Come configurare il filtro TCP/IP in Windows Server 2003

  • Articolo

Questo articolo descrive come configurare il filtro TCP/IP nei computer basati su Microsoft Windows 2003.

Si applica a: Windows Server 2003
Numero KB originale: 816792

Riepilogo

I computer basati su Windows 2003 supportano diversi metodi di controllo dell'accesso in ingresso. Uno dei metodi più semplici e potenti per controllare l'accesso in ingresso consiste nell'usare la funzionalità di filtro TCP/IP. Il filtro TCP/IP è disponibile in tutti i computer basati su Windows 2003.

Il filtro TCP/IP consente la sicurezza perché funziona in modalità kernel. Al contrario, altri metodi per controllare l'accesso in ingresso ai computer basati su Windows 2003, ad esempio usando il filtro criteri IPSec e il server Routing e Accesso remoto, dipendono dai processi in modalità utente o dai servizi Workstation e Server.

È possibile sovrapporsi allo schema di controllo degli accessi in ingresso TCP/IP usando il filtro TCP/IP con filtri IPSec e il filtro dei pacchetti routing e accesso remoto. Questo approccio è particolarmente utile se si vuole controllare l'accesso TCP/IP in ingresso e in uscita, perché la sicurezza TCP/IP controlla solo l'accesso in ingresso.

Nota

Il filtro TCP/IP può filtrare solo il traffico in ingresso e non può bloccare i messaggi ICMP (Internet Control Message Protocol), indipendentemente dalle impostazioni configurate nella colonna Consenti solo protocolli IP o se non si consente il protocollo Internet 1. Usare i criteri IPSec o il filtro dei pacchetti se è necessario un maggiore controllo sull'accesso in uscita.

Nota

È consigliabile usare la Configurazione guidata posta elettronica e connessione Internet nei computer basati su SBS 2003 con due adattatori di rete, attivare l'opzione Firewall e quindi aprire le porte necessarie nell'adattatore di rete esterno. Per altre informazioni sulla Configurazione guidata posta elettronica e connessione Internet, selezionare Avvia e quindi Selezionare Guida e supporto tecnico. Nella casella Di ricerca digitare Configura posta elettronica e Connessione guidata Internet e quindi selezionare Avvia ricerca. È possibile trovare informazioni sulla Configurazione guidata posta elettronica e connessione Internet nell'elenco dei set di risultati di Small Business Server Topics.

Configurazione della sicurezza TCP/IP in Windows Server 2003

Per configurare la sicurezza TCP/IP:

  1. Selezionare Start, scegliere Pannello di controllo, Rete Connections e quindi selezionare la connessione all'area locale da configurare.

  2. Nella finestra di dialogo Stato connessione selezionare Proprietà.

  3. Selezionare Protocollo Internet (TCP/IP) e quindi proprietà.

  4. Nella finestra di dialogo Proprietà protocollo Internet (TCP/IP) selezionare Avanzate.

  5. Selezionare Opzioni.

  6. In Impostazioni facoltative selezionare Filtro TCP/IP e quindi selezionare Proprietà.

  7. Fare clic per selezionare la casella di controllo Abilita filtro TCP/IP (tutti gli adattatori).

    Nota

    Quando si seleziona questa casella di controllo, si abilita il filtro per tutti gli adattatori, ma si configurano i filtri singolarmente per ogni adattatore. Gli stessi filtri non si applicano a tutti gli adattatori.

  8. Nella finestra di dialogo Filtro TCP/IP sono disponibili tre sezioni in cui è possibile configurare il filtro per le porte TCP, le porte UDP (User Datagram Protocol) e i protocolli Internet. Per ogni sezione, configurare le impostazioni di sicurezza appropriate per il computer.

    Nota

    Quando l'opzione Consenti tutto è attivata, si autorizzano tutti i pacchetti per il traffico TCP o UDP. Consenti solo consente di consentire solo il traffico TCP o UDP selezionato aggiungendo le porte consentite. Per specificare le porte, usare il pulsante Aggiungi . Per bloccare tutto il traffico UDP o TCP, selezionare Consenti solo ma non aggiungere numeri di porta nella colonna Porte UDP o porte TCP . Non è possibile bloccare il traffico UDP o TCP selezionando Consenti solo per protocolli IP ed escludendo i protocolli IP 6 e 17.

