Windows 2000 Server也能“包过滤”

     ---- 在“TCP/IP筛选”中，还有一个用于限制IP协议的设定栏“IP协议”。在此处，设定在IP的高层协议中接收哪个协议。但此处能限制的只是除TCP、UDP和ICMP以外的高层协议（路由中利用的IGMP和OSPF等），TCP、UDP和ICMP与此设定无关。
　　
　　 2．用RRAS实现精细控制

　　---- 在“TCP/IP筛选”中不能利用源IP地址和标志进行精细控制。另外，只用“TCP/IP筛选”机构，使UDP的1025以上端口全部开放，这是很危险的。再者，为了安全起见，服务器最好只作为服务器使用。但是，在“TCP/IP筛选”中，不能限制送出数据包，还要接收附有ACK标志的所有返回包。因此，在开放服务器上就会出现启动多个Web浏览器和各自分别阅览Web的情况。
　　
　　---- 在Windows 2000 Server中，为了精细设定路由规则，必须使用RRAS。和一般的包过滤机构一样，可以按条件来设定源IP地址、目标IP地址、协议种类（TCP、UDP、ICMP和附有ACK标志的包）、源端口和目标端口等，缺点是不能按范围指定IP地址和端口，难以表述“允许1025以上端口的所有应用”这样的规则。
　　
　　---- 为了使用RRAS，从“管理工具”中，选定“路由和远程访问”*“本地连接属性”（如图3所示）。画面中有“输入筛选器”和“输出筛选器”按钮，点击2个按钮，可分别对流入、流出网络的包设定各自的包过滤规则（如图4所示）。图5显示出表1所列的内向包过滤规则的设定。图5画面上有2个复选框：“接收所有符合下述条件以外的包”和“丢弃所有符合下述条件以外的包”，一个是“允许”条件，一个是“禁止”条件。一般来说，选择“禁止”条件会更安全些，所以，选定“丢弃所有符合下述条件以外的包”。需要特别指出的是，在Windows 2000 Server中，表2所列的端口“默认”状态是打开的。一般，NetBIOS over TCP/IP使用的137/138/139/445等，是非常危险的端口。经由这些端口可以访问共享文件夹，也很可能会成为黑客的跳板。在对外开放的服务器中，没有必要打开这些端口，选择“丢弃所有符合下述条件以外的包”，就可以关闭这些“默认”状态下打开着的端口。

　　　
　　图3

　　　
　　图4

　　　
　　图5