Windows的TCP/IP筛选功能(1)

在一个完备的网络中，人们通常会在路由器或防火墙中设定包过滤规则，以保护内网安全。但对于一个开放的服务器或家庭个人PC，一般我们会通过在操作系统层面设定包过滤规则来保护我们的系统。Windows的“TCP/IP筛选”功能由于其配置简单容易管理被广泛采用。
在一次给某公司实施的Web项目中，由于该公司无任何网络安全设备，因此我们采用在其Web服务器上启用“TCP/IP筛选”功能来保证服务器的安全；同时为防止用户在上传网页时将病毒带入服务器，我们又在其Web服务器上安装了KILL的防病毒产品——KILL安全胄甲。图1是TCP/IP筛选的配置管理界面。

图1 TCP/IP筛选

“TCP/IP筛选”只影响入站流量，对出站无任何限制。在TCP端口处我们开放了两个端口，一个是80端口，用于外部用户访问Web服务器上的网站，一个是21端口，用于外部用户上传网页到Web服务器。UDP端口我们设置成了只允许但未添加任何端口，这样等于关闭了UDP。
KILL的特征码下载采用的是FTP方式（FTP://ftp.kill.com.cn），实际使用中Kill报错，不能下载特征码进行病毒库升级。
首先，由于KILL特征码下载使用的是FTP加域名的方式，而域名解析使用的UDP协议，在上述配置中UDP协议被关闭了。DNS服务器是用UDP的53号端口来受理来自外部的查询，照理“UDP 端口”栏应设成53，但是，在要查询外部DNS服务器时，需将数据包送往外部DNS服务器的UDP 53号端口，用1025号以上的UDP端口接收返回数据包，但UDP与TCP不同，没有ACK标志，Windows 对于送来的UDP包无法判定是连接请求还是返回来的数据包，如果能指定允许端口范围，只要指定1025以上的端口即可，可惜，在“TCP/IP筛选”中，只能一个一个端口地指定。为了在Windows 上能正常运行DNS解析，只好将“UDP端口”栏改设成“全部允许”，或者不通过DNS解析，下载特征码时直接采用IP地址。