Windows XP SP2防火牆設定

[psac]

Windows XP SP2防火牆設定

WinXP SP2(以下簡稱SP2)中的Windows防火牆取代了原來的Internet Connection Firewall（ICF，網際網路連接防火牆）。這個改進的防火牆預設設定為開啟狀態，並且支持IPv4和IPv6兩種網路傳輸協定，可以為我們的電腦提供更多的安全保護。


本文將帶領大家來認識Windows防火牆的新特性以及基本設定方法。



一、防火牆新特性

與ICF相比，SP2中的Windows防火牆有了明顯的改進。首先是防火牆的執行時間。在以前版本的WinXP中，從網路堆疊開始載入到ICF執行之間還有一段時間的間隔，這意味著在系統啟動到防火牆完全執行這一段時間內整個系統是完全暴露的，並沒有受到防火牆的保護。


這是因為ICF執行所需要的系統服務是在系統啟始完成後才開始啟動的，而ICF服務還依賴於其他的一些系統服務，那些服務還沒有執行的時候ICF的服務自然也就無法執行。在SP2系統中新增了一個名為「啟始時原則」（Boot-Time Policy）的比較簡單的防護，通過這個防護，我們只能使用到少數必需的網路服務，例如DNS伺服器和DHCP伺服器的聯絡等，直到防火牆啟動後網路活動才能正常。



新的Windows防火牆不僅預設處於開啟狀態，而且其組態界面也更加美觀。除此之外，Windows防火牆新的特性還包括：

本機子網限制；

套用到所有連接的通用組態選項；

內建IPv6支持；新的群組原則組態選項；

可通過應用程式的檔案名指定特定的通信（原先的ICF只能指定連接阜，而不能指定程序，現在則可以在允許的通訊中直接選項特定的程序）。





二、安全警報

在SP2中，當用戶在本機執行一個應用程式並將其作為Internet伺服器提供服務時，Windows防火牆將會彈出一個新的安全警報對話視窗。


通過對話視窗中的選項可以將此應用程式或服務增加到Windows防火牆的例外項中(即選項「解除阻止此程序」)，Windows防火牆的例外項組態將允許特定的進站連接。


當然，也可以通過手工增加程序到例外項中或者增加連接阜到例外項中，具體的增加方法參見後面的防火牆選項設定。


一旦程序提供連接服務，防火牆就會提醒用戶





三、防火牆選項設定

依次按下「開始→控制台」，然後在控制台傳統檢視中雙按「Windows防火牆」一項，即可開啟Windows防火牆控制台。此外，還可以在SP2新增加的安全中心界面下，點擊「Windows防火牆」開啟防火牆控制台

1．一般選擇項



在Windows防火牆控制台「一般」選擇項中有兩個主選項：啟用（推薦）和關閉（不推薦），一個子選項「不允許例外」。

如果選項了不允許例外，Windows防火牆將攔截所有的連接用戶電腦的網路請求，包括在例外選擇項列表中的應用程式和系統服務。


另外，防火牆也將攔截文件和列印機共享，還有網路設備的偵測。使用不允許例外選項的Windows防火牆簡直就完全「閉關」了，比較適用於「高危」環境，如餐館、賓館和機場等場所連線到公共網路上的個人電腦。

2．例外選擇項


不要隨意允許伺服器生效

某些程序需要對外通訊，就可以把它們增加到「例外」選擇項中，這裡的程序將被特許可以提供連接服務，即可以監聽和接受來自網路上的連接。

在「例外」選擇項界面下方有兩個增加按鈕，分別是：
「增加程序」和「增加連接阜」，可以根據具體的情況手工增加例外項。如果不清楚某個應用程式是通過哪個連接阜與外界通信，或者不知道它是關於UDP還是TCP的，可以通過「增加程序」來增加例外項。

例如要允許Windows Messenger通信，則點擊「增加程序」按鈕，選項應用程式「C:\Program Files\ Messenger\Messenger\msmsgs.exe」，然後點擊「確定」把它加入列表。

