如何在 Windows Server 2003 中配置 TCP/IP 筛选


有关本文的 Microsoft Windows 2000 版本,请参阅 309798

本任务的内容

概要

本文介绍如何在基于 Microsoft Windows 2003 的计算机上配置 TCP/IP 筛选。基于 Windows 2003 的计算机支持多个控制入站访问的方法。 控制入站访问的最简单和最强大的方法之一是使用 TCP/IP 筛选功能。 TCP/IP 筛选在所有基于 Windows 2003 的计算机上可用。TCP/IP 筛选有助于提高安全性,因为它在内核模式下正常工作。 相反,控制基于 Windows 2003 的计算机的入站访问的其他方法(例如使用 IPSec 策略筛选器和路由和远程访问服务器)取决于用户模式进程或工作站和服务器服务。你可以通过使用具有 IPSec 筛选器和路由和远程访问数据包筛选的 TCP/IP 筛选器,将 TCP/IP 入站访问控制方案分层。 如果你希望同时控制入站和出站 TCP/IP 访问,这种方法尤其有用,因为 TCP/IP 安全仅控制入站访问。注意 TCP/IP 筛选只能筛选入站流量,并且不能阻止 ICMP 消息,无论在 " 仅允许 IP 协议 " 列中配置的设置或是否不允许 Internet 协议1。 如果需要对出站访问进行更多控制,请使用 IPSec 策略或数据包筛选。注意 我们建议你在具有两个网络适配器的基于 SBS 2003 的计算机上使用 "配置电子邮件和 Internet 连接向导",然后打开防火墙选项,然后在外部网络适配器上打开所需的端口。 有关 "配置电子邮件和 Internet 连接向导" 的详细信息,请单击 "开始",然后单击 "帮助和支持"。 在 "搜索" 框中,键入 "配置电子邮件和 Internet 连接向导",然后单击 "开始搜索"。 你可以在小型企业服务器主题结果集列表中找到有关 "配置电子邮件和 Internet 连接" 向导的信息。返回页首

在 Windows Server 2003 中配置 TCP/IP 安全

要配置 TCP/IP 安全,请执行以下操作:
  1. 单击 " 开始",指向 "控制面板",指向 " 网络连接",然后单击要配置的本地连接。
  2. 在 " 连接状态 " 对话框中,单击 " 属性"。
  3. 单击“Internet 协议 (TCP/IP)”,然后单击“属性”
  4. 在 " Internet 协议(tcp/ip)属性 " 对话框中,单击 " 高级"。
  5. 单击 " 选项"。
  6. 在 " 可选设置" 下,单击 " tcp/ip 筛选",然后单击 " 属性"。
  7. 单击以选中 " 启用 Tcp/ip 筛选(所有适配器) " 复选框。注意 如果选中此复选框,则为所有适配器启用筛选,但为每个适配器单独配置筛选器。 相同的筛选器不适用于所有适配器。
  8. 在 " Tcp/ip 筛选 " 对话框中,有三个部分可用于配置 TCP 端口、用户数据报协议(UDP)端口和 Internet 协议的筛选。 对于每个部分,配置适用于您的计算机的安全设置。 注意 激活 全部许可证 后,你将允许 TCP 或 UDP 流量的所有数据包。 允许你通过添加允许的端口来允许仅允许所选 TCP 或 UDP 流量。 若要指定端口,请使用 " 添加 " 按钮。 若要阻止所有 UDP 或 TCP 流量,请单击 " 仅允许 ",但不要在 " UDP 端口 " 列或 " TCP 端口 " 列中添加任何端口号。 不能通过选择 " 仅允许 Ip 协议 " 和 "ip 协议 6" 和 "17" 来阻止 UDP 或 TCP 流量。
返回页首

在 Windows 小型企业版 Server 2003 中配置 TCP/IP 安全

要配置 TCP/IP 筛选,请按照下列步骤操作。注意 若要执行此过程,您必须是本地计算机上的 "管理员" 组或 "网络配置操作员" 组的成员。
  1. 单击 " 开始",指向 "控制面板",右键单击 " 网络连接",然后单击 " 打开"。
  2. 右键单击要配置入站访问控制的网络连接,然后单击 " 属性"。
  3. 在 "常规" 选项卡上的 " adaptorName 连接属性" 下,单击 " Internet 协议(tcp/ip)",然后单击 "属性"。
  4. 在 " Internet 协议(tcp/ip)属性 " 对话框中,单击 " 高级"。
  5. 单击 " 选项 " 选项卡。
  6. 单击 " Tcp/ip 筛选",然后单击 " 属性"。
  7. 单击以选中 " 启用 Tcp/ip 筛选(所有适配器) " 复选框。 注意 选中此复选框时,将为所有适配器启用筛选。 但是,必须在每个适配器上完成筛选配置。 启用 TCP/IP 筛选后,你可以通过选择 " 全部允许 " 选项来配置每个适配器,或者仅允许特定 IP 协议、TCP 端口和 UDP 端口接受入站连接。 例如,如果启用 TCP/IP 筛选,并将外部网络适配器配置为仅允许端口80,这将允许外部网络适配器仅接受 Web 流量。 如果内部网络适配器也已启用 TCP/IP 筛选,但配置了 " 全部允许 " 选项,这将启用内部网络适配器上的无限制通信。
  8. 在 " Tcp/ip 筛选" 下,有三列具有以下标签:
    • TCP 端口
    • UDP 端口
    • IP 协议
    在每列中,必须选择下列选项之一:
    • 全部允许。 如果想要允许 TCP 或 UDP 流量的所有数据包,请选择此选项。
    • 仅允许。 如果你希望仅允许所选 TCP 或 UDP 流量,请选择此选项,然后单击 " 添加",然后在 " 添加筛选器 " 对话框中键入相应的端口或协议号。 如果仅在 "IP 协议" 列中选择 " 允许 ",然后添加 IP 协议6和17,则不能阻止 UDP 或 TCP 流量。
    注意 您不能阻止 ICMP 消息,即使您在 " IP 协议" 列中选择了 "仅允许",并且不包含 ip 协议1。
TCP/IP 筛选只能筛选入站流量。 此功能不影响为接受来自出站请求的响应而创建的出站流量或 TCP 响应端口。 如果需要对出站访问进行更多控制,请使用 IPSec 策略或路由和远程访问数据包筛选。注意 如果您选择 "仅在 UDP 端口"、"TCP 端口" 或 "IP 协议" 列中选择 " 仅允许 ",则网络适配器将无法与网络上的任何内容进行通信,无论是在本地还是在 Internet 上。返回页首

参考

有关 Internet 协议号码的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
289892 Internet 协议号码
有关 TCP 和 UDP 端口号的其他信息,请访问以下 Internet 分配的号码机构(IANA)网站: http://www.iana.org/assignments/port-numbers有关IPSec 策略的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
816514 如何在 Windows Server 2003 中配置 IPSec 隧道
返回页首