集中核算与防火墙配置指南.docVIP

SUBJECT Fmis实施项目组 TITLE 核算多单位版与防火墙配置 版本 1.0 Version: 1.0 Date: 2003-12-16 修订历史记录 日期 版本 说明 作者 目录 TOC \o 1-4 \h \z 1. 简介 4 1.1 目的 4 1.2 范围 4 1.3 定义、首字母缩写词和缩略语 4 1.4 参考资料 4 1.5 概述 4 2. Microsoft 的技术资料 4 2.1 MSDN上的文章 4 2.2 咨询Microsoft支持工程师的结果 4 2.3 DCOM配置端口的方法 4 2.3.1 使用控制面板中的组件服务配置 4 2.3.2 修改注册表配置 6 2.3.3 程序编码配置 6 3. 我们是怎么验证的 6 3.1 网络环境背景 6 3.2 安装核核算多单位版 6 3.3 安装天网模拟防火墙 7 3.4 客户端的连接情况 9 3.4.1 12计算机连接到服务端的情况 9 4. 总结 9  TITLE 核算多单位版与防火墙配置 简介 目的 在安装了核算多单位版的服务器和客户端之间架设一防火墙，如何配置防火墙才能保证核算多单位版能够正常使用，不影响客户端连接。防火墙需要开放哪些端口？本文档将描述这方面的内容。 范围 本文档适用于FMIS项目组。 定义、首字母缩写词和缩略语 核算多单位版：《财务软件》系列财务软件，以浏览器/服务器方式实现的财务管理软件，多单位版实现了多单位多帐套的集中会计核算。 参考资料 Microsoft MSDN 站点 概述 核算多单位版的客户端和服务端使用Microsoft DCOM技术连接。FMIS项目组通过和微软的技术支持工程师交流，查阅相关的技术文档资料，了解了如何配置DCOM，让其和防火墙一起工作。也就是说，如何配置DCOM使用特定的通讯端口，然后防火墙只需要开放这些端口，就能保证DCOM工作正常。本文档将从三个方面叙述解决该技术点的过程，Microsoft相关技术文档资料是如何说明的，我们是怎么验证和实现的，核算多单位版服务器将要如何配置和程序如何编写。 Microsoft 的技术资料 MSDN上的文章 Microsoft MSDN上的相关说明文章，地址：http: // / library / default.asp?url=/library/en-us/dndcom/html/msdn_dcomfirewall.asp。 文章这样叙述的，DCOM使用Windows的服务remote procedure call (RPC)实现网络间的通讯，remote procedure call (RPC)会使用135端口，客户端首先会通过TCP或UDP的135端口向服务端请求联接，然后服务端创建一个新的COM对象并分配一个未使用的通讯端口给客户端，告诉客户端使用该端口。这个端口范围DCOM默认的范围是1024-65535，这个范围很宽，如果防火墙开放这个范围的端口，将是一个很大的安全漏洞。所以DCOM提供了设置该端口范围的功能，例如，可以配置该端口范围是5040-5080，这样防火墙只需要打开端口135和5040-5080，这样就安全多了。 具体是使用TCP协议还是UDP协议，文章是这么说的，Windows NT 4.0 操作系统的客户端连接非Windows NT 4.0操作系统的服务端的时候，使用UDP协议，相应的开放UDP的端口。其他的情况使用TCP协议。 咨询Microsoft支持工程师的结果 COM+的底层通讯也是使用DCOM，所以本文档同样适用于COM+。 DCOM配置端口的方法 以下三种方式均可达到同样目的。 使用控制面板中的组件服务配置 打开控制面板中管理工具的组件服务，选中节点“我的电脑”，然后选择鼠标右键弹出的菜单的“属性”菜单。出现一个窗口。 选择“默认连接”属性页，然后选中“面向连接的TCP/IP”，点击“属性”按钮。 按下“添加”按钮，输入一个端口范围，“端口范围分配”选择Internet范围，“默认动态端口分配”选择Internet 范围。 配置完成后请重新启动计算机。 修改注册表配置 使用注册表编辑器编辑注册表，在位置：HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Rpc \ Internet 添加下列键值： 键名 键类型 键值 说明 Ports REG_MULTI_SZ nnnn-nnnn 使用的端口范围，例如：5020-5040。 PortsInternetAvailable REG_SZ Y 总是设置成“Y”