Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird beschrieben, wie Sie die TCP/IP-Filterung auf Microsoft Windows 2003-basierten Computern konfigurieren.
Gilt für: Windows Server 2003
Ursprüngliche KB-Nummer: 816792
Zusammenfassung
Windows 2003-basierte Computer unterstützen mehrere Methoden zum Steuern des eingehenden Zugriffs. Eine der einfachsten und leistungsstärksten Methoden zum Steuern des eingehenden Zugriffs ist die Verwendung des TCP/IP-Filterfeatures. TCP/IP-Filterung ist auf allen Windows 2003-basierten Computern verfügbar.
Tcp/IP-Filterung hilft bei der Sicherheit, da sie im Kernelmodus funktioniert. Im Gegensatz dazu hängen andere Methoden zum Steuern des eingehenden Zugriffs auf Windows 2003-basierte Computer, z. B. mithilfe des IPSec-Richtlinienfilters und des Routing- und Remotezugriffsservers, von Benutzermodusprozessen oder arbeitsstations- und Serverdiensten ab.
Sie können Ihr TCP/IP-Schema für die Eingehende Zugriffssteuerung über die TCP/IP-Filterung mit IPSec-Filtern und Routing- und Remotezugriffspaketfiltern überlegen. Dieser Ansatz ist besonders hilfreich, wenn Sie sowohl eingehenden als auch ausgehenden TCP/IP-Zugriff steuern möchten, da die TCP/IP-Sicherheit nur eingehenden Zugriff steuert.
Notiz
Die TCP/IP-Filterung kann nur eingehenden Datenverkehr filtern und keine ICMP-Nachrichten (Internet Control Message Protocol) blockieren, unabhängig von den Einstellungen, die in der Spalte "Nur IP-Protokolle zulassen" konfiguriert sind oder ob Sie internetprotokoll 1 nicht zulassen. Verwenden Sie IPSec-Richtlinien oder Paketfilter, wenn Sie mehr Kontrolle über den ausgehenden Zugriff benötigen.
Notiz
Es wird empfohlen, den Assistenten zum Konfigurieren von E-Mail und Internetverbindung auf SBS 2003-basierten Computern mit zwei Netzwerkadaptern zu verwenden und die Firewalloption zu aktivieren und dann die erforderlichen Ports im externen Netzwerkadapter zu öffnen. Weitere Informationen zum Assistenten zum Konfigurieren von E-Mail und Internetverbindung wählen Sie "Start" und dann " Hilfe und Support" aus. Geben Sie im Suchfeld den Assistenten zum Konfigurieren von E-Mail und Internetverbindung ein, und wählen Sie dann "Suche starten" aus. Informationen zum Assistenten zum Konfigurieren von E-Mail und Internetverbindung finden Sie in der Resultsetliste "Small Business Server Topics".
Konfigurieren der TCP/IP-Sicherheit in Windows Server 2003
So konfigurieren Sie die TCP/IP-Sicherheit:
Wählen Sie "Start" aus, zeigen Sie auf Systemsteuerung, zeigen Sie auf "Netzwerkverbindungen", und wählen Sie dann die lokale Bereichsverbindung aus, die Sie konfigurieren möchten.
Wählen Sie im Dialogfeld "Verbindungsstatus" die Option "Eigenschaften" aus.
Wählen Sie Internetprotokoll (TCP/IP) und dann "Eigenschaften" aus.
Wählen Sie im Dialogfeld "TCP/IP-Eigenschaften" die Option "Erweitert" aus.
Klicken Sie auf Optionen.
Wählen Sie unter "Optionale Einstellungen" die OPTION "TCP/IP-Filterung" und dann "Eigenschaften" aus.
Klicken Sie, um das Kontrollkästchen TCP/IP-Filterung (Alle Adapter) zu aktivieren.
Notiz
Wenn Sie dieses Kontrollkästchen aktivieren, aktivieren Sie die Filterung für alle Adapter, aber Sie konfigurieren die Filter einzeln für jeden Adapter. Die gleichen Filter gelten nicht für alle Adapter.
Im Dialogfeld TCP/IP-Filterung gibt es drei Abschnitte, in denen Sie die Filterung für TCP-Ports, UDP-Ports (User Datagram Protocol) und Internetprotokolle konfigurieren können. Konfigurieren Sie für jeden Abschnitt die Sicherheitseinstellungen, die für Ihren Computer geeignet sind.
Notiz
Wenn "Alle zulassen" aktiviert ist, lassen Sie alle Pakete für TCP- oder UDP-Datenverkehr zu. Mit "Nur zulassen" können Sie nur ausgewählten TCP- oder UDP-Datenverkehr zulassen, indem Sie die zulässigen Ports hinzufügen. Um die Ports anzugeben, verwenden Sie die Schaltfläche "Hinzufügen" . Um den gesamten UDP- oder TCP-Datenverkehr zu blockieren, wählen Sie "Nur zulassen", aber fügen Sie keine Portnummern in der Spalte "UDP-Ports" oder in der Spalte "TCP-Ports" hinzu. Sie können UDP- oder TCP-Datenverkehr nicht blockieren, indem Sie "Nur für IP-Protokolle zulassen" und "IP-Protokolle 6" und "17" ausschließen.
