Функции безопасности доступ к подключению Интернета

Переводы статьи Переводы статьи
Код статьи: 241570
Развернуть все | Свернуть все

Аннотация

В данной статье описываются средства безопасности для общего доступа к подключению к Интернету (ICS). Несмотря на то, что не следует считать ICS брандмауэр для обеспечения безопасности, ICS можно использовать для создания достаточно безопасной среды, обеспечивая полнофункциональную подключения к Интернету.

Дополнительная информация

ICS использует технологию преобразования сетевых адресов (NAT) для маршрутизации пакетов TCP/IP между двумя сетями. ICS подключается во внутренней сети (обычно малой домашней локальной сети) и внешней сети (обычно Интернет). ICS связывает номер порта TCP/UDP для определенного IP-адреса внутренней сети. Номер порта, IP-адрес записывается в таблицу.

Например, IP-адрес ICS внутреннему адаптеру — 192.168.0.1, а также внешнего адаптера ICS имеет IP-адрес 156.59.23.100, который назначается поставщиком услуг Интернета (ISP). Клиент отправляет пакет TCP/IP веб-страницу в 131.125.13.1 в Интернете через порт 80. Пакет содержит следующие сведения:
IP-адрес назначения = 131.125.13.1 (адрес назначения Интернет)
Исходный IP-адрес = 192.168.0.2
Порт приемника = 80
Порт источника = 2000 (задается программы)
Поскольку 131.125.13.1 не является локальным для диапазона адресов 192.168.0.x, пакет переходит к подключению, выступающий в роли основного шлюза. Компьютер ICS создает новый пакет для отправки веб-страницу в 131.125.13.1. Пакет содержит следующие сведения:
IP-адрес назначения = 131.125.13.1
IP-адрес источника = 156.59.23.100 (это IP-адрес, назначенный адаптеру внешней ICS поставщиком услуг Интернета)
Порт приемника = 80
Порт источника = 3000
Обратите внимание, что были изменены значения исходный IP-адрес и порт источника. Другими словами порт 3000 сопоставляется с IP-адрес 192.168.0.2 до закрытия подключения. Сопоставление порта записывается в таблицу. После отвечает веб-страницы, на компьютере ICS получает пакет, содержащий следующую информацию:
IP-адрес назначения = 156.59.23.100
IP-адрес источника = 131.125.13.1
Порт приемника = 3000
Порт источника = 80
Компьютер ICS затем переводит пакеты и обеспечивает новый пакет для клиента IP-адрес 192.168.0.2 которого получен исходный пакет. ICS обнаруживает, что порт 3000 назначен IP-адрес, так как данные записываются в таблицу сопоставления портов. Пакет, отправленный клиенту содержит следующие сведения:
Конечный IP-адрес = 192.168.0.2
IP-адрес источника = 131.125.13.1
Порт приемника = 2000
Порт источника = 80
Обратите внимание, что IP-адрес и порт назначения были изменены для IP-адрес и номер порта, используемый клиентом, в котором был создан пакет. Из-за этого процесса перевода Интернет как один IP-адрес определяет локальной сети (для всех клиентов) за компьютер ICS (включая компьютер ICS).

Пакет из Интернета могут получить доступ к клиенту за компьютером ICS только двумя способами:
  • The ICS computer translates an incoming packet and sends a new packet based on the translation table to the client computer. A client must send a packet first (thus, establishing a port mapping) before it can receive a packet from the Internet through an ICS computer.
  • The ICS computer is configured to direct all incoming traffic on a specific port to a specific client computer. This method requires changing the default configuration. For additional information, please click the article number below to view the article in the Microsoft Knowledge Base:
    231162Как подключить порт в использование .inf файла ICS
    For additional information on Network Address Translation, please see RFC 1631.
On the ICS computer, ports 1-1024 are not specifically blocked, with the exception of TCP port 135 and UDP port 139. Blocking these ports prevents File and Printer Sharing requests (SMB requests) from functioning on the external adapter. This affects incoming and outgoing TCP/IP packets on the ICS computer in the following ways:
  • Any packet sent by the ICS computer or received from the Internet using a port greater than 1024 requires translation just as any other client computer behind the ICS computer. For example, a packet originating from the ICS computer and the corresponding response packet on port 5000 need to go through the translation process described earlier in this article.
  • Any packet sent by the ICS computer or received from the Internet using port 1024 or less is sent directly to the Internet or to the program on the ICS computer without being translated. For example, when you open the home page on an ICS computer, a packet is sent on port 80 and goes directly to the Internet without being translated. In addition, a packet received by the ICS computer on port 80 is sent directly to the program on the ICS computer that is actively listening to port 80 (for example, a Web server). For the ICS computer to respond directly to a request on port 1024 or less, a program must be listening for packets on the same port as the request. By default, the ICS computer does not respond to server message block (SMB) requests on ports 135 and 139 because they are blocked.
ICS does not unbind File and Printer Sharing from the external adapter on the ICS computer. Dial-Up Networking (DUN) unbinds File and Printer Sharing from the dial-up adapter where Ethernet adapters (for DSL and cable-modem connections) do not unbind File and Printer Sharing by default. Ports 135 and 139 on the ICS computer are blocked by default on the external adapter to prevent remote computers on the Internet from gaining access to shares and printers on the local network. Blocking these ports does not affect the ICS computer's ability to share files and printers to other computers on the local area network (LAN). Unblocking these ports exposes the local network printers and shares to the Internet and is not recommended.

Свойства

Код статьи: 241570 - Последний отзыв: 17 ноября 2010 г. - Revision: 2.0
Ключевые слова: 
kbenv kbinfo kbmt KB241570 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:241570
Заявление об отказе относительно содержимого статьи о продуктах, поддержка которых прекращена
Эта статья содержит сведения о продуктах, поддержка которых корпорацией Майкрософт прекращена. Поэтому она предлагается как есть и обновляться не будет.

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com