Windows的TCP/IP筛选功能(1)


在一个完备的网络中,人们通常会在路由器或防火墙中设定包过滤规则,以保护内网安全。但对于一个开放的服务器或家庭个人PC,一般我们会通过在操作系统层面设定包过滤规则来保护我们的系统。Windows的“TCP/IP筛选”功能由于其配置简单容易管理被广泛采用。
在一次给某公司实施的Web项目中,由于该公司无任何网络安全设备,因此我们采用在其Web服务器上启用“TCP/IP筛选”功能来保证服务器的安全;同时为防止用户在上传网页时将病毒带入服务器,我们又在其Web服务器上安装了KILL的防病毒产品——KILL安全胄甲。图1是TCP/IP筛选的配置管理界面。


图1 TCP/IP筛选

“TCP/IP筛选”只影响入站流量,对出站无任何限制。在TCP端口处我们开放了两个端口,一个是80端口,用于外部用户访问Web服务器上的网站,一个是21端口,用于外部用户上传网页到Web服务器。UDP端口我们设置成了只允许但未添加任何端口,这样等于关闭了UDP。
KILL的特征码下载采用的是FTP方式FTP://ftp.kill.com.cn),实际使用中Kill报错,不能下载特征码进行病毒库升级。
首先,由于KILL特征码下载使用的是FTP加域名的方式,而域名解析使用的UDP协议,在上述配置中UDP协议被关闭了。DNS服务器是用UDP的53号端口来受理来自外部的查询,照理“UDP 端口”栏应设成53,但是,在要查询外部DNS服务器时,需将数据包送往外部DNS服务器的UDP 53号端口,用1025号以上的UDP端口接收返回数据包,但UDP与TCP不同,没有ACK标志,Windows 对于送来的UDP包无法判定是连接请求还是返回来的数据包,如果能指定允许端口范围,只要指定1025以上的端口即可,可惜,在“TCP/IP筛选”中,只能一个一个端口地指定。为了在Windows 上能正常运行DNS解析,只好将“UDP端口”栏改设成“全部允许”,或者不通过DNS解析,下载特征码时直接采用IP地址。


相关内容