如果對連接阜號以及TCP/UDP比較熟悉，則可以採用後一種方式，即指定連接阜號的增加方式。對於每一個例外項，可以通過「更改範圍」指定其作用域。



對於家用和小型辦公室套用網路，推薦設定作用域為可能的本機網路。當然，也可以自訂作用域中的IP範圍，這樣只有來自特定的IP位址範圍的網路請求才能被接受。

3．進階選擇項


使系統更安全，要好好研究一下進階設定項

在「進階」選擇項中包含了網路連接設定、安全記錄、ICMP設定和還原預設設定四組選項，可以根據實際情況進行組態。

◆網路連接設定
這裡可以選項Windows防火牆套用到哪些連接上，當然也可以對某個連接進行單獨的組態，這樣可以使防火牆套用更靈活。

◆安全記錄
新版Windows防火牆的日誌記錄與ICF大同小異，日誌選項裡面的設定可以記錄防火牆的跟蹤記錄，包括丟棄和成功的所有事項。


在日誌文件選項裡，可以更改記錄文件存放的位置，還可以手工指定日誌文件的大小。系統預設的選項是不記錄任何攔截或成功的事項，而記錄文件的大小預設為4MB。

◆ICMP設定
Internet控制消息傳輸協定（ICMP）允許網路上的電腦共享錯誤和狀態訊息。在ICMP設定對話視窗中選定某一項時，界面下方會顯示出相應的描述訊息，可以根據需要進行組態。在預設狀態下，所有的ICMP都沒有開啟。

◆預設設定
如果要將所有Windows防火牆設定恢復為預設狀態，可以按下右側的「還原成預設值」按鈕。






四、群組原則佈署


群組原則的設定具有很高的優先等級

在ICF中，只能通過網路連接、網路新增嚮導和Internet連接嚮導執行啟用或關閉ICF，而新版的Windows防火牆則可以通過群組原則來控制防火牆狀態、允許的例外等設定。

依次按下「開始→執行」，在「執行」對話視窗中輸入「gpedit.msc」，然後點擊「確定」即可開啟WinXP群組原則編輯器。進入群組原則編輯器後，就可以用它組態Windows防火牆了。


從左側視窗中依次展開「電腦設定→管理範本→網路→網路連接→Windows Firewall」。


在Windows Firewall下可以看到兩個分支，一個是域組態文件，一個是標準組態文件。

簡單的說，當電腦連線到有域控制器的網路中時(即有專門的管理伺服器時)，是域組態文件起作用，相反，則是標準組態文件起作用。


即使沒有組態標準組態文件，預設的值也會生效。

提示：Windows防火牆的組態和狀態訊息還可以通過指令行工具Netsh.exe獲得，可以在命令提示字元視窗下輸入「netsh firewall」指令來獲取防火牆訊息和修改防火牆設定。

從前面的介紹可以看出，SP2中整合的Windows防火牆，在功能上已經接近不少成熟的個人防火牆產品。


雖然這個新版的防火牆還欠缺一些第三方廠商的產品所擁有的功能(如輸出過濾)，但它對個人用戶來說，無疑是一個不錯的選項。

[candy2342]

感謝指導，受用無窮。

[jack777]

讚啦！多謝告知，我已經無法用言語來感謝大大分享!!

[psac]

解讀Windows XP SP2防火牆




　　Windows XP SP2在安全方面做了重大的調整，安全設計融合到整個操作系統中，防火牆屏障、操作系統修正檔和更新病毒庫等理念形成一個安全體系，而防火牆是這個安全體系的第一道屏障，它提供了一個強大的保護層，可以阻止惡意用戶和程序依靠未經請求的傳入流量攻擊電腦。Windows XP SP2防火牆又稱ICF（Internet Connection frewall），已經具備個人防火牆的基本功能，它是一種能夠阻截所有傳入的未經請求的流量的狀態防火牆。這些流量既不是回應電腦請求而傳送的流量（請求流量），也不是事先指定允許傳入的未經請求的流量（異常流量）。這有助於使電腦更加安全，使您可以更好地控制電腦上的資料。和Windows良好的相容性及可靠性是其它個人防火牆所不能比擬的。



