Jak nakonfigurovat filtrování protokolu TCP/IP v systému Windows Server 2003


Verzi tohoto článku pro Microsoft Windows 2000 najdete v článku 309798 .

V TOMTO ÚKOLU

SHRNUTÍ

Tento článek popisuje, jak nakonfigurovat filtrování TCP/IP v počítačích se systémem Microsoft Windows 2003. Počítače s Windows 2003 podporují několik metod řízení přístupu příchozích připojení. Jedním z nejjednodušších a nejúčinnějších metod řízení příchozího přístupu je použití funkce filtrování protokolu TCP/IP. Filtrování TCP/IP je k dispozici ve všech počítačích se systémem Windows 2003. Filtrování TCP/IP pomáhá se zabezpečením, protože funguje v režimu jádra. Naproti tomu další metody řízení příchozího přístupu pro počítače s Windows 2003, jako je třeba použití filtru zásad IPSec a serveru Směrování a vzdáleného přístupu, závisejí na procesech uživatelského režimu nebo na pracovní stanici a serveru. Schéma řízení příchozích přístupů TCP/IP můžete směrovat pomocí filtrování protokolu TCP/IP s filtry protokolu IPSec a filtrování paketů služby Směrování a vzdáleného přístupu. Tento přístup je užitečný zejména v případě, že chcete řídit příchozí i odchozí přístup protokolu TCP/IP, protože zabezpečení protokolu TCP/IP ovládá pouze příchozí přístup.Poznámka Filtrování protokolu TCP/IP může filtrovat pouze příchozí přenosy a neumožňuje blokovat zprávy ICMP bez ohledu na nastavení, která jsou nakonfigurována ve sloupci Povolit pouze protokoly IP nebo zda nepovolujete protokol pro Internet. Pokud potřebujete větší kontrolu nad odchozím přístupem, použijte zásady IPSec nebo filtrování paketů.Poznámka Doporučujeme používat Průvodce konfigurací e-mailu a připojením k Internetu na počítačích se systémem SBS 2003, které mají dva síťové adaptéry, a že zapnete možnost Brána firewall a pak otevřete požadované porty v externím síťovém adaptéru. Další informace o Průvodci konfigurací e-mailu a připojení k Internetu získáte, když kliknete na Start a potom na Nápověda a podpora. Do vyhledávacího pole zadejte text Průvodce konfigurací e-mailu a připojení k Internetu a potom klikněte na Spustit hledání. Informace o Průvodci konfigurací e-mailu a připojení k internetu najdete v seznamu sada výsledků témata serveru Small Business Server.zpátky na začátek

Konfigurace zabezpečení protokolu TCP/IP v systému Windows Server 2003

Konfigurace zabezpečení protokolu TCP/IP:
  1. Klikněte na tlačítko Start, přejděte na Ovládací panely, přejděte na Síťová připojenía klikněte na připojení k místní síti, které chcete konfigurovat.
  2. V dialogovém okně stav připojení klikněte na vlastnosti.
  3. Klikněte na Protokol sítě Internet (TCP/IP)a potom na vlastnosti.
  4. V dialogovém okně Protokol sítě Internet (TCP/IP) – vlastnosti klikněte na Upřesnit.
  5. Klikněte na Možnosti.
  6. V části volitelné nastaveníklikněte na filtrování TCP/IPa potom klikněte na vlastnosti.
  7. Zaškrtněte políčko Povolit filtrování protokolu TCP/IP (všechny adaptéry) .Poznámka Když zaškrtnete toto políčko, povolíte filtrování všech adaptérů, ale filtry pro každého z nich nakonfigurujete jednotlivě. Stejné filtry se nevztahují na všechny adaptéry.
  8. V dialogovém okně filtrování protokolu TCP/IP jsou tři části, kde můžete nakonfigurovat filtrování portů TCP, portů UDP (User Datagram Protocol) a internetových protokolů. U každého oddílu nakonfigurujte nastavení zabezpečení pro váš počítač. Poznámka Pokud je aktivována podpora všech , povolíte všechny pakety pro přenosy TCP nebo UDP. Možnost Povolit umožňuje povolit pouze vybrané přenosy TCP nebo UDP přidáním povolených portů. Pokud chcete určit porty, použijte tlačítko Přidat . Pokud chcete blokovat všechny přenosy UDP nebo TCP, klikněte na Povolit jenom , ale nepřidáte žádná čísla portů ve sloupci porty UDP nebo porty TCP . Komunikaci přes protokol UDP nebo TCP nemůžete blokovat zaškrtnutím políčka Povolit pouze protokoly IP a kromě protokolů IP 6 a 17.
zpátky na začátek

