通过

如何在 Windows Server 2003 中配置 TCP/IP 筛选

本文介绍如何在基于 Windows 2003 的Microsoft计算机上配置 TCP/IP 筛选。

适用于: Windows Server 2003
原始 KB 数: 816792

总结

基于 Windows 2003 的计算机支持多种控制入站访问的方法。 控制入站访问的最简单且最强大的方法之一是使用 TCP/IP 筛选功能。 TCP/IP 筛选在所有基于 Windows 2003 的计算机上都可用。

TCP/IP 筛选有助于实现安全性,因为它在内核模式下工作。 相比之下,控制基于 Windows 2003 的计算机的入站访问的其他方法(例如使用 IPSec 策略筛选器和路由和远程访问服务器)取决于用户模式进程或工作站和服务器服务。

可以通过将 TCP/IP 筛选与 IPSec 筛选器和路由和远程访问数据包筛选结合使用来分层 TCP/IP 入站访问控制方案。 如果要控制入站和出站 TCP/IP 访问,此方法特别有用,因为 TCP/IP 安全仅控制入站访问。

注意

TCP/IP 筛选只能筛选入站流量,并且不能阻止 ICMP(Internet 控制消息协议)消息,而不管在“仅允许 IP 协议”列中配置的设置,还是不允许 Internet 协议 1。 如果需要更好地控制出站访问,请使用 IPSec 策略或数据包筛选。

注意

建议在基于 SBS 2003 的计算机上使用具有两个网络适配器的“配置电子邮件和 Internet 连接向导”,并启用“防火墙”选项,然后在外部网络适配器上打开所需的端口。 有关配置电子邮件和 Internet 连接向导的详细信息,请选择“开始”,然后选择“帮助和支持”。“搜索 ”框中,键入“配置电子邮件和 Internet 连接向导”,然后选择“ 开始搜索”。 可以在小型企业服务器主题结果集列表中找到有关“配置电子邮件和 Internet 连接向导”的信息。

在 Windows Server 2003 中配置 TCP/IP 安全性

配置 TCP/IP 安全性:

  1. 选择“开始”,指向控制面板,指向“网络连接”,然后选择要配置的局域网连接。

  2. “连接状态 ”对话框中,选择“ 属性”。

  3. 选择 Internet 协议(TCP/IP),然后选择“ 属性”。

  4. “Internet 协议”(TCP/IP)属性 对话框中,选择“ 高级”。

  5. 选择“选项”。

  6. 在“可选设置”下,选择“TCP/IP 筛选”,然后选择“属性”。

  7. 单击以选中“ 启用 TCP/IP 筛选(所有适配器)” 复选框。

    注意

    选中此复选框时,将为所有适配器启用筛选,但为每个适配器单独配置筛选器。 相同的筛选器不适用于所有适配器。

  8. “TCP/IP 筛选 ”对话框中,有三个部分可用于配置 TCP 端口、用户数据报协议(UDP)端口和 Internet 协议的筛选。 对于每个部分,请配置适用于计算机的安全设置。

    注意

    激活“全部许可”时,允许 TCP 或 UDP 流量的所有数据包。 允许通过添加允许的端口来仅允许选定的 TCP 或 UDP 流量。 若要指定端口,请使用 “添加 ”按钮。 若要阻止所有 UDP 或 TCP 流量,请选择“允许”,但不在“UDP 端口”列或“TCP 端口”列中添加任何端口号。 不能通过选择 “仅限 IP 协议”和“IP 协议 6 和 17”来阻止 UDP 或 TCP 流量。

在 Windows Small Business Server 2003 中配置 TCP/IP 安全性

若要配置 TCP/IP 筛选,请执行以下步骤。

注意

若要执行此过程,你必须是本地计算机上的 Administrators 组或网络配置操作员组的成员。

  1. 选择“开始,指向控制面板,右键单击“网络连接”,然后选择“打开”。

  2. 右键单击要在其中配置入站访问控制的网络连接,然后选择“ 属性”。

  3. “常规”选项卡上的 adaptorName 连接属性下,选择“Internet 协议”(TCP/IP),然后选择“属性”。

  4. “Internet 协议”(TCP/IP)属性 对话框中,选择“ 高级”。

  5. 选择“选项”选项卡。

  6. 选择 TCP/IP 筛选,然后选择“ 属性”。

  7. 单击以选中“ 启用 TCP/IP 筛选(所有适配器)” 复选框。

    注意

    选中此复选框时,将为所有适配器启用筛选。 但是,必须在每个适配器上完成筛选器配置。 启用 TCP/IP 筛选后,可以通过选择 “允许所有 ”选项来配置每个适配器,也可以只允许特定的 IP 协议、TCP 端口和 UDP(用户数据报协议)端口接受入站连接。 例如,如果启用 TCP/IP 筛选并将外部网络适配器配置为仅允许端口 80,则允许外部网络适配器仅接受 Web 流量。 如果内部网络适配器还启用了 TCP/IP 筛选,但已配置 “允许所有 ”选项,则这将在内部网络适配器上启用不受限制的通信。

  8. 在 TCP/IP 筛选,有三列具有以下标签:

    • TCP 端口
    • UDP 端口
    • IP 协议

    在每个列中,必须选择以下选项之一:

    • 允许全部。 如果要允许 TCP 或 UDP 流量的所有数据包,请选择此选项。
    • 允许。 如果要仅允许选定的 TCP 或 UDP 流量,请选择“添加”,然后在“添加筛选器”对话框中键入相应的端口或协议编号。 不能通过在“IP 协议”列中选择“仅允许”,然后添加 IP 协议 6 和 17 来阻止 UDP 或 TCP 流量。

    注意

    即使在“IP 协议”列中选择“允许”,但不包括 IP 协议 1,也不能阻止 ICMP 消息。

TCP/IP 筛选只能筛选入站流量。 此功能不会影响为接受来自出站请求的响应而创建的出站流量或 TCP 响应端口。 如果需要更好地控制出站访问,请使用 IPSec 策略或路由和远程访问数据包筛选。

注意

如果选择 “仅允许 在 UDP 端口、TCP 端口或 IP 协议”列中,列表留空,则网络适配器将无法通过本地或 Internet 与任何网络通信。

参考

有关 TCP 和 UDP 端口号的详细信息,请参阅 服务名称和传输协议端口号注册表