“衝擊（jī）波”等（děng）蠕蟲病毒特征之一就是利用有漏洞的操（cāo）作係統進行端口攻擊，因此（cǐ）防範此（cǐ）類病毒的簡單方法就是屏蔽不必要的端口，防火（huǒ）牆軟件（jiàn）都有此功能，其實對於采用Windows2003或（huò）者WindowsXP的（de）用戶來說，不需要（yào）安裝任何其他軟件，因為可以利用係統自帶的“Internet連接防（fáng）火牆”來防範（fàn）黑客（kè）的攻（gōng）擊。

一、基本設置

1、鼠（shǔ）標右鍵單擊“網（wǎng）上鄰居”，選擇“屬性（xìng）”。

2、然後鼠標（biāo）右鍵單擊“本地（dì）連接”，選擇“屬性（xìng）”，出（chū）現（xiàn）圖1界麵（miàn）。如（rú）圖選擇“高級”選項，選中“Internet連接防火牆”，確定後防火（huǒ）牆即起了作用。

二、測試（shì）基本設（shè）置（zhì）

1、在另為一台機子上（shàng）ping本（běn）機，出現（xiàn）Request timed out表示ping不同本機

2、在（zài）另為一台（tái）機子上（shàng）用漏（lòu）洞（dòng）掃描工具掃描本（běn）機發現沒（méi）有打開（kāi）的端口。

這（zhè）兩種測試通（tōng）過後說明防火牆已經起了（le）作用。

三、高級設置

點擊圖（tú）1中“設置(G)...”按鈕出現圖2界麵可（kě）進行高級設置（zhì）。

1、選擇要開（kāi）通的（de）服務

如圖3所示，如果本（běn）機要開通（tōng）相應的服務可選（xuǎn）中該服務，本例選中（zhōng）了（le）FTP服務，這樣從其它機器就可（kě）FTP到（dào）本機，掃描本（běn）機可以發（fā）現21端口是開（kāi）放的。可以按“添加”按鈕（niǔ）增加相應（yīng）的服務端口。

2、設置日誌

如圖（tú）4所（suǒ）示，選（xuǎn）擇要記錄的項目，防火牆將（jiāng）記錄相應的（de）數據，日誌默認在c:\windows\pfirewall.log，用（yòng）記事本（běn）就（jiù）可以打開看看（kàn）。

3、設置ICMP協議

如圖（tú）5所示，最常（cháng）用的ping就是（shì）用的ICMP協議，默認設置（zhì）完後ping不通本機就是因為（wéi）屏蔽了ICMP協議，如果想ping通本（běn）機隻需將“允（yǔn）許傳入響應請求”一項選中即可。

四、幾點疑問

設置非（fēi）常（cháng）簡單，但（dàn）我（wǒ）在給別人設置（zhì）過（guò）程中，有些人（rén）提出了（le）以下幾點疑問，不知（zhī）您是否也有（yǒu）下（xià）麵的（de）困惑?

1、端口都（dōu）封住了怎（zěn）麽（me）與別的計（jì）算機通信（xìn）?

按默認設置完成後，可以看出沒有添加一個端口，那端（duān）口都封住了怎麽與別（bié）的（de）計算（suàn）機（jī）通（tōng）信呢?

在Internet上相互通信是靠TCP/IP協（xié）議完成的，而（ér）上（shàng）網訪（fǎng）問網頁（yè）時，是（shì）在本機上隨機打（dǎ）開一個（gè）大（dà）於1024的端口去連服務器的80服務端口，用Telnet協議登陸其（qí）它設備也（yě）是在本機上隨（suí）機（jī）打（dǎ）開（kāi）一個大於1024的端口去連服務器的23服（fú）務（wù）端口。“Internet連接（jiē）防（fáng）火牆”封住的是服務端口，例如HTTP的80端口，FTP的（de）21端口、TELNET的23端口等，隻要係統提供了這些服務，一開（kāi）機這（zhè）些端口（kǒu）就是（shì）開放的，等待（dài）別的計算機（jī）連接到提供服務的（de）計算機上，可以說這些端口是（shì）長期（qī）有效的。而隨機打開（kāi）的端（duān）口是臨時的，比如當你上網訪問一個網（wǎng）站（zhàn），你的計算機隨機開個端（duān）口1026連接到（dào）網站服務（wù）器的80端（duān）口（kǒu），當訪問完畢關閉網頁後（hòu），本機的1026端口隨之關閉，而服務器的（de）80端口始（shǐ）終（zhōng）是開（kāi）著的。有（yǒu）上可見“Internet連（lián）接防火牆（qiáng）”是封住的服務端口，而不是臨時打開的端（duān）口，所以一個端口不添加也可正常上網。WIN98默認（rèn）不提供任（rèn）何（hé）服務就沒有打開的（de）端口，不照樣能（néng）正常上網嗎?

一（yī）般（bān）上網用戶不用提（tí）供任何服務，所以沒（méi）有必要開放任何端（duān）口（kǒu），但是（shì）要利用（yòng）一些（xiē）網絡聯絡工具，比如（rú）要開通FTP服務的話，就要把“21”這（zhè）個端口打開，同理，如果發現（xiàn）某個常用（yòng）的網絡工具不起（qǐ）作用時，請查（chá）清它（tā）在本機所開的端口（kǒu），然後在（zài）“Internet連接防火牆（qiáng）”中添加端口（kǒu）即可。

2、設置了“Internet 連接防火牆”後用netstat –na命令（lìng）察看，可是端口還是開的?

有些（xiē）人（rén）以為（wéi）如上設置後就沒（méi）有端口開放了，可設（shè）置完（wán）後用netstat–na命令察（chá）看開放的端（duān）口與沒設置之前一（yī）樣一個不（bú）少，難道沒起作用?

實際上端口是由某個服務的進程打開的，要（yào）徹（chè）底關閉（bì）某（mǒu）個端（duān）口就（jiù）要結束相應的（de）服務（wù），例（lì）如要關閉80端口就（jiù）要停止WWW服務。而（ér）我們（men）用“Internet連接防火牆（qiáng）”是在外圍建一（yī）個防火牆，打個簡單（dān）的（de）比喻，一所房子有很多的（de）門，要保（bǎo）證安（ān）全有兩（liǎng）個辦（bàn）法，一是把門（mén）用（yòng）磚頭（tóu）堵住（zhù）;二是留著門，在房子（zǐ）周圍建一道牆。用（yòng）結束進（jìn）程來關閉端口用的是（shì）第一種辦法，用“Internet連接防火牆”用的是第二種方法，雖然用netstat–na察看端（duān）口（kǒu）是開放的，但在外圍已建了一睹密不（bú）透風的牆。

如何（hé）知道防火牆是否（fǒu）起作（zuò）用了?最簡單的方法就（jiù）是在另（lìng）外一台（tái）機子上用（yòng）xscan、superscan之（zhī）類（lèi）的掃描工具掃描本機，如果沒（méi）有打開的端（duān）口表（biǎo）示在房子周圍建（jiàn）一道牆是沒（méi）有漏洞的（de）。

3、沒有掃描軟件（jiàn）如何在遠程測試本機（jī）端口是否（fǒu）打（dǎ）開

如果手頭沒有掃描（miáo）軟件，可以用（yòng）telnet命令來測試相應的端口是否打開，例（lì）如測（cè）試21端口是否打開，可以在另（lìng）為一台機器上telnetxxx.xxx.xxx.xxx21，如果端口打開會出現提示（shì）信息，如果沒（méi）有（yǒu）打開則出現連接失敗的提示。