ICF
是
"Internet Connection Firewall"
的简称,也就是因特网连接防火墙。
ICF
建立在你的电脑与因特网之间,它可以让你请求的数据通过、而阻碍你没有请求的数据包,是一个基于包的防火墙。所以,
ICF
的第一个功能就是不响应
Ping
命令,而且,
ICF
还禁止外部程序对本机进行端口扫描,抛弃所有没有请求的
IP
包。
个人电脑同服务器不一样,一般不会提供诸如 Ftp 、 Telnet 、 POP3 等服务,这样可以被黑客们利用的系统 漏洞 就很少。所以, ICF 可以在一定的程度上很好地保护我们的个人电脑。
ICF 是状态防火墙,可监视通过的所有通讯,并且检查所处理的每个消息的源和目标地址。为了防止未经请求的通信进入系统端口, ICF 保留了所有源自本地计算机的通讯表。在单独的计算机中, ICF 将跟踪源自本地计算机的通信,所有 Internet 传入通信都会针对于该表中的各项进行比较。只有当通讯表中有匹配项时 ( 这说明通讯交换是从计算机或专用网络内部开始的 ) ,才允许将传入 Internet 通信传送给网络中的计算机。
源自外部 ICF 计算机 ( 也就是 入侵 计算机 ) 的通讯 ( 如 Internet 非法访问 ) 将被防火墙阻止,除非在 " 服务 " 选项卡上设置允许该通讯通过。 ICF 不会向你发送活动通知,而是静态地阻止未经请求的通讯,防止像端口扫描这样的常见黑客袭击。
ICF 的原理是通过保存一个通讯表格,记录所有自本机发出的目的 IP 地址、端口、服务以及其他一些数据来达到保护本机的目的。 当一个 IP 数据包进入本机时, ICF 会检查这个表格,看到达的这个 IP 数据包是不是本机所请求的,如果是就让它通过,如果在那个表格中没有找到相应的记录就抛弃这个 IP 数据包。下面的例子可以很好地说明这个原理。当用户使用 Outlook Express 来收发电子邮件的时侯,本地个人机发出一个 IP 请求到 POP3 邮件服务器。 ICF 会记录这个目的 IP 地址、端口。当一个 IP 数据包到达本机的时候, ICF 首先会进行审核,通过查找事先记录的数据可以确定这个 IP 数据包是来自我们请求的目的地址和端口,于是这个数据包获得通过。来看一下当使用 Outlook Express 客户端邮件程序和邮件服务器时的情况。一旦有新的邮件到达邮件服务器时,邮件服务器会自动发一个 IP 数据包到 Outlook 客户机来通知有新的邮件到达。这种通知是通过 RPC Call 来实现的。当邮件服务器的 IP 数据包到达客户机时,客户机的 ICF 程序就会对这个 IP 包进行审核发现本机的 Outlook express 客户端软件曾发出过对这个地址和端口发出 IP 请求,所以这个 IP 包就会被接受,客户机当然就会收到发自邮件服务器的新邮件通知。然后让 Outlook Express 去接收邮件服务器上的新邮件。
设置 ICF
1 、启用或禁用 Internet 连接防火墙
打开 " 控制面板 " 中的 " 网络连接 "
单击要保护的拨号、本地连接或其它 Internet 连接,然后在 " 网络任务 "→" 更改该连接的设置 "→" 高级 "→"Internet 连接防火墙 " 下,若要启用Internet连接防火墙,选中"通过限制或阻止来自Internet的对此计算机的访问来保护我的计算机和网络"复选框。若要禁用Internet连接防火墙,清除该复选框。
网络服务
还是上面的"高级"选项卡,点击下方的"设置"项, 已经有选中的项目表示网络用户能够存取的服务,如:messenger,远程桌面,FTP,Telnet等。
对于一些常见的网络服务,如POP3,SMTP、HTTP等,系统会在需要的时候开放。
