内置于win xp的防火墙ICF应用

　　ICF是"Internet Connection Firewall"的简称，也就是因特网连接防火墙。ICF建立在你的电脑与因特网之间，它可以让你请求的数据通过、而阻碍你没有请求的数据包，是一个基于包的防火墙。所以，ICF的第一个功能就是不响应Ping命令，而且，ICF还禁止外部程序对本机进行端口扫描，抛弃所有没有请求的IP包。 　　

　　个人电脑同服务器不一样，一般不会提供诸如Ftp、Telnet、POP3等服务，这样可以被黑客们利用的系统漏洞就很少。所以，ICF可以在一定的程度上很好地保护我们的个人电脑。 　　

　　ICF是状态防火墙，可监视通过的所有通讯，并且检查所处理的每个消息的源和目标地址。为了防止未经请求的通信进入系统端口，ICF保留了所有源自本地计算机的通讯表。在单独的计算机中，ICF将跟踪源自本地计算机的通信，所有Internet传入通信都会针对于该表中的各项进行比较。只有当通讯表中有匹配项时(这说明通讯交换是从计算机或专用网络内部开始的)，才允许将传入Internet通信传送给网络中的计算机。 　　

　　源自外部ICF计算机(也就是入侵计算机)的通讯(如Internet非法访问)将被防火墙阻止，除非在"服务"选项卡上设置允许该通讯通过。ICF不会向你发送活动通知，而是静态地阻止未经请求的通讯，防止像端口扫描这样的常见黑客袭击。 　　

　　ICF的原理是通过保存一个通讯表格，记录所有自本机发出的目的IP地址、端口、服务以及其他一┦堇创锏奖；け净哪康摹?当一个IP数据包进入本机时，ICF会检查这个表格，看到达的这个IP数据包是不是本机所请求的，如果是就让它通过，如果在那个表格中没有找到相应的记录就抛弃这个IP数据包。下面的例子可以很好地说明这个原理。当用户使用Outlook Express来收发电子邮件的时侯，本地个人机发出一个IP请求到POP3邮件服务器。ICF会记录这个目的IP地址、端口。当一个IP数据包到达本机的时候，ICF首先会进行审核，通过查找事先记录的数据可以确定这个IP数据包是来自我们请求的目的地址和端口，于是这个数据包获得通过。来看一下当使用Outlook Express客户端邮件程序和邮件服务器时的情况。一旦有新的邮件到达邮件服务器时，邮件服务器会自动发一个IP数据包到Outlook客户机来通知有新的邮件到达。这种通知是通过RPC Call来实现的。当邮件服务器的IP数据包到达客户机时，客户机的ICF程序就会对这个IP包进行审核发现本机的Outlook express客户端软件曾发出过对这个地址和端口发出IP请求，所以这个IP包就会被接受，客户机当然就会收到发自邮件服务器的新邮件通知。然后让Outlook Express去接收邮件服务器上的新邮件。 　　

　　设置ICF 　　

　　1、启用或禁用Internet连接防火墙 　　

　　打开"控制面板"中的"网络连接" 　　

　　单击要保护的拨号、本地连接或其它Internet连接，然后在"网络任务"→"更改该连接的设置"→"高级"→"Internet 连接防火墙"下，选中如图所示的项目：

　　若要启用Internet连接防火墙，选中"通过限制或阻止来自Internet的对此计算机的访问来保护我的计算机和网络"复选框。若要禁用Internet连接防火墙，清除该复选框。 　　

　　网络服务 　　

　　还是上面的"高级"选项卡，点击下方的"设置"项，如下图：

　　已经有选中的项目表示网络用户能够存取的服务，如：messenger，远程桌面，FTP，Telnet等。　　
　　对于一些常见的网络服务，如POP3，SMTP、HTTP等，系统会在需要的时候开放。 　　

　　如果我们要设置一个新的服务项目，以常见的messenger文件传输为例，因为许多朋友都会在这方面遇到问题，实际上在HELP中写的明白。 　　

　　messenger的文件传输采用TCP6891-6900端口，可以在xp的防火墙设置里面增加TCP6891号端口，文件就可以顺利发送了。文件传输的进程，一般情况下我们添加一个就行了。 　　

　　添加方法见图： 　　

　　按要求依次写入"描述"，"本机的IP地址"，使用的端口号(6891)，然后确定即可。

　　安全日志 　　

　　生成安全日志时使用的格式是W3C扩展日志文件格式，这与在常用日志分析工具中使用的格式类似。

　　打开"网络连接"，单击要在其上启用Internet连接防火墙(ICF)的连接，然后在"网络任务"→"更改该连接的设置"→"高级"→"设置"→"安全日志记录"→"记录选项"下，选择下面的一项或两项：

　　若要启用对不成功的入站连接尝试的记录，请选中"记录丢弃的数据包"复选框，否则禁用。

　　2、更改安全日志文件的路径和文件名 　　

　　打开"网络连接"，选择要在其上启用Internet连接防火墙的连接，然后在"网络任务"→"更改该连接的设置"→"高级"→"设置"→"安全日志记录"→"日志文件选项"→"浏览"中，浏览要放置日志文件的位置。 　　

