本文介绍了Windows 2000的TCP/IP筛选功能,用于简单网络控制。详细说明了如何启用和配置筛选,以允许特定端口如Web服务器的80端口和DNS服务器的53端口,同时指出在DNS服务器配置中,由于UDP协议的特性,可能需要全部允许UDP端口。此外,讨论了在启用筛选时,KILL防病毒软件的特征码下载问题及解决方案,并提供了禁止特定TCP/UDP端口的方法。
---- Windows 2000配备的TCP/IP滤波机构只能进行简单控制,不能将IP地址和IP包的流向作为控制参数。 “TCP/IP筛选”操作方法:在“本地连接属性”画面,双击“Internet协议(TCP/IP)”后,选定对话框右下侧的“高级”按钮; 然后,选择“高级TCP/IP设定”*“选项”*“TCP/IP筛选”,弹出“TCP/IP筛选”画面(如图2所示)即可。
 |
图2
---- 用“TCP/IP筛选”设定的过滤机构非常简单。不管在此做了什么设定,对于外部Windows 2000什么包都能发送,且能接收附有ACK标志的返回包。在这个原则下,在“TCP/IP筛选”中,对于来自外部的连接请求,只指定Windows 2000接收的端口号。
---- 首先,选定“启用TCP/IP筛选”复选框,将TCP、UDP端口和IP协议都设定成“只允许”,然后,分别指定接收访问的端口号。例如:若开放Web服务器,只允许来自外部对TCP 80号端口的连接请求,即在“TCP端口”栏设定成80。
---- 对于开放DNS服务器,情况要稍复杂些。DNS服务器是用UDP的53号端口来受理来自外部的查询。照理,“UDP 端口”栏应设成53,但是,在本身要查询外部DNS服务器时,需将数据包送往外部DNS服务器的UDP 53号端口,用1025号以上的UDP端口接收返回数据包。但UDP与TCP不同,没有ACK标志。Windows 2000对于送来的UDP包无法判定是连接请求还是返回来的数据包。如果能指定允许端口范围,只要指定1025以上的端口即可。可惜,在“TCP/IP筛选”中,只能一个一个端口地指定。为了在Windows 2000上能正常运行DNS服务器,只好将“UDP端口”栏改设成“全部允许”。
---- 在DNS服务器中,还必须要打开辅助DNS和用于“区域传输”的端口。在“TCP端口”栏添加上53即可。由辅助DNS送来的“区域传输”请求包,送达TCP的53号端口。
---- Mail服务器(SMTP)的设定很简单。只要在“TCP端口”栏添加上25、113号端口即可。在Mail服务器中,25端口接收从外部SMTP服务器送来的包,113端口用来认证服务(用户确认)。
---- 在“TCP/IP筛选”中,还有一个用于限制IP协议的设定栏“IP协议”。在此处,设定在IP的高层协议中接收哪个协议。但此处能限制的只是除TCP、UDP和ICMP以外的高层协议(路由中利用的IGMP和OSPF等),TCP、UDP和ICMP与此设定无关。
2、Windows的TCP/IP筛选功能
在一个完备的网络中,人们通常会在路由器或防火墙中设定包过滤规则,以保护内网安全。但对于一个开放的服务器或家庭个人PC,一般我们会通过在操作系统层面设定包过滤规则来保护我们的系统。Windows的“TCP/IP筛选”功能由于其配置简单容易管理被广泛采用。
在一次给某公司实施的Web项目中,由于该公司无任何网络安全设备,因此我们采用在其Web服务器上启用“TCP/IP筛选”功能来保证服务器的安全;同时为防止用户在上传网页时将病毒带入服务器,我们又在其Web服务器上安装了KILL的防病毒产品——KILL安全胄甲。图1是TCP/IP筛选的配置管理界面。
图1 TCP/IP筛选
“TCP/IP筛选”只影响入站流量,对出站无任何限制。在TCP端口处我们开放了两个端口,一个是80端口,用于外部用户访问Web服务器上的网站,一个是21端口,用于外部用户上传网页到Web服务器。UDP端口我们设置成了只允许但未添加任何端口,这样等于关闭了UDP。
KILL的特征码下载采用的是FTP方式(FTP://ftp.kill.com.cn),实际使用中Kill报错,不能下载特征码进行病毒库升级。
首先,由于KILL特征码下载使用的是FTP加域名的方式,而域名解析使用的UDP协议,在上述配置中UDP协议被关闭了。DNS服务器是用UDP的53号端口来受理来自外部的查询,照理“UDP 端口”栏应设成53,但是,在要查询外部DNS服务器时,需将数据包送往外部DNS服务器的UDP 53号端口,用1025号以上的UDP端口接收返回数据包,但UDP与TCP不同,没有ACK标志,Windows 对于送来的UDP包无法判定是连接请求还是返回来的数据包,如果能指定允许端口范围,只要指定1025以上的端口即可,可惜,在“TCP/IP筛选”中,只能一个一个端口地指定。为了在Windows 上能正常运行DNS解析,只好将“UDP端口”栏改设成“全部允许”,或者不通过DNS解析,下载特征码时直接采用IP地址。
其次,缺省安装的KILL防病毒软件客户端(即我们的Web服务器)在使用FTP进行特征码下载时使用的是主动模式,是由KILL的特征码服务器主动向客户端发起链接来传送数据,由于我们在客户端选择了TCP/IP筛选会限制进来的端口,且端口是动态的,所以就会接收不到数据,以至于不能够下载特征码进行升级。因此,此时必须将客户端的主动模式改为被动模式,由客户端向KILL的特征码服务器发起连接来传送数据。
综上所述,在启用了TCP/IP筛选时,为使KILL能正常下载病毒特征码必须要做以下两个操作:
(1)将所有的UDP端口打开或是将FTP下载的域名改为IP地址,即将FTP://ftp.kill.com.cn改为FTP://221.144.22.68
(2)将KILL客户端的FTP改为被动模式,即用passiveinodist.exe替换iondist.exe文件(该文件可从KILL获取),iondist.exe的文件位置在X:/CA/Common/ScanEngine下(X为KILL的安装盘符)。
3、如何禁止TCP/UDP端口(转自百度知道)
1,可以使用防火墙软件,都自带禁用端口选项.
2,可以通过本地连接--属性--选中"Intern协议(TCP/IP)"点"属性"按钮--高级--选项--选中"TCP/IP筛选",点属性,在弹出的选项卡里操作.
不过以上都不是重点,这里要介绍另一个方法.
最低0.47元/天 解锁文章
1074
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
