Безопасность IIS
       

Windows 2000 содержит возможность фильтрации


Windows 2000 содержит возможность фильтрации в стеке протоколов TCP/IP. Используется простой набор правил, блокирующий все порты, кроме указанных (или открывающий доступ ко всем портам, кроме указанных), либо блокирующий (разрешающий) доступ по всему протоколу в целом.

Совет. Возможности Windows 2000 используются как в интернете, так и в интранет-сетях. Тем не менее, если сайт организации подключен к интернету, то сетевые экраны обычно используются для блокировки и фильтрации пакетов. Сетевые экраны имеют большие возможностями по блокировке, используя сложный набор методов для предотвращения проникновения в сеть различных видов трафика интернета. Полезные в интранет-сетях фильтры Windows 2000 не заменят собой хороший сетевой фильтр интернета.

Ниже приведены шаги по применению фильтрации TCP/IP в Windows 2000.

  1. Выберите команду Start\Settings\Control Panel (Пуск\Настройка\ Панель управления) либо щелкните правой кнопкой мыши на значке My Network Places (Сетевое окружение) на рабочем столе и откройте панель управления.
  2. Щелкните на значке Network And Dialup Connections (Сеть и удаленный доступ), щелкните правой кнопкой мыши на значке Local Area Connection (Подключение по локальной сети) и в появившемся меню выберите команду Properties, чтобы открыть окно Local Area Connection Properties (Свойства подключения по локальной сети), показанное ниже.



  3. Отметьте компонент Internet Protocol (TCP/IP) и нажмите на кнопку Properties, чтобы открыть окно Internet Protocol (TCP/IP) Properties (Свойства протокола интернета TCP/IP).
  4. Нажмите на кнопку Advanced (Дополнительно) в левом нижнем углу окна Internet Protocol Properties, чтобы открыть окно Advanced TCP/IP Settings (Дополнительные параметры TCP/IP), после чего откройте вкладку Options (Параметры). На рисунке показаны параметры TCP/IP.



  5. В списке опций выберите TCP/IP Filtering (Фильтрация TCP/IP) и нажмите на кнопку Properties, чтобы открыть диалоговое окно TCP/IP Filtering (Фильтрация TCP/IP), показанное на рисунке.



  6. Используемые правила фильтрации зависят от назначения сайта и от выполняемых на нем приложений.
    Если веб-сайт содержит только статические веб-страницы, заблокируйте все, за исключением порта TCP 80 для HTTP. Для этого выберите опцию Permit Only (Разрешить только) в столбце TCP, нажмите на кнопку Add (Добавить) и в появившемся диалоговом окно укажите номер порта. При использовании сайтом протокола защищенных сокетов (SSL) необходимо указать порт 443. Перед нажатием на кнопку OK отключите опцию Enable TCP/IP Filtering (all adapters) [Включить фильтрацию TCP/IP (все адаптеры)], если не будете применять это правило к сетевому интерфейсу, используемому для управления сервером.
Важно. Будьте осторожны с правилами! Если вы выберете Permit Only (Разрешить только) и не укажете ни одного номера порта, это будет интерпретировано как запрет по всем портам, и на сайт не сможет попасть ни один пользователь.

Процесс фильтрации аналогичен процессу, выполняемому для протокола UDP. Необходимо знать номер порта, для которого создается правило. Третий столбец в диалоговом окне TCP/IP Filtering (Фильтрация TCP/IP), имеющий заголовок IP Protocol (Протокол IP), используется для фильтрации по определенному протоколу. Необходимо указать протокол по номеру из справочной таблицы, поддерживаемой орагнизацией интернет-стандартов Internet Engineering Task Force (IETF) (см. приложение C). По мере необходимости можете добавлять в список новые протоколы.

Совет. Информация по параметрам IP-протокола имеется на сайте Microsoft Technet (www.Microsoft.com/technet) в разделе "IP Protocol Filtering" или в документе с номером Q309798.


Содержание раздела