解读Windows XP SP2防火墙(2)

    比如接入网络游戏联众世界的时候，本地计算机请求连接远程服务器，这时，个人防火墙立即提示是否允许此连接通过，而Windows 防火墙对这个主动出站请求不做任何处理，也不做任何提示，好像防火墙不存在似的，所以如果入侵已经发生或间谍软件已经安装，并主动连接到外部网络，那么防火墙束手无策；如果Windows 间谍软件开放端口等待外部请求连接，那么Windows 防火墙立刻阻断连接并弹出安全警告。但这不表示Windows防火墙不安全，因为攻击多来自外部，而且如果间谍软件开放端口等待外部连接的时候， Windows防火墙立即阻断连接，并且作出提示，关于这一点在下面的文章中还会提到。

　　对来自外部的请求连接的控制，Windows防火墙和个人防火墙在功能上区别不大。而且Windows防火墙有其独特的特性，包括：计算机的所有连接默认启用ICF、人性化的屏蔽模式－充分考虑到了计算机使用环境的变化和及时阻断攻击和恢复正常使用的情况、智能应用程序异常流量管理、对于 IPv6 ICF 内建支持等功能。比如在启动安全性功能上，有一个可以执行状态数据包过滤的启动策略。该策略允许计算机使用动态主机配置协议（Dynamic Host Configuration Protocol，DHCP）和域名系统（Domain Name System，DNS）执行基本网络启动任务，并与域控制器进行通信，以更新组策略。避免计算机在网络上进入活动状态的时间与 ICF 开始保护连接的时间之间的延迟中被未经请求的流量在启动期间攻击计算机留下了可乘之机。

　　遗憾的是Windows防火墙并不提供报警和入侵检测。虽然Windows防火墙可以防止对系统的入侵。而且，其他的一些个人防火墙产品还有更好的诊断和报告功能（Windows防火墙没有报告功能，仅仅有个日志）。所以，当选择使用哪个防火墙产品时，你应该考虑这些因素。如果你选择Windows防火墙，你应该确定自己明白它的有限的能力，虽然Windows 防火墙对个人用户而言已经不在是鸡肋。

　　二、Windows XP SP2防火墙工作原理

　　Windows 防火墙使用的全状态数据包监测技术会把所有由本机发起的网络连接生成一张表，并用这张表跟所有的入站数据包作对比，如果入站的数据包是为了响应本机的请求，那么就被允许进入。除非有实施专门的过滤器以允许特定的非主动请求数据包，否则所有其他数据包都会被阻挡。