Konfigurieren der TCP/IP-Filterung in Windows Server 2003
In diesem Artikel wird beschrieben, wie Sie die TCP/IP-Filterung auf Microsoft Windows 2003-basierten Computern konfigurieren.
Gilt für: Windows Server 2003
Ursprüngliche KB-Nummer: 816792
Zusammenfassung
Windows 2003-basierte Computer unterstützen mehrere Methoden zum Steuern des eingehenden Zugriffs. Eine der einfachsten und leistungsfähigsten Methoden zum Steuern des eingehenden Zugriffs ist die Verwendung des TCP/IP-Filterfeatures. Die TCP/IP-Filterung ist auf allen Windows 2003-basierten Computern verfügbar.
Die TCP/IP-Filterung hilft bei der Sicherheit, da sie im Kernelmodus funktioniert. Im Gegensatz dazu hängen andere Methoden zum Steuern des eingehenden Zugriffs auf Windows 2003-basierte Computer, z. B. mithilfe des IPSec-Richtlinienfilters und des Routing- und RAS-Servers, von Benutzermodusprozessen oder den Arbeitsstations- und Serverdiensten ab.
Sie können Ihr TCP/IP-Zugriffssteuerungsschema für eingehenden Datenverkehr überschichten, indem Sie TCP/IP-Filter mit IPSec-Filtern und Routing- und RAS-Paketfiltern verwenden. Dieser Ansatz ist besonders nützlich, wenn Sie sowohl den eingehenden als auch den ausgehenden TCP/IP-Zugriff steuern möchten, da die TCP/IP-Sicherheit allein nur den eingehenden Zugriff steuert.
Hinweis
Die TCP/IP-Filterung kann nur eingehenden Datenverkehr filtern und icMP-Nachrichten (Internet Control Message Protocol) nicht blockieren, unabhängig von den Einstellungen, die in der Spalte Nur IP-Protokolle zulassen konfiguriert sind oder ob Sie Internetprotokoll 1 nicht zulassen. Verwenden Sie IPSec-Richtlinien oder Paketfilterung, wenn Sie mehr Kontrolle über den ausgehenden Zugriff benötigen.
Hinweis
Es wird empfohlen, den Assistenten zum Konfigurieren von E-Mail und Internetverbindung auf SBS 2003-basierten Computern mit zwei Netzwerkadaptern zu verwenden, die Option Firewall zu aktivieren und dann die erforderlichen Ports am externen Netzwerkadapter zu öffnen. Wenn Sie weitere Informationen zum Assistenten zum Konfigurieren von E-Mail und Internetverbindung benötigen, wählen Sie Start und dann Hilfe und Support aus. Geben Sie im Suchfeld E-Mail- und Internetverbindungs-Assistent konfigurieren ein, und wählen Sie dann Suche starten aus. Informationen zum Assistenten zum Konfigurieren von E-Mail und Internetverbindung finden Sie in der Resultsetliste small Business Server Topics.
Konfigurieren der TCP/IP-Sicherheit in Windows Server 2003
So konfigurieren Sie die TCP/IP-Sicherheit:
Wählen Sie Start aus, zeigen Sie auf Systemsteuerung, zeigen Sie auf Netzwerk Connections, und wählen Sie dann die lokale Verbindung aus, die Sie konfigurieren möchten.
Wählen Sie im Dialogfeld Verbindungsstatus die Option Eigenschaften aus.
Wählen Sie Internetprotokoll (TCP/IP) und dann Eigenschaften aus.
Wählen Sie im Dialogfeld Eigenschaften des Internetprotokolls (TCP/IP)die Option Erweitert aus.
Wählen Sie Optionen aus.
Wählen Sie unter Optionale Einstellungen die Option TCP/IP-Filterung und dann Eigenschaften aus.
Aktivieren Sie das Kontrollkästchen TCP/IP-Filterung aktivieren (Alle Adapter).
Hinweis
Wenn Sie dieses Kontrollkästchen aktivieren, aktivieren Sie die Filter für alle Adapter, konfigurieren die Filter jedoch einzeln für jeden Adapter. Die gleichen Filter gelten nicht für alle Adapter.
Im Dialogfeld TCP/IP-Filterung gibt es drei Abschnitte, in denen Sie die Filterung für TCP-Ports, UDP-Ports (User Datagram Protocol) und Internetprotokolle konfigurieren können. Konfigurieren Sie für jeden Abschnitt die Sicherheitseinstellungen, die für Ihren Computer geeignet sind.
Hinweis
Wenn Alle zulassen aktiviert ist, lassen Sie alle Pakete für TCP- oder UDP-Datenverkehr zu. Mit Nur zulassen können Sie nur ausgewählten TCP- oder UDP-Datenverkehr zulassen, indem Sie die zulässigen Ports hinzufügen. Um die Ports anzugeben, verwenden Sie die Schaltfläche Hinzufügen . Um den gesamten UDP- oder TCP-Datenverkehr zu blockieren, wählen Sie Nur zulassen aus, fügen Sie jedoch keine Portnummern in der Spalte UDP-Ports oder TCP-Ports hinzu. Sie können UDP- oder TCP-Datenverkehr nicht blockieren, indem Sie Nur für IP-Protokolle zulassen und die IP-Protokolle 6 und 17 ausschließen auswählen.
