目前已經(jīng)發(fā)布的英文版windows xp service pack 2(sp2)包括了全新的windows防火墻，即以前所稱的internet連接防火墻(icf)。windows防火墻是一個基于主機(jī)的狀態(tài)防火墻，它丟棄所有未請求的傳入流量，即那些既沒有對應(yīng)于為響應(yīng)計算機(jī)的某個請求而發(fā)送的流量(請求的流量)，也沒有對應(yīng)于已指定為允許的未請求的流量(異常流量)。windows防火墻提供某種程度的保護(hù)，避免那些依賴未請求的傳入流量來攻擊網(wǎng)絡(luò)上的計算機(jī)的惡意用戶和程序。

　　在windows xp sp2中，windows防火墻有了許多新增特性，其中包括:

　　默認(rèn)對計算機(jī)的所有連接啟用、應(yīng)用于所有連接的全新的全局配置選項、用于全局配置的新增對話框集、全新的操作模式、啟動安全性、本地網(wǎng)絡(luò)限制、異常流量可以通過應(yīng)用程序文件名指定對internet協(xié)議第6版(ipv6)的內(nèi)建支持

　　采用netsh和組策略的新增配置選項

　　本文將詳細(xì)描述用于手動配置全新的windows防火墻的對話框集。與windows xp(sp2之前的版本)中的icf不同，這些配置對話框可同時配置ipv4和ipv6流量。

　　windows xp(sp2之前的版本)中的icf設(shè)置包含單個復(fù)選框(在連接屬性的“高級”選項卡上“通過限制或阻止來自internet對此計算機(jī)的訪問來保護(hù)我的計算機(jī)和網(wǎng)絡(luò)”復(fù)選框)和一個“設(shè)置”按鈕，您可以使用該按鈕來配置流量、日志設(shè)置和允許的icmp流量。

　　在windows xp sp2中，連接屬性的“高級”選項卡上的復(fù)選框被替換成了一個“設(shè)置”按鈕，您可以使用該按鈕來配置常規(guī)設(shè)置、程序和服務(wù)的權(quán)限、指定于連接的設(shè)置、日志設(shè)置和允許的icmp流量。

　　“設(shè)置”按鈕將運(yùn)行全新的windows防火墻控制面板程序(可在“網(wǎng)絡(luò)和internet連接與安全中心”類別中找到)。

　　新的windows防火墻對話框包含以下選項卡:

　　“常規(guī)”　“異常”　“高級”　“常規(guī)”選項卡

　　在“常規(guī)”選項卡上，您可以選擇以下選項:

　　“啟用(推薦)”

　　選擇這個選項來對“高級”選項卡上選擇的所有網(wǎng)絡(luò)連接啟用windows防火墻。

　　windows防火墻啟用后將僅允許請求的和異常的傳入流量。異常流量可在“異常”選項卡上進(jìn)行配置。

　　“不允許異常流量”

　　單擊這個選項來僅允許請求的傳入流量。這樣將不允許異常的傳入流量。“異常”選項卡上的設(shè)置將被忽略，所有的連接都將受到保護(hù)，而不管“高級”選項卡上的設(shè)置如何。

　　“禁用”

　　選擇這個選項來禁用windows防火墻。不推薦這樣做，特別是對于可通過internet直接訪問的網(wǎng)絡(luò)連接。

　　注意對于運(yùn)行windows xp sp2的計算機(jī)的所有連接和新創(chuàng)建的連接，windows防火墻的默認(rèn)設(shè)置是“啟用(推薦)”。這可能會影響那些依賴未請求的傳入流量的程序或服務(wù)的通信。在這樣的情況下，您必須識別出那些已不再運(yùn)作的程序，將它們或它們的流量添加為異常流量。許多程序，比如internet瀏覽器和電子郵件客戶端(如:outlook express)，不依賴未請求的傳入流量，因而能夠在啟用windows防火墻的情況下正確地運(yùn)作。

