Internet 连接防火墙是充当网络与外部世界之间的保卫边界的安全系统Internet 连接防火墙 (ICF)是用来限制哪些信息可以从你的电脑访问 Internet 以及从 Internet 进入您电脑的一种软件
如果你的电脑使用 Internet 连接共享 (ICS) 来为多台计算机提供 Internet 访问能力最好在共享的Internet 连接中启用 ICF当然ICS 和 ICF 都可以单独启用如果你的电脑是直接连接到 Internet 也建议你在这个 Internet 连接上启用 ICF要查看是否启用了 ICF 或者是否要启用防火墙请参阅图
xp中的ICF设置不像其他的防火墙一样是基于程序的所以看起来不是很直观ICF的设置都是基于端口的 所以效率更高但是我们在设置防火墙的时候需要对程序占用的端口有详细的了解下面的内容我们会用实际的例子来说明
ICF 本质上是状态防火墙状态防火墙可以用来监视所有通讯端口并且检查所处理的每个消息的源和目标地址
默认的情况下ICF不允许所有来自外部网络的未经请求的通信进入本机所有从 Internet 进入通信都会接受ICF的检查并和自己的设置相比较只有本机发出的信息的反馈消息才能进入我的电脑原自外部 的消息默认情况是不允许进入本机的这也解释了为什么开启ICF后从我的电脑可以ping通别人的电脑但是外部的电脑不能我的主机 (除非在服务选项卡上建立了允许该通讯通过的条目)
默认情况下ICF 的处理过程不会反馈给使用者而是静态地阻止未经请求的通讯防止像端口扫描这样的常见黑客袭击因为如果反馈这种通知消息的话会过于频繁以至于成为一种干扰就像我们常见的天网或者norton一样时不时出来一个消息框告诉你检测的进程笔者就认为这种提示对我的工作干扰很大而且有一种请功的心态这是我最讨厌的
最后一点xp中自带的ICF 一样可以创建安全日志通过查看安全日志我们一样清楚被防火墙跟蹤的各种活动以及被防火墙拦截的各种信息同时还可以设置跟蹤记录的文件的最大值以防无限占用硬盘空间接下来我们用实际的例子来说明ICF的配置
xp自带的ICF的配置和实例
在拨号上网的图标上鼠标右键选属性打开高级选项勾选以启用ICF再点击开始设置ICF如图
如图在服务栏里面有xp自带的一些服务可以勾选你想要的服务如果觉得这些自带的服务不够或者不理想可以按下面的添加手工添加你自定义的服务
再看第二项-安全日志方框里面的设置可以记录防火墙的跟蹤记录包扩丢弃和成功的所有事项所指的地方可以更改记录文件存放的目录指的地方可以修改记录文件的大小避免过渡占用空间可以依自己的需要设置
要注意的是xp默认的选项是不记录任何拦截或成功的事项同时记录文件的大小默认是M
再看下一个选项ICMPICMP的全称是internet control messenge protocalinternet控制信息协议所 有支持tcp/ip的网络都必须支持ICMP我们通过ICMP的反馈信息来确定网络的状态比如网络通不通是 否有拥塞等等实际例子中比如我们ping一个ip地址就是ICMP把ping的结果返回给ping命令的发送着从而让发送着知道网络的状态
ICMP是一个非常好且有用的协议但是如果不加以限制的话会造成很大的不便比如你通过adsl上网 假设你的带宽是M如果同时有许多人用小数据包ping你因为你的电脑要给所有ping你的人答复这样 就造成了你带宽的浪费如果ping你的人数达到一定的数量则你的网络带宽完全被用来做答复别人的回 应从而是你正常的通讯无法进行
实际上ICMP反馈只是让我们了解网络的状态并不影响正常的通讯所以我们可以关闭它这样的话别人 不能ping通我的电脑但是可以和我进行正常的数据交流
上面的例子是用ping来解说ICMP的功能实际上ICMP的作用很多的我们可以打开或关闭某些如图当我们选定鼠标所指的选项时下方会出来相应的描述信息我们可以安装我们的要求进行配置注意的 是默认情况下所有的ICMP都没有打开
接下来的过程让我们配置一个实例
大家都知道在使用msn messenger的时候有一项功能是文件传输但是文件传输经常不能成功其中的机制就是msn的文件传输采用了特殊的端口而一般的防火墙是关闭这个端口的包括xp的防火墙也一 样
如果通话双方要进行文件传输多数网友都是直接关闭防火墙传送完毕以后再打开相信大多数的网友 都遇到过类似的问题这是因为一般的防火墙软件比如天网和norton都是基于程序的(当然也能基于端 口但是配置不直观)xp自带的防火墙恰恰是基于端口的因此非常方便
举个例子如果我们想禁止本机的ftp服务用基于程序的防火墙来禁止的话只要你安装的ftp程序一连 接到互联网防火墙就跳出来报警你就要配置一次如果你安装了个ftp的程序防火墙就会跳出了次报警你就要配置次我不知道实际工作的时候有多少人会仔细的看报警的内容并仔细配置反正我看到的朋友都是一有报警的对话框就一路回车下去这样配置等于没有安装防火墙(我不否认部分朋友确实有耐心仔细配置但是这样的话你累不累?)
如果我们采用了xp的ICF它是基于端口的不管你用什么样的程序去做ftp服务你必须要采用号端口 我们只要禁止号端口就行了而且xp自带的ICF默认是不显示拦截或通过的信息的这样我们的工作就不会收到任何的干扰但是防火墙却实实在在地在工作
通过查找msn messenger的帮助我们发现msn用来传送文件的端口是-一共个端口也就是允许同时传送最多个文件xp自带的ICF默认是关闭-这个端口的为了使msn的文件传输功能正常进行我们必须打开它(当然如果我们使用msn messenger同时传送的文件只有一个那打开一个端口就行了)
下面是实际的操作过程
先打开你的上网连接的属性高级启用ICF并点选设置进行设置在服务选项里面我们没有看到关于msn messenger文件传送的现成的可以使用的服务所以我们手工创建一个点下面的添加按钮
在处输入你要创建的规则的名称
在处输入你的网卡的ip地址
在和处输入你想要打开的端口号msn messenger占用的是-我们随便输入其中的一个
在处选择TCP而不是UDP因为msn的文件传输属于可靠的服务(TCP)UDP指的是不可靠的服务(TCP和UDP的概念如果大家感兴趣下次再详细说说)
选择完成以后按确定新的规则已经创建如图有必要的话可以按下面的编辑对这条创建好的规则 进行修改
当然这条规则要生效的话不要忘记在前面打勾)
现在再打开你的msn messenger试试文件传输是不是已经很好用了)
ICF不但可以用于防止internet的非法入侵在局域网上同样有效但是有一点一定要注意
如果你的机器是代理服务器局域网的别的机器是通过你的电脑上网的那千万不要在你的局域网上打开ICF否则你所在的局域网内的其他用户不能通过你上网
