ICF是"Internet Connection Firewall"的簡稱,也就是因特網連接防火牆。ICF建立在你的電腦與因特網之間,它可以讓你請求的數據通過、而阻礙你沒有請求的數據包,是一個基於包的防火牆。所以,ICF的第一個功能就是不響應Ping命令,而且,ICF還禁止外部程序對本機進行端口掃描,拋棄所有沒有請求的IP包。
個人電腦同服務器不一樣,一般不會提供諸如FTP、Telnet、POP3等服務,這樣可以被黑客們利用的系統漏洞就很少。所以,ICF可以在一定的程度上很好地保護我們的個人電腦。
ICF是狀態防火牆,可監視通過的所有通訊,並且檢查所處理的每個消息的源和目標地址。為了防止未經請求的通信進入系統端口,ICF保留了所有源自本地計算機的通訊表。在單獨的計算機中,ICF將跟蹤源自本地計算機的通信,所有Internet傳入通信都會針對於該表中的各項進行比較。只有當通訊表中有匹配項時(這說明通訊交換是從計算機或專用網絡內部開始的),才允許將傳入Internet通信傳送給網絡中的計算機。
源自外部ICF計算機(也就是入侵計算機)的通訊(如Internet非法訪問)將被防火牆阻止,除非在"服務"選項卡上設置允許該通訊通過。ICF不會向你發送活動通知,而是靜態地阻止未經請求的通訊,防止像端口掃描這樣的常見黑客襲擊。
ICF的原理是通過保存一個通訊表格,記錄所有自本機發出的目的IP地址、端口、服務以及其他一┦堇創锏獎;け淨哪康摹?當一個IP數據包進入本機時,ICF會檢查這個表格,看到達的這個IP數據包是不是本機所請求的,如果是就讓它通過,如果在那個表格中沒有找到相應的記錄就拋棄這個IP數據包。下面的例子可以很好地說明這個原理。當用戶使用Outlook Express來收發電子郵件的時侯,本地個人機發出一個IP請求到POP3郵件服務器。ICF會記錄這個目的IP地址、端口。當一個IP數據包到達本機的時候,ICF首先會進行審核,通過查找事先記錄的數據可以確定這個IP數據包是來自我們請求的目的地址和端口,於是這個數據包獲得通過。來看一下當使用Outlook Express客戶端郵件程序和郵件服務器時的情況。一旦有新的郵件到達郵件服務器時,郵件服務器會自動發一個IP數據包到Outlook客戶機來通知有新的郵件到達。這種通知是通過RPC Call來實現的。當郵件服務器的IP數據包到達客戶機時,客戶機的ICF程序就會對這個IP包進行審核發現本機的Outlook express客戶端軟件曾發出過對這個地址和端口發出IP請求,所以這個IP包就會被接受,客戶機當然就會收到發自郵件服務器的新郵件通知。然後讓Outlook Express去接收郵件服務器上的新郵件。
設置ICF
1、啟用或禁用Internet連接防火牆
打開"控制面板"中的"網絡連接"
單擊要保護的撥號、本地連接或其它Internet連接,然後在"網絡任務"→"更改該連接的設置"→"高級"→"Internet 連接防火牆"下,選中如圖所示的項目:
若要啟用Internet連接防火牆,選中"通過限制或阻止來自Internet的對此計算機的訪問來保護我的計算機和網絡"復選框。若要禁用Internet連接防火牆,清除該復選框。
網絡服務 還是上面的"高級"選項卡,點擊下方的"設置"項,如下圖:
已經有選中的項目表示網絡用戶能夠存取的服務,如:messenger,遠程桌面,FTP,Telnet等。
對於一些常見的網絡服務,如POP3,SMTP、HTTP等,系統會在需要的時候開放。
如果我們要設置一個新的服務項目,以常見的messenger文件傳輸為例,因為許多朋友都會在這方面遇到問題,實際上在HELP中寫的明白。
messenger的文件傳輸采用TCP6891-6900端口,可以在xp的防火牆設置裡面增加TCP6891號端口,文件就可以順利發送了。文件傳輸的進程,一般情況下我們添加一個就行了。
添加方法見圖:
按要求依次寫入"描述","本機的IP地址",使用的端口號(6891),然後確定即可。
安全日志 生成安全日志時使用的格式是W3C擴展日志文件格式,這與在常用日志分析工具中使用的格式類似。
打開"網絡連接",單擊要在其上啟用Internet連接防火牆(ICF)的連接,然後在"網絡任務"→"更改該連接的設置"→"高級"→"設置"→"安全日志記錄"→"記錄選項"下,選擇下面的一項或兩項:
若要啟用對不成功的入站連接嘗試的記錄,請選中"記錄丟棄的數據包"復選框,否則禁用。
2、更改安全日志文件的路徑和文件名 打開"網絡連接",選擇要在其上啟用Internet連接防火牆的連接,然後在"網絡任務"→"更改該連接的設置"→"高級"→"設置"→"安全日志記錄"→"日志文件選項"→"浏覽"中,浏覽要放置日志文件的位置。
