ICF是"InternetConnectionFirewall"的简称,也就是因特网连接防火墙。ICF建立在你
的电脑与因特网之间,它可以让你请求的数据通过、而阻碍你没有请求的数据包,是一个基于
包的防火墙。所以,ICF的第一个功能就是不响应Ping命令,而且,ICF还禁止外部程序对本机
进行端口扫描,抛弃所有没有请求的IP包。
个人电脑同服务器不一样,一般不会提供诸如Ftp、Telnet、POP3等服务,这样可以被黑
客们利用的系统漏洞就很少。所以,ICF可以在一定的程度上很好地保护我们的个人电脑。
ICF是状态防火墙,可监视通过的所有通讯,并且检查所处理的每个消息的源和目标地址
。为了防止未经请求的通信进入系统端口,ICF保留了所有源自本地计算机的通讯表。在单独
的计算机中,ICF将跟踪源自本地计算机的通信,所有Internet传入通信都会针对于该表中的
各项进行比较。只有当通讯表中有匹配项时(这说明通讯交换是从计算机或专用网络内部开始
的),才允许将传入Internet通信传送给网络中的计算机。
源自外部ICF计算机(也就是入侵计算机)的通讯(如Internet非法访问)将被防火墙阻
止,除非在"服务"选项卡上设置允许该通讯通过。ICF不会向你发送活动通知,而是静态地阻
止未经请求的通讯,防止像端口扫描这样的常见黑客袭击。
ICF的原理是通过保存一个通讯表格,记录所有自本机发出的目的IP地址、端口、服务以
及其他一些数据来达到保护本机的目的。当一个IP数据包进入本机时,ICF会检查这个表格,
看到达的这个IP数据包是不是本机所请求的,如果是就让它通过,如果在那个表格中没有找到
相应的记录就抛弃这个IP数据包。下面的例子可以很好地说明这个原理。当用户使用Outlook
Express来收发电子邮件的时侯,本地个人机发出一个IP请求到POP3邮件服务器。ICF会记录
这个目的IP地址、端口。当一个IP数据包到达本机的时候,ICF首先会进行审核,通过查找事
先记录的数据可以确定这个IP数据包是来自我们请求的目的地址和端口,于是这个数据包获得
通过。来看一下当使用OutlookExpress客户端邮件程序和邮件服务器时的情况。一旦有新的
邮件到达邮件服务器时,邮件服务器会自动发一个IP数据包到Outlook客户机来通知有新的邮
件到达。这种通知是通过RPCCall来实现的。当邮件服务器的IP数据包到达客户机时,客户机
的ICF程序就会对这个IP包进行审核发现本机的Outlookexpress客户端软件曾发出过对这个地
址和端口发出IP请求,所以这个IP包就会被接受,客户机当然就会收到发自邮件服务器的新邮
件通知。然后让OutlookExpress去接收邮件服务器上的新邮件。 设置ICF
1、启用或禁用Internet连接防火墙
打开"控制面板"中的"网络连接" 单击要保护的拨号、本地连接或其它Internet连接,然后在"网络任务"→"更改该连接的
设置"→"高级"→"Internet连接防火墙"下,选中如图所示的项目: 若要启用Internet连接防火墙,选中"通过限制或阻止来自Internet的对此计算机的访问
来保护我的计算机和网络"复选框。若要禁用Internet连接防火墙,清除该复选框。
网络服务
还是上面的"高级"选项卡,点击下方的"设置"项,如下图: 已经有选中的项目表示网络用户能够存取的服务,如:messenger,远程桌面,FTP,Tel
net等。
对于一些常见的网络服务,如POP3,SMTP、HTTP等,系统会在需要的时候开放。
如果我们要设置一个新的服务项目,以常见的messenger文件传输为例,因为许多朋友都
会在这方面遇到问题,实际上在HELP中写的明白。
messenger的文件传输采用TCP6891-6900端口,可以在xp的防火墙设置里面增加TCP6891号
端口,文件就可以顺利发送了。文件传输的进程,一般情况下我们添加一个就行了。
添加方法见图: 按要求依次写入"描述","本机的IP地址",使用的端口号(6891),然后确定即可。
安全日志
生成安全日志时使用的格式是W3C扩展日志文件格式,这与在常用日志分析工具中使用的
格式类似。
打开"网络连接",单击要在其上启用Internet连接防火墙(ICF)的连接,然后在"网络任
务"→"更改该连接的设置"→"高级"→"设置"→"安全日志记录"→"记录选项"下,选择下面的
一项或两项: 若要启用对不成功的入站连接尝试的记录,请选中"记录丢弃的数据包"复选框,否则禁用
。
2、更改安全日志文件的路径和文件名
打开"网络连接",选择要在其上启用Internet连接防火墙的连接,然后在"网络任务"→"
更改该连接的设置"→"高级"→"设置"→"安全日志记录"→"日志文件选项"→"浏览"中,浏览
要放置日志文件的位置。
在"文件名"中,键入新的日志文件名,然后单击"打开"。打开后可查看其内容。
