WinXP中的防火墻

2020-03-01 06:16:09

字體：大中小

供稿：網(wǎng)友

一、概述：

　　防火墻是充當(dāng)網(wǎng)絡(luò)與外部世界之間的保衛(wèi)邊界的安全系統(tǒng)。Internet 連接防火墻 (ICF) 是用來限制哪些信息可以從您的家庭或小型辦公網(wǎng)絡(luò)進入 Internet 以及從 Internet 進入您的家庭或小型辦公網(wǎng)絡(luò)的一種軟件。如果網(wǎng)絡(luò)使用 Internet 連接共享 (ICS) 來為多臺計算機提供 Internet 訪問能力，則應(yīng)該在共享的 Internet 連接中啟用 ICF。但是，ICS 和 ICF 可以單獨啟用。應(yīng)該在直接連接到 Internet 的任何一臺計算機的 Internet 連接上啟用 ICF。

　　ICF 還能保護連接到 Internet 的單獨計算機。如果連接到 Internet 的單獨計算機具有電纜調(diào)制解調(diào)器、DSL 調(diào)制解調(diào)器或撥號調(diào)制解調(diào)器，則 ICF 將保護此 Internet 連接。應(yīng)該在 VPN 連接上啟用 ICF，因為此連接將干擾文件共享和其他 VPN 功能的操作。

　　二、Internet 連接防火墻 (ICF) 如何工作

　　ICF 被視為狀態(tài)防火墻。狀態(tài)防火墻可監(jiān)視通過其路徑的所有通訊方面，并且檢查所處理的每個消息的源和目標(biāo)地址。為了防止來自連接公用端的未經(jīng)請求的通信進入專用端，ICF 保留了所有源自 ICF 計算機的通訊表。在單獨的計算機中，ICF 將跟蹤源自該計算機的通信。與 ICS 一起使用時，ICF 將跟蹤所有源自 ICF/ICS 計算機的通信和所有源自專用網(wǎng)絡(luò)計算機的通信。源自外部源 ICF 計算機的通訊（如 Internet）將被防火墻阻止，和"天網(wǎng)"等防火墻軟件不一樣，ICF 不會向您發(fā)送活動通知，而是靜態(tài)地阻止未經(jīng)請求的通訊，防止像端口掃描這樣的常見黑客襲擊。這樣的通知可能過于頻繁以至于成為一種干擾。ICF 可能創(chuàng)建安全日志以查看被防火墻跟蹤的活動。

你可以將服務(wù)配置成允許 ICF 計算機將來自 Internet 未經(jīng)請求的通信傳遞到專用網(wǎng)絡(luò)。例如，如果您正在主持 HTTP Web 服務(wù)器服務(wù)，而且已啟用了 ICF 計算機上的 HTTP 服務(wù)，則未經(jīng)請求的 HTTP 通信將由 ICF 計算機轉(zhuǎn)發(fā)至 HTTP Web 服務(wù)器。ICF 需要一組操作信息（稱為服務(wù)定義），才會允許未經(jīng)請求的 Internet 通信轉(zhuǎn)發(fā)到專用網(wǎng)絡(luò)上的 Web 服務(wù)器。

　　三、Internet 連接防火墻使用注意事項

　　1．ICF 和家庭或小型辦公室通訊

　　不應(yīng)該在所有沒有直接連接到 Internet 的連接上啟用 Internet 連接防火墻 (ICF)。如果在 ICS 客戶計算機的網(wǎng)絡(luò)適配器上啟用防火墻，則它將干擾該計算機和網(wǎng)絡(luò)上的所有其他計算機之間的某些通訊。出于類似的原因，網(wǎng)絡(luò)安裝向?qū)Р辉试S在 ICS 主機的專用連接（該連接將 ICS 主機與 ICS 客戶計算機連接起來）上啟用 ICF，因為在該位置啟用防火墻會完全禁止網(wǎng)絡(luò)通訊。

　　如果網(wǎng)絡(luò)已經(jīng)具有防火墻或代理服務(wù)器，則不需要 Internet 連接防火墻。

　　如果網(wǎng)絡(luò)只有一個共享 Internet 連接，則應(yīng)該啟用 Internet 連接防火墻對其進行保護。各個客戶計算機也可以有適配器（例如撥號、DSL 調(diào)制解調(diào)器），這些調(diào)制解調(diào)器可提供單獨的 Internet 連接，但它們不受防火墻的保護。ICF 只能檢查通過已對其啟用了該設(shè)置的 Internet 連接的通訊。因為 ICF 針對每個連接工作，所以為了確保能夠保護整個網(wǎng)絡(luò)，需要在所有連接 Internet 的計算機上啟用它。如果已經(jīng)對 ICS 主機的 Internet 連接啟用了防火墻，但直接連接 Internet 的客戶端計算機沒有使用防火墻進行保護，那么，您的網(wǎng)絡(luò)將因為此未受保護的連接而存在安全缺陷。

　　允許服務(wù)操作跨越 ICF 的服務(wù)定義也是針對每個連接而工作的。如果網(wǎng)絡(luò)有多個防火墻連接，則必須為每個希望服務(wù)通過的有防火墻的連接配置服務(wù)定義。