在"文件名"中,鍵入新的日志文件名,然後單擊"打開"。打開後可查看其內容。
還可以設置安全日志文件的大小,打開已啟用Internet連接防火牆的連接,然後在"網絡任務"→"更改該連接的設置"→"高級"→"設置"→"安全日志記錄"→"日志文件選項"→"大小限制"中,使用箭頭按鈕調整大小限制。筆者認為,一般512K足夠了。
如果你在更改設置後有問題,可以還原默認的安全日志設置。打開啟用Internet連接防火牆的連接,然後點擊"網絡任務"→"更改該連接的設置"→"高級"→"設置"→"安全日志記錄"→"還原默認值"。
記錄成功的連接--這將登錄來源於家庭、小型辦公網絡或Internet的所有成功的連接。
當你選擇"登錄成功的外傳連接"復選框時,將收集每個成功通過防火牆的連接信息。例如,當網絡上的任何人使用Internet Explorer成功實現與某個網站的連接時,日志中將生成一條項目。
記錄放棄的數據包--這將登錄來源於家庭、小型辦公網絡或Internet的所有放棄的數據包。
當你選擇"登錄放棄的數據包"復選框時,每次通信嘗試通過防火牆卻被檢測和拒絕的信息都被ICF收集。例如,如果你的Internet控制消息協議沒有設置成允許傳入的回顯請求,如Ping和Tracert命令發出的請求,則將接收到來自網絡外的回顯請求,回顯請求將被放棄,然後日志中將生成一條項目。
Internet控制消息協議(ICMP)
"網絡消息協議(ICMP)"是所需的TCP/IP標准,通過ICMP,使用IP通訊的主機和路由器可以報告錯誤並交換受限控制和狀態信息。
在下列情況中,通常自動發送ICM消息:
IP數據報無法訪問目標。
IP路由器(網關)無法按當前的傳輸速率轉發數據報。
IP路由器將發送主機重定向為使用更好的到達目標的路由。應用Internet控制消息協議:
打開"網絡連接"。 單擊已啟用Internet連接防火牆的連接,在"網絡任務"→"更改該連接的設置"→單擊"高級"→"設置"→"ICMP"選項卡上,選中希望你的計算機響應的請求信息類型旁邊的復選框。
ICF的局限性 那麼,ICF不能做什麼?ICF可不可以完全替代現有的個人防火牆產品?ICF是通過記錄本機的IP請求來確定外來的IP數據包是不是"合法",這當然不可以用在服務器上。為什麼呢?服務器上的IP數據包基本上都不是由服務器先發出,所以ICF這種方法根本就不可以對服務器的安全提供保護。當然你也可以通過相應的設置讓ICF忽略所有發向某一端口的數據包,例如80端口。那麼發向80端口的所有數據包都不會被ICF拋棄。從這種意義上講80端口就成為不設防的端口。這樣的防火牆產品是不可能用在應用服務器上的,服務器上的防火牆產品都是基於建立各種策略來審核外來的IP數據包。ICF和基於應用程序的個人防火牆產品也是不一樣的。基於應用程序的個人防火牆會記錄每一個訪問Internet的程序,例如,通過設置可以讓IE有權來訪問Internet而Netscape的Navigator沒有權限來訪問Internet,即便兩個程序的目的IP地址和端口都是一樣的。Norton的個人防火牆(Personal Firewall)就是這樣一個典型的產品。簡而言之,ICF沒法提供基於應用程序的保護,也沒法建立基於IP包的包審核策略。所以,ICF既不能完全替代現有的個人防火牆產品,也沒有辦法很好地工作在應用服務器上。
筆者認為,Norton的個人防火牆和Zonealarm Pro可以提供較全方面的保護,但設置較為復雜。ICF並不能提供完全無懈可擊的防護,但是ICF對個人電腦提供防護是足夠的。在使用一些系統安全軟件對裝有ICF的個人電腦進行端口掃描後,常會給出了"系統安全"的評價。況且,ICF是Windows XP內建的功能,占用的資源相當少且不用花額外的錢去購買。從ICF受益最多的應該是那些仍然在使用Modem上網的朋友,在國內絕大部分的用戶都是用Modem上網的。首先,你上網的時間不會太長,一般在幾小時上下(包月的除外)。其次,每次建立連接後撥號服務器都會分配一個新的IP地址(動態地址分配)給你,長時間占用一個相同的IP的可能性應該很低。比起使用ADSL和其它寬帶的用戶來講,用Modem上網本身就安全了很多。
注意事項 ICF和家庭或小型辦公室通訊--不應該在所有沒有直接連接到Internet的連接上啟用Internet連接防火牆,也就是最好不要在局域網中使用。如果在ICF客戶計算機的網絡適配器上啟用防火牆,則它將干擾該計算機和網絡上的其他計算機之間的一些通訊。如果網絡已經具有互聯網防火牆或代理服務器,則不需要Internet連接防火牆,你應該關閉它。
所以,使用一個重量級的防火牆實在是沒有太多的意義。而ICF則剛剛好,它既提供了一定的保護,而且又不太占用資源,不錯的,是"又經濟,又實惠"。
