Windows XP内置防火墙ICF的全面应用

ICF是"Internet Connection Firewall"的简称，也就是因特网连接防火墙。ICF建立在你的电脑与因特网之间，它可以让你请求的数据通过、而阻碍你没有请求的数据包，是一个基于包的防火墙。所以，ICF的第一个功能就是不响应Ping命令，而且，ICF还禁止外部程序对本机进行端口扫描，抛弃所有没有请求的IP包。

　　个人电脑同服务器不一样，一般不会提供诸如Ftp、Telnet、POP3等服务，这样可以被黑客们利用的系统漏洞就很少。所以，ICF可以在一定的程度上很好地保护我们的个人电脑。

　　ICF是状态防火墙，可监视通过的所有通讯，并且检查所处理的每个消息的源和目标地址。为了防止未经请求的通信进入系统端口，ICF保留了所有源自本地计算机的通讯表。在单独的计算机中，ICF将跟踪源自本地计算机的通信，所有Internet传入通信都会针对于该表中的各项进行比较。只有当通讯表中有匹配项时（这说明通讯交换是从计算机或专用网络内部开始的），才允许将传入Internet通信传送给网络中的计算机。

　　源自外部ICF计算机（也就是入侵计算机）的通讯（如Internet非法访问）将被防火墙阻止，除非在"服务"选项卡上设置允许该通讯通过。ICF不会向你发送活动通知，而是静态地阻止未经请求的通讯，防止像端口扫描这样的常见黑客袭击。

　　ICF的原理是通过保存一个通讯表格，记录所有自本机发出的目的IP地址、端口、服务以及其他一些数据来达到保护本机的目的。 当一个IP数据包进入本机时，ICF会检查这个表格，看到达的这个IP数据包是不是本机所请求的，如果是就让它通过，如果在那个表格中没有找到相应的记录就抛弃这个IP数据包。下面的例子可以很好地说明这个原理。当用户使用Outlook Express来收发电子邮件的时侯，本地个人机发出一个IP请求到POP3邮件服务器。ICF会记录这个目的IP地址、端口。当一个IP数据包到达本机的时候，ICF首先会进行审核，通过查找事先记录的数据可以确定这个IP数据包是来自我们请求的目的地址和端口，于是这个数据包获得通过。来看一下当使用Outlook Express客户端邮件程序和邮件服务器时的情况。一旦有新的邮件到达邮件服务器时，邮件服务器会自动发一个IP数据包到Outlook客户机来通知有新的邮件到达。这种通知是通过RPC Call来实现的。当邮件服务器的IP数据包到达客户机时，客户机的ICF程序就会对这个IP包进行审核发现本机的Outlook express客户端软件曾发出过对这个地址和端口发出IP请求，所以这个IP包就会被接受，客户机当然就会收到发自邮件服务器的新邮件通知。然后让Outlook Express去接收邮件服务器上的新邮件。