Windows XP Internet 连接防火墙说明

文章翻译 文章翻译
文章编号: 320855 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

本文介绍 Microsoft Windows XP Home Edition、Microsoft Windows XP Professional、Windows XP Home Edition Service Pack 1 (SP1) 和 Windows XP Professional SP1 附带的 Internet 连接防火墙 (ICF)。本文不介绍包含在 Windows XP SP2 中的防火墙。

更多信息

Internet 连接防火墙的说明

Internet 连接防火墙是一个软件,用于为家庭或小型办公网络与 Internet 之间传送的信息设置限制。

如果您的网络使用 Internet 连接共享为多台计算机提供 Internet 访问,则最好在共享的 Internet 连接上打开 Internet 连接防火墙。您也可以分别打开 Internet 连接共享和 Internet 连接防火墙。最好在直接与 Internet 连接的任何基于 Microsoft Windows XP 的计算机的 Internet 连接上打开 Internet 连接防火墙。

Internet 连接防火墙还可以帮助保护与 Internet 连接的单台计算机。如果有一台计算机通过电缆调制解调器、DSL 调制解调器或拨号调制解调器连接到 Internet,则 Internet 连接防火墙可以帮助保护您的 Internet 连接。不要为虚拟专用网络 (VPN) 打开 Internet 连接防火墙,这是因为 Internet 连接防火墙会干扰文件共享和其他 VPN 功能。

Internet 连接防火墙的工作原理

Internet 连接防火墙是一个“全状态”防火墙。全状态防火墙可以监视跨越其路径的通信的各个方面,并检查防火墙所处理的每条消息的源地址和目标地址。为了禁止未经请求的通信从连接的公用端进入专用端,Internet 连接防火墙将来自运行 Internet 连接防火墙的计算机的所有通信保留在一个表中。对于单台计算机,Internet 连接防火墙跟踪来自计算机的通信。如果将 Internet 连接防火墙与 Internet 连接共享一起使用,则 Internet 连接防火墙将跟踪来自运行 Internet 连接防火墙和 Internet 连接共享的计算机的所有通信,并跟踪来自专用网络计算机的所有通信。Internet 连接防火墙将来自 Internet 的所有入站通信与表中的项进行比较。仅当表中有一个表明计算机或专用网络中已开始通信交换的匹配项时,才允许 Internet 入站通信访问网络中的计算机。

防火墙将丢弃来自运行 Internet 连接防火墙的计算机的外部源(如来自 Internet 的源)的通信,除非您在“服务”选项卡上创建了允许通过的项。Internet 连接防火墙直接丢弃未经请求的通信,而不向您发送通知。这将阻止通常的攻击尝试,如端口扫描。此类通知有可能过于频繁以致成为干扰。作为替代手段,Internet 连接防火墙可以创建一个安全日志,以便您可以查看由防火墙跟踪的活动。

您可以配置服务,以便运行 Internet 连接防火墙的计算机能够将来自 Internet 的未经请求的通信转发到专用网络。例如,如果主持 HTTP Web 服务器服务,并在计算机上打开了 HTTP 服务,则运行 Internet 连接防火墙的计算机会将未经请求的 HTTP 通信转发到 HTTP Web 服务器。Internet 连接防火墙需要可操作信息(称作服务定义)才能允许将未经请求的 Internet 通信转发到专用网络上的 Web 服务器。

Internet 连接防火墙注意事项

最好不要在未直接连接到 Internet 的任何连接上打开 Internet 连接防火墙。如果为运行 Internet 连接共享的客户端计算机的网络适配器打开了 Internet 连接防火墙,则 Internet 连接防火墙将会干扰该计算机与网络上其他计算机之间的某些通信。同样,您不能使用网络设置向导在 Internet 连接共享主机专用连接上打开 Internet 连接防火墙。此连接会将 Internet 连接共享主机连接至 Internet 连接共享客户端计算机。在此位置打开防火墙将会禁止网络通信。

