Internet 連接防火墻是充當網絡與外部世界之間的保衛邊界的安全系統。Internet 連接防火墻 (ICF)是用來限制哪些信息可以從你的電腦訪問 Internet 以及從 Internet 進入您電腦的一種軟件。  
  
如果你的電腦使用 Internet 連接共享 (ICS) 來為多臺計算機提供 Internet 訪問能力，最好在共享的Internet 連接中啟用 ICF。當然，ICS 和 ICF 都可以單獨啟用。如果你的電腦是直接連接到 Internet ，也建議你在這個 Internet 連接上啟用 ICF。要查看是否啟用了 ICF 或者是否要啟用防火墻，請參閱
  
圖1。  
  
xp中的ICF設置不像其他的防火墻一樣是基于程序的，所以看起來不是很直觀。ICF的設置都是基于端口的 ，所以效率更高，但是我們在設置防火墻的時候需要對程序占用的端口有詳細的了解，下面的內容我們會用實際的例子來說明。




ICF 本質上是狀態防火墻。狀態防火墻可以用來監視所有通訊端口，并且檢查所處理的每個消息的源和目標地址。  
  
默認的情況下，ICF不允許所有來自外部網絡的未經請求的通信進入本機。所有從 Internet 進入通信都會接受ICF的檢查并和自己的設置相比較。只有本機發出的信息的反饋消息才能進入我的電腦，原自外部 的消息默認情況是不允許進入本機的，這也解釋了為什么開啟ICF后從我的電腦可以ping通別人的電腦，但是外部的電腦不能我的主機。 （除非在“服務”選項卡上建立了允許該通訊通過的條目）。  
  
默認情況下，ICF 的處理過程不會反饋給使用者，而是靜態地阻止未經請求的通訊，防止像端口掃描這樣的常見黑客襲擊。因為如果反饋這種通知消息的話會過于頻繁以至于成為一種干擾，就像我們常見的天網或者norton一樣，時不時出來一個消息框告訴你檢測的進程。筆者就認為這種提示對我的工作干擾很大，而且有一種請功的心態，這是我最討厭的。  
  
最后一點，xp中自帶的ICF 一樣可以創建安全日志，通過查看安全日志我們一樣清楚被防火墻跟蹤的各種活動，以及被防火墻攔截的各種信息，同時還可以設置跟蹤記錄的文件的最大值，以防無限占用硬盤空間接下來我們用實際的例子來說明ICF的配置。

xp自帶的ICF的配置和實例  
  
在撥號上網的圖標上鼠標右鍵選屬性，打開高級選項，勾選1以啟用ICF，再點擊2，開始設置ICF，如圖：




如圖3，在服務欄里面有xp自帶的一些服務，可以勾選你想要的服務。如果覺得這些自帶的服務不夠或者不理想，可以按下面的添加，手工添加你自定義的服務。




再看第二項－安全日志，方框1里面的設置可以記錄防火墻的跟蹤記錄，包擴丟棄和成功的所有事項，2所指的地方可以更改記錄文件存放的目錄，3指的地方可以修改記錄文件的大小，避免過渡占用空間。可以依自己的需要設置。  
  
要注意的是，xp默認的選項是不記錄任何攔截或成功的事項，同時記錄文件的大小默認是4M




再看下一個選項ICMP，ICMP的全稱是internet control messenge protocal，internet控制信息協議，所 有支持tcp/ip的網絡都必須支持ICMP。我們通過ICMP的反饋信息來確定網絡的狀態，比如網絡通不通，是 否有擁塞等等。實際例子中，比如我們ping一個ip地址，就是ICMP把ping的結果返回給ping命令的發送著，從而讓發送著知道網絡的狀態。  
  
ICMP是一個非常好且有用的協議，但是如果不加以限制的話，會造成很大的不便。比如你通過adsl上網， 假設你的帶寬是2M，如果同時有許多人用小數據包ping你，因為你的電腦要給所有ping你的人答復，這樣 就造成了你帶寬的浪費。如果ping你的人數達到一定的數量，則你的網絡帶寬完全被用來做答復別人的回 應，從而是你正常的通訊無法進行。  
  
