注：此文只探討Windows 防火墻原理、功能變化以及應用過程中可能遇到問題和解決辦法，不描述怎樣設置Windows 防火墻，如果未特別說明，本文所提到的Windows 防火墻指Windows XP SP2防火墻。

　　僅就防火墻功能而言，個人防火墻對雙向流量都進行審核，擁有更復雜的控制列表，但是，Windows 防火墻只阻截所有傳入的未經(jīng)請求的流量，對主動請求傳出的流量不作理會，這一點是它們之間最大的區(qū)別。絕大多數(shù)商業(yè)防火墻都提供了應用程序過濾功能，這一功能可以阻止未通過認證的應用程序向外發(fā)送報文，這樣就可以防止病毒或木馬等惡意代碼同外部建立未認證的連接，同時也可以防止用戶的計算機被黑客用做分布式攻擊的跳板。然而，WindowsXP SP2所帶的防火墻卻只能對進入計算機的報文進行過濾，而不對計算機向外發(fā)出的報文進行過濾，它不對應用程序向外發(fā)送報文做任何限制。 事物有其兩面性，這些個人防火墻產(chǎn)品依據(jù)的防黑客原理通常不一樣，例如Norton的Personal Firewall(個人防火墻)是基于應用程序的（Application Level）�；�于應用程序的防火墻在使用上相當麻煩，因為你必須要為每一個訪問Internet的程序設置策略。而隨著策略的增多，防火墻的效率也逐步下降，況且過多的策略也會相互矛盾、影響，給系統(tǒng)安全帶來漏洞。更糟糕的是，這些個人防火墻產(chǎn)品都非常占用系統(tǒng)資源。

　　比如接入網(wǎng)絡游戲聯(lián)眾世界的時候，本地計算機請求連接遠程服務器，這時，個人防火墻立即提示是否允許此連接通過，而Windows 防火墻對這個主動出站請求不做任何處理，也不做任何提示，好像防火墻不存在似的，所以如果入侵已經(jīng)發(fā)生或間諜軟件已經(jīng)安裝，并主動連接到外部網(wǎng)絡，那么防火墻束手無策；如果Windows 間諜軟件開放端口等待外部請求連接，那么Windows 防火墻立刻阻斷連接并彈出安全警告。但這不表示W(wǎng)indows防火墻不安全，因為攻擊多來自外部，而且如果間諜軟件開放端口等待外部連接的時候，Windows防火墻立即阻斷連接，并且作出提示，關(guān)于這一點在下面的文章中還會提到。

　　對來自外部的請求連接的控制，Windows防火墻和個人防火墻在功能上區(qū)別不大。而且Windows防火墻有其獨特的特性，包括：計算機的所有連接默認啟用ICF、人性化的屏蔽模式－充分考慮到了計算機使用環(huán)境的變化和及時阻斷攻擊和恢復正常使用的情況、智能應用程序異常流量管理、對于 IPv6 ICF 內(nèi)建支持等功能。比如在啟動安全性功能上，有一個可以執(zhí)行狀態(tài)數(shù)據(jù)包過濾的啟動策略。該策略允許計算機使用動態(tài)主機配置協(xié)議（Dynamic Host Configuration Protocol，DHCP）和域名系統(tǒng)（Domain Name System，DNS）執(zhí)行基本網(wǎng)絡啟動任務，并與域控制器進行通信，以更新組策略。避免計算機在網(wǎng)絡上進入活動狀態(tài)的時間與 ICF 開始保護連接的時間之間的延遲中被未經(jīng)請求的流量在啟動期間攻擊計算機留下了可乘之機。

　　遺憾的是Windows防火墻并不提供報警和入侵檢測。雖然Windows防火墻可以防止對系統(tǒng)的入侵。而且，其他的一些個人防火墻產(chǎn)品還有更好的診斷和報告功能（Windows防火墻沒有報告功能，僅僅有個日志）。所以，當選擇使用哪個防火墻產(chǎn)品時，你應該考慮這些因素。如果你選擇Windows防火墻，你應該確定自己明白它的有限的能力，雖然Windows 防火墻對個人用戶而言已經(jīng)不在是雞肋。

