Windows XP SP2在安全方面做了重大的調(diào)整，安全設(shè)計(jì)融合到整個(gè)操作系統(tǒng)中，防火墻屏障、操作系統(tǒng)補(bǔ)丁和更新病毒庫(kù)等理念形成一個(gè)安全體系，而防火墻是這個(gè)安全體系的第一道屏障，它提供了一個(gè)強(qiáng)大的保護(hù)層，可以阻止惡意用戶和程序依*未經(jīng)請(qǐng)求的傳入流量攻擊計(jì)算機(jī)。Windows XP SP2防火墻又稱ICF（Internet Connection frewall），已經(jīng)具備個(gè)人防火墻的基本功能，它是一種能夠阻截所有傳入的未經(jīng)請(qǐng)求的流量的狀態(tài)防火墻。這些流量既不是響應(yīng)計(jì)算機(jī)請(qǐng)求而發(fā)送的流量（請(qǐng)求流量），也不是事先指定允許傳入的未經(jīng)請(qǐng)求的流量（異常流量）。這有助于使計(jì)算機(jī)更加安全，使您可以更好地控制計(jì)算機(jī)上的數(shù)據(jù)。和Windows良好的兼容性及可*性是其它個(gè)人防火墻所不能比擬的。
注：此文只探討Windows 防火墻原理、功能變化以及應(yīng)用過(guò)程中可能遇到問(wèn)題和解決辦法，不描述怎樣設(shè)置Windows 防火墻，如果未特別說(shuō)明，本文所提到的Windows 防火墻指Windows XP SP2防火墻。
一、使用個(gè)人防火墻還是使用Windows 防火墻
僅就防火墻功能而言，個(gè)人防火墻對(duì)雙向流量都進(jìn)行審核，擁有更復(fù)雜的控制列表，但是，Windows 防火墻只阻截所有傳入的未經(jīng)請(qǐng)求的流量，對(duì)主動(dòng)請(qǐng)求傳出的流量不作理會(huì)，這一點(diǎn)是它們之間最大的區(qū)別。絕大多數(shù)商業(yè)防火墻都提供了應(yīng)用程序過(guò)濾功能，這一功能可以阻止未通過(guò)認(rèn)證的應(yīng)用程序向外發(fā)送報(bào)文，這樣就可以防止病毒或木馬等惡意代碼同外部建立未認(rèn)證的連接，同時(shí)也可以防止用戶的計(jì)算機(jī)被黑客用做分布式攻擊的跳板。然而，WindowsXP SP2所帶的防火墻卻只能對(duì)進(jìn)入計(jì)算機(jī)的報(bào)文進(jìn)行過(guò)濾，而不對(duì)計(jì)算機(jī)向外發(fā)出的報(bào)文進(jìn)行過(guò)濾，它不對(duì)應(yīng)用程序向外發(fā)送報(bào)文做任何限制。事物有其兩面性，這些個(gè)人防火墻產(chǎn)品依據(jù)的防黑客原理通常不一樣，例如Norton的Personal Firewall(個(gè)人防火墻)是基于應(yīng)用程序的（Application Level）。基于應(yīng)用程序的防火墻在使用上相當(dāng)麻煩，因?yàn)槟惚仨氁獮槊恳粋€(gè)訪問(wèn)Internet的程序設(shè)置策略。而隨著策略的增多，防火墻的效率也逐步下降，況且過(guò)多的策略也會(huì)相互矛盾、影響，給系統(tǒng)安全帶來(lái)漏洞。更糟糕的是，這些個(gè)人防火墻產(chǎn)品都非常占用系統(tǒng)資源。
比如接入網(wǎng)絡(luò)游戲聯(lián)眾世界的時(shí)候，本地計(jì)算機(jī)請(qǐng)求連接遠(yuǎn)程服務(wù)器，這時(shí)，個(gè)人防火墻立即提示是否允許此連接通過(guò)，而Windows 防火墻對(duì)這個(gè)主動(dòng)出站請(qǐng)求不做任何處理，也不做任何提示，好像防火墻不存在似的，所以如果入侵已經(jīng)發(fā)生或間諜軟件已經(jīng)安裝，并主動(dòng)連接到外部網(wǎng)絡(luò)，那么防火墻束手無(wú)策；如果Windows 間諜軟件開(kāi)放端口等待外部請(qǐng)求連接，那么Windows 防火墻立刻阻斷連接并彈出安全警告。但這不表示W(wǎng)indows防火墻不安全，因?yàn)楣舳鄟?lái)自外部，而且如果間諜軟件開(kāi)放端口等待外部連接的時(shí)候， Windows防火墻立即阻斷連接，并且作出提示，關(guān)于這一點(diǎn)在下面的文章中還會(huì)提到。