　　如果您在使用組策略配置運(yùn)行windows xp sp2的計算機(jī)的windows防火墻，您所配置的組策略設(shè)置可能不允許進(jìn)行本地配置。在這樣的情況下，“常規(guī)”選項卡和其他選項卡上的選項可能是灰色的，而無法選擇，甚至本地管理員也無法進(jìn)行選擇。

　　基于組策略的windows防火墻設(shè)置允許您配置一個域配置文件(一組將在您連接到一個包含域控制器的網(wǎng)絡(luò)時所應(yīng)用的windows防火墻設(shè)置)和標(biāo)準(zhǔn)配置文件(一組將在您連接到像internet這樣沒有包含域控制器的網(wǎng)絡(luò)時所應(yīng)用的windows防火墻設(shè)置)。這些配置對話框僅顯示當(dāng)前所應(yīng)用的配置文件的windows防火墻設(shè)置。要查看當(dāng)前未應(yīng)用的配置文件的設(shè)置，可使用netsh firewall show命令。要更改當(dāng)前沒有被應(yīng)用的配置文件的設(shè)置，可使用netsh firewall set命令。

　　“異常”選項卡

　　在“異常”選項卡上，您可以啟用或禁用某個現(xiàn)有的程序或服務(wù)，或者維護(hù)用于定義異常流量的程序或服務(wù)的列表。當(dāng)選中“常規(guī)”選項卡上的“不允許異常流量”選項時，異常流量將被拒絕。

　　對于windows xp(sp2之前的版本)，您只能根據(jù)傳輸控制協(xié)議(tcp)或用戶數(shù)據(jù)報協(xié)議(udp)端口來定義異常流量。對于windows xp sp2，您可以根據(jù)tcp和udp端口或者程序或服務(wù)的文件名來定義異常流量。在程序或服務(wù)的tcp或udp端口未知或需要在程序或服務(wù)啟動時動態(tài)確定的情況下，這種配置靈活性使得配置異常流量更加容易。

　　已有一組預(yù)先配置的程序和服務(wù)，其中包括:

　　文件和打印共享、遠(yuǎn)程助手(默認(rèn)啟用)、遠(yuǎn)程桌面、upnp框架，這些預(yù)定義的程序和服務(wù)不可刪除。

　　如果組策略允許，您還可以通過單擊“添加程序”，創(chuàng)建基于指定的程序名稱的附加異常流量，以及通過單擊“添加端口”，創(chuàng)建基于指定的tcp或udp端口的異常流量。

　　當(dāng)您單擊“添加程序”時，將彈出“添加程序”對話框，您可以在其上選擇一個程序或瀏覽某個程序的文件名。

　　當(dāng)您單擊“添加端口”時，將彈出“添加端口”對話框，您可以在其中配置一個tcp或udp端口。

　　全新的windows防火墻的特性之一就是能夠定義傳入流量的范圍。范圍定義了允許發(fā)起異常流量的網(wǎng)段。在定義程序或端口的范圍時，您有兩種選擇:

　　“任何計算機(jī)”

　　允許異常流量來自任何ip地址。

　　“僅只是我的網(wǎng)絡(luò)(子網(wǎng))”

　　僅允許異常流量來自如下ip地址，即它與接收該流量的網(wǎng)絡(luò)連接所連接到的本地網(wǎng)段(子網(wǎng))相匹配。例如，如果該網(wǎng)絡(luò)連接的ip地址被配置為 192.168.0.99，子網(wǎng)掩碼為255.255.0.0，那么異常流量僅允許來自192.168.0.1到192.168.255.254范圍內(nèi)的 ip地址。

　　當(dāng)您希望允許本地家庭網(wǎng)絡(luò)上全都連接到相同子網(wǎng)上的計算機(jī)以訪問某個程序或服務(wù)，但是又不希望允許潛在的惡意internet用戶進(jìn)行訪問，那么“僅只是我的網(wǎng)絡(luò)(子網(wǎng))”設(shè)定的地址范圍很有用。

