★Windows XP SP2防火牆的工作原理
對於只使用瀏覽、電子郵件等系統自帶的網路應用程式,Windows防火牆根本不會產生影響。也就是說,用IE、OutlookExpress等系統自帶的程式進行網路連接,防火牆是默認不干預的。微軟在設定防火牆內置規則時,已經為自家的應用程式開了「綠色通道」,所以裝上SP2後,即使打開其防火牆並且啟用「不允許例外」,無需將IE加到「例外」就能上網,而防火牆也不會詢問是否要允許IE透過。
★SP2防火牆與第三方防火牆軟體的區別
僅就防火牆功能而言,Windows防火牆只阻截所有傳入的未經請求的流量,對主動請求傳出的流量不作理會。而第三方病毒防火牆軟體一般都會對兩個方向的訪問進行監控和審核,這一點是它們之間最大的區別。如果入侵已經發生或間諜軟體已經裝設,並主動連接到外部網路,那麼Windows防火牆是束手無策的。
不過由於攻擊多來自外部,而且如果間諜軟體偷偷自動開放連接埠來讓外部請求連接,那麼Windows防火牆會立刻阻斷連接並彈出安全警告,所以普通用戶不必太過奔心這點。
這就好像賓館裡的房門一樣--外面的人要進入必須用鑰匙開門,而屋裡的人要出門,只要拉一下門把手就可以了。
實戰1:天網防火牆和Windows防火牆的不同
我們用兩種軟體來分別對QQGame的網路請求進行監控。
第一步:確認不要將QQGame這個程式添加到各自的「例外」規則中,然後登錄QQ遊戲大廳;
第二步:這時你會發現,天網個人防火牆立即阻止QQ遊戲的網路訪問,然後詢問是否給予通行(見圖1);
圖1天網的警告資訊
第三步:而Windows防火牆對這個主動出站的請求不做任何處理,就好像沒有防火牆一樣,輸入帳戶資訊後登錄到遊戲平台,QQGame實際上已經完成了往外網路訪問;這時需要將遊戲資訊下載到本地(就是有外部訪問請求),防火牆就彈出了「Windows 安全警報」(見圖2)。
圖2 QQ遊戲要聯繫網路所彈出的警告
小提示
取消「Windows 安全警報」的方法:打開防火牆設定後,在「例外」選項卡中取消選擇「Windows防火牆阻止程式時通知我」即可。
實戰2:讓XP SP2正確識別UPnP(通用即插即用)
戰前分析:BitComet以其擁有內網互聯(NAT Traversal)技術,而且支援UPnP的NAT和Windows XP防火牆,讓內網的朋友在進行BT下載時可以獲得相當快的下載速度。但自從升級到SP2並啟用了Windows防火牆後,BitComet軟體速度變得很慢!這是由於防火牆沒有設定好,使得系統沒能正確識別UPnP設備。
第一步:Windows XP默認是支援UPnP的,如果在「例外」看不到這個選項,則說明沒有裝設UPnP設備支援。打開「網路上的芳鄰」窗口,在其左側的工具列中點擊「顯示聯網的UPnP設備的圖示」,如果UPnP設備文件沒有裝設或裝設不正確,系統就會自動裝設(見圖3);
圖3 顯示UPnP設備
第二步:在「控制面板」中打開防火牆並啟動,確認不勾選「不允許例外」這個選項;當打開BitComet後,Windows防火牆有可能會提示你是否要阻止該程式,選擇「解除阻止」;
第三步:點擊「例外」選項卡,勾選「UPnP框架」即可。
實戰3:給遠端管理開個通行證
戰前分析:當透過MMC控制台中的Computer Management(電腦管理)、Disk Management(磁碟管理)等元件遠端管理程式來管理區域網路上的其他電腦,電腦必須開放TCP 445連接埠。如果在遠端操作已經裝設XP SP2並開啟了防火牆的電腦時,就得手動打開這個TCP連接埠。
第一步:打開防火牆設定窗口,切換到「例外」選項卡,勾選「文件和印表機共享」
第二步:按一下「編輯」按鈕,在打開的「編輯服務」窗口中選中「TCP 445」,按一下修改範圍,勾選「僅我的網路」或者勾選「自定義清單」並輸入要控制的電腦的IP地址(見圖4)。
圖4 輸入要控制的電腦的IP地址
小提示
上列步驟可以用命令代替,即在命令提示符窗口中輸入「netsh firewall set portopening TCP 445 TCP445 ENABLE」(不包括引號)。
實戰4:徹底搞定「遠端桌面」連接
戰前分析:透過Windows XP SP2防火牆實現遠端協作的方法很簡單,遠端協作使用的是動態連接埠。在防火牆設定對話方塊中的「例外」選項卡上「程式和服務」清單中選擇「遠端協作」項目,這樣Windows將自動監視並正確處理來自sessmgr.exe應用程式的所有通訊請求完成連接。Windows NetMeeting的遠端桌面要複雜一些,儘管在例外選項卡中有「遠端桌面」選項,但是如果你選擇這個選項,
實際是開放了TCP的連接埠3389,也可能無法完成遠端桌面連接。
方法:在Windows防火牆打開的情況下,在可以使用Windows NetMeeting的遠端桌面共享功能之前,必須向Windows防火牆的「例外」選項卡上「程式和服務」清單中分別為Windows NetMeeting和%systemroot% \System32\Mnmsrvc.exe文件和C:\Program Files\NetMeeting\conf.exe文件分別添加一個條目即可。
實戰5:只讓內網來「Ping」我!
戰前分析:在默認情況下XP SP2防火牆不允許ICMP入站數據進入,也就不會回覆ICMP返回數據,這樣可以防止檢查網路故障常用的命令工具「Ping」來探測你的電腦,不過這樣對於一些啟用了共享上網的用戶,內網就無法用Ping來檢查自己的網路情況了。
方法一:按照實戰2的方法,分別將「文件和印表機共享」中所打開的TCP連接埠適用於子網即可。
方法二:打開Windows 防火牆,切換到「高級」選項卡,連續按兩下與內網連接的那個「本地連接」,切換到「ICMP」選項卡,勾選「允許傳入的回顯請求」,確認所有操作即可(見圖5)。
圖5 高級設定
ICMP協議
ICMP是「Internet Control Message Protocol」(Internet控制消息協議)的縮寫,它是TCP/IP協議簇中的一個子協議,用於在IP主機、路由器之間傳遞控制消息。控制消息是指網路通不通、主機是否可達、路由是否可用等網路本身的消息,這些控制消息雖然並不傳輸用戶數據,但是對於用戶數據的傳遞起著重要的作用。我們在網路中經常會使用到ICMP協議,只不過我們覺察不到而已。比如我們經常使用的用於檢查網路通不通的Ping命令實際上就是ICMP協議工作的過程,還有諸如跟蹤路由的Tracert命令也是基於ICMP協議的。
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
請禮貌性的回覆帖子
菜鳥托兒所開放新成員加入訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
