雖然眾說紛紜Win XP系統的網絡安全性也存在BUG，但是我們不能總止步不前吧，總得跟上微軟這艘軟件巨輪的節奏，那就換吧。但您別說，自從用了XP以后，它的許多功能還真是不錯（雖然挺花哨），就拿上網來說吧，Win XP使用了"Internet 連接防火墻"（ICF）充當了安全系統，它可以指定什么信息能夠從網絡上的計算機傳輸到 Internet，什么信息可以從 Internet 傳輸到網絡上的計算機。您可以對網絡中的所有計算機啟用"Internet 連接防火墻"，即使計算機共享同一個 Internet 連接。

　　一、概述：

　　防火墻是充當網絡與外部世界之間的保衛邊界的安全系統。Internet 連接防火墻 (ICF) 是用來限制哪些信息可以從您的家庭或小型辦公網絡進入 Internet 以及從 Internet 進入您的家庭或小型辦公網絡的一種軟件。如果網絡使用 Internet 連接共享 (ICS) 來為多臺計算機提供 Internet 訪問能力，則應該在共享的 Internet 連接中啟用 ICF。但是，ICS 和 ICF 可以單獨啟用。應該在直接連接到 Internet 的任何一臺計算機的 Internet 連接上啟用 ICF。

　　ICF 還能保護連接到 Internet 的單獨計算機。如果連接到 Internet 的單獨計算機具有電纜調制解調器、DSL 調制解調器或撥號調制解調器，則 ICF 將保護此 Internet 連接。應該在 VPN 連接 上啟用 ICF，因為此連接將干擾文件共享和其他 VPN 功能的操作。

　　二、Internet 連接防火墻 (ICF) 如何工作

　　ICF 被視為狀態防火墻。狀態防火墻可監視通過其路徑的所有通訊方面，并且檢查所處理的每個消息的源和目標地址。為了防止來自連接公用端的未經請求的通信進入專用端，ICF 保留了所有源自 ICF 計算機的通訊表。在單獨的計算機中，ICF 將跟蹤源自該計算機的通信。與 ICS 一起使用時，ICF 將跟蹤所有源自 ICF/ICS 計算機的通信和所有源自專用網絡計算機的通信。源自外部源 ICF 計算機的通訊（如 Internet）將被防火墻阻止，和"天網"等防火墻軟件不一樣，ICF 不會向您發送活動通知，而是靜態地阻止未經請求的通訊，防止像端口掃描這樣的常見黑客襲擊。這樣的通知可能過于頻繁以至于成為一種干擾。ICF 可能創建安全日志以查看被防火墻跟蹤的活動　　你可以將服務配置成允許 ICF 計算機將來自 Internet 未經請求的通信傳遞到專用網絡。例如，如果您正在主持 HTTP Web 服務器服務，而且已啟用了 ICF 計算機上的 HTTP 服務，則未經請求的 HTTP 通信將由 ICF 計算機轉發至 HTTP Web 服務器。ICF 需要一組操作信息（稱為服務定義），才會允許未經請求的 Internet 通信轉發到專用網絡上的 Web 服務器。

　　三、Internet 連接防火墻使用注意事項

　　1．ICF 和家庭或小型辦公室通訊

　　不應該在所有沒有直接連接到 Internet 的連接上啟用 Internet 連接防火墻 (ICF)。如果在 ICS 客戶計算機的網絡適配器上啟用防火墻，則它將干擾該計算機和網絡上的所有其他計算機之間的某些通訊。出于類似的原因，網絡安裝向導不允許在 ICS 主機的專用連接（該連接將 ICS 主機與 ICS 客戶計算機連接起來）上啟用 ICF，因為在該位置啟用防火墻會完全禁止網絡通訊。

　　如果網絡已經具有防火墻或代理服務器，則不需要 Internet 連接防火墻。

　　如果網絡只有一個共享 Internet 連接，則應該啟用 Internet 連接防火墻對其進行保護。各個客戶計算機也可以有適配器（例如撥號、DSL 調制解調器），這些調制解調器可提供單獨的 Internet 連接，但它們不受防火墻的保護。ICF 只能檢查通過已對其啟用了該設置的 Internet 連接的通訊。因為 ICF 針對每個連接工作，所以為了確保能夠保護整個網絡，需要在所有連接 Internet 的計算機上啟用它。如果已經對 ICS 主機的 Internet 連接啟用了防火墻，但直接連接 Internet 的客戶端計算機沒有使用防火墻進行保護，那么，您的網絡將因為此未受保護的連接而存在安全缺陷。

　　允許服務操作跨越 ICF 的服務定義也是針對每個連接而工作的。如果網絡有多個防火墻連接，則必須為每個希望服務通過的有防火墻的連接配置服務定義。

　　2．ICF 和通知消息

　　由于 ICF 檢查所有傳入通訊，而某些程序（尤其是電子郵件程序）可能在啟用 ICF 時做出不同動作。某些電子郵件程序將定期輪詢其電子郵件服務器以查看是否有新的郵件，而且某些電子郵件程序將等待電子郵件服務器的通知。

　　例如，當 Outlook Express 的計時器告訴它要檢查是否有新電子郵件時，Outlook Express 將自動執行該操作。當新的電子郵件出現時，Outlook Express 會用新電子郵件通知消息來提示用戶。ICF 不會影響該程序的行為，因為對新電子郵件通知的請求是從防火墻內部發出的。防火墻會在表中建立一項信息以記錄外傳通訊。當新的電子郵件響應被郵件服務器承認時，防火墻將在表中查找關聯項，并允許該通訊通過，然后用戶就能接收到新電子郵件已到達的通知。

　　但是 Office 2000 Outlook 被連接到 Microsoft Exchange 服務器，而該服務器使用遠程過程調用 (RPC) 將新電子郵件通知發送給客戶端。當 Office 2000 Outlook 連接到 Exchange 服務器時，該程序不會自動檢查新的電子郵件。新的電子郵件到達時，Exchange 服務器將通知 Office 2000 Outlook。因為 RPC 通知是從防火墻外的 Exchange 服務器、而不是由防火墻內的 Office 2000 Outlook 初始化的，所以 ICF 無法找到表中的對應項，而且發自 Internet 的 RPC 消息不允許進入家庭網絡。RPC 通知消息會被丟棄。用戶可以發送和接收電子郵件，但需要手動檢查是否有新的電子郵件。

　　四、高級 ICF 設置

　　ICF 安全記錄功能可以提供一種方式來創建防火墻活動的日志文件。ICF 能夠記錄被許可的和被拒絕的通信。例如，默認情況下，防火墻不允許來自 Internet 的傳入回顯請求通過。如果沒有啟用 Internet 控制消息協議 (ICMP)"允許傳入的回顯請求"，那么傳入請求將失敗，并生成傳入失敗的日志項。

　　通過啟用各種 ICMP 選項（例如"允許傳入的回顯請求"、"允許傳入的時間戳請求"、"允許傳入的路由器請求"和"允許重定向"），ICMP 允許您來修改防火墻的行為。"ICMP"選項卡上提供了對這些選項的簡短描述。您可以設置允許大小的安全日志文件，來防止拒絕服務攻擊所導致的潛在溢出。生成事件日志的格式是擴展日志文件格式，與萬維網聯盟 (W3C) 建立的相同。