Windows XP和2003防火墙(ICF)设置指南

Internet 连接防火墙是充当网络与外部世界之间的保卫边界的安全系统。Internet 连接防火墙 (ICF)是用来限制哪些信息可以从你的电脑访问 Internet 以及从 Internet 进入您电脑的一种软件。  
  
如果你的电脑使用 Internet 连接共享 (ICS) 来为多台计算机提供 Internet 访问能力，最好在共享的Internet 连接中启用 ICF。当然，ICS 和 ICF 都可以单独启用。如果你的电脑是直接连接到 Internet ，也建议你在这个 Internet 连接上启用 ICF。要查看是否启用了 ICF 或者是否要启用防火墙，请参阅
  
图1。  
  
xp中的ICF设置不像其他的防火墙一样是基于程序的，所以看起来不是很直观。ICF的设置都是基于端口的 ，所以效率更高，但是我们在设置防火墙的时候需要对程序占用的端口有详细的了解，下面的内容我们会用实际的例子来说明。


javascript:if(this.width>screen.width-333) this.width=screen.width-333" border=0>

ICF 本质上是状态防火墙。状态防火墙可以用来监视所有通讯端口，并且检查所处理的每个消息的源和目标地址。  
  
默认的情况下，ICF不允许所有来自外部网络的未经请求的通信进入本机。所有从 Internet 进入通信都会接受ICF的检查并和自己的设置相比较。只有本机发出的信息的反馈消息才能进入我的电脑，原自外部 的消息默认情况是不允许进入本机的，这也解释了为什么开启ICF后从我的电脑可以ping通别人的电脑，但是外部的电脑不能我的主机。 （除非在“服务”选项卡上建立了允许该通讯通过的条目）。  
  
默认情况下，ICF 的处理过程不会反馈给使用者，而是静态地阻止未经请求的通讯，防止像端口扫描这样的常见黑客袭击。因为如果反馈这种通知消息的话会过于频繁以至于成为一种干扰，就像我们常见的天网或者norton一样，时不时出来一个消息框告诉你检测的进程。笔者就认为这种提示对我的工作干扰很大，而且有一种请功的心态，这是我最讨厌的。  
  
最后一点，xp中自带的ICF 一样可以创建安全日志，通过查看安全日志我们一样清楚被防火墙跟踪的各种活动，以及被防火墙拦截的各种信息，同时还可以设置跟踪记录的文件的最大值，以防无限占用硬盘空间接下来我们用实际的例子来说明ICF的配置。

xp自带的ICF的配置和实例  
  
在拨号上网的图标上鼠标右键选属性，打开高级选项，勾选1以启用ICF，再点击2，开始设置ICF，如图：




如图3，在服务栏里面有xp自带的一些服务，可以勾选你想要的服务。如果觉得这些自带的服务不够或者不理想，可以按下面的添加，手工添加你自定义的服务。




再看第二项－安全日志，方框1里面的设置可以记录防火墙的跟踪记录，包扩丢弃和成功的所有事项，2所指的地方可以更改记录文件存放的目录，3指的地方可以修改记录文件的大小，避免过渡占用空间。可以依自己的需要设置。  
  
要注意的是，xp默认的选项是不记录任何拦截或成功的事项，同时记录文件的大小默认是4M




再看下一个选项ICMP，ICMP的全称是internet control messenge protocal，internet控制信息协议，所 有支持tcp/ip的网络都必须支持ICMP。我们通过ICMP的反馈信息来确定网络的状态，比如网络通不通，是 否有拥塞等等。实际例子中，比如我们ping一个ip地址，就是ICMP把ping的结果返回给ping命令的发送着，从而让发送着知道网络的状态。  
  
ICMP是一个非常好且有用的协议，但是如果不加以限制的话，会造成很大的不便。比如你通过adsl上网， 假设你的带宽是2M，如果同时有许多人用小数据包ping你，因为你的电脑要给所有ping你的人答复，这样 就造成了你带宽的浪费。如果ping你的人数达到一定的数量，则你的网络带宽完全被用来做答复别人的回 应，从而是你正常的通讯无法进行。  
  