　　註：此文只探討Windows 防火牆原理、功能變化以及套用程序中可能遇到問題和解決辦法，不描述怎樣設定Windows 防火牆，如果未特別說明，本文所提到的Windows 防火牆指Windows XP SP2防火牆。



　　一、使用個人防火牆還是使用Windows 防火牆





　　僅就防火牆功能而言，個人防火牆對雙向流量都進行稽核，擁有更複雜的控制列表，但是，Windows 防火牆只阻截所有傳入的未經請求的流量，對主動請求傳出的流量不作理會，這一點是它們之間最大的區別。絕大多數商業防火牆都提供了應用程式過濾功能，這一功能可以阻止未通過認證的應用程式向外傳送報文，這樣就可以防止病毒或木馬等惡意程式碼同外部建立未認證的連接，同時也可以防止用戶的電腦被黑客用做分佈式攻擊的跳板。然而，WindowsXP SP2所帶的防火牆卻只能對進入電腦的報文進行過濾，而不對電腦向外發出的報文進行過濾，它不對應用程式向外傳送報文做任何限制。 事物有其兩面性，這些個人防火牆產品依據的防黑客原理通常不一樣，例如Norton的Personal Firewall(個人防火牆)是關於應用程式的（Application Level）。關於應用程式的防火牆在使用上相當麻煩，因為你必須要為每一個訪問Internet的程序設定原則。而隨著原則的增多，防火牆的效率也逐步下降，況且過多的原則也會相互矛盾、影響，給系統安全帶來漏洞。更糟糕的是，這些個人防火牆產品都非常佔用系統資源。



　　比如接入網路遊戲聯眾世界的時候，本機電腦請求連接遠端伺服器，這時，個人防火牆立即提示是否允許此連接通過，而Windows 防火牆對這個主動出站請求不做任何處理，也不做任何提示，好像防火牆不存在似的，所以如果入侵已經發生或間諜軟體已經安裝，並主動連線到外部網路，那麼防火牆束手無策；如果Windows 間諜軟體開放連接阜等待外部請求連接，那麼Windows 防火牆立刻阻斷連接並彈出安全警告。但這不表示Windows防火牆不安全，因為攻擊多來自外部，而且如果間諜軟體開放連接阜等待外部連接的時候，Windows防火牆立即阻斷連接，並且作出提示，關於這一點在下面的文章中還會提到。



　　對來自外部的請求連接的控制，Windows防火牆和個人防火牆在功能上區別不大。而且Windows防火牆有其獨特的特性，包括：電腦的所有連接預設啟用ICF、人性化的遮閉模式－充分考慮到了電腦使用環境的變化和及時阻斷攻擊和恢復正常使用的情況、智能應用程式異常流量管理、對於 IPv6 ICF 內建支持等功能。比如在啟動安全性功能上，有一個可以執行狀態資料包過濾的啟動原則。該原則允許電腦使用動態主機組態傳輸協定（Dynamic Host Configuration Protocol，DHCP）和域名系統（Domain Name System，DNS）執行基本網路啟動工作，並與域控制器進行通信，以更新群組原則。避免電腦在網路上進入活動狀態的時間與 ICF 開始保護連接的時間之間的延遲中被未經請求的流量在啟動期間攻擊電腦留下了可乘之機。



　　遺憾的是Windows防火牆並不提供報警和入侵檢測。雖然Windows防火牆可以防止對系統的入侵。而且，其他的一些個人防火牆產品還有更好的診斷和報告功能（Windows防火牆沒有報告功能，僅僅有個日誌）。所以，當選項使用哪個防火牆產品時，你應該考慮這些因素。如果你選項Windows防火牆，你應該確定自己明白它的有限的能力，雖然Windows 防火牆對個人用戶而言已經不在是雞肋。

　　二、Windows XP SP2防火牆工作原理
　　Windows 防火牆使用的全狀態資料包監測技術會把所有由本地機發起的網路連接產生一張表，並用這張表跟所有的入站資料包作對比，如果入站的資料包是為了回應本地機的請求，那麼就被允許進入。除非有實施專門的過濾器以允許特定的非主動請求資料包，否則所有其他資料包都會被阻擋。

