Internet 連接防火牆是充當網絡與外部世界之間的保衛邊界的安全系統
Internet 連接防火牆 (ICF)是用來限制哪些信息可以從你的電腦訪問 Internet 以及從 Internet 進入您電腦的一種軟件
如果你的電腦使用 Internet 連接共享 (ICS) 來為多台計算機提供 Internet 訪問能力
最好在共享的Internet 連接中啟用 ICF
當然
ICS 和 ICF 都可以單獨啟用
如果你的電腦是直接連接到 Internet
也建議你在這個 Internet 連接上啟用 ICF
要查看是否啟用了 ICF 或者是否要啟用防火牆
請參閱圖
xp中的ICF設置不像其他的防火牆一樣是基於程序的
所以看起來不是很直觀
ICF的設置都是基於端口的
所以效率更高
但是我們在設置防火牆的時候需要對程序占用的端口有詳細的了解
下面的內容我們會用實際的例子來說明
ICF 本質上是狀態防火牆
狀態防火牆可以用來監視所有通訊端口
並且檢查所處理的每個消息的源和目標地址
默認的情況下
ICF不允許所有來自外部網絡的未經請求的通信進入本機
所有從 Internet 進入通信都會接受ICF的檢查並和自己的設置相比較
只有本機發出的信息的反饋消息才能進入我的電腦
原自外部 的消息默認情況是不允許進入本機的
這也解釋了為什麼開啟ICF後從我的電腦可以ping通別人的電腦
但是外部的電腦不能我的主機
(除非在
服務
選項卡上建立了允許該通訊通過的條目)
默認情況下
ICF 的處理過程不會反饋給使用者
而是靜態地阻止未經請求的通訊
防止像端口掃描這樣的常見黑客襲擊
因為如果反饋這種通知消息的話會過於頻繁以至於成為一種干擾
就像我們常見的天網或者norton一樣
時不時出來一個消息框告訴你檢測的進程
筆者就認為這種提示對我的工作干擾很大
而且有一種請功的心態
這是我最討厭的
最後一點
xp中自帶的ICF 一樣可以創建安全日志
通過查看安全日志我們一樣清楚被防火牆跟蹤的各種活動
以及被防火牆攔截的各種信息
同時還可以設置跟蹤記錄的文件的最大值
以防無限占用硬盤空間接下來我們用實際的例子來說明ICF的配置
xp自帶的ICF的配置和實例 在撥號上網的圖標上鼠標右鍵選屬性
打開高級選項
勾選
以啟用ICF
再點擊
開始設置ICF
如圖
如圖
在服務欄裡面有xp自帶的一些服務
可以勾選你想要的服務
如果覺得這些自帶的服務不夠或者不理想
可以按下面的添加
手工添加你自定義的服務
再看第二項-安全日志
方框
裡面的設置可以記錄防火牆的跟蹤記錄
包擴丟棄和成功的所有事項
所指的地方可以更改記錄文件存放的目錄
指的地方可以修改記錄文件的大小
避免過渡占用空間
可以依自己的需要設置
要注意的是
xp默認的選項是不記錄任何攔截或成功的事項
同時記錄文件的大小默認是
M
再看下一個選項ICMP
ICMP的全稱是internet control messenge protocal
internet控制信息協議
所 有支持tcp/ip的網絡都必須支持ICMP
我們通過ICMP的反饋信息來確定網絡的狀態
比如網絡通不通
是 否有擁塞等等
實際例子中
比如我們ping一個ip地址
就是ICMP把ping的結果返回給ping命令的發送著
從而讓發送著知道網絡的狀態
ICMP是一個非常好且有用的協議
但是如果不加以限制的話
會造成很大的不便
比如你通過adsl上網
假設你的帶寬是
M
如果同時有許多人用小數據包ping你
因為你的電腦要給所有ping你的人答復
這樣 就造成了你帶寬的浪費
如果ping你的人數達到一定的數量
