Jak skonfigurować filtrowanie TCP/IP w systemie Windows Server 2003


W przypadku wersji tego artykułu dla systemu Microsoft Windows 2000 zobacz 309798 .

W TYM ZADANIU

PODSUMOWANIE

W tym artykule opisano sposób konfigurowania filtrowania TCP/IP na komputerach z systemem Microsoft Windows 2003. Komputery z systemem Windows 2003 obsługują kilka metod sterowania dostępem przychodzącym. Jednym z najbardziej prostych i najbardziej wydajnych metod sterowania dostępem przychodzącym jest użycie funkcji filtrowania TCP/IP. Filtrowanie TCP/IP jest dostępne na wszystkich komputerach z systemem Windows 2003. Filtrowanie TCP/IP ułatwia wykonywanie zabezpieczeń, ponieważ działa w trybie jądra. W przeciwieństwie do innych metod kontrolowania dostępu przychodzącego do komputerów z systemem Windows 2003, na przykład przy użyciu filtru zasad IPSec i serwera routingu i dostępu zdalnego, zależy od procesów w trybie użytkownika lub stacji roboczych i usług serwera. Za pomocą filtrowania TCP/IP można warstwować schemat sterowania dostępem przychodzący do protokołu TCP/IP dzięki filtrom protokołu IPSec i filtrowaniu pakietów funkcji Routing i dostęp zdalny. Takie podejście jest szczególnie przydatne, gdy chcesz kontrolować zarówno przychodzący, jak i wychodzący dostęp do protokołów TCP/IP, ponieważ zabezpieczenia protokołu TCP/IP są domyślnie dostępne tylko dla połączeń przychodzących.Uwaga Filtrowanie TCP/IP umożliwia filtrowanie tylko ruchu przychodzącego i blokowanie wiadomości ICMP bez względu na ustawienia skonfigurowane w kolumnie Zezwalaj tylko na protokoły IP lub bez względu na to, czy nie jest dozwolony protokół internetowy 1. Jeśli potrzebujesz większej kontroli nad dostępem wychodzącym, użyj zasad IPSec lub filtrowania pakietów.Uwaga Zalecamy korzystanie z Kreatora konfiguracji poczty E-mail i połączenia internetowego na komputerach z systemem SBS 2003 z dwiema kartami sieciowymi i włączanie opcji firewall, a następnie otwierania wymaganych portów na karcie sieci zewnętrznej. Aby uzyskać więcej informacji na temat Kreatora konfiguracji poczty E-mail i połączenia internetowego, kliknij przycisk Start, a następnie kliknij polecenie Pomoc i obsługa techniczna. W polu wyszukiwania wpisz ciąg Konfigurowanie poczty E-mail i Kreatora połączenia internetowego, a następnie kliknij pozycję Rozpocznij wyszukiwanie. Informacje na temat Kreatora konfiguracji poczty E-mail i połączenia internetowego można znaleźć na liście wyników tematów dotyczących programu Small Business Server.Powrót do najwyżej

Konfigurowanie zabezpieczeń protokołu TCP/IP w systemie Windows Server 2003

Aby skonfigurować zabezpieczenia protokołu TCP/IP:
  1. Kliknij przycisk Start, wskaż polecenie Panel sterowania, wskaż polecenie połączenia sieciowe, a następnie kliknij połączenie lokalne, które chcesz skonfigurować.
  2. W oknie dialogowym stan połączenia kliknij pozycję Właściwości.
  3. Kliknij przycisk Protokół internetowy (TCP/IP), a następnie kliknij opcję Właściwości.
  4. W oknie dialogowym Właściwości: Protokół internetowy (TCP/IP) kliknij pozycję Zaawansowane.
  5. Kliknij pozycję Opcje.
  6. W obszarze Ustawienia opcjonalnekliknij pozycję filtrowanie TCP/IP, a następnie kliknij pozycję Właściwości.
  7. Kliknij, aby zaznaczyć pole wyboru Włącz filtrowanie TCP/IP (wszystkie adaptery) .Uwaga Po zaznaczeniu tego pola wyboru można włączyć filtrowanie dla wszystkich adapterów, ale filtry są konfigurowane indywidualnie dla każdej z nich. Te same filtry nie mają zastosowania do wszystkich adapterów.
  8. W oknie dialogowym filtrowanie TCP/IP istnieją trzy sekcje, w których można skonfigurować filtrowanie portów TCP, portów UDP (User Datagram Protocol) i protokołów internetowych. W przypadku każdej sekcji Skonfiguruj ustawienia zabezpieczeń odpowiednie dla komputera. Uwaga Po aktywowaniu wszystkich pakietów dla ruchu TCP lub UDP można zezwolić na wszystkie pakiety. Zezwalaj tylko na Zezwalanie tylko na wybrany ruch TCP lub UDP przez dodanie dozwolonych portów. Aby określić porty, użyj przycisku Dodaj . Aby zablokować cały ruch UDP lub TCP, kliknij pozycję Zezwalaj tylko , ale nie dodawaj żadnych numerów portów w kolumnie porty UDP ani w kolumnie porty TCP . Nie można zablokować ruchu UDP lub TCP, wybierając opcję Zezwalaj tylko na protokoły IP i wyłączając protokoły IP 6 i 17.
Powrót do najwyżej

