Windows XP和2003防火墙(ICF)设置指南

【 tulaoshi.com - 防火墙的作用 】

Internet 连接防火墙是充当网络与外部世界之间的保卫边界的安全系统。Internet 连接防火墙 (ICF)是用来限制哪些信息可以从你的电脑访问 Internet 以及从 Internet 进入您电脑的一种软件。  
  
如果你的电脑使用 Internet 连接共享 (ICS) 来为多台计算机提供 Internet 访问能力，最好在共享的Internet 连接中启用 ICF。当然，ICS 和 ICF 都可以单独启用。如果你的电脑是直接连接到 Internet ，也建议你在这个 Internet 连接上启用 ICF。要查看是否启用了 ICF 或者是否要启用防火墙，请参阅
  
图1。  
  
xp中的ICF设置不像其他的防火墙一样是基于程序的，所以看起来不是很直观。ICF的设置都是基于端口的 ，所以效率更高，但是我们在设置防火墙的时候需要对程序占用的端口有详细的了解，下面的内容我们会用实际的例子来说明。




ICF 本质上是状态防火墙。状态防火墙可以用来监视所有通讯端口，并且检查所处理的每个消息的源和目标地址。  
  
默认的情况下，ICF不允许所有来自外部网络的未经请求的通信进入本机。所有从 Internet 进入通信都会接受ICF的检查并和自己的设置相比较。只有本机发出的信息的反馈消息才能进入我的电脑，原自外部 的消息默认情况是不允许进入本机的，这也解释了为什么开启ICF后从我的电脑可以ping通别人的电脑，但是外部的电脑不能我的主机。 （除非在“服务”选项卡上建立了允许该通讯通过的条目）。  
  
默认情况下，ICF 的处理过程不会反馈给使用者，而是静态地阻止未经请求的通讯，防止像端口扫描这样的常见黑客袭击。因为如果反馈这种通知消息的话会过于频繁以至于成为一种干扰，就像我们常见的天网或者norton一样，时不时出来一个消息框告诉你检测的进程。笔者就认为这种提示对我的工作干扰很大，而且有一种请功的心态，这是我最讨厌的。  
  
最后一点，xp中自带的ICF 一样可以创建安全日志，通过查看安全日志我们一样清楚被防火墙跟踪的各种活动，以及被防火墙拦截的各种信息，同时还可以设置跟踪记录的文件的最大值，以防无限占用硬盘空间接下来我们用实际的例子来说明ICF的配置。

xp自带的ICF的配置和实例  
  
在拨号上网的图标上鼠标右键选属性，打开高级选项，勾选1以启用ICF，再点击2，开始设置ICF，如图：




如图3，在服务栏里面有xp自带的一些服务，可以勾选你想要的服务。如果觉得这些自带的服务不够或者不理想，可以按下面的添加，手工添加你自定义的服务。




再看第二项－安全日志，方框1里面的设置可以记录防火墙的跟踪记录，包扩丢弃和成功的所有事项，2所指的地方可以更改记录文件存放的目录，3指的地方可以修改记录文件的大小，避免过渡占用空间。可以依自己的需要设置。  
  
要注意的是，xp默认的选项是不记录任何拦截或成功的事项，同时记录文件的大小默认是4M




再看下一个选项ICMP，ICMP的全称是internet control messenge protocal，internet控制信息协议，所 有支持tcp/ip的网络都必须支持ICMP。我们通过ICMP的反馈信息来确定网络的状态，比如网络通不通，是 否有拥塞等等。实际例子中，比如我们ping一个ip地址，就是ICMP把ping的结果返回给ping命令的发送着，从而让发送着知道网络的状态。  
  
ICMP是一个非常好且有用的协议，但是如果不加以限制的话，会造成很大的不便。比如你通过adsl上网， 假设你的带宽是2M，如果同时有许多人用小数据包ping你，因为你的电脑要给所有ping你的人答复，这样 就造成了你带宽的浪费。如果ping你的人数达到一定的数量，则你的网络带宽完全被用来做答复别人的回 应，从而是你正常的通讯无法进行。  
  
实际上ICMP反馈只是让我们了解网络的状态