如何在 Windows Server 2003 中設定 TCP/IP 篩選

  • 發行項

本文說明如何在 Microsoft Windows 2003 計算機上設定 TCP/IP 篩選。

適用於:Windows Server 2003
原始 KB 編號: 816792

摘要

Windows 2003 計算機支援數種控制輸入存取的方法。 控制輸入存取的最簡單且最強大的方法之一,就是使用 TCP/IP 篩選功能。 TCP/IP 篩選可在所有以 Windows 2003 為基礎的電腦上使用。

TCP/IP 篩選有助於安全性,因為它在核心模式中運作。 相反地,控制 Windows 2003 計算機輸入存取的其他方法,例如使用 IPSec 原則篩選器和路由和遠端存取伺服器,取決於使用者模式進程或工作站和伺服器服務。

您可以使用 TCP/IP 篩選搭配 IPSec 篩選和路由和遠端存取封包篩選,來分層您的 TCP/IP 輸入存取控制配置。 如果您想要控制輸入和輸出 TCP/IP 存取,這個方法特別有用,因為單獨使用 TCP/IP 安全性只會控制輸入存取。

注意事項

TCP/IP 篩選只能篩選輸入流量,而且無法封鎖 ICMP (因特網控制訊息通訊協定) 訊息,不論 [ 僅允許 IP 通訊協定 ] 資料行中設定的設定為何,或您是否不允許因特網通訊協定 1。 如果您需要進一步控制輸出存取,請使用IPSec原則或封包篩選。

注意事項

建議您在具有兩個網路適配器的 SBS 2003 計算機上使用 [設定電子郵件和因特網連線精靈],然後開啟 [防火牆] 選項,然後在外部網路適配器上開啟所需的埠。 如需設定電子郵件和因特網聯機精靈的詳細資訊,請選取 [ 開始],然後選取 [ 說明及支援]。 在 [ 搜尋] 方 塊中,輸入 [設定電子郵件和因特網聯機精靈],然後選取 [ 開始搜尋]。 您可以在 Small Business Server Topics 結果集清單中找到 [設定電子郵件和因特網連線精靈] 的相關信息。

在 Windows Server 2003 中設定 TCP/IP 安全性

若要設定 TCP/IP 安全性:

  1. 選取 [開始],指向 [控制台],指向 [網络 Connections],然後選取您要設定的區域連線。

  2. 在 [ 連線狀態] 對話框中,選取 [ 屬性]

  3. 取 [因特網通訊協定 (TCP/IP) ],然後選取 [ 屬性]

  4. 在 [ 因特網通訊協定 (TCP/IP) 屬性] 對話框中,選取 [ 進階]

  5. 取 [選項]

  6. [選擇性設定] 下,選取 [TCP/IP 篩選],然後選取 [ 屬性]

  7. 按兩下以選取 [ 啟用 TCP/IP 篩選 (所有配接器) ] 複選框。

    注意事項

    當您選取此複選框時,您會啟用所有配接器的篩選,但會個別設定每個配接器的篩選。 相同的篩選不適用於所有配接器。

  8. 在 [ TCP/IP 篩選 ] 對話框中,有三個區段可讓您設定 TCP 連接埠的篩選、用戶數據報通訊協定 (UDP) 埠和因特網通訊協定。 針對每個區段,設定適合您計算機的安全性設定。

    注意事項

    啟用 [全部允許 ] 時,您會允許 TCP 或 UDP 流量的所有封包。 [僅允許 ] 可讓您藉由新增允許的埠,只允許選取的 TCP 或 UDP 流量。 若要指定埠,請使用 [ 新增] 按鈕。 若要封鎖所有 UDP 或 TCP 流量,請選取 [ 僅允許 ],但不要在 [UDP 埠] 資料行或 [TCP 連接埠] 資料行中新增任何埠號碼。 您無法藉由選取 [ 僅允許IP通訊協定 ] 並排除IP通訊協定6和17來封鎖UDP或TCP流量。

在 Windows Small Business Server 2003 中設定 TCP/IP 安全性

若要設定 TCP/IP 篩選,請遵循下列步驟。

注意事項

若要執行此程式,您必須是本機計算機上 Administrators 群組或網路組態操作員群組的成員。

  1. 選取 [開始],指向 [控制台],以滑鼠右鍵按兩下 [網络 Connections],然後選取 [開啟]

  2. 以滑鼠右鍵按下您要設定輸入存取控制的網路連線,然後選取 [ 屬性]

  3. 在 [一般] 索引標籤上的 [adaptorName 連接屬性] 下,選取 [因特網通訊協定 (TCP/IP) ],然後選取 [屬性]

  4. 在 [ 因特網通訊協定 (TCP/IP) 屬性] 對話框中,選取 [ 進階]

  5. Select the Options tab.

  6. 選取 [TCP/IP 篩選],然後選取 [ 屬性]

  7. 按兩下以選取 [ 啟用 TCP/IP 篩選 (所有配接器) ] 複選框。

    注意事項

    當您選取此複選框時,您會啟用所有配接器的篩選。 不過,必須在每個配接器上完成篩選設定。 啟用 TCP/IP 篩選時,您可以選取 [全部 允許 ] 選項來設定每個適配卡,也可以只允許特定 IP 通訊協定、TCP 連接埠和 UDP (使用者數據報通訊協定) 埠接受輸入連線。 例如,如果您啟用 TCP/IP 篩選,而且您將外部網路適配器設定為只允許埠 80,這可讓外部網路適配器只接受網路流量。 如果內部網路適配器也已啟用 TCP/IP 篩選,但已使用選取的 [ 全部允許 ] 選項進行設定,這會在內部網路適配器上啟用不受限制的通訊。

  8. [TCP/IP 篩選] 下,有三個數據行具有下列標籤:

    • TCP 埠
    • UDP 埠
    • IP 通訊協定

    在每個資料列中,您必須選取下列其中一個選項:

    • 全部允許。 如果您想要允許 TCP 或 UDP 流量的所有封包,請選取此選項。
    • 僅允許。 如果您只想要允許選取的 TCP 或 UDP 流量,請選取 [ 新增],然後在 [ 新增篩選 ] 對話框中輸入適當的埠或通訊協議號碼,請選取此選項。 您無法在 [IP 通訊協定] 資料行中選取 [ 僅允許 ],然後新增IP通訊協定6和17來封鎖UDP或TCP流量。

    注意事項

    您無法封鎖ICMP訊息,即使您在[IP 通訊協定]資料行中選取 [僅允許],然後不包含IP通訊協定1也一樣。

TCP/IP 篩選只能篩選輸入流量。 此功能不會影響輸出流量或 TCP 回應埠,這些埠是建立來接受來自輸出要求的回應。 如果您需要進一步控制輸出存取,請使用IPSec原則或路由和遠端存取封包篩選。

注意事項

如果您選取 [ 在 UDP 連接埠中允許]、[TCP 埠] 或 [IP 通訊協定] 資料行,且清單保留空白,則網络適配器將無法透過網路在本機或因特網與任何項目通訊。

參考資料

如需 TCP 和 UDP 埠號碼的詳細資訊,請參閱 服務名稱和傳輸通訊協定埠號碼登錄