Win 2003自带防火墙设置图解

“冲击波”等蠕虫的一个特点就是利用易受攻击的操作系统攻击端口。因此，防止此类病毒的简单方法是屏蔽不必要的端口。防火墙软件就有这个功能。事实上，对于使用Windows2003或WindowsXP的用户来说，不需要安装任何其他软件，因为系统自带的“互联网连接防火墙”可以用来防止黑客的攻击。

一、基本设置

1.右键单击“网上邻居”，然后选择“属性”。

2.然后右键点击“本地连接”，选择“属性”，出现图1所示界面。如图，选择“高级”选项，选择“互联网连接防火墙”，确认防火墙工作。

图1二、测试基本设置

1.在另一台机器上ping这台机器，而在ping另一台机器时出现请求超时。

2.在另一台计算机上，使用漏洞扫描工具扫描该计算机发现未打开的端口。

通过这两项测试后，说明防火墙发挥了作用。

三、高级设置

单击“设置(G).按钮显示图2中的界面，在这里可以进行高级设置。

图21。选择要打开的服务。

如图3，如果本机要开通相应的服务，可以选择该服务。在本例中，选择了FTP服务，以便其他机器可以通过FTP连接到本机器。扫描本机时，可以发现端口21是开着的。您可以按“添加”按钮来添加相应的服务端口。

图32。设置日志

如图4所示，选择要记录的项目，防火墙将记录相应的数据。默认日志是C: \ windows \ pfire.log，可以用记事本打开。

图43。设置ICMP协议

如图5所示，最常用的ping是ICMP协议。默认设置后，是因为ICMP协议被屏蔽。如果您想ping这台机器，您只需选中“允许传入响应请求”。

图5四、几点疑问

设置很简单，但是在给别人设置的过程中，有人提出了以下问题。你有以下困惑吗？

1.当端口被阻塞时，我如何与其他计算机通信？

默认设置完成后，可以看到没有添加端口。当所有端口都被阻止时，我如何与其他计算机通信？

互联网上的相互通信是通过TCP/IP协议完成的。上网访问网页时，在本地电脑上随机打开一个大于1024的端口连接服务器的80服务端口。用Telnet协议登录其他设备也是在本地电脑上随机打开大于1024的端口连接服务器的23 service端口。“互联网连接防火墙”密封服务端口，如HTTP的80端口、FTP的21端口、TELNET的23端口等。只要系统提供这些服务，系统一打开，这些端口就会打开。可以说，当其他计算机连接到提供服务的计算机时，这些端口将长期有效。随机打开的端口是临时的。例如，当您访问互联网上的一个网站时，您的计算机随机打开一个端口1026，并连接到网站服务器的端口80。当访问结束后关闭网页时，计算机的端口1026关闭，而服务器的端口80始终打开。在网上可以看到，“互联网连接防火墙”是一个密封的服务端口，而不是临时开放的端口，不需要添加端口就可以正常上网。WIN98默认不提供任何服务，所以没有开放端口。不能正常上网吗？

一般互联网用户不需要提供任何服务，所以不需要开放任何端口。但是，要使用一些网络通信工具，比如要打开FTP服务，就要打开端口“21”。同样，如果你发现一个常用的网络工具不起作用，请找出它在这台机器上已经打开的端口，然后在“互联网连接防火墙”中添加一个端口。

2.设置“互联网连接防火墙”后，使用netstat -na命令检查，但端口仍然打开？

有人认为以上设置后没有打开的端口，但是设置后使用netstatna命令检查打开的端口是否和之前一样多。不起作用吗？

实际上，端口是由服务进程打开的。要完全关闭端口，必须完成相应的服务。例如，要关闭端口80，必须停止WWW服务。并且我们使用“互联网连接防火墙”在外围建立防火墙。打个简单的比方，一个房子有很多门。有两种方法可以确保安全性。一种是用砖堵住门；第二种是留着门，在房子周围建一堵墙。第一种方法是通过结束进程关闭端口，第二种方法是使用“互联网连接防火墙”。虽然这个端口是由netstatna开放的，但它的周围已经建起了一堵不透气的墙。

我如何知道防火墙是否在工作？最简单的方法就是用xscan、superscan等扫描工具在另一台机器上扫描这台机器。如果没有开放端口，就意味着在房子周围建一堵墙是没有漏洞的。

3.如何不用扫描软件远程测试本地端口是否打开？

如果手头没有扫描软件，可以使用telnet命令测试相应端口是否打开。例如，要测试端口21是否打开，可以在另一台机器上telnetxxx.xxx.xxx.xxx21。如果端口打开，会出现一条消息；如果没有打开，会出现连接失败的消息。