若要啟用Internet連接防火墻，選中"通過限制或阻止來自Internet的對此計算機(jī)的訪問來保護(hù)我的計算機(jī)和網(wǎng)絡(luò)"復(fù)選框。若要禁用Internet連接防火墻，清除該復(fù)選框。 　　

　　網(wǎng)絡(luò)服務(wù) 　　

　　還是上面的"高級"選項卡，點(diǎn)擊下方的"設(shè)置"項，如下圖：

　　已經(jīng)有選中的項目表示網(wǎng)絡(luò)用戶能夠存取的服務(wù)，如：messenger，遠(yuǎn)程桌面，F(xiàn)TP，Telnet等?！　?
　　對于一些常見的網(wǎng)絡(luò)服務(wù)，如POP3，SMTP、HTTP等，系統(tǒng)會在需要的時候開放。 　　

　　如果我們要設(shè)置一個新的服務(wù)項目，以常見的messenger文件傳輸為例，因?yàn)樵S多朋友都會在這方面遇到問題，實(shí)際上在HELP中寫的明白。 　　

　　messenger的文件傳輸采用TCP6891-6900端口，可以在xp的防火墻設(shè)置里面增加TCP6891號端口，文件就可以順利發(fā)送了。文件傳輸?shù)倪M(jìn)程，一般情況下我們添加一個就行了。 　　

　　添加方法見圖： 　　

　　按要求依次寫入"描述"，"本機(jī)的IP地址"，使用的端口號(6891)，然后確定即可。

　　安全日志 　　

　　生成安全日志時使用的格式是W3C擴(kuò)展日志文件格式，這與在常用日志分析工具中使用的格式類似。

　　打開"網(wǎng)絡(luò)連接"，單擊要在其上啟用Internet連接防火墻(ICF)的連接，然后在"網(wǎng)絡(luò)任務(wù)"→"更改該連接的設(shè)置"→"高級"→"設(shè)置"→"安全日志記錄"→"記錄選項"下，選擇下面的一項或兩項：

　　若要啟用對不成功的入站連接嘗試的記錄，請選中"記錄丟棄的數(shù)據(jù)包"復(fù)選框，否則禁用。

　　2、更改安全日志文件的路徑和文件名 　　

　　打開"網(wǎng)絡(luò)連接"，選擇要在其上啟用Internet連接防火墻的連接，然后在"網(wǎng)絡(luò)任務(wù)"→"更改該連接的設(shè)置"→"高級"→"設(shè)置"→"安全日志記錄"→"日志文件選項"→"瀏覽"中，瀏覽要放置日志文件的位置。 　　

　　在"文件名"中，鍵入新的日志文件名，然后單擊"打開"。打開后可查看其內(nèi)容。 　　

　　還可以設(shè)置安全日志文件的大小，打開已啟用Internet連接防火墻的連接，然后在"網(wǎng)絡(luò)任務(wù)"→"更改該連接的設(shè)置"→"高級"→"設(shè)置"→"安全日志記錄"→"日志文件選項"→"大小限制"中，使用箭頭按鈕調(diào)整大小限制。筆者認(rèn)為，一般512K足夠了。 　　
　　如果你在更改設(shè)置后有問題，可以還原默認(rèn)的安全日志設(shè)置。打開啟用Internet連接防火墻的連接，然后點(diǎn)擊"網(wǎng)絡(luò)任務(wù)"→"更改該連接的設(shè)置"→"高級"→"設(shè)置"→"安全日志記錄"→"還原默認(rèn)值"。

　　記錄成功的連接--這將登錄來源于家庭、小型辦公網(wǎng)絡(luò)或Internet的所有成功的連接。 　　

　　當(dāng)你選擇"登錄成功的外傳連接"復(fù)選框時，將收集每個成功通過防火墻的連接信息。例如，當(dāng)網(wǎng)絡(luò)上的任何人使用Internet Explorer成功實(shí)現(xiàn)與某個網(wǎng)站的連接時，日志中將生成一條項目。 　　

　　記錄放棄的數(shù)據(jù)包--這將登錄來源于家庭、小型辦公網(wǎng)絡(luò)或Internet的所有放棄的數(shù)據(jù)包。

　　當(dāng)你選擇"登錄放棄的數(shù)據(jù)包"復(fù)選框時，每次通信嘗試通過防火墻卻被檢測和拒絕的信息都被ICF收集。例如，如果你的Internet控制消息協(xié)議沒有設(shè)置成允許傳入的回顯請求，如Ping和Tracert命令發(fā)出的請求，則將接收到來自網(wǎng)絡(luò)外的回顯請求，回顯請求將被放棄，然后日志中將生成一條項目。

　　Internet控制消息協(xié)議(ICMP)

　　"網(wǎng)絡(luò)消息協(xié)議(ICMP)"是所需的TCP/IP標(biāo)準(zhǔn)，通過ICMP，使用IP通訊的主機(jī)和路由器可以報告錯誤并交換受限控制和狀態(tài)信息。 　　

