Comment configurer le filtrage TCP/IP dans Windows Server 2003

  • Article

Cet article explique comment configurer le filtrage TCP/IP sur les ordinateurs Microsoft Windows 2003.

Produit concerné : Windows Server 2003
Numéro de la base de connaissances d’origine : 816792

Résumé

Les ordinateurs Windows 2003 prennent en charge plusieurs méthodes de contrôle de l’accès entrant. L’une des méthodes les plus simples et les plus puissantes de contrôle de l’accès entrant consiste à utiliser la fonctionnalité de filtrage TCP/IP. Le filtrage TCP/IP est disponible sur tous les ordinateurs Windows 2003.

Le filtrage TCP/IP contribue à la sécurité, car il fonctionne en mode noyau. En revanche, d’autres méthodes de contrôle de l’accès entrant aux ordinateurs Windows 2003, telles que l’utilisation du filtre de stratégie IPSec et du serveur Routage et accès à distance, dépendent des processus en mode utilisateur ou des services station de travail et serveur.

Vous pouvez superposer votre schéma de contrôle d’accès entrant TCP/IP à l’aide du filtrage TCP/IP avec des filtres IPSec et du filtrage de paquets de routage et d’accès à distance. Cette approche est particulièrement utile si vous souhaitez contrôler l’accès TCP/IP entrant et sortant, car la sécurité TCP/IP contrôle uniquement l’accès entrant.

Remarque

Le filtrage TCP/IP peut filtrer uniquement le trafic entrant et ne peut pas bloquer les messages ICMP (Internet Control Message Protocol), quels que soient les paramètres configurés dans la colonne Autoriser uniquement les protocoles IP ou si vous n’autorisez pas le protocole Internet 1. Utilisez des stratégies IPSec ou un filtrage de paquets si vous avez besoin d’un contrôle accru sur l’accès sortant.

Remarque

Nous vous recommandons d’utiliser l’Assistant Configuration de la messagerie et de la connexion Internet sur les ordinateurs SBS 2003 avec deux adaptateurs réseau, d’activer l’option Pare-feu, puis d’ouvrir les ports requis sur l’adaptateur réseau externe. Pour plus d’informations sur l’Assistant Configuration de la messagerie et de la connexion Internet, sélectionnez Démarrer, puis Aide et support. Dans la zone de recherche , tapez Configurer l’Assistant Messagerie et connexion Internet, puis sélectionnez Démarrer la recherche. Vous trouverez des informations sur l’Assistant Configuration de la messagerie et de la connexion Internet dans la liste du jeu de résultats Small Business Server Topics.

Configuration de la sécurité TCP/IP dans Windows Server 2003

Pour configurer la sécurité TCP/IP :

  1. Sélectionnez Démarrer, pointez sur Panneau de configuration, pointez sur Connections réseau, puis sélectionnez la connexion locale que vous souhaitez configurer.

  2. Dans la boîte de dialogue État de la connexion, sélectionnez Propriétés.

  3. Sélectionnez Protocole Internet (TCP/IP), puis Propriétés.

  4. Dans la boîte de dialogue Propriétés du protocole Internet (TCP/IP), sélectionnez Avancé.

  5. Sélectionnez Options.

  6. Sous Paramètres facultatifs, sélectionnez Filtrage TCP/IP, puis Propriétés.

  7. Cliquez pour sélectionner la zone de case activée Activer le filtrage TCP/IP (tous les adaptateurs).

    Remarque

    Lorsque vous sélectionnez cette zone de case activée, vous activez le filtrage pour tous les adaptateurs, mais vous configurez les filtres individuellement pour chaque adaptateur. Les mêmes filtres ne s’appliquent pas à tous les adaptateurs.

  8. Dans la boîte de dialogue Filtrage TCP/IP , il existe trois sections dans lesquelles vous pouvez configurer le filtrage pour les ports TCP, les ports UDP (User Datagram Protocol) et les protocoles Internet. Pour chaque section, configurez les paramètres de sécurité appropriés pour votre ordinateur.

