Win XP中的防火墙

一、概述：

　　防火墙是充当网络与外部世界之间的保卫边界的安全系统。Internet 连接防火墙 (ICF) 是用来限制哪些信息可以从您的家庭或小型办公网络进入 Internet 以及从 Internet 进入您的家庭或小型办公网络的一种软件。如果网络使用 Internet 连接共享 (ICS) 来为多台计算机提供 Internet 访问能力，则应该在共享的 Internet 连接中启用 ICF。但是，ICS 和 ICF 可以单独启用。应该在直接连接到 Internet 的任何一台计算机的 Internet 连接上启用 ICF。

　　ICF 还能保护连接到 Internet 的单独计算机。如果连接到 Internet 的单独计算机具有电缆调制解调器、DSL 调制解调器或拨号调制解调器，则 ICF 将保护此 Internet 连接。应该在 VPN 连接 上启用 ICF，因为此连接将干扰文件共享和其他 VPN 功能的操作。

　　二、Internet 连接防火墙 (ICF) 如何工作

　　ICF 被视为状态防火墙。状态防火墙可监视通过其路径的所有通讯方面，并且检查所处理的每个消息的源和目标地址。为了防止来自连接公用端的未经请求的通信进入专用端，ICF 保留了所有源自 ICF 计算机的通讯表。在单独的计算机中，ICF 将跟踪源自该计算机的通信。与 ICS 一起使用时，ICF 将跟踪所有源自 ICF/ICS 计算机的通信和所有源自专用网络计算机的通信。源自外部源 ICF 计算机的通讯（如 Internet）将被防火墙阻止，和"天网"等防火墙软件不一样，ICF 不会向您发送活动通知，而是静态地阻止未经请求的通讯，防止像端口扫描这样的常见黑客袭击。这样的通知可能过于频繁以至于成为一种干扰。ICF 可能创建安全日志以查看被防火墙跟踪的活动。

你可以将服务配置成允许 ICF 计算机将来自 Internet 未经请求的通信传递到专用网络。例如，如果您正在主持 HTTP Web 服务器服务，而且已启用了 ICF 计算机上的 HTTP 服务，则未经请求的 HTTP 通信将由 ICF 计算机转发至 HTTP Web 服务器。ICF 需要一组操作信息（称为服务定义），才会允许未经请求的 Internet 通信转发到专用网络上的 Web 服务器。

　　三、Internet 连接防火墙使用注意事项

　　1．ICF 和家庭或小型办公室通讯

　　不应该在所有没有直接连接到 Internet 的连接上启用 Internet 连接防火墙 (ICF)。如果在 ICS 客户计算机的网络适配器上启用防火墙，则它将干扰该计算机和网络上的所有其他计算机之间的某些通讯。出于类似的原因，网络安装向导不允许在 ICS 主机的专用连接（该连接将 ICS 主机与 ICS 客户计算机连接起来）上启用 ICF，因为在该位置启用防火墙会完全禁止网络通讯。

　　如果网络已经具有防火墙或代理服务器，则不需要 Internet 连接防火墙。

　　如果网络只有一个共享 Internet 连接，则应该启用 Internet 连接防火墙对其进行保护。各个客户计算机也可以有适配器（例如拨号、DSL 调制解调器），这些调制解调器可提供单独的 Internet 连接，但它们不受防火墙的保护。ICF 只能检查通过已对其启用了该设置的 Internet 连接的通讯。因为 ICF 针对每个连接工作，所以为了确保能够保护整个网络，需要在所有连接 Internet 的计算机上启用它。如果已经对 ICS 主机的 Internet 连接启用了防火墙，但直接连接 Internet 的客户端计算机没有使用防火墙进行保护，那么，您的网络将因为此未受保护的连接而存在安全缺陷。

　　允许服务操作跨越 ICF 的服务定义也是针对每个连接而工作的。如果网络有多个防火墙连接，则必须为每个希望服务通过的有防火墙的连接配置服务定义。