如果网络已经拥有防火墙或代理服务器,则不必使用 Internet 连接防火墙。

如果网络只有一个共享的 Internet 连接,则最好尝试通过打开 Internet 连接防火墙来保护网络。单个客户端计算机也可能有适配器(如拨号调制解调器或 DSL 调制解调器),这些适配器用于提供单个 Internet 连接,且在没有防火墙保护的情况下容易受到攻击。Internet 连接防火墙只能检查在已打开此防火墙的 Internet 连接中经过的通信。由于 Internet 连接防火墙是基于每个连接进行工作,因此必须在所有连接到 Internet 的计算机上启用它以帮助保护整个网络。如果在 Internet 连接共享主机的 Internet 连接上打开 Internet 连接防火墙,而直接连接到 Internet 的客户端计算机未使用 Internet 连接防火墙保护网络,则网络很容易通过此无保护连接受到攻击。

允许服务在 Internet 连接防火墙中运行的服务定义也是基于每个连接进行工作。如果网络有多个防火墙连接,则必须为用于使服务正常工作的每个 Internet 连接防火墙连接配置服务定义。


Internet 连接防火墙和通知消息

由于 Internet 连接防火墙会检查所有传入通信,因此如果打开了 Internet 连接防火墙,则某些程序(尤其是电子邮件程序)可能会以不同的方式运行。有的电子邮件程序定期对其电子邮件服务器进行轮询以查找新邮件,而有的电子邮件程序则等待电子邮件服务器发出的通知。

例如,Microsoft Outlook Express 将在收到计时器发出的通知时自动检查是否有新电子邮件。如果有新电子邮件,Outlook Express 将使用新电子邮件通知向您发出提示。由于新电子邮件通知请求来自防火墙内部,因此 Internet 连接防火墙不会影响 Outlook Express 的行为。Internet 连接防火墙在表中创建一个指示出站通信的项。邮件服务器确认新电子邮件响应后,Internet 连接防火墙将在表中查找关联项并允许通信通过。随后,您将收到新电子邮件已到达的通知。

Microsoft Outlook 2000 可连接到基于 Microsoft Exchange 的服务器,此服务器使用远程过程调用 (RPC) 向客户端发送新的电子邮件通知。Outlook 2000 在连接到基于 Exchange 的服务器后不自动查找新电子邮件。基于 Exchange 的服务器将在新电子邮件到达时通知 Outlook 2000。由于 RPC 通知在防火墙外部的基于 Exchange 的服务器(而非 Outlook 2000)启动,因此 Internet 连接防火墙在表中找不到相应的项。Internet 连接防火墙不允许 RPC 消息从 Internet 传递到家庭网络。RPC 通知消息将被丢弃。您可以发送和接收电子邮件,但必须手动查找新电子邮件。


高级 Internet 连接防火墙设置

您可以使用 Internet 连接防火墙安全日志功能创建防火墙活动的安全日志。Internet 连接防火墙可以同时记录被允许和被拒绝的通信。例如,默认情况下,Internet 连接防火墙不允许从 Internet 传入的回显请求。如果未打开网际消息控制协议 (ICMP)“允许传入的回显请求”设置,则入站请求将失败,同时将生成指示入站尝试失败的日志项。

您可以通过打开各种 ICMP 选项(如“允许传入的回显请求”、“允许传入的时间戳请求”、“允许传入的路由器请求”和“允许重定向”)来修改 Internet 连接防火墙的行为。“ICMP”选项卡上显示了这些选项的简要说明。

您可以设置安全日志的允许大小以防止可能由拒绝服务攻击导致的溢出。事件日志以扩展日志文件格式生成,该格式由万维网联盟 (W3C) 定义。

参考

有关如何打开或关闭 Internet 连接防火墙的其他信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_enable_firewall.mspx
有关打开或关闭 Internet 连接防火墙的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
283673 如何在 Windows XP 中打开或关闭防火墙
有关 Internet 连接防火墙禁止访问文件和打印机的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
298804 Windows 防火墙可能会阻止浏览和文件共享
有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
306203 Internet 连接防火墙和基本防火墙不阻止 Internet 协议版本 6 通信
有关 Internet 连接防火墙安全日志文件的其他信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_firewall_log_understanding.mspx
有关服务定义的其他信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_services_overview.mspx
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_services_add.mspx
有关 ICMP 的其他信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sag_tcpip_und_icmp.mspx
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_icmp_select.mspx
有关 Windows XP SP2 中包含的 Windows 防火墙版本的其他信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/china/windowsxp/using/security/internet/sp2_wfintro.mspx

属性

文章编号: 320855 - 最后修改: 2006年5月11日 - 修订: 5.1
这篇文章中的信息适用于:
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
关键字:?
kbinfo kbfirewall kbenv KB320855
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com