收藏
下载资源下载资源 加入VIP,免费下载

TCPIP筛选.docx

上传人:b****1 文档编号:3487366 上传时间:2023-05-05 格式:DOCX 页数:16 大小:1.06MB
下载 相关 举报
TCPIP筛选.docx_第1页
第1页 / 共16页
TCPIP筛选.docx_第2页
第2页 / 共16页
TCPIP筛选.docx_第3页
第3页 / 共16页
TCPIP筛选.docx_第4页
第4页 / 共16页
TCPIP筛选.docx_第5页
第5页 / 共16页
TCPIP筛选.docx_第6页
第6页 / 共16页
TCPIP筛选.docx_第7页
第7页 / 共16页
TCPIP筛选.docx_第8页
第8页 / 共16页
TCPIP筛选.docx_第9页
第9页 / 共16页
TCPIP筛选.docx_第10页
第10页 / 共16页
TCPIP筛选.docx_第11页
第11页 / 共16页
TCPIP筛选.docx_第12页
第12页 / 共16页
TCPIP筛选.docx_第13页
第13页 / 共16页
TCPIP筛选.docx_第14页
第14页 / 共16页
TCPIP筛选.docx_第15页
第15页 / 共16页
TCPIP筛选.docx_第16页
第16页 / 共16页
亲,该文档总共16页,全部预览完了,如果喜欢就下载吧!
下载资源
资源描述

TCPIP筛选.docx

《TCPIP筛选.docx》由会员分享,可在线阅读,更多相关《TCPIP筛选.docx(16页珍藏版)》请在冰点文库上搜索。

TCPIP筛选.docx

TCPIP筛选

对于部署在Internet的服务器,安全是必须要考虑的事情。

为了降低服务器受攻击的危险,停止不必要的服务或在本地连接的TCP/IP属性中只打开必要的端口。

如图2-127所示,实验环境为Server的IP地址192.168.1.200,运行着Web服务,SMTP服务、POP3服务、FTP服务和DNS服务。

Client的IP地址为192.168.1.121。

只允许Client计算机访问Server计算机的Web服务、FTP服务和DNS服务。

以下演示配置Server计算机的TCP/IP筛选只允许TCP目标端口为80和21的数据包进入,以及只允许UDP目标端口为53的数据包进入。

▲图2-127TCP/IP筛选示意图

(1)如图2-128所示,在Client计算机上安装ScanPort软件,输入起始地址和结束地址都为Server计算机的IP地址192.168.1.200,并输入端口号的范围,单击“扫描”按钮。

(2)如图2-128所示,可以看到扫描结果。

通过扫描结果,可以断定该服务器运行着FTP服务、SMTP服务,DNS服务、Web服务和POP3服务等。

(3)如图2-129所示,在Server上,打开“本地连接属性”对话框,选中“Internet协议(TCP/IP)”复选框,单击“属性”按钮。

▲图2-128端口扫描▲图2-129“本地连接属性”对话框

(4)如图2-130所示,在打开的“Internet协议(TCP/IP)属性”对话框中,单击“高级”按钮。

(5)如图2-131所示,在出现的“高级TCP/IP设置”对话框的“选项”选项卡中,选中“TCP/IP筛选”选项,单击“属性”按钮。

▲图2-130“Internet协议(TCP/IP)属性”对话框▲图2-131“高级TCP/IP设置”对话框

(6)如图2-132所示,在出现的“TCP/IP筛选”对话框中,选中“启用TCP/IP筛选”复选框,TCP端口选中“只允许”单选按钮,单击“添加”按钮。

(7)如图2-132所示,在出现的“添加筛选器”对话框中,输入80,单击“确定”按钮。

(8)如图2-133所示,同样添加TCP的21端口。

(9)如图2-133所示,UDP端口选中“只允许”单选按钮,添加端口53,单击“确定”按钮。

▲图2-132添加允许的TCP端口▲图2-133添加允许的UDP端口

(10)如图2-134所示,提示需要重启计算机,单击“是”按钮,重启计算机。

(11)如图2-135所示,在Client上,发现只能扫描到21和80端口,端口扫描只是扫描TCP的端口,不扫描UDP端口。

这样Client计算机只能访问ServerFTP服务和Web服务。

▲图2-134需要重启计算机▲图2-135扫描端口

(12)如图2-136所示,在Server上,在命令提示符下输入netstat–an查看侦听的端口。

可以看到该服务器在TCP的25、110端口侦听。

这说明TCP/IP筛选并不控制服务器侦听的端口。

(13)如图2-137所示,在Client上,运行ping,可以看到Client计算机可以通过Server进行域名解析。

(14)如图2-137所示,telnetServer的25端口和110端口失败。

说明TCP/IP筛选没有允许这些端口。

▲图2-136查看侦听的端口▲图2-137测试域名解析

(15)如图2-138所示,在Client上可以访问Server的Web服务,也能够访问FTP服务。

(16)如图2-139所示,在Server上访问Client计算机的共享文件夹,输入Client计算机的用户名和密码,能够访问成功。

▲图2-138能够访问Web和FTP站点▲图2-139TCP/IP筛选不影响出去的流量

(17)如图2-140所示,在命令提示符下输入netstat–n,可以看到建立的会话,说明TCP/IP筛选并不控制出去的流量。

(18)如图2-141所示,在Server上ping,发现不能域名解析,输入nslookup后,输入,可以看到解析失败。

为什么Server不能将域名解析呢?

▲图2-140查看建立的会话▲图2-141域名解析

Server为什么不能解析InternetDNS服务器的域名?

举例说明:

Server向InternetDNS发送域名解析的请求,协议是UDP,目标端口为53,源端口为1027,当数据包发出去后,由于UDP不建立会话,发出去的数据包或请求就忘记了,在域名解析结果返回来的时候,由于TCP/IP筛选UDP只打开了53端口,而没有打开1027端口,因此被TCP/IP筛选拦截。

因此域名解析失败。

为什么Server的TCP/IP筛选访问Client的共享文件夹?

举例说明:

如图2-142所示,Server访问Client的共享文件夹,Server向Client发送访问共享文件夹的请求数据包,使用TCP协议,目标端口为445,源端口为1045,因为TCP是建立会话的,所以Server会临时打开端口1045,这样Client返回的数据包,能够进入Server。

▲图2-142UDP不建立会话

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 党团工作 > 入党转正申请

copyright@ 2008-2023 冰点文库 网站版权所有

经营许可证编号:鄂ICP备19020893号-2