ICF是'Internet Connection Firewall'的簡(jiǎn)稱，也就是因特網(wǎng)連接防火墻。ICF建立在你的電腦與因特網(wǎng)之間，它可以讓你請(qǐng)求的數(shù)據(jù)通過(guò)、而阻礙你沒(méi)有請(qǐng)求的數(shù)據(jù)包，是一個(gè)基于包的防火墻。所以，ICF的第一個(gè)功能就是不響應(yīng)Ping命令，而且，ICF還禁止外部程序?qū)Ρ緳C(jī)進(jìn)行端口掃描，拋棄所有沒(méi)有請(qǐng)求的IP包。

個(gè)人電腦同服務(wù)器不一樣，一般不會(huì)提供諸如Ftp、Telnet、POP3等服務(wù)，這樣可以被黑客們利用的系統(tǒng)漏洞就很少。所以，ICF可以在一定的程度上很好地保護(hù)我們的個(gè)人電腦。

ICF是狀態(tài)防火墻，可監(jiān)視通過(guò)的所有通訊，并且檢查所處理的每個(gè)消息的源和目標(biāo)地址。為了防止未經(jīng)請(qǐng)求的通信進(jìn)入系統(tǒng)端口，ICF保留了所有源自本地計(jì)算機(jī)的通訊表。在單獨(dú)的計(jì)算機(jī)中，ICF將跟蹤源自本地計(jì)算機(jī)的通信，所有Internet傳入通信都會(huì)針對(duì)于該表中的各項(xiàng)進(jìn)行比較。只有當(dāng)通訊表中有匹配項(xiàng)時(shí)(這說(shuō)明通訊交換是從計(jì)算機(jī)或?qū)Ｓ镁W(wǎng)絡(luò)內(nèi)部開始的)，才允許將傳入Internet通信傳送給網(wǎng)絡(luò)中的計(jì)算機(jī)。

源自外部ICF計(jì)算機(jī)(也就是入侵計(jì)算機(jī))的通訊(如Internet非法訪問(wèn))將被防火墻阻止，除非在'服務(wù)'選項(xiàng)卡上設(shè)置允許該通訊通過(guò)。ICF不會(huì)向你發(fā)送活動(dòng)通知，而是靜態(tài)地阻止未經(jīng)請(qǐng)求的通訊，防止像端口掃描這樣的常見黑客襲擊。

ICF的原理是通過(guò)保存一個(gè)通訊表格，記錄所有自本機(jī)發(fā)出的目的IP地址、端口、服務(wù)以及其他一些數(shù)據(jù)來(lái)達(dá)到保護(hù)本機(jī)的目的。 當(dāng)一個(gè)IP數(shù)據(jù)包進(jìn)入本機(jī)時(shí)，ICF會(huì)檢查這個(gè)表格，看到達(dá)的這個(gè)IP數(shù)據(jù)包是不是本機(jī)所請(qǐng)求的，如果是就讓它通過(guò)，如果在那個(gè)表格中沒(méi)有找到相應(yīng)的記錄就拋棄這個(gè)IP數(shù)據(jù)包。下面的例子可以很好地說(shuō)明這個(gè)原理。當(dāng)用戶使用OutLook Express來(lái)收發(fā)電子郵件的時(shí)侯，本地個(gè)人機(jī)發(fā)出一個(gè)IP請(qǐng)求到POP3郵件服務(wù)器。ICF會(huì)記錄這個(gè)目的IP地址、端口。當(dāng)一個(gè)IP數(shù)據(jù)包到達(dá)本機(jī)的時(shí)候，ICF首先會(huì)進(jìn)行審核，通過(guò)查找事先記錄的數(shù)據(jù)可以確定這個(gè)IP數(shù)據(jù)包是來(lái)自我們請(qǐng)求的目的地址和端口，于是這個(gè)數(shù)據(jù)包獲得通過(guò)。來(lái)看一下當(dāng)使用Outlook Express客戶端郵件程序和郵件服務(wù)器時(shí)的情況。一旦有新的郵件到達(dá)郵件服務(wù)器時(shí)，郵件服務(wù)器會(huì)自動(dòng)發(fā)一個(gè)IP數(shù)據(jù)包到Outlook客戶機(jī)來(lái)通知有新的郵件到達(dá)。這種通知是通過(guò)RPC Call來(lái)實(shí)現(xiàn)的。當(dāng)郵件服務(wù)器的IP數(shù)據(jù)包到達(dá)客戶機(jī)時(shí)，客戶機(jī)的ICF程序就會(huì)對(duì)這個(gè)IP包進(jìn)行審核發(fā)現(xiàn)本機(jī)的Outlook express客戶端軟件曾發(fā)出過(guò)對(duì)這個(gè)地址和端口發(fā)出IP請(qǐng)求，所以這個(gè)IP包就會(huì)被接受，客戶機(jī)當(dāng)然就會(huì)收到發(fā)自郵件服務(wù)器的新郵件通知。然后讓Outlook Express去接收郵件服務(wù)器上的新郵件。

設(shè)置ICF

1、啟用或禁用Internet連接防火墻

打開'控制面板'中的'網(wǎng)絡(luò)連接'

單擊要保護(hù)的撥號(hào)、本地連接或其它Internet連接，然后在'網(wǎng)絡(luò)任務(wù)'→'更改該連接的設(shè)置'→'高級(jí)'→'Internet 連接防火墻'下，選中如圖所示的項(xiàng)目：

若要啟用Internet連接防火墻，選中'通過(guò)限制或阻止來(lái)自Internet的對(duì)此計(jì)算機(jī)的訪問(wèn)來(lái)保護(hù)我的計(jì)算機(jī)和網(wǎng)絡(luò)'復(fù)選框。若要禁用Internet連接防火墻，清除該復(fù)選框。

網(wǎng)絡(luò)服務(wù)

還是上面的'高級(jí)'選項(xiàng)卡，點(diǎn)擊下方的'設(shè)置'項(xiàng)，如下圖：

已經(jīng)有選中的項(xiàng)目表示網(wǎng)絡(luò)用戶能夠存取的服務(wù)，如：messenger，遠(yuǎn)程桌面，F(xiàn)TP，Telnet等。

對(duì)于一些常見的網(wǎng)絡(luò)服務(wù)，如POP3，SMTP、HTTP等，系統(tǒng)會(huì)在需要的時(shí)候開放。

如果我們要設(shè)置一個(gè)新的服務(wù)項(xiàng)目，以常見的messenger文件傳輸為例，因?yàn)樵S多朋友都會(huì)在這方面遇到問(wèn)題，實(shí)際上在HELP中寫的明白。

messenger的文件傳輸采用TCP6891-6900端口，可以在xp的防火墻設(shè)置里面增加TCP6891號(hào)端口，文件就可以順利發(fā)送了。文件傳輸?shù)倪M(jìn)程，一般情況下我們添加一個(gè)就行了。

添加方法見圖：

按要求依次寫入'描述'，'本機(jī)的IP地址'，使用的端口號(hào)(6891)，然后確定即可。