金蝶知识库文档金蝶软件(中国)有限公司客户服务中心第1页共20页WindowsServer2008R2防火墙设置本文档适用于K/3系统与WindowsServer2008R2防火墙的应用。学习完本文档以后,可以对K/3系统在WindowsServer2008R2防火墙中的设置有详细的了解。2012年12月27日2012年12月28日V1.0编写人:卢锦煌V2.0审核人:陈研鑫本文件使用须知著作权人保留本文件的内容的解释权,并且仅将本文件内容提供给阁下个人使用。对于内容中所含的版权和其他所有权声明,您应予以尊重并在其副本中予以保留。您不得以任何方式修改、复制、公开展示、公布或分发这些内容或者以其他方式把它们用于任何公开或商业目的。任何未经授权的使用都可能构成对版权、商标和其他法律权利的侵犯。如果您不接受或违反上述约定,您使用本文件的授权将自动终止,同时您应立即销毁任何已下载或打印好的本文件内容。著作权人对本文件内容可用性不附加任何形式的保证,也不保证本文件内容的绝对准确性和绝对完整性。本文件中介绍的产品、技术、方案和配置等仅供您参考,且它们可能会随时变更,恕不另行通知。本文件中的内容也可能已经过期,著作权人不承诺更新它们。如需得到最新的技术信息和服务,您可向当地的金蝶业务联系人和合作伙伴进行咨询。著作权声明著作权所有20xx金蝶软件(中国)有限公司。所有权利均予保留。本期概述版本信息版权信息金蝶知识库文档金蝶软件(中国)有限公司客户服务中心第2页共20页目录1.K/3系统防火墙概述.......................................................32.K/3系统防火墙设置要求...................................................32.1中间层服务器......................................................................................................................32.2数据库服务器......................................................................................................................42.3其它......................................................................................................................................43.K/3系统与防火墙集成部署方案示例.........................................43.1数据库服务器置于防火墙内..............................................................................................43.2中间层服务器和数据库服务器置于防火墙内..................................................................53.3HR/Web服务器置于DMZ内,中间层服务器和数据库服务器置于防火墙内............64.WindowsServer2008R2防火墙配置.........................................84.1防火墙基本设置..................................................................................................................84.2防火墙端口检测..................................................................................................................94.3中间层服务器防火墙配置................................................................................................104.3.1添加DCOM动态范围端口...........................................................................................104.3.2防火墙配置.....................................................................................................................124.4数据库服务器防火墙配置................................................................................................154.4.1数据库端口配置.............................................................................................................154.4.2防火墙配置.....................................................................................................................18金蝶知识库文档金蝶软件(中国)有限公司客户服务中心第3页共20页1.K/3系统防火墙概述防火墙(FireWall)是通过创建一个中心控制点来实现网络安全控制的一种技术。它是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上,监视所有出入专用网的信息流,并决定哪些是可以通过的,哪些是不可以的。安全的防火墙意味着网络的安全。由于安全性的问题,防火墙一般只允许通过Internet信息数据交换使用特定端口(如Web使用80端口),但是K/3客户端在访问服务器时需要调用DCOM组件及相关服务的支持,而DCOM创建对象时使用的是1024-65535之间的动态端口,并且由于防火墙的IP伪装特性,这使DCOM在有防火墙的服务器上是不能进行正常连接的。本文以WindowsServer2008R2为例,详细讲解如何配置K/3系统防火墙。2.K/3系统防火墙设置要求防火墙端口主要在服务器上开放,启用防火墙后,在【高级安全Windows防火墙】中新建规则添加入站端口,并对DCOM动态端口限定范围,重启后生效。K/3系统采用三层架构,根据K/3系统的通信原理,各层对防火墙的要求基本相同,但也存在一些差异。2.1中间层服务器中间层服务器上需要开放的端口有:(1)TCP端口135,是远程过程调用服务(RPC)的固定端口,不能改变。与数据库服务器、Web服务器、客户端通讯时均需使用;(2)TCP端口5159,K/3中间层加密服务的固定端口,不能改变,10.3之前版本不需要此端口。用于中间层与客户端、Web服务器通讯,中间层与数据库之间通讯不需此端口。(3)DCOM动态端口,DTC服务默认动态端口为TCP1025~65534,可以更改。对于中间层不在防火墙内的环境可保持此默认值,中间层在防火墙内时可通过设置将动态端口改到较小范围,一般设置500个连续端口即可,例如4000-4500。这些端口在K/3运行时并不处于侦听状态,只会动态调用和释放。此外如果有下列服务,需要开通以下额外端口:(1)TCP端口5150,K/3门店系统使用的数据同步端口,可以在门店系统中更改。(2)TCP端口5678,IMTS远程传输系统端口,可以在IMTS系统中更改。(3)HTTP端口80,合并报表系统需调用的HTTP端口,可随IIS设置更改。金蝶知识库文档金蝶软件(中国)有限公司客户服务中心第4页共20页2.2数据库服务器数据库服务器上需要开放的端口有:(1)TCP端口135,是远程过程调用服务(RPC)的固定端口,不能改变;(2)TCP端口1433,这是SQLServer数据库服务的默认TCP端口,可以在SQLServer中更改;(3)DCOM动态端口,DTC服务默认动态端口为TCP1025~65534,可以更改。对于数据库不在防火墙内的环境可保持此默认值,数据库在防火墙内时可通过设置将动态端口改到较小范围,一般设置50个连续端口即可,例如5000-5050。2.3其它HR/WEB服务器上需要开放的端口有:(1)HTTP端口80,IIS的HTTP端口,可随IIS设置更改。