Windows 2000 Server也能“包过滤”

     ---- 以往，人们常在ISDN路由器和宽带路由器中设定包过滤规则，以保护内网安全。其实，在OS中也可以设定包过滤规则。通常，在路由器中，我们可以规定从外部经路由器送入企业内网和从企业内网经路由器发向外部的数据包过滤规则，而在OS中，我们可以针对出入OS的数据包设定过滤规则。

　　---- 对于将所有机器都配置在路由器内侧的同一个网段上的网络结构，需要用到OS包过滤机构，其规则设定与在路由器上的设定基本一致。事实上，只要路由器可正常发挥功能，凡OS需拒绝的数据包都可通过路由器来阻断，无须在OS中重复设定。

　　---- 对于图1所示的开放服务器和企业内部LAN分属不同网段的结构，我们只有充分利用OS的包过滤机构，用属于开放服务器的IP隐匿功能守护企业内部的服务器和客户机，才可使不安全系数降到最低。

　　　
　　图1

　　---- 除此之外，如果路由器由系统部门管理，部门服务器由下属各部门分别管理，也需要充分利用OS的包过滤机构。在路由器中设定由系统部门所制订的整个企业的规则，各下属部门的规则设定在OS中。
　　
　　---- 图1中所示的IP隐匿机构的设备，可以采用本地路由器或另外一台服务器。在采用服务器机器时，要安装2块网卡，一块分配全球地址，另一块分配专用地址。在2块网卡之间运行IP隐匿即可。

    Windows 2000 Server和几乎所有的Linux发行版都有这个功能的标准配置。

　　简述Windows 2000 Server包过滤规则

　　---- 我们仍然以图1所示的网络结构为例。假定在一台对外开放的服务器上运行Web、Mail和DNS服务器，我们可以通过表1展示在Windows 2000 Server中要设定的包过滤规则。

　　---- Windows 2000中备有3个包过滤机构：一个是在“TCP/IP筛选”选项下进行设定，它也是Windows NT 4.0标准配置的过滤机构；另一个是用路由和远程服务(RRAS)来设定，RRAS原本是Microsoft为了扩充Windows NT 4.0的路由器功能而提供的英语版模块，现在已经被标准配置到了Windows 2000 Server中; 还有一个是用IPsec的策略进行定义，IPsec是从Windows 2000 Server开始新增加的功能。

　　3种包过滤设定办法

　　---- 1．简单的“TCP/IP筛选”

　　---- Windows 2000配备的TCP/IP滤波机构只能进行简单控制，不能将IP地址和IP包的流向作为控制参数。 “TCP/IP筛选”操作方法：在“本地连接属性”画面，双击“Internet协议（TCP/IP）”后，选定对话框右下侧的“高级”按钮; 然后，选择“高级TCP/IP设定”*“选项”*“TCP/IP筛选”，弹出“TCP/IP筛选”画面(如图2所示)即可。

　　　
　　图2

　　---- 用“TCP/IP筛选”设定的过滤机构非常简单。不管在此做了什么设定，对于外部Windows 2000什么包都能发送，且能接收附有ACK标志的返回包。在这个原则下，在“TCP/IP筛选”中，对于来自外部的连接请求，只指定Windows 2000接收的端口号。
　　
　　---- 首先，选定“启用TCP/IP筛选”复选框，将TCP、UDP端口和IP协议都设定成“只允许”，然后，分别指定接收访问的端口号。例如：若开放Web服务器，只允许来自外部对TCP 80号端口的连接请求，即在“TCP端口”栏设定成80。
　　
　　---- 对于开放DNS服务器，情况要稍复杂些。DNS服务器是用UDP的53号端口来受理来自外部的查询。照理，“UDP 端口”栏应设成53，但是，在本身要查询外部DNS服务器时，需将数据包送往外部DNS服务器的UDP 53号端口，用1025号以上的UDP端口接收返回数据包。但UDP与TCP不同，没有ACK标志。Windows 2000对于送来的UDP包无法判定是连接请求还是返回来的数据包。如果能指定允许端口范围，只要指定1025以上的端口即可。可惜，在“TCP/IP筛选”中，只能一个一个端口地指定。为了在Windows 2000上能正常运行DNS服务器，只好将“UDP端口”栏改设成“全部允许”。
　　
　　---- 在DNS服务器中，还必须要打开辅助DNS和用于“区域传输”的端口。在“TCP端口”栏添加上53即可。由辅助DNS送来的“区域传输”请求包，送达TCP的53号端口。
　　
　　---- Mail服务器(SMTP)的设定很简单。只要在“TCP端口”栏添加上25、113号端口即可。在Mail服务器中，25端口接收从外部SMTP服务器送来的包，113端口用来认证服务（用户确认）。