★Windows XP SP2防火墻的工作原理

對(duì)于只使用瀏覽、電子郵件等系統(tǒng)自帶的網(wǎng)絡(luò)應(yīng)用程序，Windows防火墻根本不會(huì)產(chǎn)生影響。也就是說(shuō)，用IE、OutlookExpress等系統(tǒng)自帶的程序進(jìn)行網(wǎng)絡(luò)連接，防火墻是默認(rèn)不干預(yù)的。微軟在設(shè)置防火墻內(nèi)置規(guī)則時(shí)，已經(jīng)為自家的應(yīng)用程序開(kāi)了“綠色通道”，所以裝上SP2后，即使打開(kāi)其防火墻并且啟用“不允許例外”，無(wú)需將IE加到“例外”就能上網(wǎng)，而防火墻也不會(huì)詢(xún)問(wèn)是否要允許IE通過(guò)。

★SP2防火墻與第三方防火墻軟件的區(qū)別

僅就防火墻功能而言，Windows防火墻只阻截所有傳入的未經(jīng)請(qǐng)求的流量，對(duì)主動(dòng)請(qǐng)求傳出的流量不作理會(huì)。而第三方病毒防火墻軟件一般都會(huì)對(duì)兩個(gè)方向的訪問(wèn)進(jìn)行監(jiān)控和審核，這一點(diǎn)是它們之間最大的區(qū)別。如果入侵已經(jīng)發(fā)生或間諜軟件已經(jīng)安裝，并主動(dòng)連接到外部網(wǎng)絡(luò)，那么Windows防火墻是束手無(wú)策的。不過(guò)由于攻擊多來(lái)自外部，而且如果間諜軟件偷偷自動(dòng)開(kāi)放端口來(lái)讓外部請(qǐng)求連接，那么Windows防火墻會(huì)立刻阻斷連接并彈出安全警告，所以普通用戶(hù)不必太過(guò)擔(dān)心這點(diǎn)。這就好像賓館里的房門(mén)一樣——外面的人要進(jìn)入必須用鑰匙開(kāi)門(mén)，而屋里的人要出門(mén)，只要拉一下門(mén)把手就可以了。

實(shí)戰(zhàn)1:天網(wǎng)防火墻和Windows防火墻的不同

我們用兩種軟件來(lái)分別對(duì)QQGame的網(wǎng)絡(luò)請(qǐng)求進(jìn)行監(jiān)控。

第一步:確認(rèn)不要將QQGame這個(gè)程序添加到各自的“例外”規(guī)則中，然后登錄QQ游戲大廳；

第二步:這時(shí)你會(huì)發(fā)現(xiàn)，天網(wǎng)個(gè)人防火墻立即阻止QQ游戲的網(wǎng)絡(luò)訪問(wèn)，然后詢(xún)問(wèn)是否給予通行(見(jiàn)圖1)；

第三步:而Windows防火墻對(duì)這個(gè)主動(dòng)出站的請(qǐng)求不做任何處理，就好像沒(méi)有防火墻一樣，輸入帳戶(hù)信息后登錄到游戲平臺(tái)，QQGame實(shí)際上已經(jīng)完成了往外網(wǎng)絡(luò)訪問(wèn)；這時(shí)需要將游戲信息下載到本地(就是有外部訪問(wèn)請(qǐng)求)，防火墻就彈出了“Windows 安全警報(bào)”(見(jiàn)圖2)。

小提示取消“Windows 安全警報(bào)”的方法:打開(kāi)防火墻設(shè)置后，在“例外”選項(xiàng)卡中取消選擇“Windows防火墻阻止程序時(shí)通知我”即可。

實(shí)戰(zhàn)2:讓XP SP2正確識(shí)別UPnP(通用即插即用)戰(zhàn)前分析:BitComet以其擁有內(nèi)網(wǎng)互聯(lián)(NAT Traversal)技術(shù)，而且支持UPnP的NAT和Windows XP防火墻，讓內(nèi)網(wǎng)的朋友在進(jìn)行BT下載時(shí)可以獲得相當(dāng)快的下載速度。但自從升級(jí)到SP2并啟用了Windows防火墻后，BitComet軟件速度變得很慢！這是由于防火墻沒(méi)有設(shè)置好，使得系統(tǒng)沒(méi)能正確識(shí)別UPnP設(shè)備。第一步:Windows XP默認(rèn)是支持UPnP的，如果在“例外”看不到這個(gè)選項(xiàng)，則說(shuō)明沒(méi)有安裝UPnP設(shè)備支持。打開(kāi)“網(wǎng)上鄰居”窗口，在其左側(cè)的工具欄中點(diǎn)擊“顯示聯(lián)網(wǎng)的UPnP設(shè)備的圖標(biāo)”，如果UPnP設(shè)備文件沒(méi)有安裝或安裝不正確，系統(tǒng)就會(huì)自動(dòng)安裝(見(jiàn)圖3);

