对于只使用浏览、电子邮件等系统自带的网络应用程序，Windows防火墙根本不会产生影响。也就是说，用IE、OutlookExpress等系统自带的程序进行网络连接，防火墙是默认不干预的。微软在设置防火墙内置规则时，已经为自家的应用程序开了“绿色通道”，所以装上SP2后，即使打开其防火墙并且启用“不允许例外”，无需将IE加到“例外”就能上网，而防火墙也不会询问是否要允许IE通过。

　　★SP2防火墙与第三方防火墙软件的区别

　　仅就防火墙功能而言，Windows防火墙只阻截所有传入的未经请求的流量，对主动请求传出的流量不作理会。而第三方病毒防火墙软件一般都会对两个方向的访问进行监控和审核，这一点是它们之间最大的区别。如果入侵已经发生或间谍软件已经安装，并主动连接到外部网络，那么Windows防火墙是束手无策的。不过由于攻击多来自外部，而且如果间谍软件偷偷自动开放端口来让外部请求连接，那么Windows防火墙会立刻阻断连接并弹出安全警告，所以普通用户不必太过担心这点。这就好像宾馆里的房门一样——外面的人要进入必须用钥匙开门，而屋里的人要出门，只要拉一下门把手就可以了。

　　实战1:天网防火墙和Windows防火墙的不同

　　我们用两种软件来分别对QQGame的网络请求进行监控。

　　第一步:确认不要将QQGame这个程序添加到各自的“例外”规则中，然后登录QQ游戏大厅；

　　第二步:这时你会发现，天网个人防火墙立即阻止QQ游戏的网络访问，然后询问是否给予通行(见图1)；

　　第三步:而Windows防火墙对这个主动出站的请求不做任何处理，就好像没有防火墙一样，输入帐户信息后登录到游戏平台，QQGame实际上已经完成了往外网络访问；这时需要将游戏信息下载到本地(就是有外部访问请求)，防火墙就弹出了“Windows 安全警报”(见图2)。

　　小提示
　　取消“Windows 安全警报”的方法:打开防火墙设置后，在“例外”选项卡中取消选择“Windows防火墙阻止程序时通知我”即可。

　　实战2:让XP SP2正确识别UPnP(通用即插即用)

　　战前分析:BitComet以其拥有内网互联(NAT Traversal)技术，而且支持UPnP的NAT和Windows XP防火墙，让内网的朋友在进行BT下载时可以获得相当快的下载速度。但自从升级到SP2并启用了Windows防火墙后，BitComet软件速度变得很慢！这是由于防火墙没有设置好，使得系统没能正确识别UPnP设备。

　　第一步:Windows XP默认是支持UPnP的，如果在“例外”看不到这个选项，则说明没有安装UPnP设备支持。打开“网上邻居”窗口，在其左侧的工具栏中点击“显示联网的UPnP设备的图标”，如果UPnP设备文件没有安装或安装不正确，系统就会自动安装(见图3);

　　第二步:在“控制面板”中打开防火墙并启动，确认不勾选“不允许例外”这个选项；当打开BitComet后，Windows防火墙有可能会提示你是否要阻止该程序，选择“解除阻止”；

　　第三步:点击“例外”选项卡，勾选“UPnP框架”即可。

　　实战3:给远程管理开个通行证

　　战前分析:当通过MMC控制台中的Computer Management(计算机管理)、Disk Management(磁盘管理)等组件远程管理程序来管理局域网上的其他计算机，计算机必须开放TCP 445端口。如果在远程操作已经安装XP SP2并开启了防火墙的计算机时，就得手动打开这个TCP端口。

　　第一步:打开防火墙设置窗口，切换到“例外”选项卡，勾选“文件和打印机共享”

　　第二步:单击“编辑”按钮，在打开的“编辑服务”窗口中选中“TCP 445”，单击更改范围，勾选“仅我的网络”或者勾选“自定义列表”并输入要控制的计算机的IP地址(见图4)。

　　小提示

　　上列步骤可以用命令代替，即在命令提示符窗口中输入“netsh firewall set portopening TCP 445 TCP445 ENABLE”(不包括引号)。

