解读Windows XP SP2防火墙

　　Windows防火墙在原则上是对由外向内的通信(inbound)全部进行限制，而由内向外的通信(outbound)及其应答则完全不加限制。Windows防火墙只在像服务器那样运行的应用程序开始通信时才会发出警告。 以登录联众世界为例：在所有网络链接上打开防火墙，现在，登陆联众世界试试，一样登陆，根本不需要通过防火墙允许。选择了“不允许例外”，结果还是一样。而用zonealarm的时候，任何程序都得经过防火墙的允许。这是为什么？

　　前面已经提到了Windows防火墙的特点“只阻截所有传入的未经请求的流量”也就是说，Windows防火墙对主动出站流量不作处理，所以登陆联众世界/IE等没有安全提示，而zonealarm等个人防火墙对所有出、入站流量都作审查，所以有安全提示（除非设置审查但不提示）。但是，为什么QQ/MSN/MYIE2等又有安全提示呢？这是因为QQ/MSN/MYIE2等试图在本地开后门--端口等待远程请求连接，显然这种不安全行为被Windows防火墙拦截并作出安全提示，这相当于QQ/MSN/MYIE2等作为提供某种服务的服务器端。如图所示，MYIE2在本开了1067端口，QQ使6000和6001处在监听状态，而联众世界却没有开放任何端口。

　　取消通知的方法是：防火墙设置-例外-取消选择“Windows防火墙组织程序时通知我”。

　　五、Windows XP SP2的防火墙可以限制某个应用程序访问网络吗？

　　Windows XP SP2的防火墙置不适用于不对特定 UDP 或 TCP 端口集合进行监听的应用程序，不能限制某个应用程序访问网络，但是，却可以限制对谁提供哪些服务，这一点也不同于早期版本的Windows防火墙。

　　虽然Windows防火墙不可以限制出站通讯，但是Windows XP内置的Internet Protocol security (IPSec)却可以提供这种保护，使用IPSec规则，可以指定通讯是被阻断（丢弃数据）还是被放行（允许），同时能保护加密的入站和出站通讯。在这三种情况下（阻断、允许、保护），IPSec能够配置原地址和目标地址范围。同时使用IPSec规则和Windows防火墙可以给网络提供更强大的安全保护。

　　对早期Windows防火墙而言，如果开启了某些服务，它将允许所有人访问这些服务，但是SP2的防火墙却可以精确的设置是对某台计算机或者某些子网允许连接；如果没有开启服务，则所有连接都将被拒绝。设置方法：安全中心-防火墙设置-例外-编辑（某个服务）-更改范围-自定义列表。自定义列表的说明，如果对某个IP提供服务，设置子网掩码为全1，例如192.168.0.3/255.255.255.255；如果针对某个子网提供服务，设置正确的子网掩码，如192.168.0.1/255.255.255.128，多个项目之间用“,”号隔离。

　　如上所述，ICF和基于应用程序的个人防火墙产品是不一样的。基于应用程序的个人防火墙可以控制每一个访问Internet的程序，但是不能限制某个应用程序访问网络，使用使用IPSec规则可以提供对计算机向外发出的报文进行过滤的功能。

上一页  [1] [2] [3] [4] [5] [6] [7]  下一页