    Remarque

    Lorsque l’option Autoriser tout est activée, vous autorisez tous les paquets pour le trafic TCP ou UDP. Autoriser uniquement vous permet d’autoriser uniquement le trafic TCP ou UDP sélectionné en ajoutant les ports autorisés. Pour spécifier les ports, utilisez le bouton Ajouter . Pour bloquer tout le trafic UDP ou TCP, sélectionnez Autoriser uniquement , mais n’ajoutez aucun numéro de port dans la colonne Ports UDP ou Ports TCP . Vous ne pouvez pas bloquer le trafic UDP ou TCP en sélectionnant Autoriser uniquement pour les protocoles IP et en excluant les protocoles IP 6 et 17.

Configuration de la sécurité TCP/IP dans Windows Small Business Server 2003

Pour configurer le filtrage TCP/IP, procédez comme suit.

Remarque

Pour effectuer cette procédure, vous devez être membre du groupe Administrateurs ou du groupe Opérateurs de configuration réseau sur l’ordinateur local.

  1. Sélectionnez Démarrer, pointez sur Panneau de configuration, cliquez avec le bouton droit sur Connections réseau, puis sélectionnez Ouvrir.

  2. Cliquez avec le bouton droit sur la connexion réseau dans laquelle vous souhaitez configurer le contrôle d’accès entrant, puis sélectionnez Propriétés.

  3. Sous adaptorNom Propriétés de connexion sous l’onglet Général , sélectionnez Protocole Internet (TCP/IP), puis Propriétés.

  4. Dans la boîte de dialogue Propriétés du protocole Internet (TCP/IP), sélectionnez Avancé.

  5. Sélectionnez l'onglet Options.

  6. Sélectionnez Filtrage TCP/IP, puis Propriétés.

  7. Cliquez pour sélectionner la zone de case activée Activer le filtrage TCP/IP (tous les adaptateurs).

    Remarque

    Lorsque vous sélectionnez cette zone de case activée, vous activez le filtrage pour tous les adaptateurs. Toutefois, la configuration du filtre doit être effectuée sur chaque adaptateur. Lorsque le filtrage TCP/IP est activé, vous pouvez configurer chaque adaptateur en sélectionnant l’option Autoriser tout , ou vous pouvez autoriser uniquement des protocoles IP, des ports TCP et des ports UDP (User Datagram Protocol) spécifiques à accepter les connexions entrantes. Par exemple, si vous activez le filtrage TCP/IP et que vous configurez l’adaptateur réseau externe pour autoriser uniquement le port 80, cela permet à l’adaptateur de réseau externe d’accepter uniquement le trafic Web. Si le filtrage TCP/IP est également activé pour l’adaptateur réseau interne, mais qu’il est configuré avec l’option Autoriser tout sélectionnée, cela permet une communication illimitée sur l’adaptateur réseau interne.

  8. Sous Filtrage TCP/IP, il existe trois colonnes avec les étiquettes suivantes :

    • TCP Ports
    • UDP Ports
    • Protocoles IP

    Dans chaque colonne, vous devez sélectionner l’une des options suivantes :

    • Autoriser tout. Sélectionnez cette option si vous souhaitez autoriser tous les paquets pour le trafic TCP ou UDP.
    • Autoriser uniquement. Sélectionnez cette option si vous souhaitez autoriser uniquement le trafic TCP ou UDP sélectionné, sélectionnez Ajouter, puis tapez le port ou le numéro de protocole approprié dans la boîte de dialogue Ajouter un filtre . Vous ne pouvez pas bloquer le trafic UDP ou TCP en sélectionnant Autoriser uniquement dans la colonne Protocoles IP, puis en ajoutant les protocoles IP 6 et 17.

    Remarque

    Vous ne pouvez pas bloquer les messages ICMP, même si vous sélectionnez Autoriser uniquement dans la colonne Protocoles IP et que vous n’incluez pas le protocole IP 1.

Le filtrage TCP/IP peut filtrer uniquement le trafic entrant. Cette fonctionnalité n’affecte pas le trafic sortant ou les ports de réponse TCP créés pour accepter les réponses des demandes sortantes. Utilisez des stratégies IPSec ou le filtrage de paquets de routage et d’accès à distance si vous avez besoin d’un contrôle accru sur l’accès sortant.

Remarque

Si vous sélectionnez Autoriser uniquement dans ports UDP, ports TCP ou la colonne Protocoles IP et que les listes sont vides, l’adaptateur réseau ne peut pas communiquer avec quoi que ce soit sur un réseau, localement ou vers Internet.

References

Pour plus d’informations sur les numéros de port TCP et UDP, consultez Service Name and Transport Protocol Port Number Registry.