雖然眾說紛紜Win XP系統(tǒng)的網(wǎng)絡(luò)安全性也存在BUG，但是我們不能總止步不前吧，總得跟上微軟這艘軟件巨輪的節(jié)奏，那就換吧。但您別說，自從用了XP以后，它的許多功能還真是不錯(cuò)（雖然挺花哨），就拿上網(wǎng)來說吧，Win XP使用了"Internet 連接防火墻"（ICF）充當(dāng)了安全系統(tǒng)，它可以指定什么信息能夠從網(wǎng)絡(luò)上的計(jì)算機(jī)傳輸?shù)?Internet，什么信息可以從 Internet 傳輸?shù)骄W(wǎng)絡(luò)上的計(jì)算機(jī)。您可以對(duì)網(wǎng)絡(luò)中的所有計(jì)算機(jī)啟用"Internet 連接防火墻"，即使計(jì)算機(jī)共享同一個(gè) Internet 連接。

　　一、概述：

　　防火墻是充當(dāng)網(wǎng)絡(luò)與外部世界之間的保衛(wèi)邊界的安全系統(tǒng)。Internet 連接防火墻 (ICF) 是用來限制哪些信息可以從您的家庭或小型辦公網(wǎng)絡(luò)進(jìn)入 Internet 以及從 Internet 進(jìn)入您的家庭或小型辦公網(wǎng)絡(luò)的一種軟件。如果網(wǎng)絡(luò)使用 Internet 連接共享 (ICS) 來為多臺(tái)計(jì)算機(jī)提供 Internet 訪問能力，則應(yīng)該在共享的 Internet 連接中啟用 ICF。但是，ICS 和 ICF 可以單獨(dú)啟用。應(yīng)該在直接連接到 Internet 的任何一臺(tái)計(jì)算機(jī)的 Internet 連接上啟用 ICF。

　　ICF 還能保護(hù)連接到 Internet 的單獨(dú)計(jì)算機(jī)。如果連接到 Internet 的單獨(dú)計(jì)算機(jī)具有電纜調(diào)制解調(diào)器、DSL 調(diào)制解調(diào)器或撥號(hào)調(diào)制解調(diào)器，則 ICF 將保護(hù)此 Internet 連接。應(yīng)該在 VPN 連接 上啟用 ICF，因?yàn)榇诉B接將干擾文件共享和其他 VPN 功能的操作。

　　二、Internet 連接防火墻 (ICF) 如何工作

　　ICF 被視為狀態(tài)防火墻。狀態(tài)防火墻可監(jiān)視通過其路徑的所有通訊方面，并且檢查所處理的每個(gè)消息的源和目標(biāo)地址。為了防止來自連接公用端的未經(jīng)請(qǐng)求的通信進(jìn)入專用端，ICF 保留了所有源自 ICF 計(jì)算機(jī)的通訊表。在單獨(dú)的計(jì)算機(jī)中，ICF 將跟蹤源自該計(jì)算機(jī)的通信。與 ICS 一起使用時(shí)，ICF 將跟蹤所有源自 ICF/ICS 計(jì)算機(jī)的通信和所有源自專用網(wǎng)絡(luò)計(jì)算機(jī)的通信。源自外部源 ICF 計(jì)算機(jī)的通訊（如 Internet）將被防火墻阻止，和"天網(wǎng)"等防火墻軟件不一樣，ICF 不會(huì)向您發(fā)送活動(dòng)通知，而是靜態(tài)地阻止未經(jīng)請(qǐng)求的通訊，防止像端口掃描這樣的常見黑客襲擊。這樣的通知可能過于頻繁以至于成為一種干擾。ICF 可能創(chuàng)建安全日志以查看被防火墻跟蹤的活動(dòng)　　你可以將服務(wù)配置成允許 ICF 計(jì)算機(jī)將來自 Internet 未經(jīng)請(qǐng)求的通信傳遞到專用網(wǎng)絡(luò)。例如，如果您正在主持 HTTP Web 服務(wù)器服務(wù)，而且已啟用了 ICF 計(jì)算機(jī)上的 HTTP 服務(wù)，則未經(jīng)請(qǐng)求的 HTTP 通信將由 ICF 計(jì)算機(jī)轉(zhuǎn)發(fā)至 HTTP Web 服務(wù)器。ICF 需要一組操作信息（稱為服務(wù)定義），才會(huì)允許未經(jīng)請(qǐng)求的 Internet 通信轉(zhuǎn)發(fā)到專用網(wǎng)絡(luò)上的 Web 服務(wù)器。

　　三、Internet 連接防火墻使用注意事項(xiàng)

　　1．ICF 和家庭或小型辦公室通訊

　　不應(yīng)該在所有沒有直接連接到 Internet 的連接上啟用 Internet 連接防火墻 (ICF)。如果在 ICS 客戶計(jì)算機(jī)的網(wǎng)絡(luò)適配器上啟用防火墻，則它將干擾該計(jì)算機(jī)和網(wǎng)絡(luò)上的所有其他計(jì)算機(jī)之間的某些通訊。出于類似的原因，網(wǎng)絡(luò)安裝向?qū)Р辉试S在 ICS 主機(jī)的專用連接（該連接將 ICS 主機(jī)與 ICS 客戶計(jì)算機(jī)連接起來）上啟用 ICF，因?yàn)樵谠撐恢脝⒂梅阑饓?huì)完全禁止網(wǎng)絡(luò)通訊。