如果我们要设置一个新的服务项目,以常见的messenger文件传输为例,因为许多朋友都会在这方面遇到问题,实际上在HELP中写的明白。
messenger的文件传输采用TCP6891-6900端口,可以在xp的防火墙设置里面增加TCP6891号端口,文件就可以顺利发送了。文件传输的进程,一般情况下我们添加一个就行了。
安全日志
生成安全日志时使用的格式是W3C扩展日志文件格式,这与在常用日志分析工具中使用的格式类似。
打开"网络连接",单击要在其上启用Internet连接防火墙(ICF)的连接,然后在"网络任务"→"更改该连接的设置"→"高级"→"设置"→"安全日志记录"→"记录选项"下,若要启用对不成功的入站连接尝试的记录,请选中"记录丢弃的数据包"复选框,否则禁用。
2、更改安全日志文件的路径和文件名
打开"网络连接",选择要在其上启用Internet连接防火墙的连接,然后在"网络任务"→"更改该连接的设置"→"高级"→"设置"→"安全日志记录"→"日志文件选项"→"浏览"中,浏览要放置日志文件的位置。
在"文件名"中,键入新的日志文件名,然后单击"打开"。打开后可查看其内容。
还可以设置安全日志文件的大小,打开已启用Internet连接防火墙的连接,然后在"网络任务"→"更改该连接的设置"→"高级"→"设置"→"安全日志记录"→"日志文件选项"→"大小限制"中,使用箭头按钮调整大小限制。笔者认为,一般512K足够了。
如果你在更改设置后有问题,可以还原默认的安全日志设置。打开启用Internet连接防火墙的连接,然后点击"网络任务"→"更改该连接的设置"→"高级"→"设置"→"安全日志记录"→"还原默认值"。
记录成功的连接--这将登录来源于家庭、小型办公网络或Internet的所有成功的连接。
当你选择"登录成功的外传连接"复选框时,将收集每个成功通过防火墙的连接信息。例如,当网络上的任何人使用Internet Explorer成功实现与某个网站的连接时,日志中将生成一条项目。
记录放弃的数据包--这将登录来源于家庭、小型办公网络或Internet的所有放弃的数据包。
当你选择"登录放弃的数据包"复选框时,每次通信尝试通过防火墙却被检测和拒绝的信息都被ICF收集。例如,如果你的Internet控制消息协议没有设置成允许传入的回显请求,如Ping和Tracert命令发出的请求,则将接收到来自网络外的回显请求,回显请求将被放弃,然后日志中将生成一条项目。
Internet控制消息协议(ICMP)
"网络消息协议(ICMP)"是所需的TCP/IP标准,通过ICMP,使用IP通讯的主机和路由器可以报告错误并交换受限控制和状态信息。
在下列情况中,通常自动发送ICM消息:
IP数据报无法访问目标。
IP路由器(网关)无法按当前的传输速率转发数据报。
IP路由器将发送主机重定向为使用更好的到达目标的路由。应用Internet控制消息协议:
打开"网络连接"。 单击已启用Internet连接防火墙的连接,在"网络任务"→"更改该连接的设置"→单击"高级"→"设置"→"ICMP"选项卡上,选中希望你的计算机响应的请求信息类型旁边的复选框。ICF的局限性
那么,ICF不能做什么?ICF可不可以完全替代现有的个人防火墙产品?ICF是通过记录本机的IP请求来确定外来的IP数据包是不是"合法",这当然不可以用在服务器上。为什么呢?服务器上的IP数据包基本上都不是由服务器先发出,所以ICF这种方法根本就不可以对服务器的安全提供保护。当然你也可以通过相应的设置让ICF忽略所有发向某一端口的数据包,例如80端口。那么发向80端口的所有数据包都不会被ICF抛弃。从这种意义上讲80端口就成为不设防的端口。这样的防火墙产品是不可能用在应用服务器上的,服务器上的防火墙产品都是基于建立各种策略来审核外来的IP数据包。