“衝擊波”等蠕蟲病毒特（tè）征之一就是利（lì）用有（yǒu）漏洞（dòng）的（de）操作係統進行端口攻擊，因此防範此類（lèi）病毒的簡單方法就是屏蔽（bì）不必（bì）要的端口（kǒu），防火牆軟件都有（yǒu）此功能，其（qí）實對於采用Windows2003或（huò）者WindowsXP的用戶（hù）來說，不需要安裝任何其他（tā）軟（ruǎn）件（jiàn），因為（wéi）可以利用（yòng）係統自帶的“Internet連接防（fáng）火（huǒ）牆”來防範黑客的攻（gōng）擊（jī）。

一、基本設置

1、鼠標右鍵單擊“網上（shàng）鄰居（jū）”，選擇“屬性”。

2、然後鼠標右鍵單（dān）擊（jī）“本（běn）地（dì）連接”，選（xuǎn）擇“屬性（xìng）”，出現圖1界麵。如圖選（xuǎn）擇“高級”選項，選中（zhōng）“Internet連接防火牆”，確（què）定後（hòu）防火牆即起了作用。

圖 1

二、測試基本設置

1、在另為（wéi）一台機子上ping本機，出現Request timed out表示（shì）ping不同本機

2、在另為一台機子（zǐ）上用漏洞掃描工具掃描本機發現沒有打（dǎ）開的端口（kǒu）。

這兩種測試通過後說明防火牆已經起了作用（yòng）。

三、高級設置

點擊圖1中“設置(G)...”按鈕出現圖2界（jiè）麵可進（jìn）行（háng）高級設置。

圖（tú）2

1、選擇（zé）要開通的（de）服務

如圖3所示，如果本機要（yào）開（kāi）通相應的服（fú）務（wù）可選中該服務，本（běn）例選中了FTP服務（wù），這樣從其它機器就可FTP到本機（jī），掃（sǎo）描本機可以發現21端口是開放的（de）。可（kě）以按“添加”按鈕增加相應的（de）服務端口。

圖3

2、設置日誌

如圖4所示，選擇要記錄的項目，防（fáng）火牆將記錄相應的數據，日誌（zhì）默認在c:\windows\pfirewall.log，用記事本就可以打開（kāi）看看。

圖4

3、設置ICMP協（xié）議（yì）

如（rú）圖5所示，最常用的ping就是用的ICMP協議，默認設置（zhì）完後ping不（bú）通本機就是因為屏蔽了（le）ICMP協議，如（rú）果想ping通本機隻（zhī）需將“允許（xǔ）傳入響應（yīng）請求”一項選中（zhōng）即可。

圖（tú）5

四、幾點疑問

設置非（fēi）常簡單，但我在（zài）給別人設置過程中（zhōng），有（yǒu）些人提出（chū）了以下幾點疑問，不（bú）知您是否（fǒu）也有下麵的困惑?

1、端（duān）口都封住了怎麽與別的計算機通（tōng）信?

按（àn）默認設置完成後，可以（yǐ）看出沒（méi）有添加一（yī）個端口，那（nà）端口都封住了（le）怎麽與別的計算機（jī）通信呢?

在（zài）Internet上相互通信是靠TCP/IP協議完成的，而（ér）上（shàng）網訪問網頁時，是（shì）在本機上隨機打開一個大（dà）於1024的（de）端口去（qù）連（lián）服務（wù）器的80服務（wù）端口（kǒu），用Telnet協議登陸其它設備也是（shì）在本機上隨機（jī）打開一個（gè）大於（yú）1024的端口（kǒu）去連服務器的23服務端口。“Internet連接防火（huǒ）牆”封（fēng）住的是服（fú）務端口（kǒu），例（lì）如（rú）HTTP的80端口（kǒu），FTP的21端口、TELNET的23端口等，隻要係統提供了這（zhè）些服務，一開機（jī）這些（xiē）端口就是開放的，等待別的（de）計算機連接到（dào）提供服務的計算機上，可以說（shuō）這（zhè）些（xiē）端口是長期有效（xiào）的。而隨機打開的端口是臨（lín）時的，比如當你上網訪問一（yī）個（gè）網站，你的計算（suàn）機隨機開個（gè）端口1026連接到網站服（fú）務器（qì）的（de）80端口，當訪（fǎng）問完畢關閉網頁後（hòu），本機的1026端口隨之（zhī）關（guān）閉，而服（fú）務器的80端口始（shǐ）終是開著的。有上可見“Internet連接防火牆”是封住的服務（wù）端（duān）口，而不是臨時（shí）打開的端（duān）口，所以一個端口不添加也可正常上網。WIN98默認不提供任何服務就沒（méi）有（yǒu）打開的端口（kǒu），不照樣能（néng）正（zhèng）常上網嗎?

一般上網用戶不用提供任何服（fú）務，所（suǒ）以沒有必要（yào）開（kāi）放任何端口，但（dàn）是要利用一些網絡（luò）聯絡工具，比如（rú）要開通FTP服務的話，就要把“21”這個端口打開，同理，如果發現某個常用的網絡工具不起作用時，請查清它在本機所開的端口（kǒu），然後在“Internet連接防火牆”中添加端口即可。

2、設置（zhì）了“Internet 連接（jiē）防（fáng）火牆”後（hòu）用netstat –na命令察看，可是端口（kǒu）還是（shì）開（kāi）的?

有些人以為（wéi）如（rú）上設（shè）置後就沒有端口開放了，可設置完後用netstat–na命（mìng）令察看開放的端口（kǒu）與沒（méi）設置之前（qián）一樣一個不少（shǎo），難道沒起作（zuò）用（yòng）?

實際上端口是由某個服務的進程打（dǎ）開（kāi）的（de），要徹底關閉某個端口就要結束相應的服務，例如要關閉80端口就要停止WWW服務。而我們用“Internet連接（jiē）防火牆（qiáng）”是在外圍（wéi）建一個防火牆，打個簡單的比喻，一（yī）所（suǒ）房子（zǐ）有很（hěn）多的門，要保證安（ān）全（quán）有兩（liǎng）個（gè）辦法，一是把門用磚頭堵住;二（èr）是留著門，在房子（zǐ）周圍建一（yī）道牆。用結（jié）束進程來關閉端（duān）口用的是第一種辦法，用“Internet連接防火牆”用的是第二種方法（fǎ），雖然用netstat–na察看端（duān）口是開（kāi）放的，但在外（wài）圍已建了一睹密（mì）不透（tòu）風的牆。

如何知道（dào）防火牆是否起（qǐ）作用了?最簡（jiǎn）單的（de）方法（fǎ）就是在另外一台機子（zǐ）上用（yòng）xscan、superscan之類的掃描工具掃描本機，如果沒（méi）有打開的端口表示在房子周圍建一道牆是沒有漏洞（dòng）的。

3、沒有掃描軟件如何在遠程測試本機（jī）端口是否打（dǎ）開

如果手頭沒有（yǒu）掃（sǎo）描軟（ruǎn）件，可以用（yòng）telnet命（mìng）令來測試（shì）相（xiàng）應的端口是否（fǒu）打開，例如測試21端口是否打開，可以在（zài）另為一台（tái）機器（qì）上telnetxxx.xxx.xxx.xxx21，如果端（duān）口打開會出現提示信息，如果（guǒ）沒有打開則出現連接失敗的提示。