Windows XP Service Pack 2 (SP2) 包含新的 Windows ，它取代了 Internet 连接防火墙 (ICF)。Windows 防火墙是一个基于主机的状态防火墙，它会断开非请求的传入通信，这些通信指并非为响应计算机的请求而发送的通信（请求通信）或被指定为可允许的非请求通信（例外通信）。Windows 防火墙针对依靠非请求传入通信攻击网络计算机的恶意用户和程序提供了一定程度的保护。

在 Windows XP SP2 中有许多关于 Windows 防火墙的新功能，其中包括：

默认情况下对计算机的所有连接都启用
 应用于所有连接的新全局配置选项
 用于本地配置的一组新对话框
 新的操作模式
 启动安全性
 可按范围指定例外通信
 可按应用程序文件名指定例外通信
 对 Internet 协议版本 6 (IPv6) 通信的内置支持
 关于 Netsh 和组策略的新配置选项

在 Windows XP SP2 中，连接属性的“高级”选项卡上的复选框被一个“设置”按钮所取代，使用该按钮可以配置常规设置、程序和服务的权限、连接专用设置、日志设置和允许的 ICMP 通信。“设置”按钮可启动新的 Windows 防火墙控制面板小程序，您也可以从控制面板的“网络和 Internet 连接”和“安全中心”分类中启用该小程序。

新的“Windows 防火墙”对话框包括下列选项卡：常规；例外；高级

1 “常规”选项卡
    “常规”选项卡及其默认设置显示在下图中。

在“常规”选项卡中，您可以进行下列选择：

打开（推荐）
    选择对“高级”选项卡中选定的所有网络连接启用 Windows 防火墙。启用 Windows 防火墙后将只允许请求的和例外的传入通信。例外通信在“例外”选项卡中进行配置。

不允许例外
    点击该选项将只允许请求的传入通信。例外传入通信则不被允许。不管“高级”选项卡中的设置如何，“例外”选项卡中的设置将被忽略，所有的网络连接都将得到保护。

关闭（不推荐）
    选择该选项将禁用 Windows 防火墙。不推荐使用此选项，尤其是对于可以直接从 Internet 进行访问的网络连接，除非您已经使用了第三方的主机防火墙产品。
请注意，对于所有运行带有 SP2 的 Windows XP 的计算机连接和新创建的连接，Windows 防火墙的默认设置都是“打开（推荐）”。这会影响那些依赖非请求传入通信的程序或服务的通讯。在这种情况下，您必须识别出哪些程序不再运行，并且将这些程序或其通信添加为例外通信。许多程序，诸如 Internet 浏览器和电子邮件客户端（如 Outlook Express），并不依赖非请求通信，并且可以在 Windows 防火墙启用时正常运行。

如果您使用组策略来对运行装有 SP2 的 Windows XP 的计算机配置 Windows 防火墙，您配置的组策略设置可能不允许本地配置。在这种情况下，“常规”选项卡和其他选项卡中的选项可能被灰显并不可用，即使您登录时使用的帐户是本地管理员组的成员（本地管理员）也是如此。

基于组策略的 Windows 防火墙设置允许您配置域配置文件（当您连接到一个包括域控制器的网络时将应用的一组 Windows 防火墙设置）和标准配置文件（当您连接到一个不包括域控制器的网络（如 Internet）时将应用的一组 Windows 防火墙设置）。配置对话框只显示了当前应用的配置文件的 Windows 防火墙设置。要查看当前没有应用的配置文件的设置，请使用netsh firewall show 命令。要更改当前没有应用的配置文件的设置，请使用netsh firewall set 命令。

2 “例外”选项卡
    “例外”选项卡及其默认设置请见下图。

在“例外”选项卡中，您可以启用或禁用一个现有的程序或服务，或者维护用于定义例外通信的程序和服务列表。在“常规”选项卡中选定“不允许例外”选项后，例外通信将不被允许。

