如何在 Windows Server 2003 中設定 TCP/IP 篩選

本文說明如何在 Microsoft Windows 2003 電腦上設定 TCP/IP 篩選。

原始產品版本:   Windows Server 2003
原始 KB 編號:   816792

摘要

Windows 2003 的電腦支援數種控制輸入存取的方法。 控制輸入存取最簡單且最強大的方法之一,就是使用 TCP/IP 篩選功能。 您可以在所有 Windows 2003 電腦上使用 TCP/IP 篩選功能。

TCP/IP 篩選可協助安全性,因為它在核心模式中運作。 相反地,其他控制對 Windows 2003 電腦之輸入存取的方法,例如使用 IPSec 原則篩選器和路由和遠端存取伺服器,取決於使用者模式的處理常式或工作站和伺服器服務。

您可以使用 TCP/IP 篩選搭配 IPSec 篩選和路由和遠端存取封包篩選,將 TCP/IP 輸入存取控制配置的層級。 如果您想要控制輸入和輸出 TCP/IP 存取,則此方法特別有用,因為 TCP/IP 安全性只會控制輸入存取權。

注意

TCP/IP 篩選不僅可以篩選輸入流量,也不能封鎖 ICMP (網際網路控制郵件通訊協定) 郵件,不論 [ 只允許 IP 通訊 協定] 欄中設定的設定為何,或是不允許網際網路通訊協定1。 如果您需要更多控制輸出存取,請使用 IPSec 原則或封包篩選。

注意

建議您在具有兩個網路介面卡的 SBS 2003 電腦上使用 [設定電子郵件及網際網路連線] 嚮導,並開啟防火牆選項,然後在外部網路介面卡上開啟必要的埠。 如需設定電子郵件及網際網路連線嚮導的詳細資訊,請選取 [ 開始],然後選取 [說明 與支援]。 在 搜尋 方塊中,輸入 [設定電子郵件及網際網路連線嚮導],然後選取 [ 開始搜尋]。 您可以在「小型企業伺服器主題結果集」清單中找到有關設定電子郵件和網際網路連線嚮導的資訊。

在 Windows Server 2003 中設定 TCP/IP 安全性

若要設定 TCP/IP 安全性:

  1. 選取 [ 開始],指向 [ 控制台],指向 [ 網路 連線],然後選取您要設定的本機區域連接。

  2. 在 [ 連接狀態 ] 對話方塊中,選取 [ 屬性]。

  3. 選取 [ 網際網路通訊協定 (TCP/IP)],然後選取 [ 屬性]。

  4. 在 [ 網際網路通訊協定 (TCP/IP) 屬性 ] 對話方塊中,選取 [ 高級]。

  5. 選取 [ 選項]。

  6. 在 [ 選用設定] 底下,選取 [ TCP/IP 篩選],然後選取 [ 屬性]。

  7. 按一下以選取 [ 啟用 TCP/IP 篩選 (所有配接器) ] 核取方塊。

    注意

    當您選取此核取方塊時,會針對所有的配接器啟用篩選,但會個別設定每個配接器的篩選器。 同一個篩選不會套用到所有的配接器。

  8. 在 [ TCP/IP 篩選 ] 對話方塊中,有三個區段可讓您針對 TCP 埠、使用者資料包通訊協定 (UDP) 埠和網際網路通訊協定,設定篩選。 針對每個區段,設定適用于您電腦的安全性設定。

    注意

    [ 全部允許 ] 啟用時,允許 TCP 或 UDP 流量的所有封包。 [僅允許] 允許您新增允許的埠,只允許選取的 TCP 或 UDP 流量。 若要指定埠,您可以使用 [ 新增 ] 按鈕。 若要封鎖所有 UDP 或 TCP 流量,請選取 [ 僅允許 ,但不要在 UDP 埠 欄或 TCP 埠 ] 欄中新增任何埠號碼。 您必須選取 [ 只允許 ip 通訊協定 和 ip 通訊協定6和 17],以封鎖 UDP 或 TCP 流量。

設定 Windows Small Business Server 2003 中的 TCP/IP 安全性

若要設定 TCP/IP 篩選,請遵循下列步驟。

注意

若要執行此程式,您必須是本機電腦上管理員群組的成員或網路設定操作員群組的成員。

  1. 選取 [ 開始],指向 [ 控制台],以滑鼠右鍵按一下 [ 網路連接],然後選取 [ 開啟]。

  2. 在您要設定輸入存取控制的網路連線上按一下滑鼠右鍵,然後選取 [ 屬性]。

  3. 在 [一般] 索引標籤的 [ AdaptorName 連接屬性] 底下,選取 [網際網路通訊協定 (TCP/IP)],然後選取 [ 內容]。

  4. 在 [ 網際網路通訊協定 (TCP/IP) 屬性 ] 對話方塊中,選取 [ 高級]。

  5. Select the Options tab.

  6. 選取 [ TCP/IP 篩選],然後選取 [ 屬性]。

  7. 按一下以選取 [ 啟用 TCP/IP 篩選 (所有配接器) ] 核取方塊。

    注意

    當您選取此核取方塊時,會啟用所有配接器的篩選功能。 不過,每個配接器都必須完成篩選設定。 啟用 TCP/IP 篩選時,您可以選取 [ 全部允許 ] 選項來設定每個配接器,否則您只允許特定 IP 通訊協定、TCP 埠及 UDP (使用者資料包通訊協定) 埠接受輸入連線。 例如,如果您啟用 TCP/IP 篩選功能,並將外部網路介面卡設定為只允許埠80,這可讓外部網路介面卡只接受網頁流量。 如果內部網路介面卡也有已啟用 TCP/IP 篩選,但已設定為 [ 全部允許 ] 選項,則會在內部網路介面卡上啟用不受限制的通訊。

  8. TCP/IP 篩選 下,有三個欄具有下列標籤:

    • TCP 埠
    • UDP 埠
    • IP 通訊協定

    在每一欄中,您必須選取下列其中一個選項:

    • 全部允許。 如果您想要允許 TCP 或 UDP 流量的所有封包,請選取此選項。
    • 僅允許。 如果您想只允許選取的 TCP 或 UDP 流量,請選取這個選項,選取 [ 新增],然後在 [ 新增篩選 ] 對話方塊中輸入適當的埠或通訊協定號碼。 您必須選取 [僅允許在 IP 通訊協定] 欄中的 [ 只允許 ],然後新增 IP 通訊協定6和17,以封鎖 UDP 或 TCP 流量。

    注意

    即使您選取 [只允許在 Ip 通訊協定] 欄位中選取 [只允許],您也不能封鎖 ICMP 郵件,您也不會包含 ip 通訊協定1。

TCP/IP 篩選只能篩選輸入流量。 這項功能不會影響為了接受輸出要求的回應而建立的輸出流量或 TCP 回應埠。 如果您需要更多控制輸出存取,請使用 IPSec 原則或路由和遠端存取封包篩選。

注意

如果您選取 [ 僅允許 在 UDP 埠]、[TCP 埠] 或 [IP 通訊協定] 欄,且清單是保留空白的,則網路介面卡將無法透過網路上的任何東西(本機或網際網路)進行通訊。

參考

如需 TCP 和 UDP 埠號碼的詳細資訊,請參閱 服務名稱和傳輸通訊協定埠號碼登錄。

如需 IPSec 原則的詳細資訊,請參閱 how To Configure IPSec 隧道 In Windows Server 2003