對(duì)來(lái)自外部的請(qǐng)求連接的控制，Windows防火墻和個(gè)人防火墻在功能上區(qū)別不大。而且Windows防火墻有其獨(dú)特的特性，包括：計(jì)算機(jī)的所有連接默認(rèn)啟用ICF、人性化的屏蔽模式－充分考慮到了計(jì)算機(jī)使用環(huán)境的變化和及時(shí)阻斷攻擊和恢復(fù)正常使用的情況、智能應(yīng)用程序異常流量管理、對(duì)于 IPv6 ICF 內(nèi)建支持等功能。比如在啟動(dòng)安全性功能上，有一個(gè)可以執(zhí)行狀態(tài)數(shù)據(jù)包過(guò)濾的啟動(dòng)策略。該策略允許計(jì)算機(jī)使用動(dòng)態(tài)主機(jī)配置協(xié)議（Dynamic Host Configuration Protocol，DHCP）和域名系統(tǒng)（Domain Name System，DNS）執(zhí)行基本網(wǎng)絡(luò)啟動(dòng)任務(wù)，并與域控制器進(jìn)行通信，以更新組策略。避免計(jì)算機(jī)在網(wǎng)絡(luò)上進(jìn)入活動(dòng)狀態(tài)的時(shí)間與 ICF 開(kāi)始保護(hù)連接的時(shí)間之間的延遲中被未經(jīng)請(qǐng)求的流量在啟動(dòng)期間攻擊計(jì)算機(jī)留下了可乘之機(jī)。
遺憾的是Windows防火墻并不提供報(bào)警和入侵檢測(cè)。雖然Windows防火墻可以防止對(duì)系統(tǒng)的入侵。而且，其他的一些個(gè)人防火墻產(chǎn)品還有更好的診斷和報(bào)告功能（Windows防火墻沒(méi)有報(bào)告功能，僅僅有個(gè)日志）。所以，當(dāng)選擇使用哪個(gè)防火墻產(chǎn)品時(shí)，你應(yīng)該考慮這些因素。如果你選擇Windows防火墻，你應(yīng)該確定自己明白它的有限的能力，雖然Windows 防火墻對(duì)個(gè)人用戶而言已經(jīng)不在是雞肋。
二、Windows XP SP2防火墻工作原理
Windows 防火墻使用的全狀態(tài)數(shù)據(jù)包監(jiān)測(cè)技術(shù)會(huì)把所有由本機(jī)發(fā)起的網(wǎng)絡(luò)連接生成一張表，并用這張表跟所有的入站數(shù)據(jù)包作對(duì)比，如果入站的數(shù)據(jù)包是為了響應(yīng)本機(jī)的請(qǐng)求，那么就被允許進(jìn)入。除非有實(shí)施專門(mén)的過(guò)濾器以允許特定的非主動(dòng)請(qǐng)求數(shù)據(jù)包，否則所有其他數(shù)據(jù)包都會(huì)被阻擋。
“例外”選項(xiàng)卡使您可以添加程序和端口例外，以允許特定類型的傳入通信。您可以為每個(gè)例外設(shè)置范圍。如果開(kāi)放了某個(gè)端口，那么對(duì)這個(gè)端口的訪問(wèn)將被允許通過(guò)。端口或者服務(wù)可以在“例外”選項(xiàng)中設(shè)置或者通過(guò)指定應(yīng)用程序的方法設(shè)置，如QQ等，如果開(kāi)放端口的服務(wù)不是一個(gè)應(yīng)用程序如IIS服務(wù)，可以直接設(shè)置開(kāi)放的協(xié)議和端口號(hào)。對(duì)于只使用網(wǎng)絡(luò)瀏覽、電子郵件、共享文件夾、進(jìn)行普通處理的客戶端和服務(wù)器型應(yīng)用程序的用戶，Windows防火墻根本不會(huì)產(chǎn)生影響。
三、Windows 防火墻設(shè)置中幾個(gè)重要選項(xiàng)
單擊“開(kāi)始”，單擊“運(yùn)行”，鍵入 wscui.cpl，然后單擊“確定”，在“Windows 全中心”內(nèi)單擊“Windows 防火墻”。
對(duì)于“不允許例外”
當(dāng)您單擊選中“不允許例外”時(shí)，Windows 防火墻將阻止所有連接到您的計(jì)算機(jī)的請(qǐng)求，即使請(qǐng)求來(lái)自“例外”選項(xiàng)卡上列出的程序或服務(wù)也是如此。防火墻還會(huì)阻止發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備、文件共享和打印機(jī)共享。當(dāng)您連接到公用網(wǎng)絡(luò)（例如，與機(jī)場(chǎng)或旅館相關(guān)的網(wǎng)絡(luò)）時(shí)，“不允許例外”選項(xiàng)十分有用。此設(shè)置可以阻止所有連接到您的計(jì)算機(jī)的嘗試，因而有助于保護(hù)您的計(jì)算機(jī)。當(dāng)您使用 Windows 防火墻并啟用了“不允許例外”選項(xiàng)時(shí)，您仍然可以查看網(wǎng)頁(yè)，收發(fā)電子郵件或使用即時(shí)消息傳遞程序。
針對(duì)“例外”的說(shuō)明
“例外”選項(xiàng)卡使您可以添加程序和端口例外，以允許特定類型的傳入通信。您可以為每個(gè)例外設(shè)置范圍。
