Funkcje zabezpieczeń Udostępniania połączenia internetowego

Zastrzeżenie dotyczące zawartości wycofanych artykułów z bazy wiedzy

Ten artykuł dotyczy produktów, dla których firma Microsoft nie oferuje już pomocy technicznej. Dlatego jest on udostępniany „taki, jaki jest” i nie będzie już aktualizowany.

Streszczenie

W tym artykule opisano funkcje zabezpieczeń Udostępniania połączenia internetowego (ICS). Mimo, że usługi Udostępnianie połączenia internetowego nie powinno się używać jako zapory w celu zachowania bezpieczeństwa, można jej użyć do utworzenia względnie bezpiecznego środowiska, które będzie miało pełne funkcje umożliwiające łączenie się z Internetem.

Więcej informacji

Udostępnianie połączenia internetowego korzysta z technologii translacji adresów sieciowych (NAT, Network Address Translation) do przesyłania pakietów protokołu TCP/IP pomiędzy dwoma sieciami. Usługa Udostępnianie połączenia internetowego łączy się z siecią wewnętrzną (zazwyczaj małą domową siecią lokalną) i siecią zewnętrzną (zazwyczaj Internetem). Usługa kojarzy numer portu TCP/UDP z określonym adresem IP w sieci wewnętrznej. Numer portu skojarzony z adresem IP jest rejestrowany w tabeli.


Na przykład karta wewnętrzna udostępniania połączenia internetowego ma adres IP 192.168.0.1, a karta zewnętrzna ma adres 156.59.23.100, przydzielony przez usługodawcę internetowego. Klient wysyła pakiet protokołu TCP/IP do strony sieci Web pod adresem 131.125.13.1 w Internecie przez port 80. Pakiet zawiera następujące informacje:
Docelowy adres IP= 131.125.13.1 (adres miejsca docelowego w Internecie)

Źródłowy adres IP= 192.168.0.2

Port docelowy= 80

Port źródłowy= 2000 (ustawiany przez program)
Ponieważ adres 131.125.13.1 nie jest adresem lokalnym w zakresie adresów 192.168.0.x, pakiet przechodzi do komputera z udostępnianiem połączenia internetowego, który działa jak brama domyślna. Komputer z udostępnianiem generuje nowy pakiet do wysłania do strony sieci Web pod adresem 131.125.13.1. Pakiet zawiera następujące informacje:
Docelowy adres IP= 131.125.13.1

Źródłowy adres IP= 156.59.23.100 (adres IP przydzielony do udostępniania połączenia internetowego przez usługodawcę internetowego)

Port docelowy= 80

Port źródłowy= 3000
Zauważ, że wartości odpowiadające źródłowemu adresowi IP oraz portowi źródłowemu zmieniły się. Oznacza to, że port 3000 jest mapowany jako adres IP 192.168.0.2 do czasu zakończenia połączenia. Mapowanie portu jest rejestrowane w tabeli. Po udzieleniu odpowiedzi przez stronę sieci Web komputer z udostępnianiem połączenia internetowego otrzymuje pakiet z następującymi informacjami:
Docelowy adres IP= 156.59.23.100

Źródłowy adres IP= 131.125.13.1

Port docelowy= 3000

Port źródłowy= 80
Następnie komputer z udostępnianiem połączenia internetowego tłumaczy pakiet i dostarcza nowy pakiet pod adres IP klienta 192.168.0.2, z którego został wysłany pakiet oryginalny. Udostępnianie wykrywa, że port 3000 jest przypisany do adresu IP, ponieważ informacje są zarejestrowane w tabeli mapowania portu. Pakiet wysłany do klienta zawiera następujące informacje:
Docelowy adres IP= 192.168.0.2

Źródłowy adres IP= 131.125.13.1

Port docelowy= 2000

Port źródłowy= 80
Zauważ, że docelowy port i adres IP zmieniły się na adres i numer portu używany przez klienta, od którego pochodzi pakiet. W wyniku procesu translacji Internet wykrywa sieć lokalną (wszystkich klientów) opartą na komputerze z udostępnianiem połączenia internetowego (włącznie z tym komputerem) jako jeden adres IP.


