TCPIP筛选.doc

对于部署在Internet的服务器，安全是必须要考虑的事情。为了降低服务器受攻击的危险，停止不必要的服务或在本地连接的TCP/IP属性中只打开必要的端口。 如图2-127所示，实验环境为Server的IP地址00，运行着Web服务，SMTP服务、POP3服务、FTP服务和DNS服务。Client的IP地址为21。只允许Client计算机访问Server计算机的Web服务、FTP服务和DNS服务。以下演示配置Server计算机的TCP/IP筛选只允许TCP目标端口为80和21的数据包进入，以及只允许UDP目标端口为53的数据包进入。 ▲图2-127 TCP/IP筛选示意图 （1）如图2-128所示，在Client计算机上安装ScanPort软件，输入起始地址和结束地址都为Server计算机的IP地址00，并输入端口号的范围，单击“扫描”按钮。 （2）如图2-128所示，可以看到扫描结果。通过扫描结果，可以断定该服务器运行着FTP服务、SMTP服务，DNS服务、Web服务和POP3服务等。 （3）如图2-129所示，在Server上，打开“本地连接 属性”对话框，选中“Internet协议（TCP/IP）”复选框，单击“属性”按钮。 ▲图 2-128 端口扫描 ▲图2-129 “本地连接 属性”对话框 （4）如图2-130所示，在打开的“Internet协议（TCP/IP）属性”对话框中，单击“高级”按钮。 （5）如图2-131所示，在出现的“高级TCP/IP设置”对话框的“选项”选项卡中，选中“TCP/IP筛选”选项，单击“属性”按钮。 ▲图2-130 “Internet协议（TCP/IP）属性”对话框 ▲图2-131 “高级TCP/IP设置”对话框 （6）如图2-132所示，在出现的“TCP/IP筛选”对话框中，选中“启用TCP/IP筛选”复选框，TCP端口选中“只允许”单选按钮，单击“添加”按钮。 （7）如图2-132所示，在出现的“添加筛选器”对话框中，输入80，单击“确定”按钮。 （8）如图2-133所示，同样添加TCP的21端口。 （9）如图2-133所示，UDP端口选中“只允许”单选按钮，添加端口53，单击“确定”按钮。 ▲图2-132 添加允许的TCP端口 ▲图2-133 添加允许的UDP端口 （10）如图2-134所示，提示需要重启计算机，单击“是”按钮，重启计算机。 （11）如图2-135所示，在Client上，发现只能扫描到21和80端口，端口扫描只是扫描TCP的端口，不扫描UDP端口。这样Client计算机只能访问Server FTP服务和Web服务。 ▲图2-134 需要重启计算机 ▲图2-135 扫描端口 （12）如图2-136所示，在Server上，在命令提示符下输入netstat –an查看侦听的端口。可以看到该服务器在TCP的25、110端口侦听。这说明TCP/IP筛选并不控制服务器侦听的端口。 （13）如图2-137所示，在Client上，运行ping ，可以看到Client计算机可以通过Server进行域名解析。 （14）如图2-137所示，telnet Server的25端口和110端口失败。说明TCP/IP筛选没有允许这些端口。 ▲图2-136 查看侦听的端口 ▲图2-137 测试域名解析 （15）如图2-138所示，在Client上可以访问Server的Web服务，也能够访问FTP服务。 （16）如图2-139所示，在Server上访问Client计算机的共享文件夹，输入Client计算机的用户名和密码，能够访问成功。 ▲图2-138 能够访问Web和FTP站点 ▲图2-139 TCP/IP筛选不影响出去的流量 （17）如图2-140所示，在命令提示符下输入netstat –n，可以看到建立的会话，说明TCP/IP筛选并不控制出去的流量。 （18）如图2-141所示，在Server上ping ，发现不能域名解析，输入nslookup后，输入，可以看到解析失败。为什么Server不能将域名解析呢？ ▲图2-140 查看建立的会话 ▲图2-141 域名解析 Server为什么不能解析Internet DNS服务器的域名？举例说明：Server向Internet DNS发送域名解析的请求，协议是UDP，目标端口为53，源端口为1027，当数据包发出去后，由于UDP不建立会话，发出去的数据包或请求就忘记了，在域名解析结果返回来的时候，由于TCP/IP筛选UDP只打开了53端口，而没有打开1027端口，因此被TCP/IP筛选拦截。因此域名解析失败。 为什么Server的TCP/IP筛选访问Client的共享文件夹？举例说明：如图2-142所示，Server访问Client的共享文件夹，Server