Windows XP防火牆全面套用方案

[psac]

內裝於windows xp的防火牆ICF

　　ICF是「Internet Connection Firewall」的簡稱，也就是英特網連接防火牆。ICF建立在你的電腦與英特網之間，它可以讓你請求的資料通過、而阻礙你沒有請求的資料包，是一個基於包的防火牆。所以，ICF的第一個功能就是不回應Ping指令，而且，ICF還禁止外部程序對本機進行連接阜掃瞄，拋棄所有沒有請求的IP包。

　　個人電腦同伺服器不一樣，一般不會提供諸如Ftp、Telnet、POP3等服務，這樣可以被黑客們利用的系統漏洞就很少。所以，ICF可以在一定的程度上很好地保護我們的個人電腦。

　　ICF是狀態防火牆，可監視通過的所有通訊，並且檢查所處理的每個消息的源和目標位址。為了防止未經請求的通信進入系統連接阜，ICF保留了所有源自本機電腦的通訊表。在單獨的電腦中，ICF將跟蹤源自本機電腦的通信，所有Internet傳入通信都會針對於該表中的各項進行比較。只有當通訊表中有匹配項時（這說明通訊交換是從電腦或專用網路內部開始的），才允許將傳入Internet通信傳送給網路中的電腦。

　　源自外部ICF電腦（也就是入侵電腦）的通訊（如Internet非法訪問）將被防火牆阻止，除非在「服務」選擇項上設置允許該通訊通過。ICF不會向你發送活動通知，而是靜態地阻止未經請求的通訊，防止像連接阜掃瞄這樣的常見黑客襲擊。

　　ICF的原理是通過儲存一個通訊表格，記錄所有自本機發出的目的IP位址、連接阜、服務以及其他一些資料來達到保護本機的目的。 當一個IP資料包進入本機時，ICF會檢查這個表格，看到達的這個IP資料包是不是本機所請求的，如果是就讓它通過，如果在那個表格中沒有找到相應的記錄就拋棄這個IP資料包。下面的例子可以很好地說明這個原理。當用戶使用Outlook Express來收發電子郵件的時侯，本機個人機發出一個IP請求到POP3郵件伺服器。ICF會記錄這個目的IP位址、連接阜。當一個IP資料包到達本機的時候，ICF首先會進行稽核，通過搜尋事先記錄的資料可以確定這個IP資料包是來自我們請求的目的位址和連接阜，於是這個資料包獲得通過。來看一下當使用Outlook Express客戶端郵件程序和郵件伺服器時的情況。一旦有新的郵件到達郵件伺服器時，郵件伺服器會自動發一個IP資料包到Outlook客戶端機來通知有新的郵件到達。這種通知是通過RPC Call來實現的。當郵件伺服器的IP資料包到達客戶端機時，客戶端機的ICF程序就會對這個IP包進行稽核發現本機的Outlook express客戶端軟體曾發出過對這個位址和連接阜發出IP請求，所以這個IP包就會被接受，客戶端機當然就會收到發自郵件伺服器的新郵件通知。然後讓Outlook Express去接收郵件伺服器上的新郵件。
、啟用或禁用Internet連接防火牆

　　開啟「控制台」中的「網路連線」

　　按擊要保護的撥號>內容、本機連接或其它Internet連接，然後在「網路任務」→「更改該連接的設置」→「進階」→「Internet 連接防火牆」下，選所示的項目： 以限制或來自網際網路的對這台電腦的存取來保護我的電腦..
句取用!>確定!


　　若要啟用Internet連接防火牆，選「通過限制或阻止來自Internet的對此電腦的訪問來保護我的電腦和網路」復選框。若要禁用Internet連接防火牆，清除該復選框。

　　網路服務
如句取後>可接著在.....................
　　還是上面的「進階」選擇項，點擊下方的「設定」細項，列示...........


　　已經有選的項目表示網路用戶能夠存取的服務，如：messenger，遠端桌面，FTP，Telnet等。

　　對於一些常見的網路服務，如POP3，SMTP、HTTP等，系統會在需要的時候開放。

　　如果我們要設置一個新的服務項目，以常見的messenger文件傳輸為例，因為許多朋友都會在這方面遇到問題，實際上在HELP中寫的明白。

　　messenger的文件傳輸採用TCP6891-6900連接阜，可以在xp的防火牆設置裡面增加TCP6891號連接阜，文件就可以順利發送了。文件傳輸的工作，一般情況下我們增加一個就行了。


　　按要求依次寫入「描述」，「本機的IP位址」，使用的連接阜號碼（6891），然後確定即可。

安全日誌

　　產生安全日誌時使用的格式是W3C擴展日誌文件格式，這與在常用日誌分析工具中使用的格式類似。

　　開啟「網路連接」，按擊要在其上啟用Internet連接防火牆（ICF）的連接，然後在「網路任務」→「更改該連接的設置」→「進階」→「設定」→「安全記錄」→「記錄選項」下，選項下面的一項或兩項：
1.記錄丟棄的封包
2.記錄成公的連接

　　若要啟用對不成功的入站連接嘗試的記錄，請選「記錄丟棄的資料包」復選框，否則禁用。

　　2、更改安全日誌文件的路徑和檔案名

　　開啟「網路連線」，選項要在其上啟用Internet連接防火牆的連接，然後在「網路任務」→「更改該連接的設置」→「進階」→「設置」→「安全日誌記錄」→「日誌文件選項」→「瀏覽」中，瀏覽要放置日誌文件的位置。