　　「例外」選擇項使您可以增加程序和連接阜例外，以允許特定檔案類型的傳入通信。您可以為每個例外設定範圍。如果開放了某個連接阜，那麼對這個連接阜的訪問將被允許通過。連接阜或者服務可以在「例外」選項中設定或者通過指定應用程式的方法設定，如QQ等，如果開放連接阜的服務不是一個應用程式如IIS服務，可以直接設定開放的傳輸協定和連接阜號。對於只使用網路瀏覽、電子郵件、共用資料夾、進行普通處理的客戶端和伺服器型應用程式的用戶，Windows防火牆根本不會產生影響。
　　三、Windows 防火牆設定中幾個重要選項
　　按下「開始」，按下「執行」，按鍵輸入 wscui.cpl，然後按下「確定」，在「Windows 全中心」內按下「Windows 防火牆」。對於「不允許例外」
當您按下選「不允許例外」時，Windows 防火牆將阻止所有連線到您的電腦的請求，即使請求來自「例外」選擇項上列出的程序或服務也是如此。防火牆還會阻止發現網路設備、文件共享和列印機共享。當您連線到公用網路（例如，與機場或旅館相關的網路）時，「不允許例外」選項十分有用。此設定可以阻止所有連線到您的電腦的嘗試，因而有助於保護您的電腦。當您使用 Windows 防火牆並啟用了「不允許例外」選項時，您仍然可以檢視網頁，收發電子郵件或使用即時消息傳送程序。針對「例外」的說明
「例外」選擇項使您可以增加程序和連接阜例外，以允許特定檔案類型的傳入通信。您可以為每個例外設定範圍。
對於家庭和小型辦公室網路，我們建議您在可能的條件下，將範圍設定為僅限區域網路內部。這樣組態可以使同一個子網上的電腦可以與此電腦上的程序連接，但拒絕源自遠端網路的通信。

　　四、Windows XP SP2的防火牆真的安全嗎？
　　Windows防火牆在原則上是對由外向內的通信(inbound)全部進行限制，而由內向外的通信(outbound)及其回應則完全不加限制。Windows防火牆只在像伺服器那樣執行的應用程式開始通信時才會發出警告。 以登入聯眾世界為例：在所有網路連接上開啟防火牆，現在，登入聯眾世界試試，一樣登入，根本不需要通過防火牆允許。選項了「不允許例外」，結果還是一樣。而用zonealarm的時候，任何程序都得經過防火牆的允許。這是為什麼？
　　前面已經提到了Windows防火牆的特點「只阻截所有傳入的未經請求的流量」也就是說，Windows防火牆對主動出站流量不作處理，所以登入聯眾世界/IE等沒有安全提示，而zonealarm等個人防火牆對所有出、入站流量都作審查，所以有安全提示（除非設定審查但不提示）。但是，為什麼QQ/MSN/MYIE2等又有安全提示呢？這是因為QQ/MSN/MYIE2等試圖在本機開後門--連接阜等待遠端請求連接，顯然這種不安全行為被Windows防火牆攔截並作出安全提示，這相當於QQ/MSN/MYIE2等作為提供某種服務的伺服器端。如圖所顯示，MYIE2在本開了1067連接阜，QQ使6000和6001處在監聽狀態，而聯眾世界卻沒有開放任何連接阜。

　　取消通知的方法是：防火牆設定-例外-取消選項「Windows防火牆組織程序時通知我」。
　　五、Windows XP SP2的防火牆可以限制某個應用程式訪問網路嗎？
　　Windows XP SP2的防火牆置不適用於不對特定 UDP 或 TCP 連接阜集合進行監聽的應用程式，不能限制某個應用程式訪問網路，但是，卻可以限制對誰提供哪些服務，這一點也不同於早期版本的Windows防火牆。
　　雖然Windows防火牆不可以限製出站通訊，但是Windows XP內裝的Internet Protocol security (IPSec)卻可以提供這種保護，使用IPSec規則，可以指定通訊是被阻斷（丟棄資料）還是被放行（允許），同時能保護加密的入站和出站通訊。在這三種情況下（阻斷、允許、保護），IPSec能夠組態原位址和目標位址範圍。同時使用IPSec規則和Windows防火牆可以給網路提供更強大的安全保護。
　　對早期Windows防火牆而言，如果開啟了某些服務，它將允許所有人訪問這些服務，但是SP2的防火牆卻可以精確的設定是對某台電腦或者某些子網允許連接；如果沒有開啟服務，則所有連接都將被拒絕。設定方法：安全中心-防火牆設定-例外-編輯（某個服務）-更改範圍-自訂列表。自訂列表的說明，如果對某個IP提供服務，設定子網路遮罩為全1，例如192.168.0.3/255.255.255.255；如果針對某個子網提供服務，設定正確的子網路遮罩，如192.168.0.1/255.255.255.128，多個項目之間用「,」號隔離。

