用Windows 2003内置ICF构筑安全防线

当暗战在某个角落悄悄策划，暴露在网络中的您是否想过穿上甲胄以护体肤呢？如果您苦于没有合适的护身甲胄防御攻击，那么下文介绍的ICF可能正是为您量身定做的呢。
ICF（Internet Connection Firewall，Internet连接防火墙）是Windows Server 2003 Standard Edition 和 32 位版本的 Windows Server 2003 Enterprise Edition的内置防火墙。对于使用windows Server 2003搭建网络平台的用户，可以借助ICF对来自Internet或局域网内部的通信请求进行必要的限制，从而使服务器免受不良访问的攻击和破坏。对于使用网络适配器、调制解调器和DSL适配器建立的连接，ICF都可以提供很好的保护。作为一款系统自带的工具，您既无需购买价格昂贵的硬件防火墙，也无须配置复杂的专业软件防火墙。这对于网络新手、家庭用户以及经费紧张的教育部门而言无疑很合适。
一、启用ICF
默认情况下，ICF并没有开启，需要我们手动启用。例如我们要启用“本地连接”的ICF，操作步骤简述如下：
步骤一：在桌面上右击“网上邻居”图标，执行“属性”命令，打开“本地连接 属性”对话框。
步骤二：点击“高级”按钮切换至“高级”选项卡，勾选“通过限制或阻止来自Internet的对此计算机的访问来保护我的计算机和网络”选项，这样即可开启ICF（如图1）。
二、对ICF进行安全设置。
启用ICF后如果未进行任何设置，则该服务器的所有端口将被禁用，相应的服务也将被停止。我们需要对ICF进行必要的设置以符合我们的实际需要。
1、设置常规服务
这里所说的常规服务是指我们常常用到的WWW、FTP等服务。ICF在默认情况下提供了几种常用服务供我们直接设置：点击图1中的“设置”按钮，打开“高级设置”对话框。在“服务”选项卡下，提供了常用服务的列表。例如我们的服务器需要提供FTP服务，则只需勾选“ftp服务器”选项，在打开的“服务设置”对话框中保持默认的计算机名并依次点击“确定”→“确定”按钮（如图2）。
2、设置非常规服务
在很多情况下为了防止恶意用户的不良访问，我们常常需要将一些常规服务的默认端口屏蔽掉，而用一些非默认端口提供常规服务。例如，可以使用6000端口提供WWW服务。点击图2中的“添加”按钮，打开“服务设置”对话框。在该对话框中添加相应选项，特别注意要在外部和内部端口号中添加“6000”，然后点击“确定”按钮。这时即可在图2所示对话框中看到刚刚添加的服务了（如图3）。
3、ICMP设置
ICMP即Internet控制信息协议，其在Internet上用于错误处理和传递控制信息。其中我们最常用的ping操作就是基于ICMP的。默认情况下，ICF禁用了应用该协议的信息请求，例如不允许ping本机。如果由于特殊需要而想ping通本机，则只需在图2所示的对话框中点击“ICMP”标签，在打开的选项卡中勾选“允许传入响应请求”选项即可。
4、设置安全日志
建立安全日志可以在服务器受到恶意攻击后保留可靠的证据，ICF就具备这方面的功能。在图2所示对话框中点选“安全日志”标签，在“安全日志”选项卡下勾选“记录被丢弃的数据包”和“记录成功的连接”两个选项。这样就可以通过查看相应目录中保存的日志文件（用“记事本”打开）来了解来访者的信息了。
实践证实，ICF可以有效拦截恶意用户对服务器的扫描和攻击，并且可以有效防范利用系统漏洞进行端口攻击的蠕虫病毒（如“冲击波”等）。无论对于个人电脑还是对于网络服务器，都可以起到很好的保护作用。