Настройка фильтрации по протоколу TCP/IP в Windows Server 2003


Версия этой статьи для Microsoft Windows 2000 — в разделе 309798 .

В ЭТОЙ ЗАДАЧЕ

АННОТАЦИЯ

В этой статье описано, как настроить фильтрацию TCP/IP на компьютерах с операционной системой Microsoft Windows 2003. Компьютеры под управлением Windows 2003 поддерживают несколько способов управления входящим доступом. Одним из самых простых и наиболее мощных методов контроля входящего доступа является использование функции фильтрации TCP/IP. Фильтрация TCP/IP доступна на всех компьютерах под управлением Windows 2003. Фильтрация TCP/IP обеспечивает безопасность, так как она работает в режиме ядра. Кроме того, другие методы контроля входящего доступа на компьютерах под управлением Windows 2003, например с помощью фильтра политики IPSec и сервера маршрутизации и удаленного доступа, зависят от процессов пользовательского режима или служб рабочей станции и сервера. Вы можете настроить конфигурацию входящего доступа по протоколу TCP/IP, используя фильтрацию TCP/IP с фильтрами IPSec и фильтрацией пакетов удаленного доступа. Этот подход особенно полезен, если вы хотите контролировать входящий и исходящий доступ к TCP/IP, так как протокол безопасности TCP/IP контролирует только входящий доступ.Примечание. Фильтрация TCP/IP может фильтровать только входящий трафик и не может блокировать сообщения ICMP, независимо от параметров, которые настроены в столбце " Разрешить только IP-протоколы " или не разрешены ли вы использовать Интернет-протокол 1. Используйте политики IPSec и фильтрацию пакетов, если вам нужно больше управлять исходящим доступом.Примечание. Мы рекомендуем использовать мастер настройки электронной почты и подключения к Интернету на компьютерах с операционной системой SBS 2003 с двумя сетевыми адаптерами, а также включить брандмауэр и открыть нужные порты на внешнем сетевом адаптере. Для получения дополнительных сведений о мастере настройки электронной почты и подключения к Интернету нажмите кнопку Пуск и выберите пункт Справка и поддержка. В поле поиска введите настройка мастера электронной почты и подключения к Интернету, а затем нажмите кнопку начать поиск. Сведения о мастере настройки электронной почты и подключения к Интернету можно найти в списке результатов, посвященных Small Business Server.к началу статьи

Настройка безопасности TCP/IP в Windows Server 2003

Чтобы настроить безопасность TCP/IP, выполните указанные ниже действия.
  1. Нажмите кнопку Пуск, выберите пункт Панель управления, а затем — Сетевые подключенияи щелкните подключение к локальной сети, которое вы хотите настроить.
  2. В диалоговом окне " состояние подключения " нажмите кнопку " свойства".
  3. Выделите пункт Протокол Интернета (TCP/IP) и нажмите кнопку Свойства.
  4. В диалоговом окне Свойства протокола Интернета (TCP/IP) нажмите кнопку Дополнительно.
  5. Нажмите кнопку Параметры.
  6. В разделе необязательные параметрывыберите пункт Фильтрация TCP/IPи нажмите кнопку Свойства.
  7. Установите флажок включить фильтрацию TCP/IP (все адаптеры) .Примечание. При установке этого флажка включается фильтрация для всех адаптеров, но вы настраиваете фильтры отдельно для каждого адаптера. Одни и те же фильтры не применяются ко всем адаптерам.
  8. В диалоговом окне Фильтрация TCP/IP имеется три раздела, в которых можно настроить фильтрацию для TCP-портов, портов UDP и протоколов Интернета. Для каждого раздела настройте параметры безопасности, подходящие для вашего компьютера. Примечание. После активации этого разрешения все пакеты будут разрешены для трафика TCP или UDP. Разрешите только выделять трафик по протоколу TCP или UDP, добавив разрешенные порты. Чтобы указать порт, нажмите кнопку " Добавить ". Чтобы заблокировать весь трафик UDP или TCP, выберите параметр только но не добавляйте номера портов в столбец UDP-порты или TCP- порты . Вы не можете заблокировать трафик UDP или TCP, выбрав параметр Разрешить только для IP-протоколов и исключить IP-протоколы 6 и 17.
к началу статьи

