本章將針對(duì)ICF的安全設(shè)置作個(gè)大致說明。

　　建議的用途

　　ICF還不足以勝任整個(gè)網(wǎng)絡(luò)的安全保衛(wèi)任務(wù)，ICF不適合運(yùn)行在那些已經(jīng)處于嚴(yán)密保護(hù)的網(wǎng)絡(luò)中的計(jì)算機(jī)上或者運(yùn)行了某些網(wǎng)絡(luò)服務(wù)的計(jì)算機(jī)上，網(wǎng)絡(luò)服務(wù)通常包括：文件和打印共享，Web服務(wù)以及FTP服務(wù)等。在那些情況下，為了提供自定義級(jí)別的保護(hù)，需要使用更專業(yè)的防火墻。

　　還有一些情況下在客戶端計(jì)算機(jī)上使用ICF防火墻也不能提供額外的保護(hù)，這通常發(fā)生在計(jì)算機(jī)直接連接到Internet或者外部網(wǎng)絡(luò)的情況下。使用DSL或者Cable調(diào)制解調(diào)器，或者因?yàn)橐苿?dòng)經(jīng)常要連接到不同網(wǎng)絡(luò)中的便攜式計(jì)算機(jī)可以從ICF得到最多保護(hù)。

　　特性

　　ICF使用三種方式保護(hù)計(jì)算機(jī)：全狀態(tài)數(shù)據(jù)包監(jiān)測(cè)、端口掃描保護(hù)還有安全日志。下面將對(duì)這三種方式分別說明。

　　全狀態(tài)數(shù)據(jù)包監(jiān)測(cè)

　　ICF使用的全狀態(tài)數(shù)據(jù)包監(jiān)測(cè)技術(shù)會(huì)把所有由本機(jī)發(fā)起的網(wǎng)絡(luò)連接生成一張表，并用這張表跟所有的入站數(shù)據(jù)包作對(duì)比，如果入站的數(shù)據(jù)包是為了響應(yīng)本機(jī)的請(qǐng)求，那么就被允許進(jìn)入。除非有實(shí)施專門的過濾器以允許特定的非主動(dòng)請(qǐng)求數(shù)據(jù)包，否則所有其他數(shù)據(jù)包都會(huì)被阻擋。

　　端口掃描保護(hù)

　　當(dāng)使用默認(rèn)的配置，計(jì)算機(jī)對(duì)大部分的端口掃描器都是不可見的。如果配置被改變以允許特定的連接，那么只要后在高級(jí)設(shè)置中被設(shè)置的端口才會(huì)打開，并被掃描到。

　　大部分端口掃描軟件都會(huì)再掃描前進(jìn)行ICMP ping測(cè)試以驗(yàn)證目標(biāo)是否存在，默認(rèn)情況下，ping命令和會(huì)被忽略掉，并且在受ICF保護(hù)的計(jì)算機(jī)上，即使某些端口是開放的，在被掃描時(shí)這些端口仍然不會(huì)做出回應(yīng)。

　　安全日制

　　ICF可以被配置為記錄下所有的連接企圖，你可以選擇記錄成功的連接，或者記錄丟掉的數(shù)據(jù)包，或者兩者都記錄。不過日志智能記錄這些內(nèi)容，其他信息都無法被記錄。

　　ICF僅僅提供了入站數(shù)據(jù)包過濾功能，你無法用它來限制從本地傳出的數(shù)據(jù)類型，這同時(shí)意味著ICF無法限制本機(jī)的主動(dòng)連接。

　　ICF的設(shè)置僅能控制局域網(wǎng)外部計(jì)算機(jī)到本機(jī)的網(wǎng)絡(luò)連接，但無法對(duì)誰可以訪問哪些服務(wù)進(jìn)行限制。這樣你就不能對(duì)某臺(tái)特定的計(jì)算機(jī)、用戶或者網(wǎng)絡(luò)的訪問進(jìn)行控制。如果開啟了某些服務(wù)，它將允許所有人訪問這些服務(wù)；如果沒有開啟服務(wù)，則所有連接都將被拒絕。然而，你可以使用IP過濾的方法對(duì)所有入站和出站的連接進(jìn)行控制。

　　啟用ICF

　　在啟用ICF前必須做到：

　　具有管理員特權(quán)

　　ICF必須沒有在組策略中被禁用

　　警告：使用默認(rèn)設(shè)置啟用ICF防火墻會(huì)禁用文件和打印共享的能力，ICF同樣會(huì)禁用瀏覽網(wǎng)絡(luò)鄰居的能力，請(qǐng)查閱微軟知識(shí)庫(kù)文章Q298804獲得詳細(xì)內(nèi)容：