　　如上所述，ICF和關於應用程式的個人防火牆產品是不一樣的。關於應用程式的個人防火牆可以控制每一個訪問Internet的程序，但是不能限制某個應用程式訪問網路，使用使用IPSec規則可以提供對電腦向外發出的報文進行過濾的功能。
　　如上所述，ICF和關於應用程式的個人防火牆產品是不一樣的。關於應用程式的個人防火牆可以控制每一個訪問Internet的程序，但是不能限制某個應用程式訪問網路，使用使用IPSec規則可以提供對電腦向外發出的報文進行過濾的功能。

　　這樣可能帶來新問題！如果企業網路同時連接外部網路，比如INTERNET，對外開放這些絲謔遣話踩埮Xindows XP SP2防火牆考慮到了這個安全問題，在「編輯服務」選項中點擊「更改範圍」，在彈出的對話視窗中選項「僅我的網路（子網）」，這樣設定後，文件和列印共享服務只對內部提供提供，而對外而言服務是不可見的，這樣就安全多了。

　　七、沒有人能PING到我的電腦
　　在檢查網路故障的使用通常用PING指令工具，PING一個IP驗證該電腦是否存在，當你PING的時候，傳送的是ICMP（Internet 控制消息傳輸協定 ，此通信用於錯誤和狀態訊息的傳送） Echo messag信號，獲得的回應是ICMP Echo Reply message信號。在預設情況下，indows xp p2防火牆不允許ICMP Echo messages 入站資料進入，所以也就不會回覆ICMP Echo Reply message資料報文了。

　　如果啟用了TCP連接阜445（比如在「例外」中啟用了「文件和列印機共享」），那麼別人是可以PING到你的IP的。另外，在防火牆的進階選擇項中選項ICMP設定，並且選項了「允許傳入回現請求」也可以使別人能夠PING到你的IP。
　　八、關於遠端協作和遠端桌面
　　通過Windows XP SP2防火牆實現遠端協作的方法很簡單，雖然遠端協作使用的是動態連接阜。在防火牆設定對話視窗中的「例外」選擇項上「程序和服務」列表中選項「遠端協作」項目，這樣Windows自動監視並正確處理來自sessmgr.exe應用程式的所有通訊請求完成連接。
　　Windows NetMeeting 的遠端桌面要複雜一些，儘管在例外選擇項中有「遠端桌面」選項，但是如果你選項這個選項，實際是開放了TCP的連接阜3389，也可能無法完成遠端桌面連接，正確的方法是： 在 Windows 防火牆開啟的情況下，在可以使用 Windows NetMeeting 的遠端桌面共享功能之前，必須向 Windows 防火牆的「例外」選擇項上「程序和服務」列表中分別為 Windows NetMeeting 和 Mnmsrvc.exe（ Drive:\Windows\System32 目錄中）文件和conf.exe（Drive:\Program Files\NetMeeting 資料夾中）文件分別增加一個 列項。
　　九、Windows XP SP2的防火牆日誌的妙用

