全面解读Windows XP sp2 防火墙（5）

　　 
　　全面解读Windows XP sp2 防火墙
    字段、说明、示例

Date －显示记录的事务发生时的年、月和日。日期的记录格式为 YYYY-MM-DD，其中 YYYY 表示年，MM 表示月，DD 表示天。2001-01-27

Time －显示记录的事务发生时的小时、分钟和秒。时间的记录格式为：HH:MM:SS，其中 HH 是以 24 小时格式表示的小时，MM 表示分钟数，SS 表示秒数。21:36:59

Action －指示防火墙观察到的×作。防火墙的可用选项有 OPEN、CLOSE、DROP 和
INFO-EVENTS-LOST。INFO-EVENTS-LOST ×作指示已发生但未记录在日志中的事件数。OPEN

Protocol －显示通信时所使用的协议。协议条目也可以是一个数字，用来表示不使用 TCP、UDP 或 ICMP 的数据包。TCP

src-ip －显示源 IP 地址，即尝试建立通信的计算机的 IP 地址。192.168.0.1

dst-ip －显示通信尝试的目标 IP 地址。192.168.0.1

src-port －显示发送计算机的源端口号。src-port 条目以 1 到 65,535 之间的整数形式记录。只有 TCP 和 UDP 会显示有效的 src-port 条目。所有其他协议的 src-port 条目均显示为“-”。4039

dst-port －显示目标计算机的端口号。dst-port 条目以 1 到 65,535 之间的整数形式记录。只有 TCP 和 UDP 会显示有效的 dst-port 条目。所有其他协议的 dst-port 条目均显示为“-”。53

size －显示以字节表示的数据包大小。60

tcpflags －显示 IP 数据包 TCP 报头中的 TCP 控制标志： Ack：确认字段有效 Fin：没有来自发送方的其他数据 PSH：推入功能 Rst：重置连接 Syn：同步序列号 Urg：紧急指针字段有效标志均采用大写字母形式。AFP

tcpsyn －显示数据包中的 TCP 序列号。1315819770

tcpack －显示数据包中的 TCP 确认号。0

tcpwin －显示数据包中用字节表示的 TCP 窗口大小。64240

icmptype －显示一个数字，表示 ICMP 消息的“类型”字段。8

icmpcode －显示一个数字，表示 ICMP 消息的“代码”字段。0

info －显示一个信息条目，具体取决于执行的×作类型。例如，INFO-EVENTS-LOST ×作为以下事件个数创建一个条目：从该事件类型最后一次发生后发生但未记录到日志中的事件。23
　　 注意：连字符 (-) 用于其中没有条目信息的字段。

　　 十、谁关闭了防火墙

　　 大多数第三方防火墙软件提供商如Zone Labs、McAfee和Symantec公司都将在近期提供和SP2兼容的新版本防火墙软件。这些新版软件在安装的时候会自动禁用Windows防火墙，而在卸载时又会自动启用Windows防火墙。第三方厂商通过调用Windows Firewall API来实现这一功能。然而，既然防火墙软件可以这么做，其他病毒或木马等恶意代码就同样也可以。病毒或木马可以修改Windows防火墙程序，甚至干脆关闭它。而Zone Labs公司声明，他们采取了一些锁定技术来保证他们的防火墙软件不会被其他第三方软件关闭，除非你将整个防火墙卸载掉。

　　 以下命令显示防火墙状态和配置信息

　　 Netsh firewall show state
　　 Netsh firewall show config

　　 另外，如果防火墙被关闭，安全中心会显示安全警告！

　　 总结

　　 总的来看，相对于以前的Windows自带的防火墙SP2的防火墙拥有更高的防范性能，几乎拥有了其它个人防火墙的优点，所以Win XP SP2的防火墙是值得一试的，特别是针对个人用户而言。（完）

原文转自：http://www.ltesting.net