Jak skonfigurować filtrowanie TCP/IP w systemie Windows Server 2003

  • Artykuł

W tym artykule opisano sposób konfigurowania filtrowania TCP/IP na komputerach z systemem Microsoft Windows 2003.

Dotyczy: Windows Server 2003
Oryginalny numer KB: 816792

Podsumowanie

Komputery z systemem Windows 2003 obsługują kilka metod kontrolowania dostępu przychodzącego. Jedną z najprostszych i najbardziej zaawansowanych metod kontrolowania dostępu przychodzącego jest użycie funkcji filtrowania TCP/IP. Filtrowanie TCP/IP jest dostępne na wszystkich komputerach z systemem Windows 2003.

Filtrowanie TCP/IP pomaga w zabezpieczeniach, ponieważ działa w trybie jądra. Natomiast inne metody kontrolowania dostępu przychodzącego do komputerów z systemem Windows 2003, na przykład przy użyciu filtru zasad IPSec i serwera routingu i dostępu zdalnego, zależą od procesów trybu użytkownika lub usług stacji roboczej i serwera.

Schemat kontroli dostępu przychodzącego protokołu TCP/IP można nakładać na warstwę przy użyciu filtrowania TCP/IP z filtrami IPSec oraz filtrowaniem pakietów routingu i dostępu zdalnego. Takie podejście jest szczególnie przydatne, jeśli chcesz kontrolować zarówno przychodzący, jak i wychodzący dostęp TCP/IP, ponieważ same zabezpieczenia TCP/IP kontrolują tylko dostęp przychodzący.

Uwaga

Filtrowanie TCP/IP może filtrować tylko ruch przychodzący i nie może blokować komunikatów protokołu ICMP (Internet Control Message Protocol), niezależnie od ustawień skonfigurowanych w kolumnie Zezwalaj tylko na protokoły IP lub nie zezwalasz na protokół Internet Protocol 1. Użyj zasad protokołu IPSec lub filtrowania pakietów, jeśli potrzebujesz większej kontroli nad dostępem wychodzącym.

Uwaga

Zalecamy użycie Kreatora konfigurowania poczty e-mail i połączenia internetowego na komputerach opartych na systemie SBS 2003 z dwoma adapterami sieciowymi oraz włączenie opcji Zapora, a następnie otwarcie wymaganych portów w adapterze sieci zewnętrznej. Aby uzyskać więcej informacji na temat Kreatora konfigurowania poczty e-mail i połączenia internetowego, wybierz pozycję Start, a następnie wybierz pozycję Pomoc i obsługa techniczna. W polu Wyszukaj wpisz Konfigurowanie Kreatora poczty e-mail i połączenia internetowego, a następnie wybierz pozycję Rozpocznij wyszukiwanie. Informacje o Kreatorze konfigurowania poczty e-mail i połączenia z Internetem można znaleźć na liście zestawów wyników Topics small business server.

Konfigurowanie zabezpieczeń protokołu TCP/IP w systemie Windows Server 2003

Aby skonfigurować zabezpieczenia protokołu TCP/IP:

  1. Wybierz pozycję Start, wskaż Panel sterowania, wskaż pozycję Sieć Connections, a następnie wybierz połączenie lokalne, które chcesz skonfigurować.

  2. W oknie dialogowym Stan połączenia wybierz pozycję Właściwości.

  3. Wybierz pozycję Protokół internetowy (TCP/IP), a następnie wybierz pozycję Właściwości.

  4. W oknie dialogowym Właściwości protokołu internetowego (TCP/IP) wybierz pozycję Zaawansowane.

  5. Wybierz pozycję Opcje.

  6. W obszarze Ustawienia opcjonalne wybierz pozycję Filtrowanie TCP/IP, a następnie wybierz pozycję Właściwości.

  7. Kliknij, aby zaznaczyć pole wyboru Włącz filtrowanie TCP/IP (Wszystkie adaptery ).

    Uwaga

    Po zaznaczeniu tego pola wyboru włącz filtrowanie dla wszystkich adapterów, ale filtry są konfigurowane indywidualnie dla każdego adaptera. Te same filtry nie mają zastosowania do wszystkich adapterów.

  8. W oknie dialogowym Filtrowanie TCP/IP znajdują się trzy sekcje, w których można skonfigurować filtrowanie portów TCP, portów protokołu UDP (User Datagram Protocol) i protokołów internetowych. Dla każdej sekcji skonfiguruj ustawienia zabezpieczeń odpowiednie dla twojego komputera.

