本章将针对ICF的安全设置作个大致说明。

　　建议的用途

　　ICF还不足以胜任整个网络的安全保卫任务，ICF不适合运行在那些已经处于严密保护的网络中的计算机上或者运行了某些网络服务的计算机上，网络服务通常包括：文件和打印共享，Web服务以及FTP服务等。在那些情况下，为了提供自定义级别的保护，需要使用更专业的防火墙。

　　还有一些情况下在客户端计算机上使用ICF防火墙也不能提供额外的保护，这通常发生在计算机直接连接到Internet或者外部网络的情况下。使用DSL或者Cable调制解调器，或者因为移动经常要连接到不同网络中的便携式计算机可以从ICF得到最多保护。

　　特性

　　ICF使用三种方式保护计算机：全状态数据包监测、端口扫描保护还有安全日志。下面将对这三种方式分别说明。

　　全状态数据包监测

　　ICF使用的全状态数据包监测技术会把所有由本机发起的网络连接生成一张表，并用这张表跟所有的入站数据包作对比，如果入站的数据包是为了响应本机的请求，那么就被允许进入。除非有实施专门的过滤器以允许特定的非主动请求数据包，否则所有其他数据包都会被阻挡。

　　端口扫描保护

　　当使用默认的配置，计算机对大部分的端口扫描器都是不可见的。如果配置被改变以允许特定的连接，那么只要后在高级设置中被设置的端口才会打开，并被扫描到。

　　大部分端口扫描软件都会再扫描前进行ICMP ping测试以验证目标是否存在，默认情况下，ping命令和会被忽略掉，并且在受ICF保护的计算机上，即使某些端口是开放的，在被扫描时这些端口仍然不会做出回应。

　　安全日制

　　ICF可以被配置为记录下所有的连接企图，你可以选择记录成功的连接，或者记录丢掉的数据包，或者两者都记录。不过日志智能记录这些内容，其他信息都无法被记录。

尚未提供的功能

　　ICF仅仅提供了入站数据包过滤功能，你无法用它来限制从本地传出的数据类型，这同时意味着ICF无法限制本机的主动连接。

　　ICF的设置仅能控制局域网外部计算机到本机的网络连接，但无法对谁可以访问哪些服务进行限制。这样你就不能对某台特定的计算机、用户或者网络的访问进行控制。如果开启了某些服务，它将允许所有人访问这些服务；如果没有开启服务，则所有连接都将被拒绝。然而，你可以使用IP过滤的方法对所有入站和出站的连接进行控制。

　　启用ICF

　　在启用ICF前必须做到：

　　具有管理员特权

　　ICF必须没有在组策略中被禁用

　　警告：使用默认设置启用ICF防火墙会禁用文件和打印共享的能力，ICF同样会禁用浏览网络邻居的能力，请查阅微软知识库文章Q298804获得详细内容：

　　如果你有多个网卡并且想在每个网卡上启用ICF，那么你必须在每个网卡上启用和设置。如果你使用网络任务面板中或者创建网络连接向导中的家庭和小型办公室网络安装向导，防火墙就已经默认打开了。该向导会根据向导中设置的不同使用以下两种ICF的工作模式：

　　这台计算机直接或通过网络集线器连接到Internet。我的网络上的其它计算机业通过这个方式连接到Internet。

　　这台计算机直接连接到Internet。我还没有网络。

　　如果网卡是通过其他任何方式设置的，或者ICF没有被启用，还可以通过以下方法启用：

　　控制面板 – 网络

　　在网络连接图标上点击鼠标右键，从弹出菜单中选择属性

　　点击高级选项卡

　　选中通过限制或组织来自Internet的对此计算机的访问来保护我的计算机和网络。见图14，这将使用默认配置启用ICF

图 14

如果你想要自定义防火墙设置，点击设置。接着将会出现一个带有以下三个选项卡的窗口：服务、安全日志以及ICMP。

　　图15所示的服务选项卡显示了可用的常见服务的选项，随意选择一个服务后都会出现一个新的窗口，允许你在新窗口里指定运行该服务的计算机的名称或者地址。除非你的计算机是用来作为网关，否则那个窗口应该显示ICF运行的计算机的名称。

图 15

　　你可以通过点击添加选项卡然后输入服务具体信息的方法添加额外的服务，例如，要添加一个8080端口的Web服务，所输入的信息应该如图16所示。

图 16

　　注意：如果你是通过DHCP服务器获得IP地址，那么在这里应该输入机器名而不是IP地址，因为IP地址随时都可能改变。

安全日志选项卡允许对ICF的活动状态进行记录，你可以选择记录丢弃的数据包、成功建立的连接或者两者都记录，同时你还可以对日志文件的保存位置和大小进行设置。如果日志文件达到了规定的最大尺寸，老的记录将会被新记录覆盖。日志文件无法被自动压缩。图17显示了安全日志选项。

图 17

　　ICMP选项卡允许选择允许通过的ICMP消息类型，不像TCP/UDP服务，ICMP选项区分入站和出站数据包。ICMP数据包可以用来收集网络信息，建议不要启用任何一种消息类型，除非必须。图18显示了ICMP选项。

图 18

　　总结

　　ICF对计算机提供了基本的防护，这个保护仅限于入站连接，出站连接或者到本地局域网的连接则不会受到任何限制。默认的配置会阻挡外部所有到本机服务的连接，并会针对端口扫描进行一些保护。通过打开相应的端口，可以允许个别服务通过防火墙，但是并没有选择型。你无法通过内容或者目标地址允许或者拒绝网络传输，如果要计算机支持某些服务，它应当位于一些更专业的防火墙后，这不是ICF所能提供的。

　　ICF在某些情况下是很有用的，例如当计算机不是某个局域网的一部分而是直接连接到互联网，例如在外直接拨号到组织中的远程访问服务器。注意在使用了IPSec的环境下，ICF必须被禁用。否则客户端将无法协商IPSec策略并且无法创建网络连接。