目前已經(jīng)發(fā)布的英文版windows xp service pack 2(sp2)包括了全新的windows防火墻，即以前所稱(chēng)的internet連接防火墻(icf)。windows防火墻是一個(gè)基于主機(jī)的狀態(tài)防火墻，它丟棄所有未請(qǐng)求的傳入流量，即那些既沒(méi)有對(duì)應(yīng)于為響應(yīng)計(jì)算機(jī)的某個(gè)請(qǐng)求而發(fā)送的流量(請(qǐng)求的流量)，也沒(méi)有對(duì)應(yīng)于已指定為允許的未請(qǐng)求的流量(異常流量)。windows防火墻提供某種程度的保護(hù)，避免那些依賴(lài)未請(qǐng)求的傳入流量來(lái)攻擊網(wǎng)絡(luò)上的計(jì)算機(jī)的惡意用戶(hù)和程序。

在windows xp sp2中，windows防火墻有了許多新增特性，其中包括:

默認(rèn)對(duì)計(jì)算機(jī)的所有連接啟用、應(yīng)用于所有連接的全新的全局配置選項(xiàng)、用于全局配置的新增對(duì)話(huà)框集、全新的操作模式、啟動(dòng)安全性、本地網(wǎng)絡(luò)限制、異常流量可以通過(guò)應(yīng)用程序文件名指定對(duì)internet協(xié)議第6版(ipv6)的內(nèi)建支持

采用netsh和組策略的新增配置選項(xiàng)

本文將詳細(xì)描述用于手動(dòng)配置全新的windows防火墻的對(duì)話(huà)框集。與windows xp(sp2之前的版本)中的icf不同，這些配置對(duì)話(huà)框可同時(shí)配置ipv4和ipv6流量。

windows xp(sp2之前的版本)中的icf設(shè)置包含單個(gè)復(fù)選框(在連接屬性的“高級(jí)”選項(xiàng)卡上“通過(guò)限制或阻止來(lái)自internet對(duì)此計(jì)算機(jī)的訪問(wèn)來(lái)保護(hù)我的計(jì)算機(jī)和網(wǎng)絡(luò)”復(fù)選框)和一個(gè)“設(shè)置”按鈕，您可以使用該按鈕來(lái)配置流量、日志設(shè)置和允許的icmp流量。

在windows xp sp2中，連接屬性的“高級(jí)”選項(xiàng)卡上的復(fù)選框被替換成了一個(gè)“設(shè)置”按鈕，您可以使用該按鈕來(lái)配置常規(guī)設(shè)置、程序和服務(wù)的權(quán)限、指定于連接的設(shè)置、日志設(shè)置和允許的icmp流量。

“設(shè)置”按鈕將運(yùn)行全新的windows防火墻控制面板程序(可在“網(wǎng)絡(luò)和internet連接與安全中心”類(lèi)別中找到)。

新的windows防火墻對(duì)話(huà)框包含以下選項(xiàng)卡:

“常規(guī)”　“異常”　“高級(jí)”　“常規(guī)”選項(xiàng)卡

在“常規(guī)”選項(xiàng)卡上，您可以選擇以下選項(xiàng):

“啟用(推薦)”

選擇這個(gè)選項(xiàng)來(lái)對(duì)“高級(jí)”選項(xiàng)卡上選擇的所有網(wǎng)絡(luò)連接啟用windows防火墻。

windows防火墻啟用后將僅允許請(qǐng)求的和異常的傳入流量。異常流量可在“異常”選項(xiàng)卡上進(jìn)行配置。

“不允許異常流量”

單擊這個(gè)選項(xiàng)來(lái)僅允許請(qǐng)求的傳入流量。這樣將不允許異常的傳入流量。“異常”選項(xiàng)卡上的設(shè)置將被忽略，所有的連接都將受到保護(hù)，而不管“高級(jí)”選項(xiàng)卡上的設(shè)置如何。

“禁用”

選擇這個(gè)選項(xiàng)來(lái)禁用windows防火墻。不推薦這樣做，特別是對(duì)于可通過(guò)internet直接訪問(wèn)的網(wǎng)絡(luò)連接。

注意對(duì)于運(yùn)行windows xp sp2的計(jì)算機(jī)的所有連接和新創(chuàng)建的連接，windows防火墻的默認(rèn)設(shè)置是“啟用(推薦)”。這可能會(huì)影響那些依賴(lài)未請(qǐng)求的傳入流量的程序或服務(wù)的通信。在這樣的情況下，您必須識(shí)別出那些已不再運(yùn)作的程序，將它們或它們的流量添加為異常流量。許多程序，比如internet瀏覽器和電子郵件客戶(hù)端(如:outlook express)，不依賴(lài)未請(qǐng)求的傳入流量，因而能夠在啟用windows防火墻的情況下正確地運(yùn)作。

如果您在使用組策略配置運(yùn)行windows xp sp2的計(jì)算機(jī)的windows防火墻，您所配置的組策略設(shè)置可能不允許進(jìn)行本地配置。在這樣的情況下，“常規(guī)”選項(xiàng)卡和其他選項(xiàng)卡上的選項(xiàng)可能是灰色的，而無(wú)法選擇，甚至本地管理員也無(wú)法進(jìn)行選擇。

基于組策略的windows防火墻設(shè)置允許您配置一個(gè)域配置文件(一組將在您連接到一個(gè)包含域控制器的網(wǎng)絡(luò)時(shí)所應(yīng)用的windows防火墻設(shè)置)和標(biāo)準(zhǔn)配置文件(一組將在您連接到像internet這樣沒(méi)有包含域控制器的網(wǎng)絡(luò)時(shí)所應(yīng)用的windows防火墻設(shè)置)。這些配置對(duì)話(huà)框僅顯示當(dāng)前所應(yīng)用的配置文件的windows防火墻設(shè)置。要查看當(dāng)前未應(yīng)用的配置文件的設(shè)置，可使用netsh firewall show命令。要更改當(dāng)前沒(méi)有被應(yīng)用的配置文件的設(shè)置，可使用netsh firewall set命令。