　　Windows 防火墻使用的全狀態(tài)數(shù)據(jù)包監(jiān)測技術(shù)會把所有由本機發(fā)起的網(wǎng)絡連接生成一張表，并用這張表跟所有的入站數(shù)據(jù)包作對比，如果入站的數(shù)據(jù)包是為了響應本機的請求，那么就被允許進入。除非有實施專門的過濾器以允許特定的非主動請求數(shù)據(jù)包，否則所有其他數(shù)據(jù)包都會被阻擋。

　　“例外”選項卡使您可以添加程序和端口例外，以允許特定類型的傳入通信。您可以為每個例外設置范圍。如果開放了某個端口，那么對這個端口的訪問將被允許通過。端口或者服務可以在“例外”選項中設置或者通過指定應用程序的方法設置，如QQ等，如果開放端口的服務不是一個應用程序如IIS服務，可以直接設置開放的協(xié)議和端口號。對于只使用網(wǎng)絡瀏覽、電子郵件、共享文件夾、進行普通處理的客戶端和服務器型應用程序的用戶，Windows防火墻根本不會產(chǎn)生影響。

　　三、Windows 防火墻設置中幾個重要選項

　　單擊“開始”，單擊“運行”，鍵入 wscui.cpl，然后單擊“確定”，在“Windows 全中心”內(nèi)單擊“Windows 防火墻”。

• 對于“不允許例外”

  當您單擊選中“不允許例外”時，Windows 防火墻將阻止所有連接到您的計算機的請求，即使請求來自“例外”選項卡上列出的程序或服務也是如此。防火墻還會阻止發(fā)現(xiàn)網(wǎng)絡設備、文件共享和打印機共享。當您連接到公用網(wǎng)絡（例如，與機場或旅館相關(guān)的網(wǎng)絡）時，“不允許例外”選項十分有用。此設置可以阻止所有連接到您的計算機的嘗試，因而有助于保護您的計算機。當您使用 Windows 防火墻并啟用了“不允許例外”選項時，您仍然可以查看網(wǎng)頁，收發(fā)電子郵件或使用即時消息傳遞程序。

• 針對“例外”的說明

  “例外”選項卡使您可以添加程序和端口例外，以允許特定類型的傳入通信。您可以為每個例外設置范圍。
  對于家庭和小型辦公室網(wǎng)絡，我們建議您在可能的條件下，將范圍設定為僅限局域網(wǎng)內(nèi)部。這樣配置可以使同一個子網(wǎng)上的計算機可以與此計算機上的程序連接，但拒絕源自遠程網(wǎng)絡的通信。

　　Windows防火墻在原則上是對由外向內(nèi)的通信(inbound)全部進行限制，而由內(nèi)向外的通信(outbound)及其應答則完全不加限制。Windows防火墻只在像服務器那樣運行的應用程序開始通信時才會發(fā)出警告。 以登錄聯(lián)眾世界為例：在所有網(wǎng)絡鏈接上打開防火墻，現(xiàn)在，登陸聯(lián)眾世界試試，一樣登陸，根本不需要通過防火墻允許。選擇了“不允許例外”，結(jié)果還是一樣。而用zonealarm的時候，任何程序都得經(jīng)過防火墻的允許。這是為什么？

　　前面已經(jīng)提到了Windows防火墻的特點“只阻截所有傳入的未經(jīng)請求的流量”也就是說，Windows防火墻對主動出站流量不作處理，所以登陸聯(lián)眾世界/IE等沒有安全提示，而zonealarm等個人防火墻對所有出、入站流量都作審查，所以有安全提示（除非設置審查但不提示）。但是，為什么QQ/MSN/MYIE2等又有安全提示呢？這是因為QQ/MSN/MYIE2等試圖在本地開后門--端口等待遠程請求連接，顯然這種不安全行為被Windows防火墻攔截并作出安全提示，這相當于QQ/MSN/MYIE2等作為提供某種服務的服務器端。如圖所示，MYIE2在本開了1067端口，QQ使6000和6001處在監(jiān)聽狀態(tài)，而聯(lián)眾世界卻沒有開放任何端口。

　　取消通知的方法是：防火墻設置-例外-取消選擇“Windows防火墻組織程序時通知我”。

　　五、Windows XP SP2的防火墻可以限制某個應用程序訪問網(wǎng)絡嗎？

　　Windows XP SP2的防火墻置不適用于不對特定 UDP 或 TCP 端口集合進行監(jiān)聽的應用程序，不能限制某個應用程序訪問網(wǎng)絡，但是，卻可以限制對誰提供哪些服務，這一點也不同于早期版本的Windows防火墻。