第二步:在“控制面板”中打開(kāi)防火墻并啟動(dòng)，確認(rèn)不勾選“不允許例外”這個(gè)選項(xiàng)；當(dāng)打開(kāi)BitComet后，Windows防火墻有可能會(huì)提示你是否要阻止該程序，選擇“解除阻止”；第三步:點(diǎn)擊“例外”選項(xiàng)卡，勾選“UPnP框架”即可。實(shí)戰(zhàn)3:給遠(yuǎn)程管理開(kāi)個(gè)通行證戰(zhàn)前分析:當(dāng)通過(guò)MMC控制臺(tái)中的Computer Management(計(jì)算機(jī)管理)、Disk Management(磁盤(pán)管理)等組件遠(yuǎn)程管理程序來(lái)管理局域網(wǎng)上的其他計(jì)算機(jī)，計(jì)算機(jī)必須開(kāi)放TCP 445端口。如果在遠(yuǎn)程操作已經(jīng)安裝XP SP2并開(kāi)啟了防火墻的計(jì)算機(jī)時(shí)，就得手動(dòng)打開(kāi)這個(gè)TCP端口。第一步:打開(kāi)防火墻設(shè)置窗口，切換到“例外”選項(xiàng)卡，勾選“文件和打印機(jī)共享”第二步:單擊“編輯”按鈕，在打開(kāi)的“編輯服務(wù)”窗口中選中“TCP 445”，單擊更改范圍，勾選“僅我的網(wǎng)絡(luò)”或者勾選“自定義列表”并輸入要控制的計(jì)算機(jī)的IP地址(見(jiàn)圖4)。

小提示上列步驟可以用命令代替，即在命令提示符窗口中輸入“netsh firewall set portopening TCP 445 TCP445 ENABLE”(不包括引號(hào))。

實(shí)戰(zhàn)4:徹底搞定“遠(yuǎn)程桌面”連接戰(zhàn)前分析:通過(guò)Windows XP SP2防火墻實(shí)現(xiàn)遠(yuǎn)程協(xié)作的方法很簡(jiǎn)單，遠(yuǎn)程協(xié)作使用的是動(dòng)態(tài)端口。在防火墻設(shè)置對(duì)話框中的“例外”選項(xiàng)卡上“程序和服務(wù)”列表中選擇“遠(yuǎn)程協(xié)作”項(xiàng)目，這樣Windows將自動(dòng)監(jiān)視并正確處理來(lái)自sessmgr.exe應(yīng)用程序的所有通訊請(qǐng)求完成連接。Windows NetMeeting的遠(yuǎn)程桌面要復(fù)雜一些，盡管在例外選項(xiàng)卡中有“遠(yuǎn)程桌面”選項(xiàng)，但是如果你選擇這個(gè)選項(xiàng)，實(shí)際是開(kāi)放了TCP的端口3389，也可能無(wú)法完成遠(yuǎn)程桌面連接。方法:在Windows防火墻打開(kāi)的情況下，在可以使用Windows NetMeeting的遠(yuǎn)程桌面共享功能之前，必須向Windows防火墻的“例外”選項(xiàng)卡上“程序和服務(wù)”列表中分別為Windows NetMeeting和%systemroot% System32Mnmsrvc.exe文件和C:Program FilesNetMeetingconf.exe文件分別添加一個(gè)條目即可。實(shí)戰(zhàn)5:只讓內(nèi)網(wǎng)來(lái)“Ping”我！戰(zhàn)前分析:在默認(rèn)情況下XP SP2防火墻不允許ICMP入站數(shù)據(jù)進(jìn)入，也就不會(huì)回復(fù)ICMP返回?cái)?shù)據(jù)，這樣可以防止檢查網(wǎng)絡(luò)故障常用的命令工具“Ping”來(lái)探測(cè)你的計(jì)算機(jī)，不過(guò)這樣對(duì)于一些啟用了共享上網(wǎng)的用戶(hù)，內(nèi)網(wǎng)就無(wú)法用Ping來(lái)檢查自己的網(wǎng)絡(luò)情況了。方法一:按照實(shí)戰(zhàn)2的方法，分別將“文件和打印機(jī)共享”中所打開(kāi)的TCP端口適用于子網(wǎng)即可。方法二:打開(kāi)Windows 防火墻，切換到“高級(jí)”選項(xiàng)卡，雙擊與內(nèi)網(wǎng)連接的那個(gè)“本地連接”，切換到“ICMP”選項(xiàng)卡，勾選“允許傳入的回顯請(qǐng)求”，確認(rèn)所有操作即可(見(jiàn)圖5)。

ICMP協(xié)議ICMP是“Internet Control Message Protocol”(Internet控制消息協(xié)議)的縮寫(xiě)，它是TCP/IP協(xié)議簇中的一個(gè)子協(xié)議，用于在IP主機(jī)、路由器之間傳遞控制消息。控制消息是指網(wǎng)絡(luò)通不通、主機(jī)是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息，這些控制消息雖然并不傳輸用戶(hù)數(shù)據(jù)，但是對(duì)于用戶(hù)數(shù)據(jù)的傳遞起著重要的作用。我們?cè)诰W(wǎng)絡(luò)中經(jīng)常會(huì)使用到ICMP協(xié)議，只不過(guò)我們覺(jué)察不到而已。比如我們經(jīng)常使用的用于檢查網(wǎng)絡(luò)通不通的Ping命令實(shí)際上就是ICMP協(xié)議工作的過(guò)程，還有諸如跟蹤路由的Tracert命令也是基于ICMP協(xié)議的。