ICF的工作原理是通过保存一个表格,记录所有自本机发出的目的IP地址、端口、服务以及其他一些数据来达到保护本机的目的。 当一个IP数据包进入本机时,ICF会检查这个表格,看到达的这个IP数据包是不是本机所请求的,如果是就让它通过,如果在那个表格中没有找到相应的记录就丢弃这个IP数据包。
由于ICF功能上的局限性,使得它不能安全的工作在服务器上,比如我们用IIS架设了一个WEB服务器,默认开放80端口,这时所有客户却无法访问我们的80端口,因为请求是由客户端发起的,而不是服务器先发起的,所以向WEB服务器80端口的请求包都被ICF当作垃圾拒绝掉,虽然可以在ICF将80端口加入例外中去,但此时80端口变成一个不设防的端口,因为ICF没法建立基于IP包的包审核策略。比如最基本的拒绝某一个IP的访问。
ICF的功能就是如此简单。我们知道XP系统的最终用户主要是定位在家庭使用,一般家庭用户的计算机配置和网络带宽远不及专业的网络公司。如果对数据包策略分析得太细肯定会对系统资源和网速造成一定的影响。所以ICF因其工作效率高且占用资源少,使用简单并且有一定的防卸能用,是家庭用户防火墙的首选。