实际上ICMP反馈只是让我们了解网络的状态，并不影响正常的通讯，所以我们可以关闭它。这样的话别人 不能ping通我的电脑，但是可以和我进行正常的数据交流。  
  
上面的例子是用ping来解说ICMP的功能，实际上ICMP的作用很多的，我们可以打开或关闭某些。如图5，当我们选定鼠标所指的选项时，下方会出来相应的描述信息，我们可以安装我们的要求进行配置。注意的 是默认情况下所有的ICMP都没有打开。




接下来的过程让我们配置一个实例。  
  
大家都知道，在使用msn messenger的时候，有一项功能是文件传输。但是文件传输经常不能成功，其中的机制就是msn的文件传输采用了特殊的端口，而一般的防火墙是关闭这个端口的，包括xp的防火墙也一 样。  
  
如果通话双方要进行文件传输，多数网友都是直接关闭防火墙，传送完毕以后再打开，相信大多数的网友 都遇到过类似的问题。这是因为一般的防火墙软件比如天网和norton都是基于程序的。（当然也能基于端 口，但是配置不直观）。xp自带的防火墙恰恰是基于端口的，因此非常方便。  
  
举个例子，如果我们想禁止本机的ftp服务，用基于程序的防火墙来禁止的话，只要你安装的ftp程序一连 接到互联网，防火墙就跳出来报警，你就要配置一次。如果你安装了100个ftp的程序，防火墙就会跳出了100次报警，你就要配置100次。我不知道实际工作的时候有多少人会仔细的看报警的内容并仔细配置，反正我看到的朋友都是一有报警的对话框，就一路回车下去，这样配置等于没有安装防火墙。（我不否认部分朋友确实有耐心仔细配置，但是这样的话你累不累？）  
  
如果我们采用了xp的ICF，它是基于端口的，不管你用什么样的程序去做ftp服务，你必须要采用21号端口 ，我们只要禁止21号端口就行了。而且xp自带的ICF默认是不显示拦截或通过的信息的，这样我们的工作就不会收到任何的干扰，但是防火墙却实实在在地在工作。  
  
通过查找msn messenger的帮助，我们发现msn用来传送文件的端口是6891－6900一共10个端口，也就是允许同时传送最多10个文件。xp自带的ICF默认是关闭6891－6900这10个端口的，为了使msn的文件传输功能正常进行，我们必须打开它。（当然，如果我们使用msn messenger同时传送的文件只有一个，那打开一个端口就行了）。  
  
下面是实际的操作过程。

先打开你的上网连接的属性，高级，启用ICF，并点选设置进行设置。在服务选项里面，我们没有看到关于msn messenger文件传送的现成的可以使用的服务，所以我们手工创建一个，点下面的添加按钮：  
在1处输入你要创建的规则的名称  
在2处输入你的网卡的ip地址  
在3和4处输入你想要打开的端口号，msn messenger占用的是6891－6900，我们随便输入其中的一个  
在5处选择TCP而不是UDP，因为msn的文件传输属于可靠的服务（TCP），UDP指的是不可靠的服务。（TCP
  
和UDP的概念如果大家感兴趣下次再详细说说）




选择完成以后，按确定，新的规则已经创建，如图7，有必要的话可以按下面的编辑对这条创建好的规则 进行修改。  
  
当然，这条规则要生效的话，不要忘记在前面打勾：）  
  
现在再打开你的msn messenger，试试文件传输是不是已经很好用了：）




ICF不但可以用于防止internet的非法入侵，在局域网上同样有效。但是有一点一定要注意：  
如果你的机器是代理服务器，局域网的别的机器是通过你的电脑上网的，那千万不要在你的局域网上打开ICF，否则你所在的局域网内的其他用户不能通过你上网