深入理解路由和远程访问服务中的筛选器和基本防火墙

IP筛选器的属性如下图所示，你可以通过源网络、目标网络和协议来对IP数据包进行筛选器；你可以只设置源IP网络或目标网络，或者都不设置，根据协议来进行筛选。对于源网络和目标网络的匹配，RRAS是按照以下原则进行：将IP数据包的源IP地址和目的IP地址分别与IP筛选器中设置的源网络和目标网络的子网掩码进行相与操作，然后再和IP筛选器中的源网络的IP地址和目的网络的IP地址进行比较。因此，对于筛选器的设置，子网掩码中设置为“0”的位，在IP地址中必须设置为“0”。这是为什么呢？因为在相与操作中，与“0”相与永远为“0”，因此任何IP地址和子网掩码的“0”位相与后均为“0”。而如果你设置的筛选器中IP地址对应的位却设置为“1”，那么你的筛选器将永远都得不到匹配，因此此筛选器就没有任何作用。如果你设置错误，则RRAS会提示你输入的IP地址和子网掩码不兼容，如下图所示：因此，定义源网络和目标网络的方法为：定义某个IP地址时，使用子网掩码255.255.255.255。例如定义源网络为IP地址10.2.1.8，应采用子网掩码255.255.255.255；而10.2.1.0/24网络的子网广播地址，应采用IP地址10.2.1.255、子网掩码255.255.255.255来定义。定义某个网络时，在子网掩码为“0”的位设置IP地址位为“0”。例如要定义网络10.2.1.0/24，则采用IP地址10.2.1.0、子网掩码255.255.255.0来定义；要定义网络10.2.1.192/27，则采用IP地址10.2.1.192、子网掩码255.255.255.224来定义。你还可以通过协议来进行筛选。在IP筛选器中，你可以设置为使用TCP、TCP（已建立的）、UDP、ICMP、其他指定协议号的IP协议或者任何IP协议来进行筛选。其中TCP和TCP（已建立的）区别在于是否已经建立好了TCP连接，这是IP筛选器的状态过滤功能。例如，对于一个从外部网络源端口80发送至本地网络目标端口1031的入站IP数据包，如果你入站筛选器中选择的协议类型为TCP（已建立的），那么只有当过去已经从本地端口1031和外部网络端口80创建了TCP连接时（即本地网络先访问了外部网络，这是外部网络返回的数据），此数据包才会匹配此IP筛选器；如果你协议类型选择为TCP，那么不管本地端口是否和远端端口已经创建了连接，均会匹配此IP筛选器。此外，在路由和远程访问服务中，如果你启用了NAT/基本防火墙服务，则你可以对连接到Internet的公用接口设置基本防火墙。基本防火墙是一个具有状态过滤的防火墙，它的工作原理是这样的：基本防火墙会将每一个从专用网络（内部网络）发往公用接口的IP数据包记录到一个连接状态表中，当从公用接口接收到某个数据包时，基本防火墙将此数据包和连接状态表中的记录进行比较，如果比较结果显示是由专用网络发起的通讯，则允许此IP数据包；如果比较结果显示不是由专用网络发起的通讯，则丢弃此IP数据包。通过这种方式，基本防火墙可使来自公用网络的未经请求的通讯无法到达专用网络，保证了专用网络的安全。基本防火墙类似于公用接口上的入站筛选器，但是和入站筛选器有些区别，主要在于：基本防火墙只能在公用接口上设置，而入站筛选器可以在专用网络接口上设置；基本防火墙比入站筛选器具有更高的优先级；基本防火墙配置更为简单。你在公用接口属性中的服务和端口、ICMP标签中的配置都会在基本防火墙上开放相应的协议和端口，但不会设置相应的入站筛选器；除此之外，基本防火墙不可配置。基本防火墙和入站筛选器是独立的，对于每一个入站IP数据包，必须同时基本防火墙和入站筛选器的设置，否则将被丢弃。因此对于公用接口，当配置使用基本防火墙时，不建议再配置入站筛选器。深入理解路由和远程访问服务中的筛选器和基本防火墙在路由和远程访问服务中，具有两种筛选器：请求拨号筛选器和数据包筛选器。它们的配置方式是一样的，但是作用不同，针对的接口也不同。