K3系统防火墙设置详解

1、金蝶知识库文档金蝶软件 （中国） 有限公司客户服务中心第 1 页共 19 页k3系统防火墙设置详解本文档适用于k/3 系统与防火墙的应用。学习完本文档以后，可以对k/3 系统在防火墙中的设置有详细的了解。2012 年 6 月 20 日 v1.0 编写人：卢锦煌2012 年 6 月 25 日 v2.0 审核人：李合雷本文件使用须知著作权人保留本文件的内容的解释权，并且仅将本文件内容提供给阁下个人使用。对于内容中所含的版权和其他所有权声明，您应予以尊重并在其副本中予以保留。您不得以任何方式修改、复制、公开展示、 公布或分发这些内容或者以其他方式把它们用于任何公开或商业目的。任何未经授权的使用都可能

2、构成对版权、商标和其他法律权利的侵犯。如果您不接受或违反上述约定，您使用本文件的授权将自动终止，同时您应立即销毁任何已下载或打印好的本文件内容。著作权人对本文件内容可用性不附加任何形式的保证，也不保证本文件内容的绝对准确性和绝对完整性。本文件中介绍的产品、 技术、方案和配置等仅供您参考，且它们可能会随时变更，恕不另行通知。 本文件中的内容也可能已经过期，著作权人不承诺更新它们。如需得到最新的技术信息和服务，您可向当地的金蝶业务联系人和合作伙伴进行咨询。著作权声明著作权所有 20 xx 金蝶软件（中国）有限公司。所有权利均予保留。本期概述版本信息版权信息金蝶知识库文档金蝶软件 （中国） 有限公司

3、客户服务中心第 2 页共 19 页目录1. k/3系统防火墙概述. 32. k/3系统防火墙设置要求. 32.1 中间层服务器. 32.2 数据库服务器. 42.3 其它 . 43. k/3系统与防火墙集成部署方案示例. 43.1 数据库服务器置于防火墙内. 43.2 中间层服务器和数据库服务器置于防火墙内. 53.3 hr/web 服务器置于dmz 内，中间层服务器和数据库服务器置于防火墙内 . 64. windows server 2003防火墙配置. 74.1 添加单一端口. 84.2 添加范围端口. 94.3 防火墙端口检测. 125. windows server 2008防火墙配置

4、. 136. windows server 2008 r2防火墙配置. 17金蝶知识库文档金蝶软件 （中国） 有限公司客户服务中心第 3 页共 19 页1. k/3系统防火墙概述防火墙 （firewall）是通过创建一个中心控制点来实现网络安全控制的一种技术。它是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上，监视所有出入专用网的信息流，并决定哪些是可以通过的，哪些是不可以的。安全的防火墙意味着网络的安全。由于安全性的问题，防火墙一般只允许通过internet 信息数据交换使用特定端口（如web使用 80 端口）， 但是 k/3 客户端在访问服务器时需要调用dc

5、om 组件及相关服务的支持，而 dcom 创建对象时使用的是1024-65535 之间的动态端口，并且由于防火墙的ip 伪装特性，这使 dcom 在有防火墙的服务器上是不能进行正常连接的。本文以 windows server 2003为例，详细讲解如何配置k/3 系统防火墙，并简述windows server 2008 及 windows server 2008 r2 操作系统的防火墙配置。2. k/3系统防火墙设置要求防火墙端口主要在服务器上开放，启用防火墙后， 在【windows 防火墙】 中添加【例外】端口，并对dcom 动态端口限定范围，重启后生效。k/3 系统采用三层架构，根据k/3

6、 系统的通信原理，各层对防火墙的要求基本相同，但也存在一些差异。2.1 中间层服务器中间层服务器上需要开放的端口有：（1）tcp端口 135，是远程过程调用服务（rpc ）的固定端口，不能改变。与数据库服务器、 web服务器、客户端通讯时均需使用；（2）tcp端口 5159 ，k/3 中间层加密服务的固定端口，不能改变，10.3 之前版本不需要此端口。用于中间层与客户端、web服务器通讯，中间层与数据库之间通讯不需此端口。（3）dcom 动态端口， dtc服务默认动态端口为tcp 102565534，可以更改。对于中间层不在防火墙内的环境可保持此默认值，中间层在防火墙内时可通过设置将动态端口改