Configurazione della sicurezza TCP/IP in Windows Small Business Server 2003

Per configurare il filtro TCP/IP, seguire questa procedura.

Nota

Per eseguire questa procedura, è necessario essere un membro del gruppo Administrators o del gruppo Network Configuration Operators nel computer locale.

  1. Selezionare Start, scegliere Pannello di controllo, fare clic con il pulsante destro del mouse su Rete Connections e quindi scegliere Apri.

  2. Fare clic con il pulsante destro del mouse sulla connessione di rete in cui si vuole configurare il controllo di accesso in ingresso e quindi scegliere Proprietà.

  3. In adaptorName Connection Properties (Proprietà connessione adaptorName) nella scheda Generale selezionare Protocollo Internet (TCP/IP) e quindi proprietà.

  4. Nella finestra di dialogo Proprietà protocollo Internet (TCP/IP) selezionare Avanzate.

  5. Fare clic sulla scheda Opzioni.

  6. Selezionare Filtro TCP/IP e quindi proprietà.

  7. Fare clic per selezionare la casella di controllo Abilita filtro TCP/IP (tutti gli adattatori).

    Nota

    Quando si seleziona questa casella di controllo, si abilita il filtro per tutti gli adattatori. Tuttavia, la configurazione del filtro deve essere completata in ogni adattatore. Quando il filtro TCP/IP è abilitato, è possibile configurare ogni adattatore selezionando l'opzione Consenti tutto oppure è possibile consentire che solo protocolli IP, porte TCP e porte UDP (User Datagram Protocol) accettino connessioni in ingresso. Ad esempio, se si abilita il filtro TCP/IP e si configura l'adattatore di rete esterno per consentire solo la porta 80, l'adattatore di rete esterno potrà accettare solo il traffico Web. Se anche l'adattatore di rete interno ha il filtro TCP/IP abilitato, ma è configurato con l'opzione Consenti tutto selezionata, ciò consente la comunicazione senza restrizioni nell'adattatore di rete interno.

  8. In Filtro TCP/IP sono presenti tre colonne con le etichette seguenti:

    • Porte TCP
    • Porte UDP
    • Protocolli IP

    In ogni colonna è necessario selezionare una delle opzioni seguenti:

    • Consenti tutto. Selezionare questa opzione se si desidera consentire tutti i pacchetti per il traffico TCP o UDP.
    • Consenti solo. Selezionare questa opzione se si vuole consentire solo il traffico TCP o UDP selezionato, selezionare Aggiungi e quindi digitare il numero di porta o di protocollo appropriato nella finestra di dialogo Aggiungi filtro . Non è possibile bloccare il traffico UDP o TCP selezionando Consenti solo nella colonna Protocolli IP e quindi aggiungendo i protocolli IP 6 e 17.

    Nota

    Non è possibile bloccare i messaggi ICMP, anche se si seleziona Consenti solo nella colonna Protocolli IP e quindi non si include il protocollo IP 1.

Il filtro TCP/IP può filtrare solo il traffico in ingresso. Questa funzionalità non influisce sul traffico in uscita o sulle porte di risposta TCP create per accettare le risposte dalle richieste in uscita. Usare i criteri IPSec o il filtro dei pacchetti di routing e accesso remoto se è necessario un maggiore controllo sull'accesso in uscita.

Nota

Se si seleziona Consenti solo nelle porte UDP, nelle porte TCP o nella colonna Protocolli IP e gli elenchi vengono lasciati vuoti, l'adattatore di rete non sarà in grado di comunicare con nulla in rete, in locale o in Internet.

Riferimenti

Per altre informazioni sui numeri di porta TCP e UDP, vedere Service Name and Transport Protocol Port Number Registry.For more information about TCP and UDP port numbers, see Service Name and Transport Protocol Port Number Registry.