YouXia's Blog

作为一名网络安全爱好者，不会没有听说过WindowsXP为准备的Internet连接防火墙(InternetConnectionFirewall，简称ICF)吧？很不错的东东哦。可是你对它了解多少呢？你的ICF都为你做了些什么？起到实际的作用了吗？下面我们就一起来了解一下ICF。

ICF是一种状态防火墙，就是说ICF可以监视所有通过其路径的通信，并检查所处理的每个消息的源地址和目的地址。当单机使用的时候，ICF跟踪所有计算机发出的请求，对使用Internet连接共享的网络，ICF跟踪所有源自内部计算机发出的请求，对所有从Internet返回的数据与内部请求记录比较，如果匹配则允许进入计内部网或计算机，否则拒绝通过。这样，ICF可以阻止一切非内部请求的数据通过，从而保护我们的网络。当然，如果外部用户要访问你的主机开放的某种正常服务，如WWW和FTP，ICF还是允许的。

下面我们看如何启用ICF：

右键点击“网上邻居”，选择“属性”，然后出现你建立的所有网络连接，选中你要设置的连接，右键单击并选择“属性”，点“高级”标签页，在“Internet连接防火墙”下面的框框中打上一个“√”就开启了ICF。(图1)

不要说开启了ICF就满足了啊，我们要深入了解一下ICF。点击图1界面右下角的“设置”按钮，弹出ICF高级设置。(图2)

ICF“服务”设置

“服务”标签下面，ICF为我们预置了一些常用的服务，你可以根据自己电脑的的配置设置。比如你开放了WWW服务和FTP要别人访问，那就在“Web服务器(HTTP)”和“FTP服务”前面打上“√”。如果你双击列举的服务名，那么你还可以对服务进行进一步设置，比如双击“Web服务器(HTTP)”弹出下面的选项：(图3)

双击“FTP服务器”可以对“FTP服务器”做进一步设置。(图4)

单击“添加”，弹出下图所示的对话框(图5)：

在这里可以为ICF添加新的服务。“服务描述”中用以填入改服务的信息，如“FTP服务器”等；“在您的网络上主持此服务的计算机的名称或IP地址”中填写提供此项服务的计算机名称，可以是IP地址；“此服务的外部端口号”中，如果是FTP就是TCP的21端口，如果是Telnet就是TCP的23端口；下面的“此服务的内部端口号”一般和上面的外部端口号一致。

ICF的“安全日志”

选中“安全日志”，可以设置ICF的安全日志，从而详细的了解ICF的工作情况。(图6)

“日志选项”中你可以定义是否记录被丢弃的包或是否记录成功的连接。默认是都没有选择的，你可以根据自己的需要选择其中的一项或者都选择。如果你选择了“记录被丢弃的包”，日志会记录通过ICF的并被丢弃的数据包，如ping回应等。选择“记录成功的连接”后，内部网络中任何一个用户访问另一个站点的时候，改动作将被ICF记录，你可以监控你的用户到底访问了什么网站等的。“日志文件选项”你可以设置日志文件的路径和名称，比如如果你不想让日志存到默认的目录下，因为你需要时刻监控你的网络状况，那么你可以把文件存到桌面上。^_^

最后的“大小限制”不用多说了，如果超出了你设置的限制，ICF日志信息会被写到pfirewall.log.1中，新的日志被写到pfirewall.log中。

ICF的日志采用了标准的W3C日志文件格式。打开pfirewall.log之后，看到下面的内容：(图7)

version行表示你的ICF安全日志版本为1.0；software是指提供安全日志的名称，time的值为local，就是本机时间；fileds是显示安全日志项目可用的域的静态列表，取值有date(日期)，time(时间)，action(动作)，protocol(协议)，src-ip(源地址)，dst-ip(目的地址)，src-port(源端口)，dst-port(目的端口)，size(数据包大小)，tcpflags(IP包的TCP控制信息)，tcpsyn(TCP序列号)，tcpack(TCP确认号)，tcpwin(TCP窗口大小)，icmptype(ICMP类型域号码)，icmpcode(ICMP代码域号码)和info(指定依存于发生的操作类型的信息项目)，如果值为“－”表示该项没有内容。

我们分析一下日志正文的第一行：

2003-06-1512:34:27DROPUDP192.168.0.3192.168.0.9138138209-------

该日志表示：2003年6月15日12:34:27，丢弃了一个采用UDP协议，来自192.168.0.3主机138端口对应本机192.168.0.9的138端口数据包，包大小为209个二进制字节。

ICF中“ICMP”设置

通过ICMP，使用IP通讯的主机和路由器可以报告错误并交换受限控制和状态信息。当遇到下列情况的时候ICMP自动发送：

1)IP数据报无法访问目标，即IP包不能到达目的地；

2)IP路由器(网关)无法按当前的传输速率转发数据报

3)IP路由器重定向发送主机，以使用更好的路由到达目的地址

首先看一下ICMP配置的主界面：(图8)

我们可以配置ICMP，使主机回应来自外部的ICMP请求。比如ping。我们看一下在没有启用ICF时候ping该主机的例子：(图9)

再看看开启了ICF后ping主机的例子：(图10)

如果有这么一种情况：我们即需要开启防火墙，又需要对ping进行回应，怎么办呢？在ICMP配置窗口中选中“允许传入的回显请求”，然后再ping一下主机，看到了什么？——看到了和图9一样的画面！只需拿鼠标轻轻一点，就可以随意打开/关闭ping的回显，很有成就感对不对？^_^关于其它的各个选项，你可以自己动手测试一下，在一台电脑上进入“命令提示符”状态，写上“ping安装了ICF的主机IP地址-t”就可以，然后在ICF配置窗口中试验一下各个选项，从ping的状态立刻就可以看出来。图11就是我在“关闭－打开”ICF时的ping回显截图。(图11)

由此可见，ICF还是很管用的，更重要的是：这可是比尔•盖茨大叔送给我们的完全免费的防火墙哦！

发表于：2003年8月《黑客防线》

如承蒙转载请注明发表于该期杂志，以及作者姓名，谢谢合作！

作者：张百川 (网名：网路游侠) http://www.youxia.org