Konfigurace zabezpečení protokolu TCP/IP v systému Windows Small Business Server 2003

Chcete-li nakonfigurovat filtrování protokolu TCP/IP, postupujte takto:Poznámka Tento postup vyžaduje, aby byl člen skupiny Administrators nebo Network Configuration Operators na místním počítači.
  1. Klikněte na Start, přejděte na Ovládací panely, klikněte pravým tlačítkem myši na Síťová připojenía pak klikněte na otevřít.
  2. Klikněte pravým tlačítkem myši na síťové připojení, které chcete nakonfigurovat, a potom klikněte na vlastnosti.
  3. V části Vlastnosti připojení adaptorName na kartě Obecné klikněte na Protokol sítě Internet (TCP/IP)a potom na vlastnosti.
  4. V dialogovém okně Protokol sítě Internet (TCP/IP) – vlastnosti klikněte na Upřesnit.
  5. Klikněte na kartu Možnosti .
  6. Klikněte na filtrování TCP/IPa potom klikněte na vlastnosti.
  7. Zaškrtněte políčko Povolit filtrování protokolu TCP/IP (všechny adaptéry) . Poznámka Když zaškrtnete toto políčko, povolíte filtrování všech adaptérů. U každého z adaptérů je však nutné provést konfiguraci filtru. Po povolení filtrování protokolu TCP/IP můžete nakonfigurovat jednotlivé adaptéry tak, že zaškrtnete políčko Povolit vše nebo můžete povolit přijímání příchozích připojení pouze specifickým protokolům IP, portům TCP a portům UDP. Pokud třeba povolíte filtrování protokolu TCP/IP a nastavíte externí síťový adaptér tak, aby povoloval pouze port 80, umožní to externímu síťovému adaptéru přijímat pouze webové přenosy. Pokud má interní síťový adaptér také povolené filtrování TCP/IP, ale je nastavená s vybranou možností Povolit vše , umožní to neomezenou komunikaci v interním síťovém adaptéru.
  8. V části filtrování protokolu TCP/IPjsou tři sloupce s následujícími popisky:
    • Porty TCP
    • Porty UDP
    • Protokoly IP
    V každém sloupci musíte vybrat jednu z těchto možností:
    • Povolit vše. Tuto možnost vyberte, pokud chcete povolit všechny pakety pro přenosy TCP nebo UDP.
    • Povolit jen. Tuto možnost vyberte, pokud chcete povolit pouze vybrané přenosy TCP nebo UDP, klikněte na Přidata potom zadejte příslušný port nebo číslo protokolu v dialogovém okně Přidat filtr . Komunikaci přes protokol UDP nebo TCP nelze blokovat výběrem možnosti Povolit pouze ve SLOUPCI protokoly IP a přidáním protokolů IP 6 a 17.
    Poznámka Zprávy ICMP nemůžete blokovat, a to ani v případě, že ve sloupci protokoly IP vyberete možnost Povolit a nezahrnete protokol IP 1.
Filtrování protokolu TCP/IP umožňuje filtrovat pouze příchozí data. Tato funkce nemá vliv na odchozí přenosy ani porty TCP Response vytvořené pro příjem odpovědí z odchozích požadavků. Pokud požadujete větší kontrolu nad odchozím přístupem, použijte zásady IPSec nebo filtrování paketů směrování a vzdáleného přístupu.Poznámka Pokud zaškrtnete políčko Povolit pouze v portech UDP, portech TCP nebo protokolech IP a seznamy budou ponechány prázdné, síťový adaptér nebude moci komunikovat s cokoli přes síť, a to buď místně, nebo na internetu.zpátky na začátek

ODKAZU

Další informace o číslech internetových protokolů získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
289892 Čísla internetových protokolů
Další informace o portech TCP a UDP najdete na následujícím webu úřadu IANA (Internet Assigned Numbers Authority): http://www.IANA.org/Assignments/port-Numbersdalšíinformace o zásadách IPSec najdete v následujícím článku znalostní báze Microsoft Knowledge Base:
816514 Konfigurace tunelového propojení IPSec v systému Windows Server 2003
zpátky na začátek