请求拨号筛选器只是针对请求拨号接口，它在初始化请求拨号接口之前使用，作用为确定引起请求拨号初始化的IP数据包。当路由和远程访问服务接收到匹配某个请求拨号接口所设置的请求拨号筛选器的IP数据包时，会自动初始化此请求拨号连接，从而进行数据包的路由转发。配置的操作步骤为在RRAS管理控制台中展开服务器，然后点击网络接口，然后在右边窗口中右击请求拨号接口名，然后选择设置IP请求拨号筛选器，如下图所示：弹出的设置请求拨号筛选器窗口如下图所示，其中你可以选择仅为下面所设置的筛选器进行请求拨号或者为除了下面所设置的筛选器外的所有通信进行请求拨号，默认情况下，为所有通信初始化请求拨号连接。而数据包筛选器用于IP数据包的过滤。数据包筛选器分为入站筛选器和出站筛选器，分别对应接收到的数据包和发出的数据包。对于某一个接口而言，入站数据包指的是从此接口接收到的数据包，而不论此数据包的源IP地址和目的IP地址；出站数据包指的是从此接口发出的数据包，而不论此数据包的源IP地址和目的IP地址。类似于请求拨号筛选器，你可以在入站筛选器和出站筛选器中定义RRAS只是允许筛选器中所定义的IP数据包或者允许除了筛选器中定义的IP数据包外的所有数据包，对于没有允许的数据包，RRAS将会丢弃此数据包。配置WindowsServer2003作为网络间的路由器在Windows服务器系统中，均提供了路由和远程访问（RRAS）服务。其实路由和远程访问服务是两部分功能的结合：路由服务和远程访问服务。通过RRAS提供的路由功能，你可以把你的Windows服务器配置为一台路由器。RRAS中提供的路由服务主要有：不同网络间数据包的路由功能；静态路由支持；DHCP中继代理协议支持；NAT路由支持；IGMP、RIPv2、OSPF路由协议支持；在这篇文章中，我主要给大家介绍一下如何配置Windows服务器作为不同网络间的路由器。Windows服务器是严格根据自己的路由表来决定如何对数据进行路由的。路由表是根据自己网络接口的配置而产生，并且可以通过手动配置静态路由或者从RIPv2、OSPF的动态路由协议获得更新。查看系统的路由表的方式有两种：在命令提示符下运行routeprint命令；在RRAS管理控制台中查看路由表，具体操作方法为在RRAS管理控制台展开服务器名，然后展开IP路由选择，右击静态路由，选择显示IP路由表。配置WindowsServer2003作为网络间路由器的过程非常简单：首先，你需要正确配置这台Windows服务器不同网络接口的TCP/IP属性，如IP地址、子网掩码、默认网关等等，然后点击管理工具下的路由和远程访问，在弹出的路由和远程访问管理控制台上，你可以看到服务器名左侧图标上有个红色向下的箭头，这表明服务器未运行。右击服务器名，然后选择配置并启用路由和远程访问，在弹出的欢迎使用路由和远程访问服务器安装向导页，点击下一步；在配置页，选择自定义配置，然后点击下一步；在自定义配置页，选择LAN路由，然后点击下一步；在正在完成路由和远程访问服务器安装向导页，点击完成；此时提示你是否开始RRAS服务，点击是，等待几秒后，RRAS完成配置后自动开始运行，如下图所示，你可以看到，服务器名左侧的图标上有个绿色向上的箭头，这表明RRAS已经正常运行并提供路由服务了。默认情况下RRAS只会路由本地局域网中的数据包。在RRAS提供请求拨号服务访问Internet时，你应该配置它同时路由请求拨号接口的数据包，配置方式为右击服务器名，选择属性，然后在常规标签中，选择用于局域网和请求拨号路由选择。不过此选项通常情况下无需你额外配置，在启用NAT服务并使用请求拨号接口时，会自动设置为此选项。你可以在静态路由中创建静态路由，操作步骤为右击静态路由，选择新建静态路由，如下图所示：你也可以在命令提示符下通过routeadd命令来添加静态路由。其实Windows操作系统均具有数据包路由的功能，只是默认并未启用。