　　雖然Windows防火墻不可以限制出站通訊，但是Windows XP內(nèi)置的Internet Protocol security (IPSec)卻可以提供這種保護，使用IPSec規(guī)則，可以指定通訊是被阻斷（丟棄數(shù)據(jù)）還是被放行（允許），同時能保護加密的入站和出站通訊。在這三種情況下（阻斷、允許、保護），IPSec能夠配置原地址和目標地址范圍。同時使用IPSec規(guī)則和Windows防火墻可以給網(wǎng)絡提供更強大的安全保護。

　　對早期Windows防火墻而言，如果開啟了某些服務，它將允許所有人訪問這些服務，但是SP2的防火墻卻可以精確的設置是對某臺計算機或者某些子網(wǎng)允許連接；如果沒有開啟服務，則所有連接都將被拒絕。設置方法：安全中心-防火墻設置-例外-編輯（某個服務）-更改范圍-自定義列表。自定義列表的說明，如果對某個IP提供服務，設置子網(wǎng)掩碼為全1，例如192.168.0.3/255.255.255.255；如果針對某個子網(wǎng)提供服務，設置正確的子網(wǎng)掩碼，如192.168.0.1/255.255.255.128，多個項目之間用“,”號隔離。

　　如上所述，ICF和基于應用程序的個人防火墻產(chǎn)品是不一樣的�；�于應用程序的個人防火墻可以控制每一個訪問Internet的程序，但是不能限制某個應用程序訪問網(wǎng)絡，使用使用IPSec規(guī)則可以提供對計算機向外發(fā)出的報文進行過濾的功能。

　　網(wǎng)絡資源共享的一個重要應用是文件和打印共享，如果啟用了防火墻是不是象2003或XPSP1中的防火墻一樣，阻止了文件和打印共享服務呢？在Windows XP SP22的防火墻下部署文件和打印共享服務非常簡單，不必擔心出現(xiàn)早期版本遇到的難堪的困難，如上圖在“例外”選項上“程序和服務”列表中選擇“文件及打印機共享”就可以了。曾幾何時，在XPSP1防火墻中如果要讓防火墻和網(wǎng)上鄰居共存需要映射多個端口，現(xiàn)在，如果在Windows XP SP2防火墻啟用了“文件及打印機共享”，網(wǎng)上鄰居不能正確顯示的問題也迎刃而解。

　　這樣可能帶來新問題！如果企業(yè)網(wǎng)絡同時連接外部網(wǎng)絡，比如INTERNET，對外開放這些端口是不安全的。Windows XP SP2防火墻考慮到了這個安全問題，在“編輯服務”選項中點擊“更改范圍”，在彈出的對話框中選擇“僅我的網(wǎng)絡（子網(wǎng)）”，這樣設置后，文件和打印共享服務只對內(nèi)部提供提供，而對外而言服務是不可見的，這樣就安全多了。

　　七、沒有人能PING到我的計算機

　　在檢查網(wǎng)絡故障的使用通常用PING命令工具，PING一個IP確認該計算機是否存在，當你PING的時候，發(fā)送的是ICMP（Internet 控制消息協(xié)議 ，此通信用于錯誤和狀態(tài)信息的傳遞） Echo messag信號，獲得的回應是ICMP Echo Reply message信號。在默認情況下，indows xp p2防火墻不允許ICMP Echo messages 入站數(shù)據(jù)進入，所以也就不會回復ICMP Echo Reply message數(shù)據(jù)報文了。

　　如果啟用了TCP端口445（比如在“例外”中啟用了“文件和打印機共享”），那么別人是可以PING到你的IP的。另外，在防火墻的高級選項卡中選擇ICMP設置，并且選擇了“允許傳入回現(xiàn)請求”也可以使別人能夠PING到你的IP。

　　通過Windows XP SP2防火墻實現(xiàn)遠程協(xié)作的方法很簡單，雖然遠程協(xié)作使用的是動態(tài)端口。在防火墻設置對話框中的“例外”選項卡上“程序和服務”列表中選擇“遠程協(xié)作”項目，這樣Windows自動監(jiān)視并正確處理來自sessmgr.exe應用程序的所有通訊請求完成連接。