ICF和基于应用程序的个人防火墙产品也是不一样的。基于应用程序的个人防火墙会记录每一个访问Internet的程序,例如,通过设置可以让IE有权来访问Internet而Netscape的Navigator没有权限来访问Internet,即便两个程序的目的IP地址和端口都是一样的。Norton的个人防火墙(Personal Firewall)就是这样一个典型的产品。简而言之,ICF没法提供基于应用程序的保护,也没法建立基于IP包的包审核策略。所以,ICF既不能完全替代现有的个人防火墙产品,也没有办法很好地工作在应用服务器上。
笔者认为,Norton的个人防火墙和Zonealarm Pro可以提供较全方面的保护,但设置较为复杂。ICF并不能提供完全无懈可击的防护,但是ICF对个人电脑提供防护是足够的。在使用一些系统安全软件对装有ICF的个人电脑进行端口扫描后,常会给出了"系统安全"的评价。况且,ICF是Windows XP内建的功能,占用的资源相当少且不用花额外的钱去购买。从ICF受益最多的应该是那些仍然在使用Modem上网的朋友,在国内绝大部分的用户都是用Modem上网的。首先,你上网的时间不会太长,一般在几小时上下(包月的除外)。其次,每次建立连接后拨号服务器都会分配一个新的IP地址(动态地址分配)给你,长时间占用一个相同的IP的可能性应该很低。比起使用ADSL和其它宽带的用户来讲,用Modem上网本身就安全了很多。
注意事项
ICF和家庭或小型办公室通讯--不应该在所有没有直接连接到Internet的连接上启用Internet连接防火墙,也就是最好不要在局域网中使用。如果在ICF客户计算机的网络适配器上启用防火墙,则它将干扰该计算机和网络上的其他计算机之间的一些通讯。如果网络已经具有互联网防火墙或代理服务器,则不需要Internet连接防火墙,你应该关闭它。
所以,使用一个重量级的防火墙实在是没有太多的意义。而ICF则刚刚好,它既提供了一定的保护,而且又不太占用资源,不错的,是"又经济,又实惠"。
个人电脑同服务器不一样,一般不会提供诸如 Ftp 、 Telnet 、 POP3 等服务,这样可以被黑客们利用的系统 漏洞 就很少。所以, ICF 可以在一定的程度上很好地保护我们的个人电脑。
ICF 是状态防火墙,可监视通过的所有通讯,并且检查所处理的每个消息的源和目标地址。为了防止未经请求的通信进入系统端口, ICF 保留了所有源自本地计算机的通讯表。在单独的计算机中, ICF 将跟踪源自本地计算机的通信,所有 Internet 传入通信都会针对于该表中的各项进行比较。只有当通讯表中有匹配项时 ( 这说明通讯交换是从计算机或专用网络内部开始的 ) ,才允许将传入 Internet 通信传送给网络中的计算机。
源自外部 ICF 计算机 ( 也就是 入侵 计算机 ) 的通讯 ( 如 Internet 非法访问 ) 将被防火墙阻止,除非在 " 服务 " 选项卡上设置允许该通讯通过。 ICF 不会向你发送活动通知,而是静态地阻止未经请求的通讯,防止像端口扫描这样的常见黑客袭击。
ICF 的原理是通过保存一个通讯表格,记录所有自本机发出的目的 IP 地址、端口、服务以及其他一些数据来达到保护本机的目的。 当一个 IP 数据包进入本机时, ICF 会检查这个表格,看到达的这个 IP 数据包是不是本机所请求的,如果是就让它通过,如果在那个表格中没有找到相应的记录就抛弃这个 IP 数据包。下面的例子可以很好地说明这个原理。当用户使用 Outlook Express 来收发电子邮件的时侯,本地个人机发出一个 IP 请求到 POP3 邮件服务器。 ICF 会记录这个目的 IP 地址、端口。