Win XP系统网络防火墙配置

　　Internet连接防火墙（ICF，Internet Connection Firewall）为系统的对外连接提供了基本保护，它使用了全状态数据包检测（stateful packet inspection）技术阻挡外部的数据包到达客户端，除非是客户端主动请求的。按照默认设置，其他所有的数据包都会被丢弃。

　　本章将针对ICF的安全设置作个大致说明。

　　建议的用途

　　ICF还不足以胜任整个网络的安全保卫任务，ICF不适合运行在那些已经处于严密保护的网络中的计算机上或者运行了某些网络服务的计算机上，网络服务通常包括：文件和打印共享，Web服务以及FTP服务等。在那些情况下，为了提供自定义级别的保护，需要使用更专业的防火墙。

　　还有一些情况下在客户端计算机上使用ICF防火墙也不能提供额外的保护，这通常发生在计算机直接连接到Internet或者外部网络的情况下。使用DSL或者Cable调制解调器，或者因为移动经常要连接到不同网络中的便携式计算机可以从ICF得到最多保护。

　　特性

　　ICF使用三种方式保护计算机：全状态数据包监测、端口扫描保护还有安全日志。下面将对这三种方式分别说明。

　　全状态数据包监测

　　ICF使用的全状态数据包监测技术会把所有由本机发起的网络连接生成一张表，并用这张表跟所有的入站数据包作对比，如果入站的数据包是为了响应本机的请求，那么就被允许进入。除非有实施专门的过滤器以允许特定的非主动请求数据包，否则所有其他数据包都会被阻挡。

　　端口扫描保护

　　当使用默认的配置，计算机对大部分的端口扫描器都是不可见的。如果配置被改变以允许特定的连接，那么只要后在高级设置中被设置的端口才会打开，并被扫描到。

　　大部分端口扫描软件都会再扫描前进行ICMP ping测试以验证目标是否存在，默认情况下，ping命令和会被忽略掉，并且在受ICF保护的计算机上，即使某些端口是开放的，在被扫描时这些端口仍然不会做出回应。

　　安全日制

　　ICF可以被配置为记录下所有的连接企图，你可以选择记录成功的连接，或者记录丢掉的数据包，或者两者都记录。不过日志智能记录这些内容，其他信息都无法被记录。

　　尚未提供的功能

　　ICF仅仅提供了入站数据包过滤功能，你无法用它来限制从本地传出的数据类型，这同时意味着ICF无法限制本机的主动连接。

　　ICF的设置仅能控制局域网外部计算机到本机的网络连接，但无法对谁可以访问哪些服务进行限制。这样你就不能对某台特定的计算机、用户或者网络的访问进行控制。如果开启了某些服务，它将允许所有人访问这些服务；如果没有开启服务，则所有连接都将被拒绝。然而，你可以使用IP过滤的方法对所有入站和出站的连接进行控制。

　　启用ICF

　　在启用ICF前必须做到：

　　具有管理员特权

　　ICF必须没有在组策略中被禁用

　　警告：使用默认设置启用ICF防火墙会禁用文件和打印共享的能力，ICF同样会禁用浏览网络邻居的能力，请查阅微软知识库文章Q298804获得详细内容：

　　如果你有多个网卡并且想在每个网卡上启用ICF，那么你必须在每个网卡上启用和设置。如果你使用网络任务面板中或者创建网络连接向导中的家庭和小型办公室网络安装向导，防火墙就已经默认打开了。该向导会根据向导中设置的不同使用以下两种ICF的工作模式：

　　这台计算机直接或通过网络集线器连接到Internet。我的网络上的其它计算机业通过这个方式连接到Internet。

　　这台计算机直接连接到Internet。我还没有网络。

　　如果网卡是通过其他任何方式设置的，或者ICF没有被启用，还可以通过以下方法启用：

　　控制面板 – 网络

　　在网络连接图标上点击鼠标右键，从弹出菜单中选择属性

　　点击高级选项卡

　　选中通过限制或组织来自Internet的对此计算机的访问来保护我的计算机和网络。见图14，这将使用默认配置启用ICF