Internet 连接共享的安全功能

文章翻译 文章翻译
文章编号: 241570 - 查看本文应用于的产品
展开全部 | 关闭全部

概要

本文介绍了安全功能的 Internet 连接共享 (ICS)。尽管 ICS 不应认为出于安全目的防火墙,可以同时提供了完整的 Internet 连接创建一个合理的安全的环境使用 ICS。

更多信息

ICS 使用两个网络之间路由 TCP/IP 数据包的网络地址转换 (NAT) 技术。ICS 连接内部网络 (通常在小型家庭本地区域网络) 和 $ 外部网络 (通常 Internet)。ICS 将关联到内部网络上的特定 Internet 协议 (IP) 地址的 TCP/UDP 端口号。在表中会记录到 IP 地址关联的端口号。

例如对于 ICS 内部适配器的 IP 地址是 192.168.0.1,并在外部 ICS 适配器有 156.59.23.100,由 Internet 服务提供商 (ISP) 分配的 IP 地址。客户端将 TCP/IP 数据包发送到在 131.125.13.1 端口 80 在 Internet 上的 Web 页。该数据包包含以下信息:
目标 IP 地址 = 131.125.13.1 (Internet 目标的地址)
源 IP 地址 = 192.168.0.2
目标端口 = 80
源端口 = 2000 (由程序集)
因为不 192.168.0.x 地址范围的本地 131.125.13.1 数据包将转到充当默认网关在 ics。ics 将生成一个新的数据包将发送到 Web 页在 131.125.13.1。该数据包包含以下信息:
目标 IP 地址 = 131.125.13.1
源 IP 地址 = 的 156.59.23.100 (这是 ISP ICS 外部适配器分配一个 IP 地址)
目标端口 = 80
源端口 = 3000
请注意,源 IP 地址和源端口值已更改。也就端口 3000 被映射到 IP 地址 192.168.0.2,直到关闭连接。端口映射被记录在一个表中。在 Web 页的响应后,ICS 计算机将收到一个数据包中包含以下信息:
目标 IP 地址 = 156.59.23.100
源 IP 地址 = 131.125.13.1
目标端口 = 3000
源端口 = 80
在 ics 然后转换该数据包,并在新的数据包传送到客户端 IP 地址 192.168.0.2 的第一个数据包的来源。ICS 检测到端口 3000 到 IP 地址指派,因为该信息记录在 $ 端口映射表中。发送到客户端的数据包包含以下信息:
目标 IP 地址 = 192.168.0.2
源 IP 地址 = 131.125.13.1
目标端口 = 2000年
源端口 = 80
请注意目标端口和 IP 地址已经更改为 IP 地址和 $ 数据包发起客户端使用的端口号。由于此翻译过程的 Internet 检测后面 (包括在 ics) 在 ics 本地区域网络 (所有客户端),作为一个 IP 地址。

有来自 Internet 的数据包可以到达 ICS 计算机后面的客户端只有两种方法:
  • 在 ics 转换传入的数据包,并将发送到客户端计算机翻译表为基础的一个新的数据包。客户端必须首先将数据包发送 (因此,建立端口映射) 之前它可以接收来自 ICS 计算机通过 Internet 的数据包。
  • 直接向特定的客户端计算机在特定端口上的所有传入通信配置 ics。此方法需要更改默认配置。 有关更多的信息,请单击下面文章编号,以查看 Microsoft 知识库中相应的文章:
    231162如何映射在 ICS 使用一个.inf 文件中的端口
    有关网络地址转换的详细信息,请参阅 RFC 1631。
ICS 的计算机上 1-1024年的端口未明确阻止,TCP 端口 135 和 UDP 端口 139 的除外。阻止这些端口可防止文件和打印机共享请求 (SMB 请求) 外部适配器上正常工作。这将以下列方式影响 ICS 的计算机上的入站和出站 TCP/IP 数据包:
  • 通过在 ics 发送或接收来自 Internet 使用大于 1024年需要翻译只是作为 ics 后面的任何其他客户端计算机的端口的任何数据包。例如对于来自 ICS 计算机和相应的响应数据包,在端口 5000 数据包需要经过翻译过程本文前面所述。
  • 任何数据包 ICS 计算机发送或接收来自 Internet 使用端口 1024年或小于将发送到 Internet 的直接或 ICS 的计算机上的该程序,而不翻译。例如对于当您打开在 ICS 的计算机上的主页上,一个数据包发送端口 80 上,而直接转到 Internet 而不被转换。此外,ICS 计算机在端口 80 上接收到的数据包是直接发送到该程序主动侦听端口 80 (例如对于 Web 服务器) 在 ICS 计算机上。直接响应端口 1024年或更少的请求在 ics 的程序必须将侦听请求与相同的端口上的数据包。默认状态下,ICS 计算机不响应端口 135 和 139 上的服务器消息块 (SMB) 请求因为它们将被阻止进行。
ICS 不会解除绑定文件和打印机共享从外部适配器 ICS 的计算机上。拨号网络 (DUN) 解除从解除了位置 (用于 DSL 和电缆调制解调器连接) 的以太网适配器未绑定文件和打印机共享默认情况下,拨号适配器的绑定文件和打印机共享。端口 135 和 139 ICS 的计算机上默认情况下阻塞以防止在 Internet 上的远程计算机获得对共享和本地网络上的打印机的访问权限在外部适配器上。阻止这些端口不会影响共享文件和局域网 (LAN) 上的其他计算机的打印机的 ICS 计算机的能力。取消阻止这些端口公开本地网络打印机和共享到 Internet,因此不推荐使用。

属性

文章编号: 241570 - 最后修改: 2007年1月25日 - 修订: 1.3
这篇文章中的信息适用于:
  • Microsoft Windows 98 第二版
  • Microsoft Windows Millennium Edition
关键字:?
kbmt kbenv kbinfo KB241570 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 241570
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。
不再更新的 KB 内容免责声明
本文介绍那些 Microsoft 不再提供支持的产品。因此本文按“原样”提供,并且不再更新。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com