實際上ICMP反饋只是讓我們了解網絡的狀態，并不影響正常的通訊，所以我們可以關閉它。這樣的話別人 不能ping通我的電腦，但是可以和我進行正常的數據交流。  
  
上面的例子是用ping來解說ICMP的功能，實際上ICMP的作用很多的，我們可以打開或關閉某些。如圖5，當我們選定鼠標所指的選項時，下方會出來相應的描述信息，我們可以安裝我們的要求進行配置。注意的 是默認情況下所有的ICMP都沒有打開。




接下來的過程讓我們配置一個實例。  
  
大家都知道，在使用msn messenger的時候，有一項功能是文件傳輸。但是文件傳輸經常不能成功，其中的機制就是msn的文件傳輸采用了特殊的端口，而一般的防火墻是關閉這個端口的，包括xp的防火墻也一 樣。  
  
如果通話雙方要進行文件傳輸，多數網友都是直接關閉防火墻，傳送完畢以后再打開，相信大多數的網友 都遇到過類似的問題。這是因為一般的防火墻軟件比如天網和norton都是基于程序的。（當然也能基于端 口，但是配置不直觀）。xp自帶的防火墻恰恰是基于端口的，因此非常方便。  
  
舉個例子，如果我們想禁止本機的ftp服務，用基于程序的防火墻來禁止的話，只要你安裝的ftp程序一連 接到互聯網，防火墻就跳出來報警，你就要配置一次。如果你安裝了100個ftp的程序，防火墻就會跳出了100次報警，你就要配置100次。我不知道實際工作的時候有多少人會仔細的看報警的內容并仔細配置，反正我看到的朋友都是一有報警的對話框，就一路回車下去，這樣配置等于沒有安裝防火墻。（我不否認部分朋友確實有耐心仔細配置，但是這樣的話你累不累？）  
  
如果我們采用了xp的ICF，它是基于端口的，不管你用什么樣的程序去做ftp服務，你必須要采用21號端口 ，我們只要禁止21號端口就行了。而且xp自帶的ICF默認是不顯示攔截或通過的信息的，這樣我們的工作就不會收到任何的干擾，但是防火墻卻實實在在地在工作。  
  
通過查找msn messenger的幫助，我們發現msn用來傳送文件的端口是6891－6900一共10個端口，也就是允許同時傳送最多10個文件。xp自帶的ICF默認是關閉6891－6900這10個端口的，為了使msn的文件傳輸功能正常進行，我們必須打開它。（當然，如果我們使用msn messenger同時傳送的文件只有一個，那打開一個端口就行了）。  
  
下面是實際的操作過程。

先打開你的上網連接的屬性，高級，啟用ICF，并點選設置進行設置。在服務選項里面，我們沒有看到關于msn messenger文件傳送的現成的可以使用的服務，所以我們手工創建一個，點下面的添加按鈕：  
在1處輸入你要創建的規則的名稱  
在2處輸入你的網卡的ip地址  
在3和4處輸入你想要打開的端口號，msn messenger占用的是6891－6900，我們隨便輸入其中的一個  
在5處選擇TCP而不是UDP，因為msn的文件傳輸屬于可靠的服務（TCP），UDP指的是不可靠的服務。（TCP
  
和UDP的概念如果大家感興趣下次再詳細說說）




選擇完成以后，按確定，新的規則已經創建，如圖7，有必要的話可以按下面的編輯對這條創建好的規則 進行修改。  
  
當然，這條規則要生效的話，不要忘記在前面打勾：）  
  
現在再打開你的msn messenger，試試文件傳輸是不是已經很好用了：）




ICF不但可以用于防止internet的非法入侵，在局域網上同樣有效。但是有一點一定要注意：  
如果你的機器是代理服務器，局域網的別的機器是通過你的電腦上網的，那千萬不要在你的局域網上打開ICF，否則你所在的局域網內的其他用戶不能通過你上網