使用装有 SP1 和未装 Service Pack 的 Windows XP 时，您只有通过传输控制协议 (TCP) 或用户数据报协议 (UDP) 端口来定义例外通信。使用装有 SP2 的 Windows XP，您可以通过 TCP 和 UDP 端口或者使用某个程序（应用程序或服务）的文件名来定义例外通信。在程序的 TCP 或 UDP 端口未知时或者在程序启动被动态定义时，这种配置灵活性将使得配置例外通信更加容易。

有一组预定义的程序，其中包括：
 文件和打印共享
 远程协助（默认启用）
 远程桌面
 UPnP 框架

这些预定义程序和服务是不能被删除的。

如果组策略允许，您可以通过点击“添加程序”来指定一个程序名，从而创建附加例外；也可以通过点击“AddPort”来指定一个 TCP 或 UDP 端口，从而创建例外。

当您点击“添加程序”时，将显示“添加程序”对话框，您可以从中选择一个程序或者浏览查找一个程序文件名。下图显示了一个示例。

当您点击“AddPort”时，将显示“添加端口”对话框，您可以从中配置 TCP 或 UDP 端口。下图显示了一个示例。

新的 Windows 防火墙允许您指定例外通信的范围。这个范围定义了哪一部分的网络连接产生的例外通信是被允许的。要定义一个程序或端口的范围，请点击“更改范围”。下图显示了一个示例。

在定义一个程序或端口的范围时，您有三个选项可以选择：

任意一台计算机（包括 Internet 上的计算机）
    从任何 IPv4 地址发出的例外通信都是被允许的。这种设置可能会使您的计算机容易受到 Internet 上的恶意用户或程序的攻击

xx我的网络（子网）
    只有从符合以下条件的 IPv4 地址发出的例外通信才是被允许的：与接收通信的网络连接所连的本地网络段（子网）相匹配的 IPv4 地址。比如，如果网络连接所配置的 IPv4 地址是 192.168.0.99，并带有子网掩码 255.255.0.0，那么只有从 192.168.0.1 到 192.168.255.254 的 IPv4 地址发出的例外通信才是被允许的。

自定义列表
    您可以指定一个或多个用逗号分割的 IPv4 地址或 IPv4 地址范围。IPv4 地址范围通常对应于子网。对 IPv4 地址来说，用点分十进制记法键入 IPv4 地址。对 IPv4 地址范围来说，您可以使用点分十进制子网掩码或前缀长度来指定一个范围。当您使用点分十进制子网掩码时，您可以把范围指定为一个 IPv4 网络 ID（如 10.47.81.0/255.255.255.0）或者使用一个在范围内的 IPv4 地址（如 10.47.81.231/255.255.255.0）来指定范围。当您使用网络前缀长度时，您可以将范围指定为一个 IPv4 网络 ID（如 10.47.81.0/24）或者使用一个在范围内的 IPv4 地址（如 10.47.81.231/24）来指定范围。下面是自定义列表的一个示例：
    10.91.12.56,10.7.14.9/255.255.255.0,10.116.45.0/255.255.255.0,172.16.31.11/24,172.16.111.0/24。

您不能够为 IPv6 通信指定自定义列表。

在您想允许本地网络中的计算机（它们都连接在同一个子网中）访问一个程序或服务，而不允许潜在的恶意 Internet 用户访问时，“xx我的网络（子网）”范围会很有用。
程序或端口一旦被添加，它就在“程序和服务”列表中被默认禁用。

对于在“高级”选项卡中选定的所有连接，所有在“例外”选项卡中启用的程序和服务都将启用。

3 “高级”选项卡
    下图显示了“高级”选项卡。

“高级”选项卡包括下面几个部分：
 网络连接设置
 安全日志
 ICMP
 默认设置

网络连接设置

在“网络连接设置”中，您可以：

指定一组用于启用 Windows 防火墙的接口。如要启用，请选择网络连接名称旁边的复选框。如要禁用，请xx复选框。默认情况下，所有的网络连接都启用了 Windows 防火墙。如果某个网络连接没有出现在此列表中，那么它就不是一个标准网络连接。这方面的例子包括一些 Internet 服务提供商 (ISP) 提供的自定义拨号程序。