　　一旦添加了某個程序或端口，它在“程序和服務(wù)”列表中就被默認(rèn)禁用。

　　在“異常”選項卡上啟用的所有程序或服務(wù)對“高級”選項卡上選擇的所有連接都處于啟用狀態(tài)。

　　“高級”選項卡

　　“高級”選項卡包含以下選項:

　　網(wǎng)絡(luò)連接設(shè)置、安全日志、icmp、默認(rèn)設(shè)置

　　“網(wǎng)絡(luò)連接設(shè)置”

　　在“網(wǎng)絡(luò)連接設(shè)置”中，您可以:

　　1、指定要在其上啟用windows防火墻的接口集。要啟用windows防火墻，請選中網(wǎng)絡(luò)連接名稱后面的復(fù)選框。要禁用windows防火墻，則清除該復(fù)選框。默認(rèn)情況下，所有網(wǎng)絡(luò)連接都啟用了windows防火墻。如果某個網(wǎng)絡(luò)連接沒有出現(xiàn)在這個列表中，那么它就不是一個標(biāo)準(zhǔn)的網(wǎng)絡(luò)連接。這樣的例子包括internet服務(wù)提供商(isp)提供的自定義撥號程序。

　　2、通過單擊網(wǎng)絡(luò)連接名稱，然后單擊“設(shè)置”，配置單獨(dú)的網(wǎng)絡(luò)連接的高級配置。

　　如果清除“網(wǎng)絡(luò)連接設(shè)置”中的所有復(fù)選框，那么windows防火墻就不會保護(hù)您的計算機(jī)，而不管您是否在“常規(guī)”選項卡上選中了“啟用(推薦)”。如果您在“常規(guī)”選項卡上選中了“不允許異常流量”，那么“網(wǎng)絡(luò)連接設(shè)置”中的設(shè)置將被忽略，這種情況下所有接口都將受到保護(hù)。

　　當(dāng)您單擊“設(shè)置”時，將彈出“高級設(shè)置”對話框。

　　在“高級設(shè)置”對話框上，您可以在“服務(wù)”選項卡中配置特定的服務(wù)(僅根據(jù)tcp或udp端口來配置)，或者在“icmp”選項卡中啟用特定類型的icmp流量。

　　這兩個選項卡等價于windows xp(sp2之前的版本)中的icf配置的設(shè)置選項卡。

　　“安全日志”

　　在“安全日志”中，請單擊“設(shè)置”，以便在“日志設(shè)置”對話框中指定windows防火墻日志的配置，

　　在“日志設(shè)置”對話框中，您可以配置是否要記錄丟棄的數(shù)據(jù)包或成功的連接，以及指定日志文件的名稱和位置(默認(rèn)設(shè)置為systemrootpfirewall.log)及其最大容量。

　　“icmp”

　　在“icmp”中，請單擊“設(shè)置”以便在“icmp”對話框中指定允許的icmp流量類型，

　　在“icmp”對話框中，您可以啟用和禁用windows防火墻允許在“高級”選項卡上選擇的所有連接傳入的icmp消息的類型。icmp消息用于診斷、報告錯誤情況和配置。默認(rèn)情況下，該列表中不允許任何icmp消息。

　　診斷連接問題的一個常用步驟是使用ping工具檢驗?zāi)鷩L試連接到的計算機(jī)地址。在檢驗時，您可以發(fā)送一條icmp echo消息，然后獲得一條icmp echo reply消息作為響應(yīng)。默認(rèn)情況下，windows防火墻不允許傳入icmp echo消息，因此該計算機(jī)無法發(fā)回一條icmp echo reply消息作為響應(yīng)。為了配置windows防火墻允許傳入的icmp echo消息，您必須啟用“允許傳入的echo請求”設(shè)置。

　　“默認(rèn)設(shè)置”

　　單擊“還原默認(rèn)設(shè)置”，將windows防火墻重設(shè)回它的初始安裝狀態(tài)。

　　當(dāng)您單擊“還原默認(rèn)設(shè)置”時，系統(tǒng)會在windows防火墻設(shè)置改變之前提示您核實自己的決定。