Opis funkcji Zapora połączenia internetowego systemu Windows XP

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 320855 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

Ten artykuł zawiera opis Zapory połączenia internetowego dołączonej do systemu Microsoft Windows XP Home Edition, Microsoft Windows XP Professional, Windows XP Home Edition z dodatkiem Service Pack 1 (SP1) oraz Windows XP Professional z dodatkiem SP1. Artykuł nie zawiera opisu zapory systemu Windows XP z dodatkiem SP2.

Więcej informacji

Opis funkcji Zapora połączenia internetowego

Zapora połączenia internetowego to oprogramowanie, którego można użyć do ustanowienia ograniczeń nakładanych na informacje przesyłane między siecią domową lub siecią małego biura a Internetem.

Jeśli w sieci użytkownika w celu zapewnienia dostępu do Internetu wielu komputerom używane jest Udostępnianie połączenia internetowego (ICS, Internet Connection Sharing), to warto włączyć Zaporę połączenia internetowego na udostępnionym połączeniu. Jednak Udostępnianie połączenia internetowego i Zaporę połączenia internetowego można włączać osobno. Warto włączyć Zaporę połączenia internetowego na połączeniach internetowych na wszystkich komputerach z systemem Microsoft Windows XP, które są bezpośrednio podłączone do Internetu.

Zapora połączenia internetowego może także pomóc w chronieniu pojedynczego komputera podłączonego do Internetu. Jeśli użytkownik ma jeden komputer podłączony do Internetu za pomocą modemu kablowego, modemu DSL lub modemu telefonicznego, Zapora połączenia internetowego pomaga w chronieniu jego połączenia internetowego. Nie należy włączać Zapory połączenia internetowego na połączeniach wirtualnych sieci prywatnych (VPN), ponieważ Zapora połączenia internetowego koliduje z udostępnianiem plików i innymi funkcjami VPN.

Jak działa funkcja Zapora połączenia internetowego

Zapora połączenia internetowego to zapora sieciowa „akumulująca stan”. Zapora sieciowa akumulująca stan to taka zapora, która monitoruje wszystkie aspekty komunikacji przechodzącej przez nią i analizuje adresy źródłowe i docelowe każdego obsługiwanego komunikatu. Aby wyeliminować niechciany ruch z publicznej strony połączenia, Zapora połączenia internetowego przechowuje tabelę komunikacji zapoczątkowanych na komputerze, na którym działa. Na pojedynczym komputerze Zapora połączenia internetowego śledzi ruch zapoczątkowany przez komputer. Jeśli użytkownik korzysta z Zapory połączenia internetowego w powiązaniu z Udostępnianiem połączenia internetowego, to Zapora połączenia internetowego śledzi ruch zapoczątkowany na komputerze, na którym działa zapora i Udostępnianie połączenia sieciowego, oraz śledzi cały ruch zapoczątkowany przez komputery w sieci prywatnej. Zapora połączenia internetowego porównuje cały ruch przychodzący z Internetu z wpisami w tabeli. Ruch przychodzący z Internetu może dotrzeć do komputerów w sieci tylko wtedy, gdy w tabeli znajduje się pasujący wpis potwierdzający, że komunikacja została zapoczątkowana przez komputer lub sieć prywatną.

Komunikacja zapoczątkowana przez źródło leżące poza komputerem, na którym działa Zapora połączenia internetowego, takie jak Internet, jest odrzucana przez zaporę, chyba że na karcie Usługi zostanie utworzony wpis zezwalający na przepuszczenie komunikacji. Zamiast wysyłać do użytkownika powiadomienie o aktywności, Zapora połączenia internetowego dyskretnie odrzuca niechcianą komunikację. To wyklucza typowe próby hakerskie, takie jak skanowanie portów. Takie powiadomienia mogą być wysyłane wystarczająco często, aby stały się uciążliwe. Zamiast tego Zapora połączenia internetowego może utworzyć dziennik zabezpieczeń pozwalający przeglądać aktywność śledzoną przez zaporę sieciową.

Usługi można skonfigurować w ten sposób, aby niechciany ruch z Internetu był przekazywany przez komputer, na którym działa Zapora połączenia internetowego, do sieci prywatnej. Jeśli na przykład obsługiwana jest usługa serwera HTTP sieci Web i na komputerze zostanie włączona usługa HTTP, niechciany ruch HTTP będzie przekazywany przez komputer, na którym działa Zapora połączenia internetowego, do serwera HTTP sieci Web. Aby było możliwe przekazywanie niechcianego ruchu do serwera sieci Web w sieci prywatnej, Zapora połączenia internetowego wymaga informacji operacyjnych (które są określane jako definicja usługi).