Pakiet z Internetu może dotrzeć do klienta znajdującego się za komputerem z udostępnianiem połączenia internetowego na dwa sposoby:
  • Komputer z udostępnianiem tłumaczy pakiet przychodzący i wysyła nowy pakiet w oparciu o tabelę translacji do komputera klienckiego. Klient musi pierwszy wysłać pakiet (ustanawiając mapowanie portu), aby móc odebrać pakiet z Internetu za pośrednictwem udostępniania połączenia internetowego.
  • Komputer z udostępnianiem jest skonfigurowany do kierowania całego ruchu przychodzącego na określonym porcie do określonego komputera klienckiego. Ta metoda wymaga zmiany konfiguracji domyślnej. Aby uzyskać dodatkowe informacje, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    231162 Sposób mapowania portu w udostępnianiu połączenia internetowego przy użyciu pliku .inf
    Aby uzyskać dodatkowe informacje dotyczące translacji adresów sieciowych, zobacz specyfikację RFC 1631.
Na komputerze z udostępnianiem połączenia sieciowego porty 1-1024 nie są specjalnie blokowane, z wyjątkiem portu 125 protokołu TCP i portu 139 protokołu UDP. Zablokowanie tych portów uniemożliwia funkcjonowanie żądań funkcji Udostępnianie plików i drukarek (żądania bloku komunikatów serwera) na karcie zewnętrznej. Ma to następujący wpływ na przychodzące i wychodzące pakiety TCP/IP na komputerze z udostępnianiem połączenia internetowego:
  • Wszystkie pakiety wysłane przez komputer z udostępnianiem połączenia internetowego lub odebrane z Internetu przy użyciu portu o numerze większym niż 1024 wymagają translacji tak samo jak każdy inny dowolny komputer kliencki znajdujący się za komputerem z udostępnianiem. Na przykład pakiet pochodzący z komputera z udostępnianiem oraz odpowiedni pakiet odpowiedzi przesyłane za pośrednictwem portu 5000 muszą przejść proces translacji opisany w tym artykule.
  • Wszystkie pakiety wysłane przez komputer z udostępnianiem połączenia internetowego lub odebrane z Internetu przy użyciu portu o numerze 1024 lub mniejszym są wysyłane bezpośrednio do Internetu lub do programu na komputerze z udostępnianiem bez translacji. Na przykład po otwarciu strony głównej na komputerze z udostępnianiem pakiet jest wysyłany z portu 80 i przechodzi bezpośrednio do Internetu bez translacji. Ponadto pakiet odebrany przez komputer z udostępnianiem przez port 80 jest wysyłany bezpośrednio do programu na tym komputerze, który aktywnie nasłuchuje portu 80 (na przykład serwer sieci Web). Aby komputer z udostępnianiem połączenia internetowego odpowiadał bezpośrednio na żądanie przekazywane przez port o numerze 1024 lub mniejszym, program musi nasłuchiwać pakietów przekazywanych przez ten sam port co żądanie. Domyślnie komputer nie odpowiada na żądania bloku komunikatów serwera przekazywane przez porty 135 i 139, ponieważ są blokowane.
Udostępnianie połączenia internetowego nie usuwa powiązania funkcji Udostępnianie plików i drukarek z karty zewnętrznej na komputerze z udostępnianiem. Program Dial-Up Networking (DUN) usuwa powiązanie tej funkcji z karty Dial-Up, ponieważ karty Ethernet (w przypadku połączenia za pośrednictwem linii DSL lub modemu kablowego) nie usuwają domyślnie powiązania funkcji Udostępnianie plików i drukarek. Porty 135 i 139 na komputerze z udostępnianiem są blokowane domyślnie na karcie zewnętrznej, aby uniemożliwić komputerom zdalnym w Internecie uzyskiwanie dostępu do udziałów i drukarek w sieci lokalnej. Blokowanie tych portów nie ma wpływu na zdolność komputera z udostępnianiem do udostępniania plików i drukarek innym komputerom w sieci lokalnej (LAN). Odblokowanie tych portów powoduje udostępnienie lokalnych sieciowych drukarek i udziałów w Internecie i nie jest zalecane.
Właściwości

Identyfikator artykułu: 241570 — ostatni przegląd: 02.10.2004 — zmiana: 1

Opinia