　　如果你有多個(gè)網(wǎng)卡并且想在每個(gè)網(wǎng)卡上啟用ICF，那么你必須在每個(gè)網(wǎng)卡上啟用和設(shè)置。如果你使用網(wǎng)絡(luò)任務(wù)面板中或者創(chuàng)建網(wǎng)絡(luò)連接向?qū)е械募彝ズ托⌒娃k公室網(wǎng)絡(luò)安裝向?qū)�，防火墻就已�?jīng)默認(rèn)打開了。該向?qū)��?huì)根據(jù)向?qū)е性O(shè)置的不同使用以下兩種ICF的工作模式：

　　這臺(tái)計(jì)算機(jī)直接或通過網(wǎng)絡(luò)集線器連接到Internet。我的網(wǎng)絡(luò)上的其它計(jì)算機(jī)業(yè)通過這個(gè)方式連接到Internet。

　　這臺(tái)計(jì)算機(jī)直接連接到Internet。我還沒有網(wǎng)絡(luò)。

　　如果網(wǎng)卡是通過其他任何方式設(shè)置的，或者ICF沒有被啟用，還可以通過以下方法啟用：

　　控制面板 – 網(wǎng)絡(luò)

　　在網(wǎng)絡(luò)連接圖標(biāo)上點(diǎn)擊鼠標(biāo)右鍵，從彈出菜單中選擇屬性

　　點(diǎn)擊高級(jí)選項(xiàng)卡

　　選中通過限制或組織來自Internet的對(duì)此計(jì)算機(jī)的訪問來保護(hù)我的計(jì)算機(jī)和網(wǎng)絡(luò)。見圖14，這將使用默認(rèn)配置啟用ICF

圖 14

　　圖15所示的服務(wù)選項(xiàng)卡顯示了可用的常見服務(wù)的選項(xiàng)，隨意選擇一個(gè)服務(wù)后都會(huì)出現(xiàn)一個(gè)新的窗口，允許你在新窗口里指定運(yùn)行該服務(wù)的計(jì)算機(jī)的名稱或者地址。除非你的計(jì)算機(jī)是用來作為網(wǎng)關(guān)，否則那個(gè)窗口應(yīng)該顯示ICF運(yùn)行的計(jì)算機(jī)的名稱。

圖 15

　　你可以通過點(diǎn)擊添加選項(xiàng)卡然后輸入服務(wù)具體信息的方法添加額外的服務(wù)，例如，要添加一個(gè)8080端口的Web服務(wù)，所輸入的信息應(yīng)該如圖16所示。

圖 16

　　注意：如果你是通過DHCP服務(wù)器獲得IP地址，那么在這里應(yīng)該輸入機(jī)器名而不是IP地址，因?yàn)镮P地址隨時(shí)都可能改變。

圖 17

　　ICMP選項(xiàng)卡允許選擇允許通過的ICMP消息類型，不像TCP/UDP服務(wù)，ICMP選項(xiàng)區(qū)分入站和出站數(shù)據(jù)包。ICMP數(shù)據(jù)包可以用來收集網(wǎng)絡(luò)信息，建議不要啟用任何一種消息類型，除非必須。圖18顯示了ICMP選項(xiàng)。

圖 18

　　總結(jié)

　　ICF對(duì)計(jì)算機(jī)提供了基本的防護(hù)，這個(gè)保護(hù)僅限于入站連接，出站連接或者到本地局域網(wǎng)的連接則不會(huì)受到任何限制。默認(rèn)的配置會(huì)阻擋外部所有到本機(jī)服務(wù)的連接，并會(huì)針對(duì)端口掃描進(jìn)行一些保護(hù)。通過打開相應(yīng)的端口，可以允許個(gè)別服務(wù)通過防火墻，但是并沒有選擇型。你無法通過內(nèi)容或者目標(biāo)地址允許或者拒絕網(wǎng)絡(luò)傳輸，如果要計(jì)算機(jī)支持某些服務(wù)，它應(yīng)當(dāng)位于一些更專業(yè)的防火墻后，這不是ICF所能提供的。

　　ICF在某些情況下是很有用的，例如當(dāng)計(jì)算機(jī)不是某個(gè)局域網(wǎng)的一部分而是直接連接到互聯(lián)網(wǎng)，例如在外直接撥號(hào)到組織中的遠(yuǎn)程訪問服務(wù)器。注意在使用了IPSec的環(huán)境下，ICF必須被禁用。否則客戶端將無法協(xié)商IPSec策略并且無法創(chuàng)建網(wǎng)絡(luò)連接。