点击一个网络连接的名称，然后点击“设置”，即可以配置这个网络连接的高级设置。

如果您xx了“网络连接设置”中的所有复选框，Windows 防火墙将不再保护您的计算机，不管您是否已经在“常规”选项卡中选择了“打开（推荐）”都是如此。如果您在“常规”选项卡中选择了“不允许例外”，“网络连接设置”中的设置就会被忽略，在这种情况下所有的接口都将被保护。

当您点击“设置”时，“高级设置”对话框即会显示，如下图所示：

在“高级设置”对话框中，您可以在“服务”选项卡中（仅通过 TCP 或 UDP 端口）配置特定的服务，或者在“ICMP”选项卡中启用特定的 ICMP 通信类型。这两个选项卡等同于在装有 SP1 和未装 Service Pack 的 Windows XP 中用于配置 ICF 的设置选项卡。

安全日志
    在“安全日志”中，点击“设置”，在“日志设置”对话框中指定 Windows 防火墙日志的配置，如下图所示：

在“日志设置”对话框中，您可以配置是否记录丢弃的数据包和成功的连接，并且指定日志文件（默认设置为 Systemroot\pfirewall.log）的名称和位置及其{zd0}的数据量。

ICMP
    在“ICMP”中，点击“设置”来指定在“ICMP”对话框中被允许的 ICMP 通信类型，如下图所示：

在“ICMP”对话框中，您可以启用或禁用传入 ICMP 消息的类型，Windows 防火墙允许所有在“高级”选项卡中选定的连接使用这些消息。ICMP 消息被用来进行诊断、报告错误条件和进行配置。默认情况下，列表中的任何 ICMP 消息都不被允许。

解决连接问题的一个常用方法就是使用 Ping 工具来 Ping 您试图连接的计算机的地址。在 Ping 的时候，您发送一个 ICMP Echo 消息并收到一个 ICMP Echo Reply 消息。默认情况下，Windows 防火墙不允许传入 ICMP Echo 消息，因此计算机就不能回送一个 ICMP Echo Reply。要配置 Windows 防火墙以使其允许传入 ICMP Echo 消息，您必须启用“允许传入的回显请求” 设置。

默认设置
    点击“恢复默认值”来将 Windows 防火墙重置为它的原始安装状态。当您点击“恢复默认值”时，Windows 防火墙在更改设置之前会提示您对操作进行确认。

权衡优缺点完善windows防火墙

Windows防火墙代理对出站连接请求的入站响应的工作做得好，并且阻塞您未发起的TCP或UDP会话入站连接请求的工作做得好，它将阻塞你未在设置中特别允许的连接企图。然而，这只是防火墙需要做的事情的中的一半。防火墙也要监视，检测和代理出站通信——并且这是Windows防火墙失败的地方。您电脑中的一些程序可以初始化到Internet上任何IP地址的任何类型的连接，而Windows防火墙将袖手旁观，任其发生。别让任何提示欺骗您：甚至它告诉你一个程序已经初始化了一个对Internet的连接，并询问您是否允许该连接，该连接已经存在了。它实际问的是你是否想允许Internet连接到这个程序。至于我关心的，要努力改进的防火墙机制是安全特性——不是防火墙。由于天天到达您的电脑的病毒，蠕虫，木马，和其它恶意软件和间谍软件，你要能控制双向通信。每台连接到任何网络（例如，拔号，乙太网或无线）的电脑需要防火墙，而Windows防火墙却不能胜任这个任务。为自己找到一个免费防火墙或从xx供应商那付费购买，但不要让Windows防火墙欺骗您认为它xx保护了您的电脑。实际上半个防火墙和没有防火墙一样不好。

