Настройка фильтрации TCP/IP в Windows Server 2003

  • Статья

В этой статье описывается настройка фильтрации TCP/IP на компьютерах под управлением Microsoft Windows 2003.

Применяется к: Windows Server 2003
Исходный номер базы знаний: 816792

Сводка

Компьютеры под управлением Windows 2003 поддерживают несколько методов управления входящим доступом. Одним из самых простых и эффективных методов управления входящим доступом является использование функции фильтрации TCP/IP. Фильтрация TCP/IP доступна на всех компьютерах под управлением Windows 2003.

Фильтрация TCP/IP помогает обеспечить безопасность, так как она работает в режиме ядра. В отличие от этого, другие методы управления входящим доступом к компьютерам под управлением Windows 2003, например с помощью фильтра политики IPSec и сервера маршрутизации и удаленного доступа, зависят от процессов в пользовательском режиме или служб рабочей станции и сервера.

Схему управления входящим доступом TCP/IP можно выполнить на уровне, используя фильтрацию TCP/IP с фильтрами IPSec и фильтрацию пакетов маршрутизации и удаленного доступа. Этот подход особенно полезен, если требуется контролировать как входящий, так и исходящий доступ ПО TCP/IP, так как только безопасность TCP/IP управляет только входящим доступом.

Примечание.

Фильтрация TCP/IP может фильтровать только входящий трафик и не может блокировать сообщения ICMP (протокол internet control message) независимо от параметров, настроенных в столбце Разрешить только IP-протоколы , или от того, разрешен ли протокол Internet Protocol 1. Используйте политики IPSec или фильтрацию пакетов, если требуется дополнительный контроль над исходящим доступом.

Примечание.

Рекомендуется использовать мастер настройки электронной почты и подключения к Интернету на компьютерах под управлением SBS 2003 с двумя сетевыми адаптерами, включить параметр Брандмауэр, а затем открыть необходимые порты во внешнем сетевом адаптере. Для получения дополнительных сведений о мастере настройки электронной почты и подключения к Интернету нажмите кнопку Пуск, а затем выберите Справка и поддержка. В поле Поиска введите Мастер настройки электронной почты и подключения к Интернету, а затем выберите Начать поиск. Сведения о мастере настройки электронной почты и подключения к Интернету см. в списке "Сервер малого бизнеса" Topics результирующий набор.

Настройка безопасности TCP/IP в Windows Server 2003

Чтобы настроить безопасность TCP/IP, выполните следующие действия.

  1. Нажмите кнопку Пуск, наведите указатель на панель управления, наведите указатель на пункт Сетевой Connections, а затем выберите подключение к локальной сети, которое требуется настроить.

  2. В диалоговом окне Состояние подключения выберите Свойства.

  3. Выберите Протокол ИНТЕРНЕТА (TCP/IP) и выберите Свойства.

  4. В диалоговом окне Свойства протокола ИНТЕРНЕТА (TCP/IP) выберите Дополнительно.

  5. Выберите Параметры.

  6. В разделе Необязательные параметры выберите Фильтрация TCP/IP, а затем выберите Свойства.

  7. Щелкните, чтобы выбрать флажок Включить фильтрацию TCP/IP (все адаптеры) проверка.

    Примечание.

    При выборе этого поля проверка вы включаете фильтрацию для всех адаптеров, но настраиваете фильтры отдельно для каждого адаптера. Одни и те же фильтры применяются не ко всем адаптерам.

  8. В диалоговом окне Фильтрация TCP/IP можно настроить фильтрацию по tcp-портам, портам UDP и протоколам Интернета. Для каждого раздела настройте параметры безопасности, соответствующие вашему компьютеру.

    Примечание.