你可以修改[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]路径下的Dword键值IPEnableRouter当它的值为1时，启用数据包路由功能，默认为0，即为不启用。通过IPEnableRouter注册表键值启用路由功能和通过RRAS启用路由功能的区别在于RRAS除了提供路由功能外，还提供数据包筛选器的数据包过滤功能。关于数据包筛选器详细的信息，请参见深入理解路由和远程访问服务中的筛选器和基本防火墙一文。子网掩码子网掩码(subnetmask)是每个网管必须要掌握的基础知识，只有掌握它，才能够真正理解TCP/IP协议的设置。以下我们就来深入浅出地讲解什么是子网掩码。IP地址的结构要想理解什么是子网掩码，就不能不了解IP地址的构成。互联网是由许多小型网络构成的，每个网络上都有许多主机，这样便构成了一个有层次的结构。IP地址在设计时就考虑到地址分配的层次特点，将每个IP地址都分割成网络号和主机号两部分，以便于IP地址的寻址操作。IP地址的网络号和主机号各是多少位呢？如果不指定，就不知道哪些位是网络号、哪些是主机号，这就需要通过子网掩码来实现。子网掩码不能单独存在，它必须结合IP地址一起使用。子网掩码只有一个作用，就是将某个IP地址划分成网络地址和主机地址两部分。子网掩码的设定必须遵循一定的规则。与IP地址相同，子网掩码的长度也是32位，左边是网络位，用二进制数字“1”表示；右边是主机位，用二进制数字“0”表示。只有通过子网掩码，才能表明一台主机所在的子网与其他子网的关系，使网络正常工作。子网掩码的术语是扩展的网络前缀码不是一个地址，但是可以确定一个网络层地址哪一部分是网络号，哪一部分是主机号，1的部分代表网络号，掩码为0的部分代表主机号。子网掩码的作用就是获取主机IP的网络地址信息，用于区别主机通信不同情况，由此选择不同路。其中A类地址的默认子网掩码为255.0.0.0；B类地址的默认子网掩码为255.255.0.0；C类地址的默认子网掩码为：255.255.255.0。如何通过子网掩码来确定网络号或者网络地址？通过IP地址的二进制与子网掩码的二进制进行与运算进行定某个设备的网络地址，也就是说通过子网掩码分辨一个网络的网络部分和主机部分子网掩码一旦设置，网络地址和主机地址就固定了。相对于使用子网掩码来识别网络地址，早期的使用类别进行网络地址的分类存在着地址大量浪费的不足。子网一个最显著的特征就是具有子网掩码。与IP地址相同，子网掩码的长度也是32位，也可以使用十进制的形式。例如，为二进制形式的子网掩码：11111111111111111111111100000000，采用十进制的形式为：255.255.255.0。1.子网掩码的概念子网掩码是一个32位地址，用于屏蔽IP地址的一部分以区别网络标识和主机标识，并说明该IP地址是在局域网上，还是在远程网上。2.确定子网掩码数用于子网掩码的位数决定于可能的子网数目和每个子网的主机数目。在定义子网掩码前，必须弄清楚本来使用的子网数和主机数目。定义子网掩码的步骤为：A、确定哪些组地址归我们使用。比如我们申请到的网络号为“210.73.a.b”，该网络地址为c类IP地址，网络标识为“210.73”，主机标识为“a.b”。B、根据我们现在所需的子网数以及将来可能扩充到的子网数，用宿主机的一些位来定义子网掩码。比如我们现在需要12个子网，将来可能需要16个。用第三个字节的前四位确定子网掩码。前四位都置为“1”（即把第三字节的最后四位作为主机位，其实在这里有个简单的规律，非网络位的前几位置1原网络就被分为2的几次方个网络，这样原来网络就被分成了2的4次方16个子网），即第三个字节为“11110000”，这个数我们暂且称作新的二进制子网掩码。C、把对应初始网络的各个位都置为“1”，即前两个字节都置为“1”，第四个字节都置为“0”，则子网掩码的间断二进制形式为：“11111111.11111111.1111000