Windows XP 網際網路連線防火牆說明

文章翻譯 文章翻譯
文章編號: 320855 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

本文將告訴您,包含在 Microsoft Windows XP Home Edition、Microsoft Windows XP Professional、Windows XP Home Edition Service Pack 1 (SP1) 及 Windows XP Professional SP1 當中的「網際網路連線防火牆」(ICF)。本文未說明包含在 Windows XP SP2 當中的防火牆。

其他相關資訊

網際網路連線防火牆說明

「網際網路連線防火牆」是可以用來在家用或小型辦公室網路和網際網路之間進行通訊的資訊上,進行設定限制的軟體。

如果您的網路使用「網際網路連線共用」供多台電腦存取網際網路,您最好在共用的網際網路連線上開啟「網際網路連線防火牆」。然而,您可以個別開啟「網際網路連線共用」和「網際網路連線防火牆」。您最好在任何直接連線至網際網路的 Microsoft Windows XP 電腦上,開啟網際網路連線的「網際網路連線防火牆」。

「網際網路連線防火牆」也能夠協助保護連線至網際網路的單一電腦。如果您有使用纜線數據機、DSL 數據機或撥號數據機來連線至網際網路的單一電腦,則「網際網路連線防火牆」會協助保護網際網路連線。請勿開啟虛擬私人網路 (VPN) 連線的「網際網路連線防火牆」,因為「網際網路連線防火牆」會干擾檔案共用與其他 VPN 功能。

網際網路連線防火牆的運作方式

「網際網路連線防火牆」是「可以設定狀況」的防火牆。可以設定狀況的防火牆會全面監視跨越其路徑的所有通訊,然後檢查防火牆處理之每個訊息的來源與目的位址。為了避免連線公用端的來路不明流量進入私人網路,「網際網路連線防火牆」會保留一個表格,記錄來自執行「網際網路連線防火牆」之電腦的所有通訊。「網際網路連線防火牆」會追蹤來源為單一電腦的流量。如果您將「網際網路連線防火牆」和「網際網路連線共用」結合使用,則「網際網路連線防火牆」會追蹤來自執行「網際網路連線防火牆」和「網際網路連線共用」之電腦的所有流量,並且追蹤來自私人網路電腦的所有流量。「網際網路連線防火牆」會將網際網路的所有輸入流量與表格中的項目進行比較。只有在表格中有相符項目,顯示通訊交換起始於您的電腦或私人網路時,才允許輸入的網際網路流量送達網路中的電腦。

防火牆會將執行「網際網路連線防火牆」之電腦外部來源傳來的通訊 (例如,來自網際網路) 加以捨棄,除非您在 [服務] 索引標籤中建立項目才能允許通過。「網際網路連線防火牆」會無訊息地捨棄來路不明的通訊,不會傳送活動通知給您。這個動作會阻止常見的駭客攻擊 (例如,連接埠掃描)。若常常傳送這類的通知可能會造成困擾。相反地,「網際網路連線防火牆」可以建立安全性記錄檔,讓您可以檢視防火牆追蹤的活動。

您可以設定服務,讓執行「網際網路連線防火牆」的電腦,將來自網際網路的來路不明之流量轉送至私人網路。例如,如果您裝載 HTTP 網頁伺服器服務並且開啟電腦上的 HTTP 服務,則執行「網際網路連線防火牆」的電腦會將來路不明的 HTTP 流量轉送至 HTTP 網頁伺服器。「網際網路連線防火牆」需要操作資訊 (稱為服務定義),以允許來路不明的網際網路流量轉送至私人網路上的網頁伺服器。

網際網路連線防火牆的注意事項

您最好不要在任何不是直接連接至網際網路的連線上開啟「網際網路連線防火牆」。如果在執行「網際網路連線共用」的用戶端電腦網路介面卡上開啟「網際網路連線防火牆」,「網際網路連線防火牆」會干擾此電腦與網路上所有其他電腦之間的某些通訊。基於類似的原因,您會無法使用「網路安裝精靈」在「網際網路連線共用」主機私人連線上開啟「網際網路連線防火牆」。這就是會將「網際網路連線共用」主機電腦連接至「網際網路連線共用」用戶端電腦的連線。在這個位置開啟防火牆會封鎖網路通訊。

如果網路中已經有防火牆或 Proxy 伺服器,便不需要使用「網際網路連線防火牆」。

如果網路只有一個共用的網際網路連線,您最好開啟「網際網路連線防火牆」來保護網路。個別的用戶端電腦可能有會有介面卡,像是提供個別網際網路連線的撥號或 DSL 數據機,並且在沒有防火牆的保護下可能會遭受攻擊。「網際網路連線防火牆」只能夠檢查通過開啟這項功能的網際網路連線上的通訊。因為「網際網路連線防火牆」是以每個連線為基礎進行運作,所以您必須在連線至網際網路的所有電腦上啟用這項功能,才能協助保護整個網路。如果您在「網際網路連線共用」主機電腦的網際網路連線上開啟「網際網路連線防火牆」,但是使用直接網際網路連線的用戶端電腦並未使用「網際網路連線防火牆」進行保護,則您的網路可能會經由未保護的連線遭受攻擊。