　　日誌記錄可以說明 確定入站通信的來源，並提供有關被阻止的通信的詳細資料。%Windir%\pfirewall.log 是預設的日誌文件，這裡記錄的是成功的連接，看看都暴露了哪些訊息，其中中文是作者說明文字。
pfirewall.log
#Version: 1.5
#Software: Microsoft Windows Firewall
#Time Format: Local
#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path
表頭：日期 時間 狀態 傳輸協定 原IP 目標IP 原連接阜 目標連接阜 資料包大小 TCP 控制標誌 驗證 其他資料 推入功能 重置連接 同步序列號 緊急游標字段有效 序列號 驗證號 視窗大小 ICMP檔案類型 ICMP程式碼 訊息 列項
2004-09-08 00:55:39 OPEN UDP 219.154.214.145 202.102.224.68 1026 53 - - - - - - - - -
查詢DNS伺服器，DNS伺服器位址是202.102.224.68
2004-09-08 00:55:40 OPEN UDP 219.154.214.145 219.133.40.157 6001 8001 - - - - - - - - -
QQ開放UDP連接阜6001，目標位址219.133.40.157
2004-09-08 00:55:40 OPEN UDP 219.154.214.145 202.104.129.254 4000 8000 - - - - - - - - -
QQ開放UDP連接阜4000，目標位址202.104.129.254
2004-09-08 00:55:40 OPEN UDP 219.154.214.145 219.133.38.21 6001 8001 - - - - - - - - -
QQ開放UDP連接阜6001，目標位址219.133.38.21
2004-09-08 00:55:53 OPEN UDP 219.154.214.145 61.172.249.139 4000 8000 - - - - - - - - -
QQ開放UDP連接阜6001，目標位址61.172.249.139
2004-09-08 00:57:08 CLOSE UDP 219.154.214.145 202.102.224.68 1026 53 - - - - - - - - -
查詢DNS伺服器，DNS伺服器位址是202.102.224.68
2004-09-08 00:57:08 CLOSE UDP 219.154.214.145 219.133.40.157 6001 8001 - - - - - - - - -
QQ通過UDP連接阜6001和目標位址219.133.40.157建立的通訊
2004-09-08 00:57:08 CLOSE UDP 219.154.214.145 219.133.38.21 6001 8001 - - - - - - - - -
QQ通過UDP連接阜6001和目標位址219.133.38.21建立的通訊
　　從中可以看出，通過份析日誌可以搜集某項應用軟體服務端（如QQ伺服器）的IP位址，檢查是否有木馬悄悄開放了後門，確定某個軟體建立連接時所需要的連接阜號，還可以查詢攻擊者的來源位址。下面附錄詳細解釋了日誌表頭訊息。
字段、說明、示例
Date －顯示記錄的事務發生時的年、月和日。日期的記錄格式為 YYYY-MM-DD，其中 YYYY 表示年，MM 表示月，DD 表示天。2001-01-27
Time －顯示記錄的事務發生時的小時、分鍾和秒。時間的記錄格式為：HH:MM:SS，其中 HH 是以 24 小時格式表示的小時，MM 表示分鍾數，SS 表示秒數。21:36:59
Action －指示防火牆觀察到的操作。防火牆的可用選項有 OPEN、CLOSE、DROP 和
INFO-EVENTS-LOST。INFO-EVENTS-LOST 操作指示已發生但未記錄在日誌中的事件數。OPEN
Protocol －顯示通信時所使用的傳輸協定。傳輸協定 列項也可以是一個數位，用來表示不使用 TCP、UDP 或 ICMP 的資料包。TCP
src-ip －顯示源 IP 位址，即嘗試建立通信的電腦的 IP 位址。192.168.0.1
dst-ip －顯示通信嘗試的目標 IP 位址。192.168.0.1
src-port －顯示傳送電腦的源連接阜號。src-port 列項以 1 到 65,535 之間的整數形式記錄。只有 TCP 和 UDP 會顯示有效的 src-port 列項。所有其他傳輸協定的 src-port 列項均顯示為「-」。4039
dst-port －顯示目標電腦的連接阜號。dst-port 列項以 1 到 65,535 之間的整數形式記錄。只有 TCP 和 UDP 會顯示有效的 dst-port 列項。所有其他傳輸協定的 dst-port 列項均顯示為「-」。53
size －顯示以字元表示的資料包大小。60
tcpflags －顯示 IP 資料包 TCP 報頭中的 TCP 控制標誌： Ack：驗證字段有效 Fin：沒有來自傳送方的其他資料 PSH：推入功能 Rst：重置連接 Syn：同步序列號 Urg：緊急游標字段有效標誌均採用大寫字母形式。AFP
tcpsyn －顯示資料包中的 TCP 序列號。1315819770
tcpack －顯示資料包中的 TCP 驗證號。0
tcpwin －顯示資料包中用字元表示的 TCP 視窗大小。64240
icmptype －顯示一個數位，表示 ICMP 消息的「檔案類型」字段。8
icmpcode －顯示一個數位，表示 ICMP 消息的「程式碼」字段。0
info －顯示一個訊息 列項，具體取決於執行的操作檔案類型。例如，INFO-EVENTS-LOST 操作為以下事件個數新增一個 列項：從該事件檔案類型最後一次發生後發生但未記錄到日誌中的事件。23
　　注意：連字串 (-) 用於其中沒有 列項訊息的字段。
　　十、誰關閉了防火牆
　　大多數第三方防火牆軟體提供商如Zone Labs、McAfee和Symantec公司都將在近期提供和SP2相容的新版本防火牆軟體。這些新版軟體在安裝的時候會自動禁用Windows防火牆，而在卸載時又會自動啟用Windows防火牆。第三方廠商通過使用Windows Firewall API來實現這一功能。然而，既然防火牆軟體可以這麼做，其他病毒或木馬等惡意程式碼就同樣也可以。病毒或木馬可以修改Windows防火牆程序，甚至乾脆關閉它。而Zone Labs公司聲明，他們採取了一些鎖定技術來保證他們的防火牆軟體不會被其他第三方軟體關閉，除非你將整個防火牆卸載掉。
　　以下指令顯示防火牆狀態和配置資訊
　　Netsh firewall show state
　　Netsh firewall show config
　　另外，如果防火牆被關閉，安全中心會顯示安全警告！
　　總結
　　總的來看，相對於以前的Windows原有的的防火牆SP2的防火牆擁有更高的防範效能，幾乎擁有了其它個人防火牆的優點，所以Win XP SP2的防火牆是值得一試的，特別是針對個人用戶而言。