對(duì)于家庭和小型辦公室網(wǎng)絡(luò)，我們建議您在可能的條件下，將范圍設(shè)定為僅限局域網(wǎng)內(nèi)部。這樣配置可以使同一個(gè)子網(wǎng)上的計(jì)算機(jī)可以與此計(jì)算機(jī)上的程序連接，但拒絕源自遠(yuǎn)程網(wǎng)絡(luò)的通信。
四、Windows XP SP2的防火墻真的安全嗎？
Windows防火墻在原則上是對(duì)由外向內(nèi)的通信(inbound)全部進(jìn)行限制，而由內(nèi)向外的通信(outbound)及其應(yīng)答則完全不加限制。 Windows防火墻只在像服務(wù)器那樣運(yùn)行的應(yīng)用程序開(kāi)始通信時(shí)才會(huì)發(fā)出警告。以登錄聯(lián)眾世界為例：在所有網(wǎng)絡(luò)鏈接上打開(kāi)防火墻，現(xiàn)在，登陸聯(lián)眾世界試試，一樣登陸，根本不需要通過(guò)防火墻允許。選擇了“不允許例外”，結(jié)果還是一樣。而用zonealarm的時(shí)候，任何程序都得經(jīng)過(guò)防火墻的允許。這是為什么？
前面已經(jīng)提到了Windows防火墻的特點(diǎn)“只阻截所有傳入的未經(jīng)請(qǐng)求的流量”也就是說(shuō)，Windows防火墻對(duì)主動(dòng)出站流量不作處理，所以登陸聯(lián)眾世界/IE等沒(méi)有安全提示，而zonealarm等個(gè)人防火墻對(duì)所有出、入站流量都作審查，所以有安全提示（除非設(shè)置審查但不提示）。但是，為什么 QQ/MSN/MYIE2等又有安全提示呢？這是因?yàn)镼Q/MSN/MYIE2等試圖在本地開(kāi)后門(mén)--端口等待遠(yuǎn)程請(qǐng)求連接，顯然這種不安全行為被 Windows防火墻攔截并作出安全提示，這相當(dāng)于QQ/MSN/MYIE2等作為提供某種服務(wù)的服務(wù)器端。如圖所示，MYIE2在本開(kāi)了1067端口， QQ使6000和6001處在監(jiān)聽(tīng)狀態(tài)，而聯(lián)眾世界卻沒(méi)有開(kāi)放任何端口。
取消通知的方法是：防火墻設(shè)置-例外-取消選擇“Windows防火墻組織程序時(shí)通知我”。
五、Windows XP SP2的防火墻可以限制某個(gè)應(yīng)用程序訪問(wèn)網(wǎng)絡(luò)嗎？
Windows XP SP2的防火墻置不適用于不對(duì)特定 UDP 或 TCP 端口集合進(jìn)行監(jiān)聽(tīng)的應(yīng)用程序，不能限制某個(gè)應(yīng)用程序訪問(wèn)網(wǎng)絡(luò)，但是，卻可以限制對(duì)誰(shuí)提供哪些服務(wù)，這一點(diǎn)也不同于早期版本的Windows防火墻。
雖然Windows防火墻不可以限制出站通訊，但是Windows XP內(nèi)置的Internet Protocol security (IPSec)卻可以提供這種保護(hù)，使用IPSec規(guī)則，可以指定通訊是被阻斷（丟棄數(shù)據(jù)）還是被放行（允許），同時(shí)能保護(hù)加密的入站和出站通訊。在這三種情況下（阻斷、允許、保護(hù)），IPSec能夠配置原地址和目標(biāo)地址范圍。同時(shí)使用IPSec規(guī)則和Windows防火墻可以給網(wǎng)絡(luò)提供更強(qiáng)大的安全保護(hù)。
對(duì)早期Windows防火墻而言，如果開(kāi)啟了某些服務(wù)，它將允許所有人訪問(wèn)這些服務(wù)，但是SP2的防火墻卻可以精確的設(shè)置是對(duì)某臺(tái)計(jì)算機(jī)或者某些子網(wǎng)允許連接；如果沒(méi)有開(kāi)啟服務(wù)，則所有連接都將被拒絕。設(shè)置方法：安全中心-防火墻設(shè)置-例外-編輯（某個(gè)服務(wù)）-更改范圍-自定義列表。自定義列表的說(shuō)明，如果對(duì)某個(gè)IP提供服務(wù)，設(shè)置子網(wǎng)掩碼為全1，例如192.168.0.3/255.255.255.255；如果針對(duì)某個(gè)子網(wǎng)提供服務(wù)，設(shè)置正確的子網(wǎng)掩碼，如192.168.0.1/255.255.255.128，多個(gè)項(xiàng)目之間用“,”號(hào)隔離。
如上所述，ICF和基于應(yīng)用程序的個(gè)人防火墻產(chǎn)品是不一樣的。基于應(yīng)用程序的個(gè)人防火墻可以控制每一個(gè)訪問(wèn)Internet的程序，但是不能限制某個(gè)應(yīng)用程序訪問(wèn)網(wǎng)絡(luò)，使用使用IPSec規(guī)則可以提供對(duì)計(jì)算機(jī)向外發(fā)出的報(bào)文進(jìn)行過(guò)濾的功能。