但是在考虑兼容性能{zh0}的基础上我们应该去完善windows防火墙缺失的功能而不是放弃它，防泄漏没有的情况下hips系统防火墙胜任了这个任务。这样一个完整的个人防火墙在没有功能重复的状态下重新担任维护网络安全的重任。使用微点这样智能的hips反病毒软件也可以xx弥补这个缺点。追求发挥电脑{zd0}效能我们一起努力，准备组策略+windows防火墙裸奔网络。

Windows 防火墙日志文件解读

若要确定特定的计算机是否丢弃数据包，请在独立的计算机上或者通过“组策略”设定来启用 Windows 防火墙。然后，检查 Windows 防火墙日志文件中是否有与可疑通信相对应的条目。
根据“控制面板”上“Windows 防火墙”组件中的高级选项卡上的安全日志设定或通过Windows 防火墙：允许日志记录组策略设定，默认保存在主 Windows 文件夹下的 Pfirewall.log 文件对丢弃的传入请求或成功连接进行记录。可以使用 Pfirewall.log 文件中的内容来确定通信是否抵达启用 Windows 防火墙而无须创建例外或启用 ICMP 通信的计算机。

例如，当您选中记录被丢弃的数据包复选框，所有被防火墙丢弃的传入通信将被记录在 Pfirewall.log 文件中。您可以使用 Windows 资源管理器，通过双击位于主 Windows 文件夹中的那个文件来查看之。使用该日志文件中的内容来确定通信是否抵达计算机并被 Windows 防火墙丢弃。

这里是 Pfirewall.log 文件内容的一个示例：
    注意： 为提高可读性，某些代码行将分为多行进行显示。

字段描述date
    显示接收数据包时的年、月和日。日期的记录格式为 YYYY-MM-DD，其中 YYYY 表示年，MM 表示月，DD 表示天。
    time
    显示接收数据包时的的小时、分钟和秒。时间的记录格式为：HH:MM:SS,其中 HH 是以 24 小时格式表示的小时，MM 表示分钟数，SS 表示秒数。
    action
    指示防火墙观察到的操作。防火墙的可用选项有 OPEN、CLOSE、DROP 和 INFO-EVENTS-LOST。INFO-EVENTS-LOST 操作指示已发生但未记录在日志中的事件数。

  protocol
    显示通信时所使用的协议。协议可以是 TCP、UDP、ICMP 或者对应于丢弃的数据包的 IP 标头中协议字段的数字。
    src-ip
    显示数据包的源 IP 地址。
    dst-ip
    显示数据包的目标 IP 地址。
    src-port
    显示数据包 TCP 或 UDP 标头的源端口号。src-port 条目以 1 到 65,535 之间的整数形式记录。只有 TCP 和 UDP 通信会显示有效的 src-port 条目。
    dst-port
    显示数据包 TCP 或 UDP 标头的目标端口号。dst-port 条目以 1 到 65,535 之间的整数形式记录。只有 TCP 和 UDP 通信会显示有效的 dst-port 条目。
    size
    显示以字节表示的数据包大小。
    tcpflags
    显示 IP 通信 TCP 标头中的 TCP 控制标志：
    A – Ack:确认字段有效
    F – Fin:没有来自发送方的其他数据
    P – Psh:推入功能
    R – Rst:重置连接
    S – Syn:同步序列号
    U – Urg:紧急指针字段有效
    tcpsyn
    显示 TCP 通信 TCP 标头中的 TCP 序列号。
    tcpack
    显示 TCP 通信 TCP 标头中的 TCP 确认号。
    tcpwin
    显示 TCP 通信 TCP 标头中的 TCP 窗口大小。
    icmptype
    显示 ICMP 通信 ICMP 标头中的 ICMP 类型。
    icmpcode
    显示 ICMP 通信 ICMP 标头中的 ICMP 代码。
    info
    显示一个取决于所发生的操作类型的信息条目。例如，INFO-EVENTS-LOST 操作为在该事件类型{zh1}一次发生后发生的但没有记录到日志中的事件数目创建一个条目。

其实只要设置得当，Windows自带防火墙也能发挥足够强大的防护功能。

转自；卡饭