如何在 Windows Server 2003 中配置 TCP/IP 筛选

本文介绍如何在基于 Microsoft Windows 2003 的计算机上配置 TCP/IP 筛选。

适用于: Windows Server 2003
原始 KB 编号: 816792

摘要

基于 Windows 2003 的计算机支持多种控制入站访问的方法。 控制入站访问的最简单和最强大的方法之一是使用 TCP/IP 筛选功能。 TCP/IP 筛选在所有基于 Windows 2003 的计算机上均可用。

TCP/IP 筛选有助于安全性,因为它在内核模式下工作。 相反,控制对基于 Windows 2003 的计算机的入站访问的其他方法(例如使用 IPSec 策略筛选器以及路由和远程访问服务器)取决于用户模式进程或工作站和服务器服务。

可以通过将 TCP/IP 筛选与 IPSec 筛选器以及路由和远程访问数据包筛选结合使用来分层 TCP/IP 入站访问控制方案。 如果要控制入站和出站 TCP/IP 访问,此方法特别有用,因为 TCP/IP 安全仅控制入站访问。

注意

TCP/IP 筛选只能筛选入站流量,不能阻止 ICMP (Internet 控制消息协议) 消息,而不管在 “仅允许 IP 协议” 列中配置的设置,还是不允许 Internet 协议 1。 如果需要对出站访问进行更多控制,请使用 IPSec 策略或数据包筛选。

注意

建议在基于 SBS 2003 的计算机上使用两个网络适配器配置电子邮件和 Internet 连接向导,并打开防火墙选项,然后在外部网络适配器上打开所需的端口。 有关配置电子邮件和 Internet 连接向导的详细信息,请选择“ 开始”,然后选择“ 帮助和支持”。 在 “搜索 ”框中,键入“配置电子邮件和 Internet 连接向导”,然后选择“ 开始搜索”。 可以在 Small Business Server Topics结果集列表中找到有关配置电子邮件和 Internet 连接向导的信息。

在 Windows Server 2003 中配置 TCP/IP 安全性

配置 TCP/IP 安全性:

  1. 选择“开始”,指向“控制面板”,指向“网络Connections”,然后选择要配置的本地连接。

  2. 在“ 连接状态 ”对话框中,选择“ 属性”。

  3. 选择“ internet 协议 (TCP/IP) ”,然后选择“ 属性”。

  4. 在“ Internet 协议 (TCP/IP) 属性 ”对话框中,选择“ 高级”。

  5. 选择“选项”

  6. “可选设置”下,选择“ TCP/IP 筛选”,然后选择“ 属性”。

  7. 单击以选中“启用 TCP/IP 筛选 (所有适配器) 检查框。

    注意

    选中此检查框时,会为所有适配器启用筛选,但为每个适配器单独配置筛选器。 相同的筛选器并不适用于所有适配器。

  8. “TCP/IP 筛选 ”对话框中,有三个部分可在其中为 TCP 端口配置筛选、用户数据报协议 (UDP) 端口和 Internet 协议。 对于每个部分,请配置适合计算机的安全设置。

    注意

    激活 “全部允许” 后,将允许 TCP 或 UDP 流量的所有数据包。 “仅允许 ”允许通过添加允许的端口来仅允许选定的 TCP 或 UDP 流量。 若要指定端口,请使用 “添加 ”按钮。 若要阻止所有 UDP 或 TCP 流量,请选择“ 仅允许 ”,但不要在 “UDP 端口” 列或“ TCP 端口 ”列中添加任何端口号。 无法通过选择“ 仅允许 IP 协议”并排除 IP 协议 6 和 17 来阻止 UDP 或 TCP 流量。

在 Windows Small Business Server 2003 中配置 TCP/IP 安全性

若要配置 TCP/IP 筛选,请执行以下步骤。

注意

若要执行此过程,必须是本地计算机上的 Administrators 组或网络配置操作员组的成员。

  1. 选择“开始”,指向控制面板,右键单击“网络Connections”,然后选择“打开”。

  2. 右键单击要在其中配置入站访问控制的网络连接,然后选择“ 属性”。

  3. 在“常规”选项卡上的“adaptorName 连接属性”下,选择“Internet 协议 (TCP/IP) ”,然后选择“属性”。

  4. 在“ Internet 协议 (TCP/IP) 属性 ”对话框中,选择“ 高级”。

  5. 选择“选项”选项卡。

  6. 选择“ TCP/IP 筛选”,然后选择“ 属性”。

  7. 单击以选中“启用 TCP/IP 筛选 (所有适配器) 检查框。

    注意

    选中此检查框时,将为所有适配器启用筛选。 但是,必须在每个适配器上完成筛选器配置。 启用 TCP/IP 筛选后,可以通过选择“ 全部允许” 选项来配置每个适配器,也可以仅允许特定 IP 协议、TCP 端口和 UDP (用户数据报协议) 端口接受入站连接。 例如,如果启用 TCP/IP 筛选并将外部网络适配器配置为仅允许端口 80,则允许外部网络适配器仅接受 Web 流量。 如果内部网络适配器还启用了 TCP/IP 筛选,但配置时选择了 “全部允许” 选项,这将启用内部网络适配器上的无限制通信。

  8. “TCP/IP 筛选”下,有三列具有以下标签:

    • TCP 端口
    • UDP 端口
    • IP 协议

    在每个列中,必须选择以下选项之一:

    • 允许全部。 如果要允许 TCP 或 UDP 流量的所有数据包,请选择此选项。
    • 仅允许。 如果要仅允许选定的 TCP 或 UDP 流量,请选择此选项,请选择 “添加”,然后在“ 添加筛选器 ”对话框中键入相应的端口或协议号。 在“IP 协议”列中选择“ 仅允许 ”,然后添加 IP 协议 6 和 17,无法阻止 UDP 或 TCP 流量。

    注意

    即使你在“IP 协议”列中选择了“仅允许”,但不包括 IP 协议 1,也无法阻止 ICMP 消息。

TCP/IP 筛选只能筛选入站流量。 此功能不会影响为接受来自出站请求的响应而创建的出站流量或 TCP 响应端口。 如果需要对出站访问进行更多控制,请使用 IPSec 策略或路由和远程访问数据包筛选。

注意

如果在“UDP 端口”、“TCP 端口”或“IP 协议”列中选择“ 仅允许 ”,并且列表留空,则网络适配器将无法通过网络(本地或 Internet)与任何内容通信。

References

有关 TCP 和 UDP 端口号的详细信息,请参阅 服务名称和传输协议端口号注册表