Konfigurowanie zabezpieczeń protokołu TCP/IP w systemie Windows Small Business Server 2003

Aby skonfigurować filtrowanie TCP/IP, wykonaj poniższe czynności.Uwaga Aby wykonać tę procedurę, musisz być członkiem grupy Administratorzy lub grupy Operatorzy konfiguracji sieci na komputerze lokalnym.
  1. Kliknij przycisk Start, wskaż polecenie Panel sterowania, kliknij prawym przyciskiem myszy pozycję połączenia sieciowe, a następnie kliknij polecenie Otwórz.
  2. Kliknij prawym przyciskiem myszy połączenie sieciowe, w którym chcesz skonfigurować kontrolę dostępu przychodzącego, a następnie kliknij pozycję Właściwości.
  3. W obszarze Właściwości połączenia adaptorName na karcie Ogólne kliknij pozycję Protokół internetowy (TCP/IP), a następnie kliknij pozycję Właściwości.
  4. W oknie dialogowym Właściwości: Protokół internetowy (TCP/IP) kliknij pozycję Zaawansowane.
  5. Kliknij kartę Opcje .
  6. Kliknij pozycję filtrowanie TCP/IP, a następnie kliknij pozycję Właściwości.
  7. Kliknij, aby zaznaczyć pole wyboru Włącz filtrowanie TCP/IP (wszystkie adaptery) . Uwaga Zaznaczenie tego pola wyboru umożliwia filtrowanie wszystkich dodanych. W przypadku każdej dołącznika należy jednak wykonać konfigurację filtru. Gdy filtrowanie TCP/IP jest włączone, można skonfigurować każdą z nich, wybierając opcję Zezwalaj na wszystkie , lub zezwolić tylko na określone protokoły IP, porty TCP i porty UDP na akceptowanie połączeń przychodzących. Jeśli na przykład włączono filtrowanie TCP/IP i skonfigurowano kartę sieci zewnętrznej, aby zezwolić tylko na port 80, to karta sieci zewnętrznej umożliwia tylko akceptowanie ruchu internetowego. Jeśli w wewnętrznej karcie sieci lokalnej jest również włączone filtrowanie TCP/IP, ale jest skonfigurowane z wybraną opcją Zezwalaj na wszystko , umożliwia to nieograniczony dostęp do karty sieci wewnętrznej.
  8. W obszarze filtrowanie TCP/IPistnieją trzy kolumny z następującymi etykietami:
    • Porty TCP
    • Porty UDP
    • Protokoły IP
    W każdej kolumnie musisz wybrać jedną z następujących opcji:
    • Zezwól na wszystko. Wybierz tę opcję, jeśli chcesz zezwolić na wszystkie pakiety dla ruchu TCP lub UDP.
    • Tylko Zezwalaj. Wybierz tę opcję, jeśli chcesz zezwolić tylko na wybrany ruch TCP lub UDP, kliknij pozycję Dodaj, a następnie wpisz odpowiedni port lub numer protokołu w oknie dialogowym Dodawanie filtru . Nie można zablokować ruchu UDP lub TCP, wybierając opcję Zezwalaj tylko w kolumnie protokoły IP, a następnie dodając protokoły IP 6 i 17.
    Uwaga Nie można blokować wiadomości ICMP, nawet jeśli wybrano opcję Zezwalaj tylko w kolumnie Protokoły IP , a następnie nie jest dołączany protokół IP 1.
Filtrowanie TCP/IP umożliwia filtrowanie tylko ruchu przychodzącego. Ta funkcja nie wpływa na ruch wychodzący lub porty odpowiedzi TCP, które są tworzone w celu akceptowania odpowiedzi z żądań wychodzących. Jeśli potrzebujesz dodatkowej kontroli nad dostępem wychodzącym, użyj zasad IPSec lub filtrowania pakietów usługi Routing i dostęp zdalny.Uwaga Jeśli wybierzesz opcję Zezwalaj tylko w portach UDP, portach TCP lub w kolumnie protokoły IP, a listy są pozostawione puste, karta sieciowa nie będzie mogła komunikować się z innymi za pośrednictwem sieci, lokalnie lub Internetem.Powrót do najwyżej

MATERIAŁY REFERENCYJNE

Aby uzyskać dodatkowe informacje na temat numerów protokołów internetowych, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
289892 Numery protokołów internetowych
Aby uzyskać dodatkowe informacje na temat numerów portów TCP i UDP, odwiedź następującą witrynę Internet Assigned Numbers Authority (IANA) w sieci Web: http://www.IANA.org/assignments/port-NumbersAby uzyskać dodatkowe informacje dotyczące zasad IPSec, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
816514 Jak skonfigurować tunelowanie IPSec w systemie Windows Server 2003
Powrót do najwyżej