　　在"文件名"中，键入新的日志文件名，然后单击"打开"。打开后可查看其内容。 　　

　　还可以设置安全日志文件的大小，打开已启用Internet连接防火墙的连接，然后在"网络任务"→"更改该连接的设置"→"高级"→"设置"→"安全日志记录"→"日志文件选项"→"大小限制"中，使用箭头按钮调整大小限制。笔者认为，一般512K足够了。 　　
　　如果你在更改设置后有问题，可以还原默认的安全日志设置。打开启用Internet连接防火墙的连接，然后点击"网络任务"→"更改该连接的设置"→"高级"→"设置"→"安全日志记录"→"还原默认值"。

　　记录成功的连接--这将登录来源于家庭、小型办公网络或Internet的所有成功的连接。 　　

　　当你选择"登录成功的外传连接"复选框时，将收集每个成功通过防火墙的连接信息。例如，当网络上的任何人使用Internet Explorer成功实现与某个网站的连接时，日志中将生成一条项目。 　　

　　记录放弃的数据包--这将登录来源于家庭、小型办公网络或Internet的所有放弃的数据包。

　　当你选择"登录放弃的数据包"复选框时，每次通信尝试通过防火墙却被检测和拒绝的信息都被ICF收集。例如，如果你的Internet控制消息协议没有设置成允许传入的回显请求，如Ping和Tracert命令发出的请求，则将接收到来自网络外的回显请求，回显请求将被放弃，然后日志中将生成一条项目。

　　Internet控制消息协议(ICMP)

　　"网络消息协议(ICMP)"是所需的TCP/IP标准，通过ICMP，使用IP通讯的主机和路由器可以报告错误并交换受限控制和状态信息。 　　

　　在下列情况中，通常自动发送ICM消息：　　

　　IP数据报无法访问目标。 　　

　　IP路由器(网关)无法按当前的传输速率转发数据报。 　　

　　IP路由器将发送主机重定向为使用更好的到达目标的路由。应用Internet控制消息协议：　　

　　打开"网络连接"。 单击已启用Internet连接防火墙的连接，在"网络任务"→"更改该连接的设置"→单击"高级"→"设置"→"ICMP"选项卡上，选中希望你的计算机响应的请求信息类型旁边的复选框。
　　
　　ICF的局限性

　　那么，ICF不能做什么？ICF可不可以完全替代现有的个人防火墙产品？ICF是通过记录本机的IP请求来确定外来的IP数据包是不是"合法"，这当然不可以用在服务器上。为什么呢？服务器上的IP数据包基本上都不是由服务器先发出，所以ICF这种方法根本就不可以对服务器的安全提供保护。当然你也可以通过相应的设置让ICF忽略所有发向某一端口的数据包，例如80端口。那么发向80端口的所有数据包都不会被ICF抛弃。从这种意义上讲80端口就成为不设防的端口。这样的防火墙产品是不可能用在应用服务器上的，服务器上的防火墙产品都是基于建立各种策略来审核外来的IP数据包。ICF和基于应用程序的个人防火墙产品也是不一样的。基于应用程序的个人防火墙会记录每一个访问Internet的程序，例如，通过设置可以让IE有权来访问Internet而Netscape的Navigator没有权限来访问Internet，即便两个程序的目的IP地址和端口都是一样的。Norton的个人防火墙(Personal Firewall)就是这样一个典型的产品。简而言之，ICF没法提供基于应用程序的保护，也没法建立基于IP包的包审核策略。所以，ICF既不能完全替代现有的个人防火墙产品，也没有办法很好地工作在应用服务器上。 　　

　　笔者认为，Norton的个人防火墙和Zonealarm Pro可以提供较全方面的保护，但设置较为复杂。ICF并不能提供完全无懈可击的防护，但是ICF对个人电脑提供防护是足够的。在使用一些系统安全软件对装有ICF的个人电脑进行端口扫描后，常会给出了"系统安全"的评价。况且，ICF是Windows XP内建的功能，占用的资源相当少且不用花额外的钱去购买。从ICF受益最多的应该是那些仍然在使用Modem上网的朋友，在国内绝大部分的用户都是用Modem上网的。首先，你上网的时间不会太长，一般在几小时上下(包月的除外)。其次，每次建立连接后拨号服务器都会分配一个新的IP地址(动态地址分配)给你，长时间占用一个相同的IP的可能性应该很低。比起使用ADSL和其它宽带的用户来讲，用Modem上网本身就安全了很多。 　　

　　注意事项 　　

　　ICF和家庭或小型办公室通讯--不应该在所有没有直接连接到Internet的连接上启用Internet连接防火墙，也就是最好不要在局域网中使用。如果在ICF客户计算机的网络适配器上启用防火墙，则它将干扰该计算机和网络上的其他计算机之间的一些通讯。如果网络已经具有互联网防火墙或代理服务器，则不需要Internet连接防火墙，你应该关闭它。 　　

　　所以，使用一个重量级的防火墙实在是没有太多的意义。而ICF则刚刚好，它既提供了一定的保护，而且又不太占用资源，不错的，是"又经济，又实惠"。