Настройка безопасности TCP/IP в Windows Small Business Server 2003

Чтобы настроить фильтрацию TCP/IP, выполните указанные ниже действия.Примечание. Для выполнения этой процедуры необходимо быть членом группы "Администраторы" или "Операторы настройки сети" на локальном компьютере.
  1. Нажмите кнопку Пуск, выберите пункт Панель управления, щелкните правой кнопкой мыши пункт Сетевые подключенияи выберите команду Открыть.
  2. Щелкните правой кнопкой мыши сетевое подключение, для которого нужно настроить контроль входящего доступа, и выберите пункт Свойства.
  3. В разделе Свойства соединения adaptorName на вкладке Общие щелкните Протокол Интернета (TCP/IP)и выберите пункт Свойства.
  4. В диалоговом окне Свойства протокола Интернета (TCP/IP) нажмите кнопку Дополнительно.
  5. Откройте вкладку Параметры .
  6. Нажмите кнопку Фильтрация TCP/IPи выберите пункт свойства.
  7. Установите флажок включить фильтрацию TCP/IP (все адаптеры) . Примечание. Если установить этот флажок, вы включите фильтрацию для всех адаптеров. Однако Настройка фильтров должна быть выполнена на каждом из адаптеров. Если фильтрация TCP/IP включена, вы можете настроить каждый из адаптеров, выбрав параметр Разрешить все , или разрешить только определенные IP-протоколы, порты TCP и порты UDP для приема входящих подключений. Например, если вы включите фильтрацию по протоколу TCP/IP и настроили для внешнего сетевого адаптера только порт 80, этот параметр позволяет внешнему сетевому адаптеру разрешить только веб-трафик. Если на внутреннем сетевом адаптере также включена фильтрация TCP/IP, но для нее выбран параметр Разрешить все , это обеспечивает неограниченную связь на внутреннем сетевом адаптере.
  8. В разделе Фильтрация TCP/IPесть три столбца со следующими наклейками:
    • Порты TCP
    • Порты UDP
    • IP-протоколы
    В каждом столбце необходимо выбрать один из следующих вариантов:
    • Разрешить все. Выберите этот параметр, если вы хотите разрешить все пакеты для трафика TCP или UDP.
    • Только это разрешено. Выберите этот параметр, если вы хотите разрешить только выбранный трафик по протоколу TCP или UDP, нажмите кнопку Добавить, а затем введите нужный порт или номер протокола в диалоговом окне Добавление фильтра . Вы не можете заблокировать трафик UDP или TCP, выбрав параметр Разрешить только в столбце IP-протоколы и ДОБАВИВ IP-протоколы 6 и 17.
    Примечание. Нельзя блокировать сообщения ICMP, даже если выбран параметр Разрешить только в столбце IP-протоколы и вы не включаете IP-протокол 1.
Фильтрация TCP/IP может фильтровать только входящий трафик. Эта функция не влияет на исходящий трафик или TCP ответов на порты, созданные для получения ответов на исходящие запросы. Используйте политики IPSec или фильтрацию пакетов маршрутизации и удаленного доступа, если вам требуется более полный контроль за исходящим доступом.Примечание. Если вы выбрали параметр Разрешить только в портах UDP, TCP-портах, а также в списках — оставлены пустыми, сетевой адаптер не сможет взаимодействовать с данными по сети, как локально, так и в Интернете.к началу статьи

ССЫЛКИ

Чтобы получить дополнительные сведения о номерах IP-протоколов, щелкните следующий номер статьи базы знаний Майкрософт:
289892 Номера IP-протоколов
Чтобы получить дополнительные сведения о портах TCP и UDP, посетите веб-сайт IP Assigned Numbers (IANA): http://www.IANA.org/assignments/Port-Numbersчтобы получить дополнительные сведения о политиках IPSec, щелкните следующий номер статьи базы знаний Майкрософт:
816514 Настройка туннелирования IPSec в Windows Server 2003
к началу страницы