可允許服務在「網際網路連線防火牆」上操作的服務定義也同樣是以每個連線為基礎來運作。如果網路上有多個防火牆連線,您必須在每個想要服務發揮作用的「網際網路連線防火牆」連線上設定服務定義。


網際網路連線防火牆和通知訊息

因為「網際網路連線防火牆」會檢查所有輸入的通訊,所以如果開啟「網際網路連線防火牆」,某些程式 (特別是電子郵件程式) 的行為可能會有所不同。某些電子郵件程式會定期輪詢電子郵件伺服器查看是否有新郵件。某些電子郵件程式會等待電子郵件伺服器的通知。

例如 Microsoft Outlook Express 會在計時器通知時,自動檢查新的電子郵件訊息。如果有新的電子郵件訊息,Outlook Express 會用新的電子郵件訊息通知來提示您。「網際網路連線防火牆」並不會影響 Outlook Express 的行為,因為新電子郵件訊息的通知要求是來自防火牆內。「網際網路連線防火牆」會在表格中建立一個通知輸出通訊的項目。當郵件伺服器認可新的電子郵件回應時,「網際網路連線防火牆」會尋找表格中的關聯項目然後允許通訊通過。然後您會收到有新電子郵件訊息的通知。

Microsoft Outlook 2000 是連接至 Microsoft Exchange 伺服器,其使用遠端程序呼叫 (RPC,Remote Procedure Call) 將新電子郵件訊息的通知傳送至用戶端。當 Outlook 2000 連接至 Exchange 伺服器時,它並不會自動查詢新的電子郵件訊息。當有新的電子郵件訊息時,Exchange 伺服器會通知 Outlook 2000。因為是由防火牆外的 Exchange 伺服器 (而不是 Outlook 2000) 初始化 RPC 通知,因此「網際網路連線防火牆」在表格中找不到相對應的項目。「網際網路連線防火牆」不會允許跨網際網路的 RPC 訊息通過傳送到家用網路。RPC 通知訊息會被丟棄。您可以傳送與接收電子郵件訊息,但是必須手動查詢新的電子郵件。


網際網路連線防火牆的進階設定

您可以使用「網際網路連線防火牆」的安全性記錄功能,建立防火牆活動的安全性記錄檔。「網際網路連線防火牆」能夠同時記錄允許與拒絕的流量。例如,根據預設值,「網際網路連線防火牆」並不允許來自網際網路的輸入回應要求。如果並未開啟網際網路控制訊息通訊協定 (ICMP,Internet Control Message Protocol) 的 [允許輸入的回應要求] 設定,則輸入要求便不會成功,然後會產生記錄項目說明失敗的輸入嘗試。

您可以藉由開啟各種 ICMP 選項來修改「網際網路連線防火牆」的行為,像是 [允許輸入的回應要求][允許輸入的時間戳記要求][允許輸入的路由器要求][允許重新導向][ICMP] 索引標籤上會顯示這些選項的簡短描述。

您可以設定允許的安全性記錄檔大小,以避免拒絕服務攻擊可能造成的溢位。事件記錄會使用「全球資訊網協會」(W3C,World Wide Web Consortium) 建立的「延伸記錄檔格式」(Extended Log File Format) 產生。

?考

如需有關如何開啟或關閉「網際網路連線防火牆」的詳細資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_enable_firewall.mspx
如需有關如何開啟或關閉「網際網路連線防火牆」的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
283673 如何啟用或停用 Windows XP 中的網際網路防火牆
如需有關「網際網路連線防火牆」如何能夠避免存取檔案和印表機共用的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
298804 網際網路防火牆可能會阻礙瀏覽與檔案共用
如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
306203 網際網路連線防火牆及基本防火牆無法封鎖網際網路通訊協定第 6 版的資料流量
如需有關「網際網路連線防火牆」安全性記錄檔的詳細資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_firewall_log_understanding.mspx
如需有關服務定義的詳細資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_services_overview.mspx
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_services_add.mspx
如需有關 ICMP 的詳細資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sag_tcpip_und_icmp.mspx
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_icmp_select.mspx
如需有關 Window XP SP2 當中所包含的 Windows 防火牆版本的詳細資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/windowsxp/using/security/internet/sp2_wfintro.mspx

屬性

文章編號: 320855 - 上次校閱: 2006年5月11日 - 版次: 5.1
這篇文章中的資訊適用於:
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition (家用版)
關鍵字:?
kbinfo kbfirewall kbenv KB320855
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com