当一个 IP 数据包到达本机的时候, ICF 首先会进行审核,通过查找事先记录的数据可以确定这个 IP 数据包是来自我们请求的目的地址和端口,于是这个数据包获得通过。来看一下当使用 Outlook Express 客户端邮件程序和邮件服务器时的情况。一旦有新的邮件到达邮件服务器时,邮件服务器会自动发一个 IP 数据包到 Outlook 客户机来通知有新的邮件到达。这种通知是通过 RPC Call 来实现的。当邮件服务器的 IP 数据包到达客户机时,客户机的 ICF 程序就会对这个 IP 包进行审核发现本机的 Outlook express 客户端软件曾发出过对这个地址和端口发出 IP 请求,所以这个 IP 包就会被接受,客户机当然就会收到发自邮件服务器的新邮件通知。然后让 Outlook Express 去接收邮件服务器上的新邮件。
设置 ICF
1 、启用或禁用 Internet 连接防火墙
打开 " 控制面板 " 中的 " 网络连接 "
单击要保护的拨号、本地连接或其它 Internet 连接,然后在 " 网络任务 "→" 更改该连接的设置 "→" 高级 "→"Internet 连接防火墙 " 下,若要启用Internet连接防火墙,选中"通过限制或阻止来自Internet的对此计算机的访问来保护我的计算机和网络"复选框。若要禁用Internet连接防火墙,清除该复选框。
网络服务
还是上面的"高级"选项卡,点击下方的"设置"项, 已经有选中的项目表示网络用户能够存取的服务,如:messenger,远程桌面,FTP,Telnet等。
对于一些常见的网络服务,如POP3,SMTP、HTTP等,系统会在需要的时候开放。
如果我们要设置一个新的服务项目,以常见的messenger文件传输为例,因为许多朋友都会在这方面遇到问题,实际上在HELP中写的明白。
messenger的文件传输采用TCP6891-6900端口,可以在xp的防火墙设置里面增加TCP6891号端口,文件就可以顺利发送了。文件传输的进程,一般情况下我们添加一个就行了。
安全日志
生成安全日志时使用的格式是W3C扩展日志文件格式,这与在常用日志分析工具中使用的格式类似。
打开"网络连接",单击要在其上启用Internet连接防火墙(ICF)的连接,然后在"网络任务"→"更改该连接的设置"→"高级"→"设置"→"安全日志记录"→"记录选项"下,若要启用对不成功的入站连接尝试的记录,请选中"记录丢弃的数据包"复选框,否则禁用。
2、更改安全日志文件的路径和文件名
打开"网络连接",选择要在其上启用Internet连接防火墙的连接,然后在"网络任务"→"更改该连接的设置"→"高级"→"设置"→"安全日志记录"→"日志文件选项"→"浏览"中,浏览要放置日志文件的位置。
在"文件名"中,键入新的日志文件名,然后单击"打开"。打开后可查看其内容。
还可以设置安全日志文件的大小,打开已启用Internet连接防火墙的连接,然后在"网络任务"→"更改该连接的设置"→"高级"→"设置"→"安全日志记录"→"日志文件选项"→"大小限制"中,使用箭头按钮调整大小限制。笔者认为,一般512K足够了。
如果你在更改设置后有问题,可以还原默认的安全日志设置。打开启用Internet连接防火墙的连接,然后点击"网络任务"→"更改该连接的设置"→"高级"→"设置"→"安全日志记录"→"还原默认值"。
记录成功的连接--这将登录来源于家庭、小型办公网络或Internet的所有成功的连接。
当你选择"登录成功的外传连接"复选框时,将收集每个成功通过防火墙的连接信息。例如,当网络上的任何人使用Internet Explorer成功实现与某个网站的连接时,日志中将生成一条项目。
记录放弃的数据包--这将登录来源于家庭、小型办公网络或Internet的所有放弃的数据包。