則你的網絡帶寬完全被用來做答復別人的回 應
從而是你正常的通訊無法進行
實際上ICMP反饋只是讓我們了解網絡的狀態
並不影響正常的通訊
所以我們可以關閉它
這樣的話別人 不能ping通我的電腦
但是可以和我進行正常的數據交流
上面的例子是用ping來解說ICMP的功能
實際上ICMP的作用很多的
我們可以打開或關閉某些
如圖
當我們選定鼠標所指的選項時
下方會出來相應的描述信息
我們可以安裝我們的要求進行配置
注意的 是默認情況下所有的ICMP都沒有打開
接下來的過程讓我們配置一個實例 大家都知道
在使用msn messenger的時候
有一項功能是文件傳輸
但是文件傳輸經常不能成功
其中的機制就是msn的文件傳輸采用了特殊的端口
而一般的防火牆是關閉這個端口的
包括xp的防火牆也一 樣
如果通話雙方要進行文件傳輸
多數網友都是直接關閉防火牆
傳送完畢以後再打開
相信大多數的網友 都遇到過類似的問題
這是因為一般的防火牆軟件比如天網和norton都是基於程序的
(當然也能基於端 口
但是配置不直觀)
xp自帶的防火牆恰恰是基於端口的
因此非常方便
舉個例子
如果我們想禁止本機的ftp服務
用基於程序的防火牆來禁止的話
只要你安裝的ftp程序一連 接到互聯網
防火牆就跳出來報警
你就要配置一次
如果你安裝了
個ftp的程序
防火牆就會跳出了
次報警
你就要配置
次
我不知道實際工作的時候有多少人會仔細的看報警的內容並仔細配置
反正我看到的朋友都是一有報警的對話框
就一路回車下去
這樣配置等於沒有安裝防火牆
(我不否認部分朋友確實有耐心仔細配置
但是這樣的話你累不累?)
如果我們采用了xp的ICF
它是基於端口的
不管你用什麼樣的程序去做ftp服務
你必須要采用
號端口
我們只要禁止
號端口就行了
而且xp自帶的ICF默認是不顯示攔截或通過的信息的
這樣我們的工作就不會收到任何的干擾
但是防火牆卻實實在在地在工作
通過查找msn messenger的幫助
我們發現msn用來傳送文件的端口是
-
一共
個端口
也就是允許同時傳送最多
個文件
xp自帶的ICF默認是關閉
-
這
個端口的
為了使msn的文件傳輸功能正常進行
我們必須打開它
(當然
如果我們使用msn messenger同時傳送的文件只有一個
那打開一個端口就行了)
下面是實際的操作過程 先打開你的上網連接的屬性
高級
啟用ICF
並點選設置進行設置
在服務選項裡面
我們沒有看到關於msn messenger文件傳送的現成的可以使用的服務
所以我們手工創建一個
點下面的添加按鈕
在
處輸入你要創建的規則的名稱
在
處輸入你的網卡的ip地址
在
和
處輸入你想要打開的端口號
msn messenger占用的是
-
我們隨便輸入其中的一個
在
處選擇TCP而不是UDP
因為msn的文件傳輸屬於可靠的服務(TCP)
UDP指的是不可靠的服務
(TCP和UDP的概念如果大家感興趣下次再詳細說說)
選擇完成以後
按確定
新的規則已經創建
如圖
有必要的話可以按下面的編輯對這條創建好的規則 進行修改
當然
這條規則要生效的話
不要忘記在前面打勾
)
現在再打開你的msn messenger
試試文件傳輸是不是已經很好用了
)
ICF不但可以用於防止internet的非法入侵
在局域網上同樣有效
但是有一點一定要注意
如果你的機器是代理服務器
局域網的別的機器是通過你的電腦上網的
那千萬不要在你的局域網上打開ICF
否則你所在的局域網內的其他用戶不能通過你上網
From:http://tw.wingwit.com/Article/os/xtgl/201311/9447.html
