用XPSP2防火墙打造最强护身甲(1)

　　WinXP SP2(以下简称SP2)中的Windows防火墙取代了原来的Internet Connection Firewall（ICF，互联网连接防火墙）。这个改进的防火墙默认设置为开启状态，并且支持IPv4和IPv6两种网络协议，可以为我们的电脑提供更多的安全保护。本文将带领大家来认识Windows防火墙的新特性以及基本设置方法。

一、防火墙新特性

与ICF相比，SP2中的Windows防火墙有了明显的改进。首先是防火墙的运行时间。在以前版本的WinXP中，从网络堆栈开始加载到ICF运行之间还有一段时间的间隔，这意味着在系统启动到防火墙完全运行这一段时间内整个系统是完全暴露的，并没有受到防火墙的保护。这是因为ICF运行所需要的系统服务是在系统引导完成后才开始启动的，而ICF服务还依赖于其他的一些系统服务，那些服务还没有运行的时候ICF的服务自然也就无法运行。在SP2系统中新增了一个名为“引导时策略”（Boot-Time Policy）的比较简单的防护，通过这个防护，我们只能使用到少数必需的网络服务，例如DNS服务器和DHCP服务器的联络等，直到防火墙启动后网络活动才能正常。

新的Windows防火墙不仅默认处于开启状态，而且其配置界面也更加美观。除此之外，Windows防火墙新的特性还包括：本地子网限制；应用到所有连接的通用配置选项；内建IPv6支持；新的组策略配置选项；可通过应用程序的文件名指定特定的通信（原先的ICF只能指定端口，而不能指定程序，现在则可以在允许的通讯中直接选择特定的程序）。

二、安全警报

在SP2中，当用户在本地运行一个应用程序并将其作为Internet服务器提供服务时，Windows防火墙将会弹出一个新的安全警报对话框。通过对话框中的选项可以将此应用程序或服务添加到Windows防火墙的例外项中(即选择“解除阻止此程序”)，Windows防火墙的例外项配置将允许特定的进站连接。当然，也可以通过手工添加程序到例外项中或者添加端口到例外项中，具体的添加方法参见后面的防火墙选项设置。

　　一旦程序提供连接服务，防火墙就会提醒用户

三、防火墙选项设置

依次单击“开始→控制面板”，然后在控制面板经典视图中双击“Windows防火墙”一项，即可打开Windows防火墙控制台。此外，还可以在SP2新增加的安全中心界面下，点击“Windows防火墙”打开防火墙控制台。

1．常规选项卡

　　防火墙控制台是SP2的新增项


在Windows防火墙控制台“常规”选项卡中有两个主选项：启用（推荐）和关闭（不推荐），一个子选项“不允许例外”。如果选择了不允许例外，Windows防火墙将拦截所有的连接用户计算机的网络请求，包括在例外选项卡列表中的应用程序和系统服务。另外，防火墙也将拦截文件和打印机共享，还有网络设备的侦测。使用不允许例外选项的Windows防火墙简直就完全“闭关”了，比较适用于“高危”环境，如餐馆、宾馆和机场等场所连接到公共网络上的个人计算机。

2．例外选项卡