当你选择"登录放弃的数据包"复选框时,每次通信尝试通过防火墙却被检测和拒绝的信息都被ICF收集。例如,如果你的Internet控制消息协议没有设置成允许传入的回显请求,如Ping和Tracert命令发出的请求,则将接收到来自网络外的回显请求,回显请求将被放弃,然后日志中将生成一条项目。
Internet控制消息协议(ICMP)
"网络消息协议(ICMP)"是所需的TCP/IP标准,通过ICMP,使用IP通讯的主机和路由器可以报告错误并交换受限控制和状态信息。
在下列情况中,通常自动发送ICM消息:
IP数据报无法访问目标。
IP路由器(网关)无法按当前的传输速率转发数据报。
IP路由器将发送主机重定向为使用更好的到达目标的路由。应用Internet控制消息协议:
打开"网络连接"。 单击已启用Internet连接防火墙的连接,在"网络任务"→"更改该连接的设置"→单击"高级"→"设置"→"ICMP"选项卡上,选中希望你的计算机响应的请求信息类型旁边的复选框。ICF的局限性
那么,ICF不能做什么?ICF可不可以完全替代现有的个人防火墙产品?ICF是通过记录本机的IP请求来确定外来的IP数据包是不是"合法",这当然不可以用在服务器上。为什么呢?服务器上的IP数据包基本上都不是由服务器先发出,所以ICF这种方法根本就不可以对服务器的安全提供保护。当然你也可以通过相应的设置让ICF忽略所有发向某一端口的数据包,例如80端口。那么发向80端口的所有数据包都不会被ICF抛弃。从这种意义上讲80端口就成为不设防的端口。这样的防火墙产品是不可能用在应用服务器上的,服务器上的防火墙产品都是基于建立各种策略来审核外来的IP数据包。ICF和基于应用程序的个人防火墙产品也是不一样的。基于应用程序的个人防火墙会记录每一个访问Internet的程序,例如,通过设置可以让IE有权来访问Internet而Netscape的Navigator没有权限来访问Internet,即便两个程序的目的IP地址和端口都是一样的。Norton的个人防火墙(Personal Firewall)就是这样一个典型的产品。简而言之,ICF没法提供基于应用程序的保护,也没法建立基于IP包的包审核策略。所以,ICF既不能完全替代现有的个人防火墙产品,也没有办法很好地工作在应用服务器上。
笔者认为,Norton的个人防火墙和Zonealarm Pro可以提供较全方面的保护,但设置较为复杂。ICF并不能提供完全无懈可击的防护,但是ICF对个人电脑提供防护是足够的。在使用一些系统安全软件对装有ICF的个人电脑进行端口扫描后,常会给出了"系统安全"的评价。况且,ICF是Windows XP内建的功能,占用的资源相当少且不用花额外的钱去购买。从ICF受益最多的应该是那些仍然在使用Modem上网的朋友,在国内绝大部分的用户都是用Modem上网的。首先,你上网的时间不会太长,一般在几小时上下(包月的除外)。其次,每次建立连接后拨号服务器都会分配一个新的IP地址(动态地址分配)给你,长时间占用一个相同的IP的可能性应该很低。比起使用ADSL和其它宽带的用户来讲,用Modem上网本身就安全了很多。
注意事项
ICF和家庭或小型办公室通讯--不应该在所有没有直接连接到Internet的连接上启用Internet连接防火墙,也就是最好不要在局域网中使用。如果在ICF客户计算机的网络适配器上启用防火墙,则它将干扰该计算机和网络上的其他计算机之间的一些通讯。如果网络已经具有互联网防火墙或代理服务器,则不需要Internet连接防火墙,你应该关闭它。
所以,使用一个重量级的防火墙实在是没有太多的意义。而ICF则刚刚好,它既提供了一定的保护,而且又不太占用资源,不错的,是"又经济,又实惠"。
