ICF的局限性

　　那么，ICF不能做什么？ICF可不可以完全替代现有的个人防火墙产品？ICF是通过记录本机的IP请求来确定外来的IP数据包是不是"合法"，这当然不可以用在服务器上。为什么呢？服务器上的IP数据包基本上都不是由服务器先发出，所以ICF这种方法根本就不可以对服务器的安全提供保护。当然你也可以通过相应的设置让ICF忽略所有发向某一端口的数据包，例如80端口。那么发向80端口的所有数据包都不会被ICF抛弃。从这种意义上讲80端口就成为不设防的端口。这样的防火墙产品是不可能用在应用服务器上的，服务器上的防火墙产品都是基于建立各种策略来审核外来的IP数据包。ICF和基于应用程序的个人防火墙产品也是不一样的。基于应用程序的个人防火墙会记录每一个访问Internet的程序，例如，通过设置可以让IE有权来访问Internet而Netscape的Navigator没有权限来访问Internet，即便两个程序的目的IP地址和端口都是一样的。Norton的个人防火墙（Personal Firewall）就是这样一个典型的产品。简而言之，ICF没法提供基于应用程序的保护，也没法建立基于IP包的包审核策略。所以，ICF既不能完全替代现有的个人防火墙产品，也没有办法很好地工作在应用服务器上。

　　笔者认为，Norton的个人防火墙和Zonealarm Pro可以提供较全方面的保护，但设置较为复杂。ICF并不能提供完全无懈可击的防护，但是ICF对个人电脑提供防护是足够的。在使用一些系统安全软件对装有ICF的个人电脑进行端口扫描后，常会给出了"系统安全"的评价。况且，ICF是Windows XP内建的功能，占用的资源相当少且不用花额外的钱去购买。从ICF受益最多的应该是那些仍然在使用Modem上网的朋友，在国内绝大部分的用户都是用Modem上网的。首先，你上网的时间不会太长，一般在几小时上下（包月的除外）。其次，每次建立连接后拨号服务器都会分配一个新的IP地址（动态地址分配）给你，长时间占用一个相同的IP的可能性应该很低。比起使用ADSL和其它宽带的用户来讲，用Modem上网本身就安全了很多。

　　注意事项

　　ICF和家庭或小型办公室通讯--不应该在所有没有直接连接到Internet的连接上启用Internet连接防火墙，也就是最好不要在局域网中使用。如果在ICF客户计算机的网络适配器上启用防火墙，则它将干扰该计算机和网络上的其他计算机之间的一些通讯。如果网络已经具有互联网防火墙或代理服务器，则不需要Internet连接防火墙，你应该关闭它。

　　所以，使用一个重量级的防火墙实在是没有太多的意义。而ICF则刚刚好，它既提供了一定的保护，而且又不太占用资源，不错的，是"又经济，又实惠"。