7、到较小范围，一般设置500 个连续端口即可，例如5000-5500 。这些端口在k/3 运行时并不处于侦听状态，只会动态调用和释放。此外如果有下列服务，需要开通以下额外端口：（1）tcp端口 5150 ，k/3 门店系统使用的数据同步端口，可以在门店系统中更改。（2）tcp端口 5678 ，imts远程传输系统端口，可以在imts系统中更改。（3）http端口 80，合并报表系统需调用的http端口，可随iis 设置更改。金蝶知识库文档金蝶软件 （中国） 有限公司客户服务中心第 4 页共 19 页2.2 数据库服务器数据库服务器上需要开放的端口有：（1）tcp端口 135，是远程过程调用服务（

8、rpc ）的固定端口，不能改变；（2）tcp端口 1433，这是 sql server 数据库服务的默认tcp端口，可以在sql server中更改；（3）dcom 动态端口， dtc服务默认动态端口为tcp 102565534，可以更改。对于数据库不在防火墙内的环境可保持此默认值，数据库在防火墙内时可通过设置将动态端口改到较小范围，一般设置50 个连续端口即可，例如5000-5050 。2.3 其它hr/web 服务器上需要开放的端口有：（1）http端口 80 ， iis 的 http端口，可随iis 设置更改。（2）tcp端口 8185，为可选端口，供gui 模式的 hr客户端平台调用。

9、局域网内的hr管理人员可使用gui hr客户端平台， 而非局域网或非hr管理人员通过基于http协议的 web客户端访问系统，不需要访问此端口。此端口可通过修改k/3 hr/web 服务器安装目录kingdeek3erpkdhrappiisserverserver下 kingdee.k3.hr.server.exe.config文件更改。客户端上需要开放的端口有：（1）tcp端口 135，是远程过程调用服务（rpc ）的固定端口，不能改变；（2）dcom 动态端口，默认是tcp 10251325，如果在中间层组件服务中修改了这部分端口的值，客户端组件服务不需要随之更改，但是防火墙必须按中间层更

10、改的值进行设定。此外如果有下列服务，需要开通以下额外端口：（1）门店传输， tcp 5150，可以更改；（2）imts 传输， tcp 5678，可以更改。3. k/3系统与防火墙集成部署方案示例为便于理解以上介绍到的k/3 各层对防火墙设置的要求，以及不同的网络部署模式，下面将以示例方式进行介绍。3.1 数据库服务器置于防火墙内案例金蝶知识库文档金蝶软件 （中国） 有限公司客户服务中心第 5 页共 19 页数据库服务器在防火墙内，中间层服务器和局域网客户端在防火墙外。中间层穿过防火墙与数据库服务器通讯，客户端与中间层的通讯不需要经过防火墙。如图-1 所示。图-1 仅数据库服务器在防火墙内分析

11、与说明1防火墙策略设置（1）定义三种服务： tcp135 （协议 tcp ，端口 135） 、tcp1433 （协议 tcp ，端口 1433） 、tcp-dtc（协议 tcp ， 端口 6000-6050 ， 此处假定数据库服务器用6000-6050 作为 msdtc 端口）。（2）设置对数据库服务器的访问策略，对中间层服务器的地址开通tcp135 、tcp1433 、tcp-dtc服务。2windows 设置（1）数据库服务器：将6000-6050 设置为 msdtc 通讯端口，确认sql server 已开通tcp/ip 协议（ sql server 2005/2008默认不启用tcp/

12、ip 协议）。（2）中间层服务器：不需做任何特殊设置。（3）客户端：不需做任何特殊设置。3金蝶 k/3 设置各服务器和客户端均不需做任何特殊设置。3.2 中间层服务器和数据库服务器置于防火墙内案例中间层服务器和数据库服务器均在防火墙内，局域网客户端在防火墙外。客户端穿过防火墙与中间层服务器通讯，中间层服务器与数据库服务器的通讯不需要经过防火墙。如图 -2所示。金蝶知识库文档金蝶软件 （中国） 有限公司客户服务中心第 6 页共 19 页图-2 服务器均在防火墙内分析与说明1防火墙策略设置（1）定义三种服务： tcp135 （协议 tcp ，端口 135） 、tcp5159 （协议 tcp ，端口

