詳述Win XP SP2防火牆實戰策略

　　★Windows XP SP2防火牆的工作原理

　　對於只使用瀏覽、電子郵件等系統自帶的網路應用程序，Windows防火牆根本不會產生影響。也就是說，用IE、OutlookExpress等系統自帶的程序進行網路連接，防火牆是默認不干預的。微軟在設置防火牆內置規則時，已經為自家的應用程序開了「綠色通道」，所以裝上SP2后，即使打開其防火牆並且啟用「不允許例外」，無需將IE加到「例外」就能上網，而防火牆也不會詢問是否要允許IE通過。

　　★SP2防火牆與第三方防火牆軟體的區別

　　僅就防火牆功能而言，Windows防火牆只阻截所有傳入的未經請求的流量，對主動請求傳出的流量不作理會。而第三方病毒防火牆軟體一般都會對兩個方向的訪問進行監控和審核，這一點是它們之間最大的區別。如果入侵已經發生或間諜軟體已經安裝，並主動連接到外部網路，那麼Windows防火牆是束手無策的。不過由於攻擊多來自外部，而且如果間諜軟體偷偷自動開放埠來讓外部請求連接，那麼Windows防火牆會立刻阻斷連接並彈出安全警告，所以普通用戶不必太過擔心這點。這就好像賓館里的房門一樣――外面的人要進入必須用鑰匙開門，而屋裡的人要出門，只要拉一下門把手就可以了。

　　實戰1:天網防火牆和Windows防火牆的不同

　　我們用兩種軟體來分別對QQGame的網路請求進行監控。

　　第一步:確認不要將QQGame這個程序添加到各自的「例外」規則中，然後登錄QQ遊戲大廳；

　　第二步:這時你會發現，天網個人防火牆立即阻止QQ遊戲的網路訪問，然後詢問是否給予通行(見圖1)；

　　

　　第三步:而Windows防火牆對這個主動出站的請求不做任何處理，就好像沒有防火牆一樣，輸入帳戶信息后登錄到遊戲平台，QQGame實際上已經完成了往外網路訪問；這時需要將遊戲信息下載到本地(就是有外部訪問請求)，防火牆就彈出了「Windows 安全警報」(見圖2)。

　　

　　小提示

　　取消「Windows 安全警報」的方法:打開防火牆設置后，在「例外」選項卡中取消選擇「Windows防火牆阻止程序時通知我」即可。

　　實戰2:讓XP SP2正確識別UPnP(通用即插即用)

　　戰前分析:BitComet以其擁有內網互聯(NAT Traversal)技術，而且支持UPnP的NAT和Windows XP防火牆，讓內網的朋友在進行BT下載時可以獲得相當快的下載速度。但自從升級到SP2並啟用了Windows防火牆后，BitComet軟體速度變得很慢！這是由於防火牆沒有設置好，使得系統沒能正確識別UPnP設備。

　　第一步:Windows XP默認是支持UPnP的，如果在「例外」看不到這個選項，則說明沒有安裝UPnP設備支持。打開「網上鄰居」窗口，在其左側的工具欄中點擊「顯示聯網的UPnP設備的圖標」，如果UPnP設備文件沒有安裝或安裝不正確，系統就會自動安裝(見圖3);

　　

　　第二步:在「控制面板」中打開防火牆並啟動，確認不勾選「不允許例外」這個選項；當打開BitComet后，Windows防火牆有可能會提示你是否要阻止該程序，選擇「解除阻止」；

　　第三步:點擊「例外」選項卡，勾選「UPnP框架」即可。

　　實戰3:給遠程管理開個通行證

　　戰前分析:當通過MMC控制台中的Computer Management(計算機管理)、Disk Management(磁碟管理)等組件遠程管理程序來管理區域網上的其他計算機，計算機必須開放TCP 445埠。如果在遠程操作已經安裝XP SP2並開啟了防火牆的計算機時，就得手動打開這個TCP埠。

　　第一步:打開防火牆設置窗口，切換到「例外」選項卡，勾選「文件和印表機共享」

　　第二步:單擊「編輯」按鈕，在打開的「編輯服務」窗口中選中「TCP 445」，單擊更改範圍，勾選「僅我的網路」或者勾選「自定義列表」並輸入要控制的計算機的IP地址(見圖4)。

　　

　　小提示

　　上列步驟可以用命令代替，即在命令提示符窗口中輸入「netsh firewall set portopening TCP 445 TCP445 ENABLE」(不包括引號)。