 12362, 12363, 12631, 13000, 16959, 20034, 21554, 22222, 23456, 23476, 23477, 26274, 27374, 30100, 30101, 30102, 31337, 31785, 31787, 31788, 31789, 31791, 31792, 40421, 40422, 40423, 40425, 40426, 54283, 54320, 54321, 60000

至于信任区域（Trusted Zone Security）的选项会在你配置好互联网区（Internet Zone Security）域选项以后自动参照互联网选项里面的配置而自动进行配置。ADSL单机用户依然参照配置不用更改，而局域网用户依然需要参照局域网配置不用更改。请大家注意看见我上面的说明。

程序控制，大家就依照默认配置不需要做任何更改，如果再配有一个HIPS，那就能够达到很好的防御效果了。




以上图片是ZA7.0PRO带的一些功能。
第一个是反间谍功能，个人感觉是个鸡肋，没什么效果，开启会占用系统资源。
第二个是反病毒功能，说明同上。
第三个是电子邮件保护，这个功能我相信大家也用不上，随便一个杀毒软件都带有过滤邮件功能了。
第四个是广告拦截功能，个人感觉同样是个鸡肋，相信大家早已经有各种不同的拦截广告利器，比如使用遨游浏览器，使用一些广告拦截软件程序，没必要再开启ZA的广告拦截功能占用系统资源。



这次列出的是ID锁定的功能，可以非常有效的保护你的QQ,MSN,UC等聊天软件以及一些程式的密码。我只列出了QQ的密码保护选择，其它软件的密码保护功能跟QQ的选择是一样的，大家可以参照选择。
最后一项警报选项默认就可以了。不需要进行操作选项。

下面我来秀一下我的安全组合，
第一个是ZA防火墙，
第二个是Ad muncher（这个是拦截广告防御网页木马病毒的，超牛）
第三个是小红伞，
第四个是ProSecurity（非常棒的一个HIPS）

我顺便提供一下Ad muncher 的规则包，通过此规则包能够非常有效的拦截网页木马病毒跟广告，还提供一张添加AD规则的图片给大家。至于AD的下载，大家可以去网上搜索一下4.7的汉化版，注意：下载AD安装以后千万不要自动更新程序，取消自动更新，然后添加我提供的那个规则就OK了。大家可以打开hxxp://www.cn-edu.com.cn/zhaosheng/ShowArticle.asp?ArticleID=21027 （请注意啊，这个是一个毒网） 这个网址测试一下AD的效果。保证让你开心。

下面给大家提供了一个IP安全策略的.bat批处理自动运行文件，可以自动添加IP安全策略，让你的电脑再增加一层防御。打开以后解压，运行里面的IP安全策略批处理程序。会自动运行，全部过程运行完毕后会提示的。查看是否添加：开始-设置-控制面板-管理工具-本地安全策略-IP安全策略在本地计算机-右边会有一个TCP/UDP的策略。就是成功了


另外还有张图片我就不发了，关于ZA警报的配置，大家选择默认就OK了。
另外我说一下我对ZA的一些感想，ZA在防泄密方面可以说要强过很多的HIPS，打个比喻，大家可以添加一个批处理自动删除共享的命令。具体如下：首先编写如下内容的批处理文件：

  @echo off

  et share C$ /del

  et share D$ /del

  et share E$ /del

  et share F$ /del

  et share admin$ /del

  以上批处理内容大家可以根据自己需要修改。（比如有些朋友的分区还有G可以在后面加上一个G的删除共享命令，方法同CDEF分区的删除命令）
  保存为delshare.bat存放到系统所在文件夹下的system32\GroupPolicy\User\Scripts\Logon目录下。（注：Grouplicy是隐藏文件夹，需要大家开启显示隐藏文件功能才能开启，后面有个文件夹需要大家自行创建，文件夹的名字同我上说的目录名）

然后在开始菜单→运行中输gpedit.msc，回车即可打开组策略编辑器。
点击用户配置→Window设置→脚本(登录/注销)→登录，在出现的“登录 属性”窗口中单击“添加”，会出现“添加脚本”对话框，
  在该窗口的“脚本名”栏中输入delshare.bat，然后单击“确定”按钮即可。
  这样就可以通过组策略编辑器使系统开机即执行脚本删除系统默认的共享。

此种设置实际是通过CMD命令来自动运行，当你设置好以后重启，你会发现你的HIPS无任何提示这个程序随机自启动（这点很危险哦，很多泄密软件就是这么运行的）但是ZA会给你提示，是否允许允许次命令文件。

ZA防火墙还是很强大的，只是在很多时候大家误解了这个防火墙，认为过于简单化，防御能力肯定不行。其实那是一种误解，作为一个成熟的商业品牌产品，在防御方面做的真的是很完美的，ZA的最大缺陷就是占用资源稍微严重。

大家也可以通过我上面说的那种方法测试其它的防火墙，很多防火墙都会被直接过，这就证明了防火墙不但要防外入内，还要很好的防御内出外，双向防御才是一个好的防火墙。

很好 很详细

这个装服务器上不会慢S吧？

同问

很好很强大