[psac]

防止Windows全局引上鉤的入侵
Windows消息引上鉤一般都很熟悉了。它的用處很多，耳熟能詳的就有——利用鍵盤引上鉤獲取目標工作的鍵盤輸入，從而獲得各類密碼以達到不可告人的目的。朋友想讓他的軟體不被別人的全局引上鉤監視，有沒有辦法實現呢？答案是肯定的，不過缺陷也是有的。

　　首先簡單看看全局引上鉤如何注入別的工作。

　　消息引上鉤是由Win32子系統提供，其核心部分通過NtUserSetWindowsHookEx為用戶提供了設定消息引上鉤的系統服務，用戶通過它註冊全局引上鉤。當系統獲取某些事件，比如用戶按鍵，鍵盤driver將掃瞄碼等傳入win32k的KeyEvent處理函數，處理函數判斷有無相應hook，有則callhook。此時，系統取得Hook對像訊息，若目標工作沒有安安安裝載入入入對應的Dll，則安安安裝載入入入之（利用KeUserModeCallback「使用」用戶例程，它與Apc使用不同，它是仿製中斷返迴環境，其使用是「立即」性質的）。

　　進入用戶態的KiUserCallbackDispatcher後，KiUserCallbackDispatcher根據傳送的資料獲取所需使用的函數、參數等，隨後使用。針對上面的例子，為安安安裝載入入入hook dll，得到使用的是LoadLibraryExW，隨後進入LdrLoadDll，安安安裝載入入入完畢後返回，後面的步驟就不敘述了。

　　從上面的討論我們可以得出一個最簡單的防侵入方案：在載入hook dll之前hook相應api使得載入失敗，不過有一個缺陷：系統並不會因為一次的失敗而放棄，每次有消息產生欲call hook時系統都會試圖在你的工作載入dll，這對於效能有些微影響，不過應該感覺不到。剩下一個問題就是：不是所有的LoadLibraryExW都應攔截，這個容易解決，比如判斷返回位址。下面指出一個例子片斷，可以增加一些判斷使得某些允許載入的hook dll被載入。

　　這裡hook api使用了微軟的detours庫，可自行修改。