(2)TCP端口8185,为可选端口,供GUI模式的HR客户端平台调用。局域网内的HR管理人员可使用GUIHR客户端平台,而非局域网或非HR管理人员通过基于HTTP协议的Web客户端访问系统,不需要访问此端口。此端口可通过修改K/3HR/Web服务器安装目录Kingdee\K3ERP\KDHRAPP\IISServer\Server下Kingdee.K3.HR.Server.exe.config文件更改。客户端上需要开放的端口有:(1)TCP端口135,是远程过程调用服务(RPC)的固定端口,不能改变;(2)DCOM动态端口,默认是TCP1025~1325,如果在中间层组件服务中修改了这部分端口的值,客户端组件服务不需要随之更改,但是防火墙必须按中间层更改的值进行设定。此外如果有下列服务,需要开通以下额外端口:(1)门店传输,TCP5150,可以更改;(2)IMTS传输,TCP5678,可以更改。3.K/3系统与防火墙集成部署方案示例为便于理解以上介绍到的K/3各层对防火墙设置的要求,以及不同的网络部署模式,下面将以示例方式进行介绍。3.1数据库服务器置于防火墙内案例金蝶知识库文档金蝶软件(中国)有限公司客户服务中心第5页共20页数据库服务器在防火墙内,中间层服务器和局域网客户端在防火墙外。中间层穿过防火墙与数据库服务器通讯,客户端与中间层的通讯不需要经过防火墙。如图-1所示。图-1仅数据库服务器在防火墙内分析与说明1.防火墙策略设置(1)定义三种服务:TCP135(协议TCP,端口135)、TCP1433(协议TCP,端口1433)、TCP-DTC(协议TCP,端口6000-6050,此处假定数据库服务器用6000-6050作为MSDTC端口)。(2)设置对数据库服务器的访问策略,对中间层服务器的地址开通TCP135、TCP1433、TCP-DTC服务。2.Windows设置(1)数据库服务器:将6000-6050设置为MSDTC通讯端口,确认SQLServer已开通TCP/IP协议(SQLServer2005/2008默认不启用TCP/IP协议)。(2)中间层服务器:不需做任何特殊设置。(3)客户端:不需做任何特殊设置。3.金蝶K/3设置各服务器和客户端均不需做任何特殊设置。3.2中间层服务器和数据库服务器置于防火墙内案例中间层服务器和数据库服务器均在防火墙内,局域网客户端在防火墙外。客户端穿过防火墙与中间层服务器通讯,中间层服务器与数据库服务器的通讯不需要经过防火墙。如图-2所示。金蝶知识库文档金蝶软件(中国)有限公司客户服务中心第6页共20页图-2服务器均在防火墙内分析与说明1.防火墙策略设置(1)定义三种服务:TCP135(协议TCP,端口135)、TCP5159(协议TCP,端口5159)、TCP-DTC(协议TCP,端口6000-6500,此处假定中间层服务器用6000-6500作为MSDTC端口)。(2)设置对中间层服务器的访问策略,对客户端所在VLAN开通TCP135、TCP5159、TCP-DTC服务。2.Windows设置(1)中间层服务器:将6000-6500设置为MSDTC通讯端口(2)数据库服务器:不需做任何特殊设置。(3)客户端:不需做任何特殊设置3.金蝶K/3设置各服务器和客户端均不需做任何特殊设置。3.3HR/Web服务器置于DMZ内,中间层服务器和数据库服务器置于防火墙内案例HR/Web在防火墙DMZ区,中间层服务器和数据库服务器在防火墙内,Web客户端在防火墙外。客户端穿过防火墙与DMZ中的HR/Web服务器通讯,HR/Web服务器穿过防火墙与中间层服务器通讯,中间层服务器与数据库服务器的通讯不需要经过防火墙。如图-3所示。金蝶知识库文档金蝶软件(中国)有限公司客户服务中心第7页共20页图-3HR/Web服务器在DMZ内,服务器在防火墙内附:DMZ是英文“demilitarizedzone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。分析与说明1.防火墙策略设置(1)定义四种服务:TCP135(协议TCP,端口135)、TCP5159(协议TCP,端口5159)、TCP-DTC(协议TCP,端口6000-6500,此处假定中间层服务器用6000-6500作为MSDTC端口)、HTTP80(协议HTTP,端口80)。(2)设置对HR/Web服务器的访问策略,开通HTTP80服务。(3)设置对中间层服务器的访问策略,对HR/Web服务器的地址开通TCP135、TCP5159、TCP-DTC服务。