    Uwaga

    Po uaktywnieniu polecenia Zezwalaj na wszystko zezwalasz na wszystkie pakiety dla ruchu TCP lub UDP. Opcja Zezwalaj tylko umożliwia zezwalanie tylko na wybrany ruch TCP lub UDP przez dodanie dozwolonych portów. Aby określić porty, użyj przycisku Dodaj . Aby zablokować cały ruch UDP lub TCP, wybierz pozycję Zezwalaj tylko , ale nie dodaj żadnych numerów portów w kolumnie Porty UDP ani w kolumnie Porty TCP . Nie można zablokować ruchu UDP lub TCP, wybierając pozycję Zezwalaj tylko dla protokołów IP i z wyłączeniem protokołów IP 6 i 17.

Konfigurowanie zabezpieczeń protokołu TCP/IP w systemie Windows Small Business Server 2003

Aby skonfigurować filtrowanie TCP/IP, wykonaj następujące kroki.

Uwaga

Aby wykonać tę procedurę, musisz być członkiem grupy Administratorzy lub Operatorzy konfiguracji sieci na komputerze lokalnym.

  1. Wybierz pozycję Start, wskaż polecenie Panel sterowania, kliknij prawym przyciskiem myszy pozycję Sieć Connections, a następnie wybierz pozycję Otwórz.

  2. Kliknij prawym przyciskiem myszy połączenie sieciowe, w którym chcesz skonfigurować kontrolę dostępu przychodzącego, a następnie wybierz pozycję Właściwości.

  3. W obszarze adaptorName Connection Properties (Właściwości połączenia adaptorName) na karcie Ogólne wybierz pozycję Protokół internetowy (TCP/IP), a następnie wybierz pozycję Właściwości.

  4. W oknie dialogowym Właściwości protokołu internetowego (TCP/IP) wybierz pozycję Zaawansowane.

  5. Wybierz kartę Opcje .

  6. Wybierz pozycję Filtrowanie TCP/IP, a następnie wybierz pozycję Właściwości.

  7. Kliknij, aby zaznaczyć pole wyboru Włącz filtrowanie TCP/IP (Wszystkie adaptery ).

    Uwaga

    Po zaznaczeniu tego pola wyboru włącz filtrowanie dla wszystkich adapterów. Jednak konfiguracja filtru musi zostać ukończona na każdym adapterze. Po włączeniu filtrowania TCP/IP można skonfigurować każdy adapter, wybierając opcję Zezwalaj wszystkim lub zezwalać tylko na określone protokoły IP, porty TCP i porty UDP (User Datagram Protocol) w celu akceptowania połączeń przychodzących. Jeśli na przykład włączysz filtrowanie TCP/IP i skonfigurujesz adapter sieci zewnętrznej tak, aby zezwalał tylko na port 80, umożliwia to adapterowi sieci zewnętrznej akceptowanie tylko ruchu internetowego. Jeśli adapter sieci wewnętrznej ma również włączone filtrowanie TCP/IP, ale jest skonfigurowany z wybraną opcją Zezwalaj na wszystko , umożliwia to nieograniczoną komunikację w adapterze sieci wewnętrznej.

  8. W obszarze Filtrowanie TCP/IP istnieją trzy kolumny z następującymi etykietami:

    • Porty TCP
    • Porty UDP
    • Protokoły IP

    W każdej kolumnie należy wybrać jedną z następujących opcji:

    • Zezwalaj na wszystko. Wybierz tę opcję, jeśli chcesz zezwolić na wszystkie pakiety dla ruchu TCP lub UDP.
    • Zezwalaj tylko. Wybierz tę opcję, jeśli chcesz zezwolić tylko na wybrany ruch TCP lub UDP, wybierz pozycję Dodaj, a następnie wpisz odpowiedni numer portu lub protokołu w oknie dialogowym Dodawanie filtru . Nie można zablokować ruchu UDP lub TCP, wybierając pozycję Zezwalaj tylko w kolumnie Protokoły IP, a następnie dodając protokoły IP 6 i 17.

    Uwaga

    Nie można blokować komunikatów protokołu ICMP, nawet jeśli wybierzesz pozycję Zezwalaj tylko w kolumnie Protokoły IP , a następnie nie uwzględnisz protokołu IP 1.

Filtrowanie TCP/IP może filtrować tylko ruch przychodzący. Ta funkcja nie ma wpływu na ruch wychodzący ani porty odpowiedzi TCP utworzone w celu akceptowania odpowiedzi z żądań wychodzących. Użyj zasad PROTOKOŁU IPSec lub filtrowania pakietów routingu i dostępu zdalnego, jeśli potrzebujesz większej kontroli nad dostępem wychodzącym.

Uwaga

Jeśli wybierzesz pozycję Zezwalaj tylko w portach UDP, portach TCP lub kolumnie Protokoły IP, a listy pozostaną puste, adapter sieciowy nie będzie mógł komunikować się z niczym za pośrednictwem sieci lokalnie ani z Internetem.

Informacje

Aby uzyskać więcej informacji na temat numerów portów TCP i UDP, zobacz Service Name and Transport Protocol Port Number Registry (Nazwa usługi i Rejestr numerów portów protokołu transportowego).