还可以设置安全日志文件的大小,打开已启用Internet连接防火墙的连接,然后在"网络
任务"→"更改该连接的设置"→"高级"→"设置"→"安全日志记录"→"日志文件选项"→"大小限
制"中,使用箭头按钮调整大小限制。笔者认为,一般512K足够了。
如果你在更改设置后有问题,可以还原默认的安全日志设置。打开启用Internet连接防火
墙的连接,然后点击"网络任务"→"更改该连接的设置"→"高级"→"设置"→"安全日志记录"→
"还原默认值"。
记录成功的连接--这将登录来源于家庭、小型办公网络或Internet的所有成功的连接。
当你选择"登录成功的外传连接"复选框时,将收集每个成功通过防火墙的连接信息。例如
,当网络上的任何人使用InternetExplorer成功实现与某个网站的连接时,日志中将生成一
条项目。
记录放弃的数据包--这将登录来源于家庭、小型办公网络或Internet的所有放弃的数据包
。
当你选择"登录放弃的数据包"复选框时,每次通信尝试通过防火墙却被检测和拒绝的信息
都被ICF收集。例如,如果你的Internet控制消息协议没有设置成允许传入的回显请求,如Pi
ng和Tracert命令发出的请求,则将接收到来自网络外的回显请求,回显请求将被放弃,然后
日志中将生成一条项目。
Internet控制消息协议(ICMP)
"网络消息协议(ICMP)"是所需的TCP/IP标准,通过ICMP,使用IP通讯的主机和路由器可
以报告错误并交换受限控制和状态信息。
在下列情况中,通常自动发送ICM消息:IP数据报无法访问目标。
IP路由器(网关)无法按当前的传输速率转发数据报。
IP路由器将发送主机重定向为使用更好的到达目标的路由。 应用Internet控制消息协议:
打开"网络连接"。单击已启用Internet连接防火墙的连接,在"网络任务"→"更改该连接
的设置"→单击"高级"→"设置"→"ICMP"选项卡上,选中希望你的计算机响应的请求信息类型
旁边的复选框。 ICF的局限性
那么,ICF不能做什么?ICF可不可以完全替代现有的个人防火墙产品?ICF是通过记录本
机的IP请求来确定外来的IP数据包是不是"合法",这当然不可以用在服务器上。为什么呢?服
务器上的IP数据包基本上都不是由服务器先发出,所以ICF这种方法根本就不可以对服务器的
安全提供保护。当然你也可以通过相应的设置让ICF忽略所有发向某一端口的数据包,例如80
端口。那么发向80端口的所有数据包都不会被ICF抛弃。从这种意义上讲80端口就成为不设防
的端口。这样的防火墙产品是不可能用在应用服务器上的,服务器上的防火墙产品都是基于建
立各种策略来审核外来的IP数据包。ICF和基于应用程序的个人防火墙产品也是不一样的。基
于应用程序的个人防火墙会记录每一个访问Internet的程序,例如,通过设置可以让IE有权来
访问Internet而Netscape的Navigator没有权限来访问Internet,即便两个程序的目的IP地址
和端口都是一样的。Norton的个人防火墙(PersonalFirewall)就是这样一个典型的产品。
简而言之,ICF没法提供基于应用程序的保护,也没法建立基于IP包的包审核策略。所以,IC
F既不能完全替代现有的个人防火墙产品,也没有办法很好地工作在应用服务器上。
笔者认为,Norton的个人防火墙和ZonealarmPro可以提供较全方面的保护,但设置较为
复杂。ICF并不能提供完全无懈可击的防护,但是ICF对个人电脑提供防护是足够的。在使用一
些系统安全软件对装有ICF的个人电脑进行端口扫描后,常会给出了"系统安全"的评价。况且
,ICF是WindowsXP内建的功能,占用的资源相当少且不用花额外的钱去购买。从ICF受益最多
的应该是那些仍然在使用Modem上网的朋友,在国内绝大部分的用户都是用Modem上网的。首先
,你上网的时间不会太长,一般在几小时上下(包月的除外)。其次,每次建立连接后拨号服
务器都会分配一个新的IP地址(动态地址分配)给你,长时间占用一个相同的IP的可能性应该
很低。比起使用ADSL和其它宽带的用户来讲,用Modem上网本身就安全了很多。
注意事项
ICF和家庭或小型办公室通讯--不应该在所有没有直接连接到Internet的连接上启用Inte
rnet连接防火墙,也就是最好不要在局域网中使用。如果在ICF客户计算机的网络适配器上启
用防火墙,则它将干扰该计算机和网络上的其他计算机之间的一些通讯。如果网络已经具有互
联网防火墙或代理服务器,则不需要Internet连接防火墙,你应该关闭它。
所以,使用一个重量级的防火墙实在是没有太多的意义。而ICF则刚刚好,它既提供了一
定的保护,而且又不太占用资源,不错的,是"又经济,又实惠"。
上一篇:沈阳修电脑 妙用网桥在Windows XP下实现共享上网 系统故障
下一篇:沈阳修电脑 品味WinXP与众不同的文件管理 系统故障