　　在下列情況中，通常自動發(fā)送ICM消息：　　

　　IP數(shù)據(jù)報無法訪問目標(biāo)。 　　

　　IP路由器(網(wǎng)關(guān))無法按當(dāng)前的傳輸速率轉(zhuǎn)發(fā)數(shù)據(jù)報。 　　

　　IP路由器將發(fā)送主機(jī)重定向?yàn)槭褂酶玫牡竭_(dá)目標(biāo)的路由。應(yīng)用Internet控制消息協(xié)議：　　

　　打開"網(wǎng)絡(luò)連接"。 單擊已啟用Internet連接防火墻的連接，在"網(wǎng)絡(luò)任務(wù)"→"更改該連接的設(shè)置"→單擊"高級"→"設(shè)置"→"ICMP"選項卡上，選中希望你的計算機(jī)響應(yīng)的請求信息類型旁邊的復(fù)選框。
　　
　　ICF的局限性

　　那么，ICF不能做什么？ICF可不可以完全替代現(xiàn)有的個人防火墻產(chǎn)品？ICF是通過記錄本機(jī)的IP請求來確定外來的IP數(shù)據(jù)包是不是"合法"，這當(dāng)然不可以用在服務(wù)器上。為什么呢？服務(wù)器上的IP數(shù)據(jù)包基本上都不是由服務(wù)器先發(fā)出，所以ICF這種方法根本就不可以對服務(wù)器的安全提供保護(hù)。當(dāng)然你也可以通過相應(yīng)的設(shè)置讓ICF忽略所有發(fā)向某一端口的數(shù)據(jù)包，例如80端口。那么發(fā)向80端口的所有數(shù)據(jù)包都不會被ICF拋棄。從這種意義上講80端口就成為不設(shè)防的端口。這樣的防火墻產(chǎn)品是不可能用在應(yīng)用服務(wù)器上的，服務(wù)器上的防火墻產(chǎn)品都是基于建立各種策略來審核外來的IP數(shù)據(jù)包。ICF和基于應(yīng)用程序的個人防火墻產(chǎn)品也是不一樣的?；趹?yīng)用程序的個人防火墻會記錄每一個訪問Internet的程序，例如，通過設(shè)置可以讓IE有權(quán)來訪問Internet而Netscape的Navigator沒有權(quán)限來訪問Internet，即便兩個程序的目的IP地址和端口都是一樣的。Norton的個人防火墻(Personal Firewall)就是這樣一個典型的產(chǎn)品。簡而言之，ICF沒法提供基于應(yīng)用程序的保護(hù)，也沒法建立基于IP包的包審核策略。所以，ICF既不能完全替代現(xiàn)有的個人防火墻產(chǎn)品，也沒有辦法很好地工作在應(yīng)用服務(wù)器上。 　　

　　筆者認(rèn)為，Norton的個人防火墻和Zonealarm Pro可以提供較全方面的保護(hù)，但設(shè)置較為復(fù)雜。ICF并不能提供完全無懈可擊的防護(hù)，但是ICF對個人電腦提供防護(hù)是足夠的。在使用一些系統(tǒng)安全軟件對裝有ICF的個人電腦進(jìn)行端口掃描后，常會給出了"系統(tǒng)安全"的評價。況且，ICF是Windows XP內(nèi)建的功能，占用的資源相當(dāng)少且不用花額外的錢去購買。從ICF受益最多的應(yīng)該是那些仍然在使用Modem上網(wǎng)的朋友，在國內(nèi)絕大部分的用戶都是用Modem上網(wǎng)的。首先，你上網(wǎng)的時間不會太長，一般在幾小時上下(包月的除外)。其次，每次建立連接后撥號服務(wù)器都會分配一個新的IP地址(動態(tài)地址分配)給你，長時間占用一個相同的IP的可能性應(yīng)該很低。比起使用ADSL和其它寬帶的用戶來講，用Modem上網(wǎng)本身就安全了很多。 　　

　　注意事項 　　

　　ICF和家庭或小型辦公室通訊--不應(yīng)該在所有沒有直接連接到Internet的連接上啟用Internet連接防火墻，也就是最好不要在局域網(wǎng)中使用。如果在ICF客戶計算機(jī)的網(wǎng)絡(luò)適配器上啟用防火墻，則它將干擾該計算機(jī)和網(wǎng)絡(luò)上的其他計算機(jī)之間的一些通訊。如果網(wǎng)絡(luò)已經(jīng)具有互聯(lián)網(wǎng)防火墻或代理服務(wù)器，則不需要Internet連接防火墻，你應(yīng)該關(guān)閉它。 　　

　　所以，使用一個重量級的防火墻實(shí)在是沒有太多的意義。而ICF則剛剛好，它既提供了一定的保護(hù)，而且又不太占用資源，不錯的，是"又經(jīng)濟(jì)，又實(shí)惠"。