目前已經(jīng)發(fā)布的英文版windows xp service pack 2(sp2)包括了全新的windows防火墻，即以前所稱的internet連接防火墻(icf)。windows防火墻是一個基于主機的狀態(tài)防火墻，它丟棄所有未請求的傳入流量，即那些既沒有對應(yīng)于為響應(yīng)計算機的某個請求而發(fā)送的流量(請求的流量)，也沒有對應(yīng)于已指定為允許的未請求的流量(異常流量)。windows防火墻提供某種程度的保護(hù)，避免那些依賴未請求的傳入流量來攻擊網(wǎng)絡(luò)上的計算機的惡意用戶和程序。

在windows xp sp2中，windows防火墻有了許多新增特性，其中包括:

默認(rèn)對計算機的所有連接啟用、應(yīng)用于所有連接的全新的全局配置選項、用于全局配置的新增對話框集、全新的操作模式、啟動安全性、本地網(wǎng)絡(luò)限制、異常流量可以通過應(yīng)用程序文件名指定對internet協(xié)議第6版(ipv6)的內(nèi)建支持

采用netsh和組策略的新增配置選項

本文將詳細(xì)描述用于手動配置全新的windows防火墻的對話框集。與windows xp(sp2之前的版本)中的icf不同，這些配置對話框可同時配置ipv4和ipv6流量。

windows xp(sp2之前的版本)中的icf設(shè)置包含單個復(fù)選框(在連接屬性的“高級”選項卡上“通過限制或阻止來自internet對此計算機的訪問來保護(hù)我的計算機和網(wǎng)絡(luò)”復(fù)選框)和一個“設(shè)置”按鈕，您可以使用該按鈕來配置流量、日志設(shè)置和允許的icmp流量。

在windows xp sp2中，連接屬性的“高級”選項卡上的復(fù)選框被替換成了一個“設(shè)置”按鈕，您可以使用該按鈕來配置常規(guī)設(shè)置、程序和服務(wù)的權(quán)限、指定于連接的設(shè)置、日志設(shè)置和允許的icmp流量。

“設(shè)置”按鈕將運行全新的windows防火墻控制面板程序(可在“網(wǎng)絡(luò)和internet連接與安全中心”類別中找到)。

新的windows防火墻對話框包含以下選項卡:

“常規(guī)”　“異常”　“高級”　“常規(guī)”選項卡

在“常規(guī)”選項卡上，您可以選擇以下選項:

“啟用(推薦)”

選擇這個選項來對“高級”選項卡上選擇的所有網(wǎng)絡(luò)連接啟用windows防火墻。

windows防火墻啟用后將僅允許請求的和異常的傳入流量。異常流量可在“異常”選項卡上進(jìn)行配置。

“不允許異常流量”

單擊這個選項來僅允許請求的傳入流量。這樣將不允許異常的傳入流量。“異常”選項卡上的設(shè)置將被忽略，所有的連接都將受到保護(hù)，而不管“高級”選項卡上的設(shè)置如何。

“禁用”

選擇這個選項來禁用windows防火墻。不推薦這樣做，特別是對于可通過internet直接訪問的網(wǎng)絡(luò)連接。

注意對于運行windows xp sp2的計算機的所有連接和新創(chuàng)建的連接，windows防火墻的默認(rèn)設(shè)置是“啟用(推薦)”。這可能會影響那些依賴未請求的傳入流量的程序或服務(wù)的通信。在這樣的情況下，您必須識別出那些已不再運作的程序，將它們或它們的流量添加為異常流量。許多程序，比如internet瀏覽器和電子郵件客戶端(如:outlook express)，不依賴未請求的傳入流量，因而能夠在啟用windows防火墻的情況下正確地運作。

如果您在使用組策略配置運行windows xp sp2的計算機的windows防火墻，您所配置的組策略設(shè)置可能不允許進(jìn)行本地配置。在這樣的情況下，“常規(guī)”選項卡和其他選項卡上的選項可能是灰色的，而無法選擇，甚至本地管理員也無法進(jìn)行選擇。

基于組策略的windows防火墻設(shè)置允許您配置一個域配置文件(一組將在您連接到一個包含域控制器的網(wǎng)絡(luò)時所應(yīng)用的windows防火墻設(shè)置)和標(biāo)準(zhǔn)配置文件(一組將在您連接到像internet這樣沒有包含域控制器的網(wǎng)絡(luò)時所應(yīng)用的windows防火墻設(shè)置)。這些配置對話框僅顯示當(dāng)前所應(yīng)用的配置文件的windows防火墻設(shè)置。要查看當(dāng)前未應(yīng)用的配置文件的設(shè)置，可使用netsh firewall show命令。要更改當(dāng)前沒有被應(yīng)用的配置文件的設(shè)置，可使用netsh firewall set命令。