Uwagi dotyczące Zapory połączenia internetowego

Nie jest dobrym pomysłem włączanie Zapory połączenia internetowego na każdym połączeniu, które nie jest bezpośrednio podłączone do Internetu. Jeśli Zapora połączenia internetowego zostanie włączona dla karty sieciowej komputera klienckiego, na którym działa Udostępnianie połączenia internetowego, to będzie ona kolidować z komunikacją między komputerem i wszystkimi pozostałymi komputerami w sieci. Z podobnych powodów nie można użyć Kreatora konfiguracji sieci, aby włączyć Zaporę połączenia internetowego na prywatnym połączeniu hosta Udostępniania połączenia internetowego. Jest to połączenie łączące host Udostępniania połączenia internetowego z komputerami klienckimi Udostępniania połączenia internetowego. Włączenie zapory sieciowej w takiej lokalizacji uniemożliwiłoby komunikację w sieci.

Nie ma potrzeby używać Zapory połączenia internetowego, jeśli w sieci jest już zapora lub serwer proxy.

Jeśli w sieci występuje tylko jedno udostępnione połączenie internetowe, to warto spróbować chronić sieć przez włączenie Zapory połączenia internetowego. Poszczególne komputery klienckie również mogą mieć urządzenia takie jak modemy telefoniczne lub modemy DSL, zapewniające indywidualną łączność z Internetem, i w takim razie są zagrożone, jeśli są pozbawione ochrony zapewnianej przez zaporę sieciową. Zapora połączenia internetowego może sprawdzać komunikację jedynie na tym połączeniu internetowym, na którym jest włączona. Ponieważ Zapora połączenia internetowego działa w odniesieniu do konkretnego połączenia, należy ją włączyć na wszystkich komputerach mających połączenie z Internetem, aby pomóc w chronieniu całej sieci. Jeśli Zapora połączenia internetowego zostanie włączona na hostach Udostępniania połączenia internetowego, ale komputer kliencki mający bezpośredni dostęp do Internetu nie będzie używać do ochrony Zapory połączenia internetowego, to cała sieć będzie zagrożona z powodu niechronionego połączenia.

Definicja usługi pozwalająca działać usłudze przez Zaporę połączenia internetowego działa również w odniesieniu do konkretnego połączenia. Jeśli w sieci występuje wiele połączeń z zaporą sieciową, to trzeba skonfigurować definicję usługi dla każdej Zapory połączenia internetowego, przez którą ma działać usługa.


Zapora połączenia internetowego i powiadomienia

Ponieważ Zapora połączenia internetowego sprawdza cały przychodzący ruch, niektóre programy, zwłaszcza programy obsługujące pocztę e-mail, mogą zachowywać się inaczej po włączeniu Zapory połączenia internetowego. Niektóre programy obsługujące pocztę e-mail okresowo sprawdzają, czy na serwerze poczty e-mail jest nowa poczta. Niektóre programy obsługujące pocztę e-mail czekają na powiadomienie z serwera poczty e-mail.

Na przykład program Microsoft Outlook Express automatycznie sprawdza, czy są nowe wiadomości e-mail, gdy czasomierz zasygnalizuje, że nadeszła stosowna pora. Jeśli są nowe wiadomości e-mail, program Outlook Express monituje użytkownika powiadomieniem o nowej poczcie e-mail. Zapora połączenia internetowego nie wpływa na zachowanie programu Outlook Express, ponieważ żądanie powiadomienia o nowych wiadomościach e-mail zostało zapoczątkowane po wewnętrznej stronie zapory sieciowej. Zapora połączenia internetowego umieszcza wpis w tabeli oznaczający komunikację wychodzącą. Gdy odpowiedź potwierdzająca obecność nowych wiadomości e-mail zostanie wysłana przez serwer pocztowy, Zapora połączenia internetowego znajdzie odpowiedni wpis w tabeli i przepuści komunikację. Następnie użytkownik otrzyma powiadomienie, że nadeszły nowe wiadomości e-mail.