　　如果網(wǎng)絡(luò)已經(jīng)具有防火墻或代理服務(wù)器，則不需要 Internet 連接防火墻。

　　如果網(wǎng)絡(luò)只有一個(gè)共享 Internet 連接，則應(yīng)該啟用 Internet 連接防火墻對(duì)其進(jìn)行保護(hù)。各個(gè)客戶計(jì)算機(jī)也可以有適配器（例如撥號(hào)、DSL 調(diào)制解調(diào)器），這些調(diào)制解調(diào)器可提供單獨(dú)的 Internet 連接，但它們不受防火墻的保護(hù)。ICF 只能檢查通過已對(duì)其啟用了該設(shè)置的 Internet 連接的通訊。因?yàn)?ICF 針對(duì)每個(gè)連接工作，所以為了確保能夠保護(hù)整個(gè)網(wǎng)絡(luò)，需要在所有連接 Internet 的計(jì)算機(jī)上啟用它。如果已經(jīng)對(duì) ICS 主機(jī)的 Internet 連接啟用了防火墻，但直接連接 Internet 的客戶端計(jì)算機(jī)沒有使用防火墻進(jìn)行保護(hù)，那么，您的網(wǎng)絡(luò)將因?yàn)榇宋词鼙Ｗo(hù)的連接而存在安全缺陷。

　　允許服務(wù)操作跨越 ICF 的服務(wù)定義也是針對(duì)每個(gè)連接而工作的。如果網(wǎng)絡(luò)有多個(gè)防火墻連接，則必須為每個(gè)希望服務(wù)通過的有防火墻的連接配置服務(wù)定義。

　　2．ICF 和通知消息

　　由于 ICF 檢查所有傳入通訊，而某些程序（尤其是電子郵件程序）可能在啟用 ICF 時(shí)做出不同動(dòng)作。某些電子郵件程序?qū)⒍ㄆ谳喸兤潆娮余]件服務(wù)器以查看是否有新的郵件，而且某些電子郵件程序?qū)⒌却娮余]件服務(wù)器的通知。

　　例如，當(dāng) Outlook Express 的計(jì)時(shí)器告訴它要檢查是否有新電子郵件時(shí)，Outlook Express 將自動(dòng)執(zhí)行該操作。當(dāng)新的電子郵件出現(xiàn)時(shí)，Outlook Express 會(huì)用新電子郵件通知消息來提示用戶。ICF 不會(huì)影響該程序的行為，因?yàn)閷?duì)新電子郵件通知的請(qǐng)求是從防火墻內(nèi)部發(fā)出的。防火墻會(huì)在表中建立一項(xiàng)信息以記錄外傳通訊。當(dāng)新的電子郵件響應(yīng)被郵件服務(wù)器承認(rèn)時(shí)，防火墻將在表中查找關(guān)聯(lián)項(xiàng)，并允許該通訊通過，然后用戶就能接收到新電子郵件已到達(dá)的通知。

　　但是 Office 2000 Outlook 被連接到 Microsoft Exchange 服務(wù)器，而該服務(wù)器使用遠(yuǎn)程過程調(diào)用 (RPC) 將新電子郵件通知發(fā)送給客戶端。當(dāng) Office 2000 Outlook 連接到 Exchange 服務(wù)器時(shí)，該程序不會(huì)自動(dòng)檢查新的電子郵件。新的電子郵件到達(dá)時(shí)，Exchange 服務(wù)器將通知 Office 2000 Outlook。因?yàn)?RPC 通知是從防火墻外的 Exchange 服務(wù)器、而不是由防火墻內(nèi)的 Office 2000 Outlook 初始化的，所以 ICF 無法找到表中的對(duì)應(yīng)項(xiàng)，而且發(fā)自 Internet 的 RPC 消息不允許進(jìn)入家庭網(wǎng)絡(luò)。RPC 通知消息會(huì)被丟棄。用戶可以發(fā)送和接收電子郵件，但需要手動(dòng)檢查是否有新的電子郵件。

　　四、高級(jí) ICF 設(shè)置

　　ICF 安全記錄功能可以提供一種方式來創(chuàng)建防火墻活動(dòng)的日志文件。ICF 能夠記錄被許可的和被拒絕的通信。例如，默認(rèn)情況下，防火墻不允許來自 Internet 的傳入回顯請(qǐng)求通過。如果沒有啟用 Internet 控制消息協(xié)議 (ICMP)"允許傳入的回顯請(qǐng)求"，那么傳入請(qǐng)求將失敗，并生成傳入失敗的日志項(xiàng)。

　　通過啟用各種 ICMP 選項(xiàng)（例如"允許傳入的回顯請(qǐng)求"、"允許傳入的時(shí)間戳請(qǐng)求"、"允許傳入的路由器請(qǐng)求"和"允許重定向"），ICMP 允許您來修改防火墻的行為。"ICMP"選項(xiàng)卡上提供了對(duì)這些選項(xiàng)的簡(jiǎn)短描述。您可以設(shè)置允許大小的安全日志文件，來防止拒絕服務(wù)攻擊所導(dǎo)致的潛在溢出。生成事件日志的格式是擴(kuò)展日志文件格式，與萬維網(wǎng)聯(lián)盟 (W3C) 建立的相同。