Прочитать на английском

Поделиться через

Настройка фильтрации TCP/IP в Windows Server 2003

  • Статья

В этой статье описывается настройка фильтрации TCP/IP на компьютерах с Microsoft Windows 2003.

Область применения: Windows Server 2003
Исходный номер базы знаний: 816792

Итоги

Компьютеры под управлением Windows 2003 поддерживают несколько методов управления входящим доступом. Одним из самых простых и самых мощных методов управления входящим доступом является использование функции фильтрации TCP/IP. Фильтрация TCP/IP доступна на всех компьютерах под управлением Windows 2003.

Фильтрация TCP/IP помогает обеспечить безопасность, так как она работает в режиме ядра. Напротив, другие методы управления входящим доступом к компьютерам под управлением Windows 2003, например с помощью фильтра политики IPSec и сервера маршрутизации и удаленного доступа, зависят от процессов пользовательского режима или служб рабочей станции и сервера.

Схему управления доступом для входящего трафика TCP/IP можно с помощью фильтрации TCP/IP с фильтрами IPSec и фильтрацией пакетов удаленного доступа. Этот подход особенно полезен, если вы хотите управлять доступом как к входящего, так и исходящему ПРОТОКОЛу TCP/IP, так как безопасность TCP/IP только контролирует только входящий доступ.

Примечание

Фильтрация TCP/IP может фильтровать только входящий трафик и не может блокировать сообщения ICMP (протокол сообщений управления интернетом), независимо от параметров, настроенных в столбце "Только IP-протоколы разрешений" или не разрешать протокол 1. Используйте политики IPSec или фильтрацию пакетов, если требуется больше контроля над исходящим доступом.

Примечание

Мы рекомендуем использовать мастер настройки электронной почты и подключения к Интернету на компьютерах на основе SBS 2003 с двумя сетевыми адаптерами, а затем включить параметр брандмауэра, а затем открыть необходимые порты во внешнем адаптере сети. Дополнительные сведения о мастере настройки электронной почты и подключения к Интернету нажмите кнопку "Пуск", а затем выберите "Справка и поддержка". В поле поиска введите мастер настройки электронной почты и подключения к Интернету, а затем нажмите кнопку "Начать поиск". Сведения о мастере настройки электронной почты и подключения к Интернету см. в списке результирующих наборов разделов малого бизнеса Server.

Настройка безопасности TCP/IP в Windows Server 2003

Чтобы настроить безопасность TCP/IP, выполните приведенные действия.

  1. Нажмите кнопку "Пуск", наведите указатель на панель управления, наведите указатель на сетевые подключения и выберите подключение к локальной области, которое требуется настроить.

  2. В диалоговом окне "Состояние подключения" выберите "Свойства".

  3. Выберите протокол TCP/IP и выберите "Свойства".

  4. В диалоговом окне "Свойства протокола TCP/IP" выберите "Дополнительно".

  5. Выберите Параметры.

  6. В разделе "Необязательные параметры" выберите фильтрацию TCP/IP и выберите "Свойства".

  7. Установите флажок Включить фильтрацию TCP/IP (все адаптеры).

    Примечание

    При выборе этого флажка вы включите фильтрацию для всех адаптеров, но настраиваете фильтры по отдельности для каждого адаптера. Те же фильтры не применяются ко всем адаптерам.

  8. В диалоговом окне "Фильтрация TCP/IP" есть три раздела, в которых можно настроить фильтрацию для TCP-портов, портов протокола UDP и протоколов Интернета. Для каждого раздела настройте параметры безопасности, соответствующие вашему компьютеру.

    Примечание

    При активации permit All можно разрешить все пакеты для трафика TCP или UDP. Разрешение позволяет разрешить только выбранный трафик TCP или UDP, добавив разрешенные порты. Чтобы указать порты, нажмите кнопку "Добавить ". Чтобы заблокировать весь трафик UDP или TCP, выберите "Разрешить только", но не добавляйте номера портов в столбец портов UDP или в столбец TCP-портов. Не удается заблокировать трафик UDP или TCP, выбрав "Разрешить только для IP-протоколов " и исключая ПРОТОКОЛы IP 6 и 17.

Настройка безопасности TCP/IP в Windows Small Business Server 2003

Чтобы настроить фильтрацию TCP/IP, выполните следующие действия.

Примечание

Для выполнения этой процедуры необходимо быть членом группы администраторов или группы операторов конфигурации сети на локальном компьютере.

  1. Выберите "Пуск", наведите указатель на панель управления, щелкните правой кнопкой мыши сетевые подключения и нажмите кнопку "Открыть".

  2. Щелкните правой кнопкой мыши сетевое подключение, в котором необходимо настроить управление входящего доступа, а затем выберите "Свойства".

  3. В разделе "Свойства подключения адаптера" на вкладке "Общие" выберите Протокол Интернета (TCP/IP) и выберите "Свойства".

  4. В диалоговом окне "Свойства протокола TCP/IP" выберите "Дополнительно".

  5. Откройте вкладку Параметры.

  6. Выберите фильтрацию TCP/IP и выберите пункт "Свойства".

  7. Установите флажок Включить фильтрацию TCP/IP (все адаптеры).

    Примечание

    При выборе этого флажка можно включить фильтрацию для всех адаптеров. Однако конфигурация фильтра должна быть завершена для каждого адаптера. Если включена фильтрация TCP/IP, можно настроить каждый адаптер, выбрав параметр "Разрешить все ", или разрешить только определенные IP-протоколы, TCP-порты и порты UDP (протокол пользовательской диаграммы данных) для приема входящих подключений. Например, если включить фильтрацию TCP/IP и настроить адаптер внешней сети для разрешения только порта 80, это позволяет адаптеру внешней сети принимать только веб-трафик. Если у адаптера внутренней сети также включена фильтрация TCP/IP, но настроен параметр "Разрешить все ", это обеспечивает неограниченный обмен данными на внутреннем адаптере сети.

  8. В разделе "Фильтрация TCP/IP" есть три столбца со следующими метками:

    • Порты TCP
    • Порты UDP
    • Протоколы IP

    В каждом столбце необходимо выбрать один из следующих параметров:

    • Разрешить все. Выберите этот параметр, если вы хотите разрешить все пакеты для трафика TCP или UDP.
    • Разрешить только. Выберите этот параметр, если вы хотите разрешить только выбранный трафик TCP или UDP, нажмите кнопку "Добавить", а затем введите соответствующий порт или номер протокола в диалоговом окне "Добавить фильтр ". Вы не можете заблокировать трафик UDP или TCP, выбрав разрешение только в столбце IP-протоколов, а затем добавив IP-протоколы 6 и 17.

    Примечание

    Вы не можете блокировать сообщения ICMP, даже если выбран параметр "Разрешить только в столбце IP-протоколов ", а затем не включать IP-протокол 1.

Фильтрация TCP/IP может фильтровать только входящий трафик. Эта функция не влияет на исходящий трафик или порты ответа TCP, созданные для приема ответов от исходящих запросов. Используйте политики IPSec или маршрутизацию и фильтрацию пакетов удаленного доступа, если требуется больше контроля над исходящим доступом.

Примечание

Если выбрать разрешение только в портах UDP, TCP-портах или столбце IP-протоколов и списках остается пустым, сетевой адаптер не сможет взаимодействовать с кем-либо через сеть, либо локально, либо с Интернетом.

Ссылки

Дополнительные сведения о номерах портов TCP и UDP см. в разделе "Имя службы" и реестр номеров портов протокола транспорта.