2.Windows设置(1)HR/Web服务器:检查、测试IIS设置,看默认端口是否80。(2)中间层服务器:将6000-6500设置为MSDTC通讯端口(3)数据库服务器:不需做任何特殊设置。(4)客户端:不需做任何特殊设置3.金蝶K/3设置各服务器和客户端均不需做任何特殊设置。金蝶知识库文档金蝶软件(中国)有限公司客户服务中心第8页共20页4.WindowsServer2008R2防火墙配置4.1防火墙基本设置当我们安装好WindowsServer2008R2系统后,默认就已经启用了防火墙功能,此时,只要设置好网络位置,就会阻止其他计算机与此计算机的通信。依次单击【开始】菜单下的【控制面板】→【系统和安全】,打开【Windows防火墙】就可以查看防火墙的工作状态,如图-4所示。图-4【Windows防火墙】状态如果希望打开或关闭Windows防火墙的话,只需要单击左侧功能列表中的【打开或关闭防火墙】,即可看到设置窗口,如图-5所示。图-5Windows防火墙启用金蝶知识库文档金蝶软件(中国)有限公司客户服务中心第9页共20页上图中可以看到针对专用网中的家庭网络和工作网络已经开启了防火墙功能,此时就会封锁所有的传入连接。K/3客户端在连接服务器时,将无法通过防火墙访问服务器,打开K/3主控台可能提示“无法创建K/3中间层组件,请确定中间层组件配置正确或当前用户拥有相关权限后重试”,如图-6所示。图-6启用防火墙引起K/3错误4.2防火墙端口检测通过“telnet”命令可以检测连接的服务器是否在防火墙上允许通过该端口,使用“netstat–abo”命令可以监听所有系统进程占用端口的情况。1.以服务器IP地址“192.168.1.2”为例,检测端口1433是否允许通过,可在客户端上执行以下操作。单击打开【开始】菜单下的【运行】,输入“cmd”并单击【确定】按钮,在打开的命令窗口中输入“telnet192.168.1.21433”,如图-7所示,按【回车】键。图-7检测服务器1433端口如弹出如图-8所示的窗口,而且光标闪烁,说明端口通畅。如显示“正在连接到***...不能打开到主机的连接,在端口***:连接失败”,如图-9所示,说明端口不通,需在防火墙上重新添加,并重启服务器。图-8检测1433端口成功金蝶知识库文档金蝶软件(中国)有限公司客户服务中心第10页共20页图-9检测1433端口失败2.在服务器上单击打开【开始】菜单下的【运行】,输入“cmd”并单击【确定】按钮,在打开的命令窗口中输入“netstat-abo”,如图-10所示,按【回车】键。图-10监听系统端口如图-11所示,可看到本地TCP端口5159被K/3加密服务KDSvrMgrService.exe进程占用,末位数值“1480”为当前该进程PID号(可从任务管理器的进程选项卡中查看)图-11加密服务占用端口号情况4.3中间层服务器防火墙配置本文以WindowsServer2008R2+K/313.0WISE环境为例,详解配置中间层服务器防火墙的方法。4.3.1添加DCOM动态范围端口DCOM端口视被调用DCOM组件的多寡确定其端口范围,对于中间层服务器,一般建议使用4000-4500端口范围。具体设置操作如下:第一步,单击打开【开始】菜单下的【运行】,输入“dcomcnfg”并单击【确定】按钮,打开【组件服务】窗口,如图-12所示。金蝶知识库文档金蝶软件(中国)有限公司客户服务中心第11页共20页图-12【组件服务】第二步,依次展开【组件服务】→【计算机】→【我的电脑】,右键单击【我的电脑】选择【属性】菜单,打开【我的电脑属性】窗口,选择【默认协议】页签,如图-13所示。图-13【我的电脑】属性第三步,在【DCOM协议】列表中单击选中【面向连接的TCP/IP】,然后依次单击【属性】→【添加】按钮,添加端口范围“4000-4500”,最后单击【确定】按钮保存。如图-14所示。金蝶知识库文档金蝶软件(中国)有限公司客户服务中心第12页共20页图-14添加DCOM端口范围4.3.2防火墙配置依次单击【开始】菜单下的【管理工具】→【高级安全Windows防火墙】,打开【高级安全Windows防火墙】,在【入站规则】中,确认“COM+网络访问(DCOM-In)”和“COM+远程管理(DCOM-In)”规则已启用,如图-15所示。图-15高级安全Windows防火墙在右侧的【操作】列表中,单击【入站规则】下的【新建规则】,打开【新建入站规则向导】窗口,如图-16所示。