Konfigurieren der TCP/IP-Sicherheit in Windows Small Business Server 2003
Führen Sie die folgenden Schritte aus, um die TCP/IP-Filterung zu konfigurieren.
Hinweis
Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Administratoren oder der Gruppe Netzwerkkonfigurationsoperatoren auf dem lokalen Computer sein.
Wählen Sie Start aus, zeigen Sie auf Systemsteuerung, klicken Sie mit der rechten Maustaste auf Netzwerk Connections, und wählen Sie dann Öffnen aus.
Klicken Sie mit der rechten Maustaste auf die Netzwerkverbindung, für die Sie die Eingehende Zugriffssteuerung konfigurieren möchten, und wählen Sie dann Eigenschaften aus.
Wählen Sie unter adaptorName Verbindungseigenschaften auf der Registerkarte Allgemeindie Option Internetprotokoll (TCP/IP) und dann Eigenschaften aus.
Wählen Sie im Dialogfeld Eigenschaften des Internetprotokolls (TCP/IP)die Option Erweitert aus.
Klicken Sie auf die Registerkarte Optionen.
Wählen Sie TCP/IP-Filterung und dann Eigenschaften aus.
Aktivieren Sie das Kontrollkästchen TCP/IP-Filterung aktivieren (Alle Adapter).
Hinweis
Wenn Sie dieses Kontrollkästchen aktivieren, aktivieren Sie die Filterung für alle Adapter. Die Filterkonfiguration muss jedoch für jeden Adapter abgeschlossen werden. Wenn die TCP/IP-Filterung aktiviert ist, können Sie jeden Adapter konfigurieren, indem Sie die Option Alle zulassen auswählen, oder Sie können nur bestimmte IP-Protokolle, TCP-Ports und UDP-Ports (User Datagram Protocol) zulassen, um eingehende Verbindungen zu akzeptieren. Wenn Sie beispielsweise die TCP/IP-Filterung aktivieren und den externen Netzwerkadapter so konfigurieren, dass er nur Port 80 zulässt, kann der externe Netzwerkadapter nur Webdatenverkehr akzeptieren. Wenn für den internen Netzwerkadapter auch die TCP/IP-Filterung aktiviert ist, aber die Option Alle zulassen ausgewählt ist, ermöglicht dies die uneingeschränkte Kommunikation auf dem internen Netzwerkadapter.
Unter TCP/IP-Filterung gibt es drei Spalten mit den folgenden Bezeichnungen:
- TCP-Ports
- UDP-Ports
- IP-Protokolle
In jeder Spalte müssen Sie eine der folgenden Optionen auswählen:
- Alle zulassen. Wählen Sie diese Option aus, wenn Sie alle Pakete für TCP- oder UDP-Datenverkehr zulassen möchten.
- Nur zulassen. Wählen Sie diese Option aus, wenn Sie nur ausgewählten TCP- oder UDP-Datenverkehr zulassen möchten, wählen Sie Hinzufügen aus, und geben Sie dann im Dialogfeld Filter hinzufügen die entsprechende Port- oder Protokollnummer ein. Sie können UDP- oder TCP-Datenverkehr nicht blockieren, indem Sie in der Spalte IP-Protokolle die Option Nur zulassen auswählen und dann die IP-Protokolle 6 und 17 hinzufügen.
Hinweis
Sie können ICMP-Nachrichten nicht blockieren, auch wenn Sie in der Spalte IP-Protokolle die Option Nur zulassen auswählen und dann ip-Protokoll 1 nicht einschließen.
Die TCP/IP-Filterung kann nur eingehenden Datenverkehr filtern. Dieses Feature wirkt sich nicht auf ausgehenden Datenverkehr oder TCP-Antwortports aus, die erstellt werden, um Antworten von ausgehenden Anforderungen zu akzeptieren. Verwenden Sie IPSec-Richtlinien oder Routing- und RAS-Paketfilterung, wenn Sie mehr Kontrolle über den ausgehenden Zugriff benötigen.
Hinweis
Wenn Sie in UDP-Ports, TCP-Ports oder in der Spalte IP-Protokolle die Option Nur zulassen auswählen und die Listen leer bleiben, kann der Netzwerkadapter weder lokal noch mit dem Internet über ein Netzwerk kommunizieren.
References
Weitere Informationen zu TCP- und UDP-Portnummern finden Sie unter Service Name and Transport Protocol Port Number Registry.For more information about TCP and UDP port numbers, see Service Name and Transport Protocol Port Number Registry.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für