　　实战4:彻底搞定“远程桌面”连接

　　战前分析:通过Windows XP SP2防火墙实现远程协作的方法很简单，远程协作使用的是动态端口。在防火墙设置对话框中的“例外”选项卡上“程序和服务”列表中选择“远程协作”项目，这样Windows将自动监视并正确处理来自sessmgr.exe应用程序的所有通讯请求完成连接。Windows NetMeeting的远程桌面要复杂一些，尽管在例外选项卡中有“远程桌面”选项，但是如果你选择这个选项，实际是开放了TCP的端口3389，也可能无法完成远程桌面连接。

　　方法:在Windows防火墙打开的情况下，在可以使用Windows NetMeeting的远程桌面共享功能之前，必须向Windows防火墙的“例外”选项卡上“程序和服务”列表中分别为Windows NetMeeting和%systemroot% System32Mnmsrvc.exe文件和C:Program FilesNetMeetingconf.exe文件分别添加一个条目即可。

　　实战5:只让内网来“Ping”我！

　　战前分析:在默认情况下XP SP2防火墙不允许ICMP入站数据进入，也就不会回复ICMP返回数据，这样可以防止检查网络故障常用的命令工具“Ping”来探测你的计算机，不过这样对于一些启用了共享上网的用户，内网就无法用Ping来检查自己的网络情况了。

　　方法一:按照实战2的方法，分别将“文件和打印机共享”中所打开的TCP端口适用于子网即可。

　　方法二:打开Windows 防火墙，切换到“高级”选项卡，双击与内网连接的那个“本地连接”，切换到“ICMP”选项卡，勾选“允许传入的回显请求”，确认所有操作即可(见图5)。

　　ICMP协议

　　ICMP是“Internet Control Message Protocol”(Internet控制消息协议)的缩写，它是TCP/IP协议簇中的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息，这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。我们在网络中经常会使用到ICMP协议，只不过我们觉察不到而已。比如我们经常使用的用于检查网络通不通的Ping命令实际上就是ICMP协议工作的过程，还有诸如跟踪路由的Tracert命令也是基于ICMP协议的。

　　1.查看宽带连接状态

　　只要从“开始/控制面板”下打开“拨号网络”窗口，如图1所示，就可以看到这里已经在“LAN或高速Internet连接”下建立了一个可用连接，这个可用连接的缺省名是“本地连接”，为了使用方便，笔者已经将之改名为“宽带连接”。双击该图标或者从快捷菜单中执行“状态”命令，就可以看到一个如图2所示的窗口，从这里可以看到本次连接的状态（是否已连接）、持续时间（已连接时间）和速度等很多有用的参数。

　　2.断开宽带连接

　　我使用LAN局域网方式宽带上网，每次都不需要拨号连接，开机即可上网，真是十分方便。可有些朋友如果想暂时断开宽带连接，却从快捷菜单中找不到“断开连接”命令，难道要拔出网线？

　　当然不需要，我们可以右击“本地连接”，执行快捷菜单中的“停用”命令，这样就可以断开连接了。以后想再次连接时，只要执行“启用”命令。但笔者经过试验后发现，当停用宽带连接后，再次启用时连接很容易失败，这时可以执行“修复”命令。

　　3.使用内置防火墙

　　在“属性”窗口中，点击“高级”选项卡，如图3所示，勾选“通过限制或阻止来自Internet的对此计算机的访问来保护我的计算机和网络”复选框后，就可以获得一个免费的防火墙保护，何乐而不为呢？

　　4.实现宽带ICS

　　既然已经用上了宽带，为什么不让家中的其它电脑也享受一番呢？下面，笔者就通过一个实例向朋友们介绍在WindowsXP中实现宽带ICS（Internet连接共享）的一些技巧：

　　（1）从硬件上保证ICS

　　首先，我们必须将计算机实现物理连接（笔者这里就以自己家中的台式机和笔记本电脑为例），对一般家庭用户而言，比较简单的是组建对等网，也就是说让各台电脑之间直接相互通讯，这样就可以在不需要专门的服务器情况下实现资源共享，ICS即可实现的服务之一。