    При активации параметра Разрешить все вы разрешаете все пакеты для трафика TCP или UDP. Разрешить только позволяет разрешить только выбранный трафик TCP или UDP, добавив разрешенные порты. Чтобы указать порты, нажмите кнопку Добавить . Чтобы заблокировать весь трафик UDP или TCP, выберите Разрешить только , но не добавляйте номера портов в столбцы Порты UDP или TCP-порты . Вы не можете заблокировать трафик UDP или TCP, выбрав Разрешить только для протоколов IP и исключив IP-протоколы 6 и 17.

Настройка безопасности TCP/IP в Windows Small Business Server 2003

Чтобы настроить фильтрацию TCP/IP, выполните следующие действия.

Примечание.

Для выполнения этой процедуры необходимо быть членом группы Администраторы или Операторы конфигурации сети на локальном компьютере.

  1. Выберите Пуск, наведите указатель мыши на панель управления, щелкните правой кнопкой мыши пункт Сетевой Connections и выберите команду Открыть.

  2. Щелкните правой кнопкой мыши сетевое подключение, в котором требуется настроить управление входящего доступа, и выберите пункт Свойства.

  3. В разделе Свойства подключения adaptorName на вкладке Общие выберите Протокол ИНТЕРНЕТА (TCP/IP) и выберите Свойства.

  4. В диалоговом окне Свойства протокола ИНТЕРНЕТА (TCP/IP) выберите Дополнительно.

  5. Перейдите на вкладку Параметры .

  6. Выберите Фильтрация TCP/IP, а затем выберите Свойства.

  7. Щелкните, чтобы выбрать флажок Включить фильтрацию TCP/IP (все адаптеры) проверка.

    Примечание.

    При выборе этого проверка поля вы включаете фильтрацию для всех адаптеров. Однако для каждого адаптера необходимо выполнить настройку фильтра. Если включена фильтрация TCP/IP, можно настроить каждый адаптер, выбрав параметр Разрешить все , или разрешить только определенные ПРОТОКОЛы IP, TCP-порты и порты UDP (протокол пользовательской диаграммы данных) для приема входящих подключений. Например, если включить фильтрацию TCP/IP и настроить внешний сетевой адаптер так, чтобы разрешить только порт 80, это позволит внешнему сетевому адаптеру принимать только веб-трафик. Если для внутреннего сетевого адаптера также включена фильтрация TCP/IP, но настроен параметр Разрешить все , это обеспечивает неограниченный обмен данными во внутреннем сетевом адаптере.

  8. В разделе Фильтрация TCP/IP есть три столбца со следующими метками:

    • Tcp-порты
    • Порты UDP
    • Протоколы IP

    В каждом столбце необходимо выбрать один из следующих параметров:

    • Разрешить все. Выберите этот параметр, если вы хотите разрешить все пакеты для трафика TCP или UDP.
    • Разрешить только. Выберите этот параметр, если вы хотите разрешить только выбранный трафик TCP или UDP, нажмите кнопку Добавить, а затем введите соответствующий порт или номер протокола в диалоговом окне Добавление фильтра . Вы не можете заблокировать трафик UDP или TCP, выбрав Разрешить только в столбце IP-протоколы, а затем добавив IP-протоколы 6 и 17.

    Примечание.

    Вы не сможете заблокировать сообщения ICMP, даже если в столбце Протоколы IP-адресов выбран параметр Разрешить только, а затем не включить IP-протокол 1.

Фильтрация TCP/IP может фильтровать только входящий трафик. Эта функция не влияет на исходящий трафик или порты ответа TCP, созданные для приема ответов от исходящих запросов. Используйте политики IPSec или фильтрацию пакетов маршрутизации и удаленного доступа, если требуется дополнительный контроль над исходящим доступом.

Примечание.

Если выбрать Разрешить только в портах UDP, TCP-портах или столбце ПРОТОКОЛы IP, а списки останутся пустыми, сетевой адаптер не сможет взаимодействовать ни с чем через сеть ни локально, ни через Интернет.

Ссылки

Дополнительные сведения о номерах портов TCP и UDP см. в разделе Service Name and Transport Protocol Port Number Registry.