Konfigurieren der TCP/IP-Sicherheit in Windows Small Business Server 2003
Führen Sie die folgenden Schritte aus, um die TCP/IP-Filterung zu konfigurieren.
Notiz
Um dieses Verfahren auszuführen, müssen Sie Mitglied der Gruppe "Administratoren" oder der Gruppe "Netzwerkkonfigurationsoperatoren" auf dem lokalen Computer sein.
Wählen Sie "Start" aus, zeigen Sie auf Systemsteuerung, klicken Sie mit der rechten Maustaste auf "Netzwerkverbindungen", und wählen Sie dann "Öffnen" aus.
Klicken Sie mit der rechten Maustaste auf die Netzwerkverbindung, in der Sie die Steuerung des eingehenden Zugriffs konfigurieren möchten, und wählen Sie dann "Eigenschaften" aus.
Wählen Sie auf der Registerkarte "Allgemein" unter "adaptorName-Verbindungseigenschaften" die Option "Internetprotokoll (TCP/IP)" und dann "Eigenschaften" aus.
Wählen Sie im Dialogfeld "TCP/IP-Eigenschaften" die Option "Erweitert" aus.
Wählen Sie die Registerkarte Options (Optionen) aus.
Wählen Sie TCP/IP-Filterung und dann "Eigenschaften" aus.
Klicken Sie, um das Kontrollkästchen TCP/IP-Filterung (Alle Adapter) zu aktivieren.
Notiz
Wenn Sie dieses Kontrollkästchen aktivieren, aktivieren Sie die Filterung für alle Adapter. Die Filterkonfiguration muss jedoch für jeden Adapter abgeschlossen werden. Wenn die TCP/IP-Filterung aktiviert ist, können Sie jeden Adapter konfigurieren, indem Sie die Option "Alle zulassen" auswählen, oder Sie können nur bestimmte IP-Protokolle, TCP-Ports und UDP-Ports (User Datagram Protocol) zulassen, um eingehende Verbindungen zu akzeptieren. Wenn Sie beispielsweise die TCP/IP-Filterung aktivieren und den externen Netzwerkadapter so konfigurieren, dass nur Port 80 zulässig ist, kann der externe Netzwerkadapter nur Den Webdatenverkehr akzeptieren. Wenn der interne Netzwerkadapter auch die TCP/IP-Filterung aktiviert, aber mit der option "Alle zulassen" konfiguriert ist, ermöglicht dies die uneingeschränkte Kommunikation mit dem internen Netzwerkadapter.
Unter TCP/IP-Filterung gibt es drei Spalten mit den folgenden Bezeichnungen:
- TCP-Ports
- UDP-Ports
- IP-Protokolle
In jeder Spalte müssen Sie eine der folgenden Optionen auswählen:
- Alle zulassen. Wählen Sie diese Option aus, wenn Sie alle Pakete für TCP- oder UDP-Datenverkehr zulassen möchten.
- Nur zulassen. Wählen Sie diese Option aus, wenn Sie nur ausgewählten TCP- oder UDP-Datenverkehr zulassen möchten, "Hinzufügen" auswählen und dann im Dialogfeld "Filter hinzufügen" die entsprechende Port- oder Protokollnummer eingeben möchten. Sie können UDP- oder TCP-Datenverkehr nicht blockieren, indem Sie "Nur zulassen" in der Spalte "IP-Protokolle" auswählen und dann IP-Protokolle 6 und 17 hinzufügen.
Notiz
Sie können ICMP-Nachrichten nicht blockieren, auch wenn Sie "Nur zulassen" in der Spalte "IP-Protokolle" auswählen und dann kein IP-Protokoll 1 einschließen.
Die TCP/IP-Filterung kann nur eingehenden Datenverkehr filtern. Dieses Feature wirkt sich nicht auf ausgehenden Datenverkehr oder TCP-Antwortports aus, die erstellt werden, um Antworten von ausgehenden Anforderungen zu akzeptieren. Verwenden Sie IPSec-Richtlinien oder Routing- und Remotezugriffspaketfilter, wenn Sie mehr Kontrolle über den ausgehenden Zugriff benötigen.
Notiz
Wenn Sie "Nur zulassen" in UDP-Ports, TCP-Ports oder der Spalte "IP-Protokolle" auswählen und die Listen leer bleiben, kann der Netzwerkadapter weder lokal noch mit dem Internet kommunizieren.
References
Weitere Informationen zu TCP- und UDP-Portnummern finden Sie unter Service Name and Transport Protocol Port Number Registry.