　　简单地说，你需要准备好网卡、五类双绞线、水晶头等东西，在制作网线的接头时请朋友们注意方向和线的排列问题，如果你不清楚的话，可以参考本报以前的有关文章，或者索性请电脑公司的技术人员帮你将网线做好，这样可以避免很多麻烦。

　　（2）组建对等网

　　每台电脑都应该安装网卡，作为ICS主机的电脑应该安装两块网卡（最好将台式机作为主机），其中一块网卡连接到宽带网，另一块通过网线与笔记本电脑相连，分别安装网卡的驱动程序，WindowsXP可以自动识别绝大多数的网卡，另外还需要在两台电脑中分别添加TCP/IP、NWLinkIPX/SPX/NetBIOSCompatibleTransport、NWLinkNetBIOS等协议，这可以用鼠标右键点击“网上邻居”→“属性”→“本地连接”→“属性”→“安装”→“协议”中进行。如果一切顺利的话，很快就可以在“网络邻居”中看到对方的计算机了（如图4所示）。

　　说明：一般情况下，WindowsXP会自动配置IP地址，不再需要你手工配置。

　　（3）配置ICS主机

　　在配置之前，你需要确认ICS主机（也就是台式机）上有激活的Internet连接，也就是说先检查一下ICS主机是否能正常上网。然后，你就可以点击“控制面板”→“网络连接”→“网络任务”选择“设置家庭或小型办公网络”任务，这时会出现“网络安装向导”提示窗口，告诉你一些网络安装向导的注意事项，接连点击两次“下一步”按钮后会出现图5所示窗口，这一步比较关键，请朋友们仔细了。

　　现在我们应该选择第一项“这台计算机直接连接到Internet。我的网络上的其他计算机通过这台计算机连接到Internet”，然后继续点击“下一步”，出现图6所示窗口，

　　选择一个正确的Internet连接（因为ICS主机中有两块网卡，因此相对应也有两个Internet连接，一个连接到宽带网，另一个连接到笔记本电脑），如果你实在分不清楚的话，可以先到“控制面板/网络连接”下看一看便知。下面的几个步骤可以不去管它，一路按“下一步”就可以了，直到图7窗口，这里你需要选择“创建网络安装磁盘”，根据提示插入一张空白软盘，根据向导的提示创建网络安装磁盘。

　　到此，ICS主机就已经全部配置成功。

　　（4）配置ICS客户机

　　现在，我们就可以将刚才在台式机上创建的网络安装磁盘插入笔记本电脑的软驱中，然后双击“我的电脑”，找到“3.5英寸软盘(A:)”上的“netsetup.exe”文件双击，首先看到的是一个欢迎窗口，告诉你“继续之前，Windows必须安装一些网络支持文件，并可能重启动计算机。如果在运行WindowsXP，向导会立即开始。要继续吗？”，当然是点击“是（Y）”啦。在接连点击2次“下一步”按钮后，选择“是”，将现有共享连接用于这台计算机的Internet访问（推荐）”，这里的选择恰好与前面ICS主机上的图6相反，朋友们还记得吗？

　　点击“下一步”按钮后，向导给出两种选择“代我决定合适的连接”和“让我来选择跟我的网络的连接”。从笔者个人的经验来看，建议朋友们选择后者，这样自由度更大一些，单击“下一步”后在图8中根据实际情况选择将这台计算机连接到其他网络计算机的连接，然后只需按照默认设置点击几次“下一步”就可以结束网络安装向导的工作。

　　好了，现在赶快到笔记本电脑上试一试，是否已经可以打开IE浏览网页、运行了QQ？只要你原来的“网络邻居”中能互相看到对方，那么ICS应该是没有什么问题的。

　　注意：为了保证ICS的顺利实现，要求两台电脑使用同一版本的操作系统，这样可以减少很多麻烦。

　　怎么样，经过如此一番简单的设置，在宽带快车道上冲浪更舒心了吧？