K3与防火墙设置

siOAna

K/3与防火墙设置
1)、名词解释  
防火墙（FireWall）--是通过创建一个中心控制点来实现网络安全控制的一种技术。通过在专用网和Internet之间的设置路卡、防火墙监视所有出入专用网的信息流，并决定哪些是可以通过的，哪些是不可以的。安全的防火墙意味着网络的安全。  
端口（Port）--计算机用于通讯所使用的通道，如web用的端口80，开放的端口越多，则越容易被非法入侵。
TCP--Transmission Control Protocol的简称，是Internet上广为使用的一种计算机协议。  
UDP--User Datagram Protocol的简称，Windows NT常使用的协议。
Regedt32.exe--用于进行注册表编辑的工具。
RPC--远程访问服务的简称。如要使用Modem或DDN使本局域网与外界进行数据交换，需安装RPC服务。
DCOM--Distributed Component Object Model分布式组件对象模型。
DTC--Distributed Transaction Coordinator分布式事务处理

2）操作指南  
K/3中间层、K/3数据服务、客户端使用DCOM、DTC技术分布--   
K/3中间层：DCOM 、DTC；
K/3客户端：DCOM
K/3数据库服务：DCOM、DTC   
由于安全性的问题，防火墙只允许通过Internet信息数据交换使用特定端口（如web用80），而DCOM创建对象时使用的是1024-65535之间的动态port，并且由于防火墙的IP伪装特性，这使DCOM在有防火墙的服务器上是不能进行正常连接的，为解决此问题，需如下处理：  
3）服务器和客户端统一使用TCP/IP协议。
微软Windows NT server 4.0与Windows NT WorkStation4.0之间使用UDP协议，而这在防火墙上则不能完全正常运用。所以需设置DCOM只使用TCP/IP协议（NT5.0缺省使用TCP/IP，不用设置）。  
4)、防火墙设置：开放RPC使用端口135以及供DCOM/DTC使用的端口5000～5200
安全说明：
由于开放Port越多，则安全性越差，一般防火墙都关闭了大量端口，以防止非法入侵，但DCOM要使用大量的Ports，要解决二者的矛盾，可通过统一的RPC端口管理，（由RPC统一进行创建DCOM对象所需的port的映射处理）
所以需在防火墙服务器上打开RPC端口135,以及供DCOM/TDC随机调用，并且限制在一定的范围（建议值范围5000～5200）   
5）两计算机之间操作如下   
1.修改服务器注册表
使用regedt32.exe进行注册表编辑，注意不能用regedit.exe   
并展开至HKEY_LOCAL_MACHINESoftwareMicrosoftRpc  
2.点击文件夹RPC，然后在编辑菜单增加项，在增加对话框中，输入Internet，如下：HKEY_LOCAL_MACHINESoftwareMicrosoftRpcInternet
3、在Internet文件夹中，新增名为Ports的值，类型选择REG_MULTI_SZ，一个或多个端口范围，用于DCOM创建对象时使用，根据客户端数量多少指定，每行指定一范围。每个字符串值类型为单个端口或者是一个范围值。例如，打开端口5000,指定为5000,打开5000至5020,则指定5000-5020.此时每行则可以指定多个端口或一个范围值。必须说明的是端口范围为1024～65535,如果超出该范围则无效。微软推荐将端口范围在5000以上，最小范围15～20个。
按照同样方式以下两项添加:
Value: PortsInternetAvailable
Data Type: REG_SZ
Data: Y  
Value: UseInternetPorts  
Data Type: REG_SZ
Data:Y  
4．可选项：在服务器和客户端的HKEY_LOCAL_MACHINESoftwareRpc下，您需要删除在DCOM Protocols项中所有除NCACN_IP_TCP外的其它内容（用于保证此端口只供DCOM使用TCP/IP，以防止其它非法入侵）
5.重新启动计算机。
6.结果验证：
a、使用Ping IP地址 指令，双向确认是否畅通；
b、防火墙端口开放确认，telnet IP 135 (一般以不出错误为依据)；