Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
I den här artikeln beskrivs hur du konfigurerar TCP/IP-filtrering på Microsoft Windows 2003-baserade datorer.
Gäller för: Windows Server 2003
Ursprungligt KB-nummer: 816792
Sammanfattning
Windows 2003-baserade datorer stöder flera metoder för att styra inkommande åtkomst. En av de enklaste och mest kraftfulla metoderna för att kontrollera inkommande åtkomst är att använda TCP/IP-filtreringsfunktionen. TCP/IP-filtrering är tillgängligt på alla Windows 2003-baserade datorer.
TCP/IP-filtrering hjälper till med säkerheten eftersom den fungerar i kernelläge. Andra metoder för att styra inkommande åtkomst till Windows 2003-baserade datorer, till exempel genom att använda IPSec-principfiltret och routnings- och fjärråtkomstservern, beror däremot på processer i användarläge eller arbetsstations- och servertjänsterna.
Du kan lägga ditt TCP/IP-system för inkommande åtkomstkontroll i lager med hjälp av TCP/IP-filtrering med IPSec-filter och filtrering av routnings- och fjärråtkomstpaket. Den här metoden är särskilt användbar om du vill styra både inkommande och utgående TCP/IP-åtkomst, eftersom enbart TCP/IP-säkerhet endast styr inkommande åtkomst.
Kommentar
TCP/IP-filtrering kan endast filtrera inkommande trafik och kan inte blockera ICMP-meddelanden (Internet Control Message Protocol), oavsett vilka inställningar som har konfigurerats i kolumnen Tillåt endast IP-protokoll eller om du inte tillåter Internet Protocol 1. Använd IPSec-principer eller paketfiltrering om du behöver mer kontroll över utgående åtkomst.
Kommentar
Vi rekommenderar att du använder guiden Konfigurera e-post och Internetanslutning på SBS 2003-baserade datorer med två nätverksadapter, och att du aktiverar brandväggsalternativet och sedan öppnar de portar som krävs på den externa nätverksadaptern. Om du vill ha mer information om guiden Konfigurera e-post och Internetanslutning väljer du Start och sedan Hjälp och support. I rutan Sök skriver du Guiden Konfigurera e-post och Internetanslutning och väljer sedan Starta sökning. Du hittar information om guiden Konfigurera e-post och Internetanslutning i resultatuppsättningslistan Small Business Server Topics.
Konfigurera TCP/IP-säkerhet i Windows Server 2003
Så här konfigurerar du TCP/IP-säkerhet:
Välj Start, peka på Kontrollpanelen, peka på Nätverksanslutningar och välj sedan den lokala områdesanslutning som du vill konfigurera.
I dialogrutan Anslutningsstatus väljer du Egenskaper.
Välj Internet Protocol (TCP/IP) och välj sedan Egenskaper.
I dialogrutan Egenskaper för Internet Protocol (TCP/IP) väljer du Avancerat.
Välj alternativ
Under Valfria inställningar väljer du TCP/IP-filtrering och sedan Egenskaper.
Klicka för att markera kryssrutan Aktivera TCP/IP-filtrering (alla adaptrar).
Kommentar
När du markerar den här kryssrutan aktiverar du filtrering för alla adaptrar, men du konfigurerar filtren individuellt för varje adapter. Samma filter gäller inte för alla adaptorer.
I dialogrutan TCP/IP-filtrering finns det tre avsnitt där du kan konfigurera filtrering för TCP-portar, UDP-portar (User Datagram Protocol) och Internetprotokoll. För varje avsnitt konfigurerar du de säkerhetsinställningar som är lämpliga för datorn.
Kommentar
När Tillåt alla aktiveras tillåter du alla paket för TCP- eller UDP-trafik. Med Tillåt endast kan du endast tillåta vald TCP- eller UDP-trafik genom att lägga till de tillåtna portarna. Om du vill ange portarna använder du knappen Lägg till . Om du vill blockera all UDP- eller TCP-trafik väljer du Tillåt endast men lägger inte till några portnummer i kolumnen UDP-portar eller TCP-portar . Du kan inte blockera UDP- eller TCP-trafik genom att välja Tillåt endast för IP-protokoll och exkludera IP-protokoll 6 och 17.
Konfigurera TCP/IP-säkerhet i Windows Small Business Server 2003
Följ dessa steg för att konfigurera TCP/IP-filtrering.
Kommentar
Om du vill utföra den här proceduren måste du vara medlem i gruppen Administratörer eller gruppen Nätverkskonfigurationsoperatörer på den lokala datorn.
Välj Start, peka på Kontrollpanelen, högerklicka på Nätverksanslutningar och välj sedan Öppna.
Högerklicka på nätverksanslutningen där du vill konfigurera inkommande åtkomstkontroll och välj sedan Egenskaper.
Under Egenskaper för adaptorName-anslutning på fliken Allmänt väljer du Internet Protocol (TCP/IP) och väljer sedan Egenskaper.
I dialogrutan Egenskaper för Internet Protocol (TCP/IP) väljer du Avancerat.
Välj fliken Alternativ .
Välj TCP/IP-filtrering och välj sedan Egenskaper.
Klicka för att markera kryssrutan Aktivera TCP/IP-filtrering (alla adaptrar).
Kommentar
När du markerar den här kryssrutan aktiverar du filtrering för alla adaptrar. Filterkonfigurationen måste dock slutföras på varje adapter. När TCP/IP-filtrering är aktiverat kan du konfigurera varje adapter genom att välja alternativet Tillåt alla , eller så kan du endast tillåta att specifika IP-protokoll, TCP-portar och UDP-portar (User Datagram Protocol) accepterar inkommande anslutningar. Om du till exempel aktiverar TCP/IP-filtrering och konfigurerar den externa nätverksadaptern så att endast port 80 tillåts kan den externa nätverksadaptern endast acceptera webbtrafik. Om den interna nätverksadaptern också har TCP/IP-filtrering aktiverat men har konfigurerats med alternativet Tillåt alla valt möjliggör detta obegränsad kommunikation på den interna nätverksadaptern.
Under TCP/IP-filtrering finns det tre kolumner med följande etiketter:
- TCP-portar
- UDP-portar
- IP-protokoll
I varje kolumn måste du välja något av följande alternativ:
- Tillåt alla. Välj det här alternativet om du vill tillåta alla paket för TCP- eller UDP-trafik.
- Tillåt endast. Välj det här alternativet om du bara vill tillåta vald TCP- eller UDP-trafik, välj Lägg till och skriv sedan lämpligt port- eller protokollnummer i dialogrutan Lägg till filter . Du kan inte blockera UDP- eller TCP-trafik genom att välja Tillåt endast i kolumnen IP-protokoll och sedan lägga till IP-protokoll 6 och 17.
Kommentar
Du kan inte blockera ICMP-meddelanden, även om du väljer Tillåt endast i kolumnen IP-protokoll och sedan inte inkluderar IP-protokoll 1.
TCP/IP-filtrering kan endast filtrera inkommande trafik. Den här funktionen påverkar inte utgående trafik eller TCP-svarsportar som skapas för att acceptera svar från utgående begäranden. Använd IPSec-principer eller filtrering av routnings- och fjärråtkomstpaket om du behöver mer kontroll över utgående åtkomst.
Kommentar
Om du väljer Tillåt endast i UDP-portar, TCP-portar eller kolumnen IP-protokoll och listorna lämnas tomma kan nätverksadaptern inte kommunicera med något via ett nätverk, varken lokalt eller till Internet.
Referenser
Mer information om TCP- och UDP-portnummer finns i Portnummerregister för tjänstnamn och transportprotokoll.