　　Windows NetMeeting 的遠程桌面要復雜一些，盡管在例外選項卡中有“遠程桌面”選項，但是如果你選擇這個選項，實際是開放了TCP的端口3389，也可能無法完成遠程桌面連接，正確的方法是： 在 Windows 防火墻打開的情況下，在可以使用 Windows NetMeeting 的遠程桌面共享功能之前，必須向 Windows 防火墻的“例外”選項卡上“程序和服務”列表中分別為 Windows NetMeeting 和 Mnmsrvc.exe（ Drive:\Windows\System32 目錄中）文件和conf.exe（Drive:\Program Files\NetMeeting 文件夾中）文件分別添加一個條目。

　　九、Windows XP SP2的防火墻日志的妙用

　　日志記錄可以幫助確定入站通信的來源，并提供有關(guān)被阻止的通信的詳細信息。%Windir%\pfirewall.log 是默認的日志文件，這里記錄的是成功的連接，看看都暴露了哪些信息，其中中文是作者說明文字。

pfirewall.log

#Version: 1.5
#Software: Microsoft Windows Firewall
#Time Format: Local
#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path
表頭：日期 時間 狀態(tài) 協(xié)議 原IP 目標IP 原端口 目標端口 數(shù)據(jù)包大小 TCP 控制標志 確認 其他數(shù)據(jù) 推入功能 重置連接 同步序列號 緊急指針字段有效 序列號 確認號 窗口大小 ICMP類型 ICMP代碼 信息條目
2004-09-08 00:55:39 OPEN UDP 219.154.214.145 202.102.224.68 1026 53 - - - - - - - - -
查詢DNS服務器，DNS服務器地址是202.102.224.68
2004-09-08 00:55:40 OPEN UDP 219.154.214.145 219.133.40.157 6001 8001 - - - - - - - - -
QQ開放UDP端口6001，目標地址219.133.40.157
2004-09-08 00:55:40 OPEN UDP 219.154.214.145 202.104.129.254 4000 8000 - - - - - - - - -
QQ開放UDP端口4000，目標地址202.104.129.254
2004-09-08 00:55:40 OPEN UDP 219.154.214.145 219.133.38.21 6001 8001 - - - - - - - - -
QQ開放UDP端口6001，目標地址219.133.38.21
2004-09-08 00:55:53 OPEN UDP 219.154.214.145 61.172.249.139 4000 8000 - - - - - - - - -
QQ開放UDP端口6001，目標地址61.172.249.139
2004-09-08 00:57:08 CLOSE UDP 219.154.214.145 202.102.224.68 1026 53 - - - - - - - - -
查詢DNS服務器，DNS服務器地址是202.102.224.68
2004-09-08 00:57:08 CLOSE UDP 219.154.214.145 219.133.40.157 6001 8001 - - - - - - - - -
QQ通過UDP端口6001和目標地址219.133.40.157建立的通訊
2004-09-08 00:57:08 CLOSE UDP 219.154.214.145 219.133.38.21 6001 8001 - - - - - - - - -
QQ通過UDP端口6001和目標地址219.133.38.21建立的通訊

　　十、誰關(guān)閉了防火墻

　　大多數(shù)第三方防火墻軟件提供商如Zone Labs、McAfee和Symantec公司都將在近期提供和SP2兼容的新版本防火墻軟件。這些新版軟件在安裝的時候會自動禁用Windows防火墻，而在卸載時又會自動啟用Windows防火墻。第三方廠商通過調(diào)用Windows Firewall API來實現(xiàn)這一功能。然而，既然防火墻軟件可以這么做，其他病毒或木馬等惡意代碼就同樣也可以。病毒或木馬可以修改Windows防火墻程序，甚至干脆關(guān)閉它。而Zone Labs公司聲明，他們采取了一些鎖定技術(shù)來保證他們的防火墻軟件不會被其他第三方軟件關(guān)閉，除非你將整個防火墻卸載掉。

　　以下命令顯示防火墻狀態(tài)和配置信息

　　Netsh firewall show state
　　Netsh firewall show config

　　另外，如果防火墻被關(guān)閉，安全中心會顯示安全警告！

　　總結(jié)

　　總的來看，相對于以前的Windows自帶的防火墻SP2的防火墻擁有更高的防范性能，幾乎擁有了其它個人防火墻的優(yōu)點，所以Win XP SP2的防火墻是值得一試的，特別是針對個人用戶而言。