金蝶知识库文档金蝶软件(中国)有限公司客户服务中心第13页共20页图-16新建入站规则向导单击选择“端口”规则类型后单击【下一步】按钮,进入【协议和端口】步骤。单击选择“TCP”协议,然后在“特定本地端口”中,输入中间层服务器需要开放的端口:135,5159,4000-4500,各端口之间以英文符号“,”隔开,如图-17所示。图-17添加协议和端口单击【下一步】按钮,在【操作】步骤中单击选择“允许连接”,如图-18所示。金蝶知识库文档金蝶软件(中国)有限公司客户服务中心第14页共20页图-18指定符合条件执行的操作继续单击【下一步】按钮,在【配置文件】步骤中选择应用的配置文件,此处根据所处网络环境进行应用,如不确定亦可全部勾选,如图-19所示。图-19指定应用时机单击【下一步】按钮后,对该新建规则命名,例如“中间层端口”,如图-20所示,然后单击【完成】按钮。新建完成后需要重启服务器,设置才能生效。图-20命名规则金蝶知识库文档金蝶软件(中国)有限公司客户服务中心第15页共20页4.4数据库服务器防火墙配置本文以WindowsServer2008R2+K/313.0WISE环境为例,详解配置数据库服务器防火墙的方法。4.4.1数据库端口配置依次单击【开始】菜单下的【所有程序】→【MicrosoftSQLServer2012】→【配置工具】→【SQLServer配置管理器】,如图-21所示。图-21SQLServer配置管理器打开【SQLServerConfigurationManager】窗口后,进入【SQLServer网络配置】下的【MSSQLSERVER的协议】,确认【TCP/IP】协议状态为“已启用”,如图-22所示。图-22启用TCP/IP协议有俩种端口配置方式,可任选其一:方法一:双击【TCP/IP】协议,打开【TCP/IP属性】窗口,选择“协议”页签,确认“全部侦听”为“是”,“已启用”设置为“是”,如图-23所示。金蝶知识库文档金蝶软件(中国)有限公司客户服务中心第16页共20页图-23协议“全部侦听”方法二:如不想全部侦听所有IP,即“协议”页签下的“全部侦听”为“否”,可双击【TCP/IP】协议,打开【TCP/IP属性】窗口,选择“IP地址”页签,确认IP2中“IP地址”为本机的IP地址,“TCP端口”已启用;IP4“TCP端口”已启用;IPALL“TCP端口”和IP2、IP4端口一致,分别如图-24、图-25所示。金蝶知识库文档金蝶软件(中国)有限公司客户服务中心第17页共20页图-24TCP/IP属性图-25TCP/IP属性金蝶知识库文档金蝶软件(中国)有限公司客户服务中心第18页共20页以上俩个方法分别配置后,单击【确定】按钮后弹出【警告】提示框,单击【确定】按钮即可,如图-26所示。图-26警告提示在【SQLServerConfigurationManager】窗口中选择【SQLServer服务】,在右侧列表中右键单击SQLServer(MSSQLSERVER)选择重启,如图-27所示。图-27重启数据库服务4.4.2防火墙配置依次单击【开始】菜单下的【管理工具】→【高级安全Windows防火墙】,打开【高级安全Windows防火墙】,在【入站规则】中,确认“COM+网络访问(DCOM-In)”和“COM+远程管理(DCOM-In)”规则已启用,如图-28所示。图-28高级安全Windows防火墙在右侧的【操作】列表中,单击【入站规则】下的【新建规则】,打开【新建入站规则向导】窗口,如图-29所示。金蝶知识库文档金蝶软件(中国)有限公司客户服务中心第19页共20页图-29新建入站规则向导单击选择“端口”规则类型后单击【下一步】按钮,进入【协议和端口】步骤。单击选择“TCP”协议,然后在“特定本地端口”中,输入中间层服务器需要开放的端口:135,1433,5000-5050,各端口之间以英文符号“,”隔开,如图-30所示。另外,“5000-5050”端口范围需要添加到【组件服务】中,具体步骤参照4.3.1操作。图-30添加协议和端口单击【下一步】按钮,在【操作】步骤中单击选择“允许连接”,如图-31所示。金蝶知识库文档金蝶软件(中国)有限公司客户服务中心第20页共20页图-31指定符合条件执行的操作继续单击【下一步】按钮,在【配置文件】步骤中选择应用的配置文件,此处根据所处网络环境进行应用,如不确定亦可全部勾选,如图-32所示。图-32指定应用时机单击【下一步】按钮后,对该新建规则命名,例如“数据库端口”,如图-33所示,然后单击【完成】按钮。新建完成后需要重启服务器,设置才能生效。图-33命名规则