Program Microsoft Outlook 2000 jest podłączony do serwera z programem Microsoft Exchange używającym zdalnego wywoływania procedur (RPC) do wysyłania do klientów powiadomień o nowych wiadomościach e-mail. Program Outlook 2000 nie sprawdza automatycznie, czy nadeszły nowe wiadomości e-mail, gdy jest podłączony do serwera z programem Exchange. Serwer z programem Exchange powiadamia program Outlook 2000, że nadeszły nowe wiadomości e-mail. Ponieważ powiadomienie RPC jest inicjowane przez serwer z programem Exchange znajdujący się po zewnętrznej stronie zapory sieciowej (a nie przez program Outlook 2000), Zapora połączenia internetowego nie znajdzie odpowiedniego wpisu w tabeli. Nie zezwoli więc, aby komunikaty RPC przeszły z Internetu do własnej sieci. Komunikat powiadomienia RPC zostanie odrzucony. Można wysyłać i odbierać wiadomości e-mail, ale trzeba ręcznie sprawdzać, czy jest nowa poczta e-mail.


Zaawansowane ustawienia Zapory połączenia internetowego

Można użyć funkcji rejestrowania zabezpieczeń Zapory połączenia internetowego, aby utworzyć dziennik zabezpieczeń aktywności zapory sieciowej. Zapora połączenia internetowego może rejestrować zarówno ruch przepuszczany, jak i odrzucany. Na przykład żądania echa przychodzące z Internetu domyślnie nie są dopuszczane przez Zaporę połączenia internetowego. Jeśli ustawienie Zezwalaj na przychodzące żądanie echa protokołu ICMP nie jest włączone, wówczas przychodzące żądania nie powiodą się, a w dzienniku zostanie wygenerowany wpis sygnalizujący nieskuteczną próbę przychodzącą.

Można zmodyfikować zachowanie Zapory połączenia internetowego, włączając różne opcje ICMP, takie jak Zezwalaj na przychodzące żądanie echa, Zezwalaj na przychodzące żądanie sygnatury czasowej, Zezwalaj na przychodzące żądanie routera i Zezwalaj na przekierowywanie. Krótki opis tych opcji pojawia się na karcie ICMP.

Można określić dozwolony rozmiar dziennika zabezpieczeń, aby wykluczyć przepełnienie, które może być wywołane atakami typu „odmowa usługi”. Dziennik zdarzeń jest generowany w rozszerzonym formacie zdefiniowanym przez konsorcjum World Wide Web Consortium (W3C).

Materiały referencyjne

Aby uzyskać dodatkowe informacje dotyczące sposobu włączania i wyłączania Zapory połączenia internetowego, odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_enable_firewall.mspx
Aby uzyskać więcej informacji dotyczących sposobu włączania i wyłączania Zapory połączenia internetowego, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
283673 Jak włączyć lub wyłączyć zaporę połączenia internetowego w systemie Windows XP
Aby uzyskać więcej informacji dotyczących sposobu uniemożliwiania dostępu do udziałów drukarek i plików przez Zaporę połączenia internetowego, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
298804 Zapory internetowe uniemożliwiają przeglądanie i udostępnianie plików
Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
306203 Internet Connection Firewall and Basic Firewall do not block Internet Protocol version 6 traffic
Aby uzyskać dodatkowe informacje dotyczące dziennika zabezpieczeń Zapory połączenia internetowego, odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_firewall_log_understanding.mspx
Aby uzyskać dodatkowe informacje dotyczące definicji usług, odwiedź następujące witryny firmy Microsoft w sieci Web:
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_services_overview.mspx
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_services_add.mspx
Aby uzyskać dodatkowe informacje dotyczące protokołu ICMP, odwiedź następujące witryny firmy Microsoft w sieci Web:
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sag_tcpip_und_icmp.mspx
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_icmp_select.mspx
Aby uzyskać dodatkowe informacje dotyczące wersji zapory systemu Windows znajdującej się w systemie Windows XPz dodatkiem SP2, odwiedź nastepującą witrynę firmy Microsoft w sieci Web:
http://www.microsoft.com/windowsxp/using/security/internet/sp2_wfintro.mspx

Właściwości

Numer ID artykułu: 320855 - Ostatnia weryfikacja: 23 stycznia 2006 - Weryfikacja: 5.1
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
Słowa kluczowe: 
kbinfo kbfirewall kbenv KB320855

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com