K3与防火墙设置
K/3与防火墙设置1)、名词解释
防火墙(FireWall)--是通过创建一个中心控制点来实现网络安全控制的一种技术。通过在专用网和Internet之间的设置路卡、防火墙监视所有出入专用网的信息流,并决定哪些是可以通过的,哪些是不可以的。安全的防火墙意味着网络的安全。
端口(Port)--计算机用于通讯所使用的通道,如web用的端口80,开放的端口越多,则越容易被非法入侵。
TCP--Transmission Control Protocol的简称,是Internet上广为使用的一种计算机协议。
UDP--User Datagram Protocol的简称,Windows NT常使用的协议。
Regedt32.exe--用于进行注册表编辑的工具。
RPC--远程访问服务的简称。如要使用Modem或DDN使本局域网与外界进行数据交换,需安装RPC服务。
DCOM--Distributed Component Object Model分布式组件对象模型。
DTC--Distributed Transaction Coordinator分布式事务处理
2)操作指南
K/3中间层、K/3数据服务、客户端使用DCOM、DTC技术分布--
K/3中间层:DCOM 、DTC;
K/3客户端:DCOM
K/3数据库服务:DCOM、DTC
由于安全性的问题,防火墙只允许通过Internet信息数据交换使用特定端口(如web用80),而DCOM创建对象时使用的是1024-65535之间的动态port,并且由于防火墙的IP伪装特性,这使DCOM在有防火墙的服务器上是不能进行正常连接的,为解决此问题,需如下处理:
3)服务器和客户端统一使用TCP/IP协议。
微软Windows NT server 4.0与Windows NT WorkStation4.0之间使用UDP协议,而这在防火墙上则不能完全正常运用。所以需设置DCOM只使用TCP/IP协议(NT5.0缺省使用TCP/IP,不用设置)。
4)、防火墙设置:开放RPC使用端口135以及供DCOM/DTC使用的端口5000~5200
安全说明:
由于开放Port越多,则安全性越差,一般防火墙都关闭了大量端口,以防止非法入侵,但DCOM要使用大量的Ports,要解决二者的矛盾,可通过统一的RPC端口管理,(由RPC统一进行创建DCOM对象所需的port的映射处理)
所以需在防火墙服务器上打开RPC端口135,以及供DCOM/TDC随机调用,并且限制在一定的范围(建议值范围5000~5200)
5)两计算机之间操作如下
1.修改服务器注册表
使用regedt32.exe进行注册表编辑,注意不能用regedit.exe
并展开至HKEY_LOCAL_MACHINESoftwareMicrosoftRpc
2.点击文件夹RPC,然后在编辑菜单增加项,在增加对话框中,输入Internet,如下:HKEY_LOCAL_MACHINESoftwareMicrosoftRpcInternet
3、在Internet文件夹中,新增名为Ports的值,类型选择REG_MULTI_SZ,一个或多个端口范围,用于DCOM创建对象时使用,根据客户端数量多少指定,每行指定一范围。每个字符串值类型为单个端口或者是一个范围值。例如,打开端口5000,指定为5000,打开5000至5020,则指定5000-5020.此时每行则可以指定多个端口或一个范围值。必须说明的是端口范围为1024~65535,如果超出该范围则无效。微软推荐将端口范围在5000以上,最小范围15~20个。
按照同样方式以下两项添加:
Value: PortsInternetAvailable
Data Type: REG_SZ
Data: Y
Value: UseInternetPorts
Data Type: REG_SZ
Data:Y
4.可选项:在服务器和客户端的HKEY_LOCAL_MACHINESoftwareRpc下,您需要删除在DCOM Protocols项中所有除NCACN_IP_TCP外的其它内容(用于保证此端口只供DCOM使用TCP/IP,以防止其它非法入侵)
5.重新启动计算机。
6.结果验证:
a、使用Ping IP地址 指令,双向确认是否畅通;
b、防火墙端口开放确认,telnet IP 135 (一般以不出错误为依据);
页:
[1]