　　在「檔案名」中，鍵入新的日誌檔案名，然後按擊「開啟」。開啟後可檢視其內容。

　　還可以設置安全日誌文件的大小，開啟已啟用Internet連接防火牆的連接，然後在「網路任務」→「更改該連接的設置」→「進階」→「設置」→「安全日誌記錄」→「日誌文件選項」→「大小限制」中，使用箭頭按鈕調整大小限制。筆者認為，一般512K足夠了。

　　如果你在更改設置後有問題，可以還原預設的安全日誌設置。開啟啟用Internet連接防火牆的連接，然後點擊「網路任務」→「更改該連接的設置」→「進階」→「設置」→「安全日誌記錄」→「還原預設值」。

　　記錄成功的連接--這將登錄來源於家庭、小型辦公網路或Internet的所有成功的連接。

　　當你選項「登錄成功的外傳連接」復選框時，將收集每個成功通過防火牆的連接信息。例如，當網路上的任何人使用Internet Explorer成功實現與某個網站的連接時，日誌中將產生一條項目。

　　記錄放棄的資料包--這將登錄來源於家庭、小型辦公網路或Internet的所有放棄的資料包。

　　當你選項「登錄放棄的資料包」復選框時，每次通信嘗試通過防火牆卻被檢測和拒絕的信息都被ICF收集。例如，如果你的Internet控制消息協議沒有設置成允許傳入的回顯請求，如Ping和Tracert指令發出的請求，則將接收到來自網路外的回顯請求，回顯請求將被放棄，然後日誌中將產生一條項目。

　　Internet控制消息協議（ICMP）

　　「網路消息協議（ICMP）」是所需的TCP/IP標準，通過ICMP，使用IP通訊的主機和路由器可以報告錯誤並交換受限控制和狀態信息。

　　在下列情況中，通常自動發送ICM消息：


IP資料報無法訪問目標。

IP路由器（網路把關）無法按當前的傳輸速率轉發資料報。

IP路由器將發送主機重定向為使用更好的到達目標的路由。
套用Internet控制消息協議：

　　開啟「網路連線」。 按擊已啟用Internet連接防火牆的連接，在「網路任務」→「更改該連接的設置」→按擊「進階」→「設定」→「ICMP」選擇這一項上，選希望你的電腦回應的請求信息類型旁邊的復選框。
云許連如回應應求....

　ICF的局限性

　　那麼，ICF不能做什麼？ICF可不可以完全替代現有的個人防火牆產品？ICF是通過記錄本機的IP請求來確定外來的IP資料包是不是「合法」，這當然不可以用在伺服器上。為什麼呢？伺服器上的IP資料包基本上都不是由伺服器先發出，所以ICF這種方法根本就不可以對伺服器的安全提供保護。當然你也可以通過相應的設置讓ICF忽略所有發向某一連接阜的資料包，例如80連接阜。那麼發向80連接阜的所有資料包都不會被ICF拋棄。從這種意義上講80連接阜就成為不設防的連接阜。這樣的防火牆產品是不可能用在套用伺服器上的，伺服器上的防火牆產品都是基於建立各種策略來稽核外來的IP資料包。ICF和基於應用程式的個人防火牆產品也是不一樣的。基於應用程式的個人防火牆會記錄每一個訪問Internet的程序，例如，通過設置可以讓IE有權來訪問Internet而Netscape的Navigator沒有權限來訪問Internet，即便兩個程序的目的IP位址和連接阜都是一樣的。Norton的個人防火牆（Personal Firewall）就是這樣一個典型的產品。簡而言之，ICF沒法提供基於應用程式的保護，也沒法建立基於IP包的包稽核策略。所以，ICF既不能完全替代現有的個人防火牆產品，也沒有辦法很好地工作在套用伺服器上。

　　筆者認為，Norton的個人防火牆和Zonealarm Pro可以提供較全方面的保護，但設置較為複雜。ICF並不能提供完全無懈可擊的防護，但是ICF對個人電腦提供防護是足夠的。在使用一些系統安全軟體對裝有ICF的個人電腦進行連接阜掃瞄後，常會給出了「系統安全」的評價。況且，ICF是Windows XP內建的功能，佔用的資源相當少且不用花額外的錢去購買。從ICF受益最多的應該是那些仍然在使用Modem上網的朋友，在國內絕大部分的用戶都是用Modem上網的。首先，你上網的時間不會太長，一般在幾小時上下（包月的除外）。其次，每次建立連接後撥號伺服器都會分配一個新的IP位址（動態位址分配）給你，長時間佔用一個相同的IP的可能性應該很低。比起使用ADSL和其它寬帶的用戶來講，用Modem上網本身就安全了很多。

　　注意事項

　　ICF和家庭或小型辦公室通訊--不應該在所有沒有直接連線到Internet的連接上啟用Internet連接防火牆，也就是最好不要在區域網路中使用。如果在ICF客戶電腦的網路適配器上啟用防火牆，則它將干擾該電腦和網路上的其他電腦之間的一些通訊。如果網路已經具有網際網路防火牆或代理伺服器，則不需要Internet連接防火牆，你應該關閉它。

　　所以，使用一個重量級的防火牆實在是沒有太多的意義。而ICF則剛剛好，它既提供了一定的保護，而且又不太佔用資源，不錯的，是「又經濟，又實惠」。

3q3q

讚阿.....真利害