13、 5159） 、tcp-dtc（协议 tcp ， 端口 6000-6500 ， 此处假定中间层服务器用6000-6500 作为 msdtc 端口）。（2）设置对中间层服务器的访问策略，对客户端所在vlan开通tcp135 、tcp5159、tcp-dtc服务。2windows 设置（1）中间层服务器：将6000-6500 设置为 msdtc 通讯端口（2）数据库服务器：不需做任何特殊设置。（3）客户端：不需做任何特殊设置3金蝶 k/3 设置各服务器和客户端均不需做任何特殊设置。3.3 hr/web 服务器置于dmz内，中间层服务器和数据库服务器置于防火墙内案例hr/web在防火墙dmz区，中间

14、层服务器和数据库服务器在防火墙内，web客户端在防火墙外。客户端穿过防火墙与dmz中的 hr/web服务器通讯， hr/web服务器穿过防火墙与中间层服务器通讯，中间层服务器与数据库服务器的通讯不需要经过防火墙。如图-3 所示。金蝶知识库文档金蝶软件 （中国） 有限公司客户服务中心第 7 页共 19 页图-3 hr/web 服务器在 dmz 内，服务器在防火墙内附： dmz是英文“ demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业

15、内部网络和外部网络之间的小网络区域内， 在这个小网络区域内可以放置一些必须公开的服务器设施，如企业 web服务器、ftp服务器和论坛等。 另一方面， 通过这样一个dmz 区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。分析与说明1防火墙策略设置（1）定义四种服务： tcp135 （协议 tcp ，端口 135） 、tcp5159 （协议 tcp ，端口 5159） 、tcp-dtc（协议 tcp ， 端口 6000-6500 ， 此处假定中间层服务器用6000-6500 作为 msdtc 端口）、http80 （协议 http ，端口 80）

16、 。（2）设置对hr/web服务器的访问策略，开通http80服务。（3） 设置对中间层服务器的访问策略，对 hr/web服务器的地址开通tcp135 、 tcp5159 、tcp-dtc服务。2windows 设置（1）hr/web服务器：检查、测试iis 设置，看默认端口是否80。（2）中间层服务器：将6000-6500 设置为 msdtc 通讯端口（3）数据库服务器：不需做任何特殊设置。（4）客户端：不需做任何特殊设置3金蝶 k/3 设置各服务器和客户端均不需做任何特殊设置。4. windows server 2003防火墙配置以操作系统 windows server 2003 为例，

17、详细介绍金蝶k/3 系统相关防火墙的详细配置。金蝶知识库文档金蝶软件 （中国） 有限公司客户服务中心第 8 页共 19 页4.1 添加单一端口第一步， 依次单击 【开始】 菜单下的 【控制面板】 【windows防火墙】，打开【windows防火墙】窗口，如图-4 所示。图-4 【windows防火墙】窗口第二步，选择【例外】选项卡，如图-5 所示，单击【添加端口】按钮，打开如图-6 所示的【添加端口】窗口。依次输入“名称”和“端口号”，并选择协议类别，例如，添加rpc端口“ 135” ，选择“ tcp ”协议，单击【确定】按钮保存即可。金蝶知识库文档金蝶软件 （中国） 有限公司客户服务中心第

18、 9 页共 19 页图-5 【例外】选项卡图-6 【添加端口】窗口4.2 添加范围端口dcom 端口视被调用dcom 组件的多寡确定其端口范围，对于中间层和数据库集中部署的服务器，一般建议使用4000-4500 端口范围。具体设置操作如下：第一步，单击打开【开始】菜单下的【运行】，输入“ dcomcnfg”并单击【确定】按钮，打开【组件服务】窗口，如图-7 所示。金蝶知识库文档金蝶软件（中国）有限公司客户服务中心第 10 页共 19 页图-7 【组件服务】第二步，依次展开【组件服务】【计算机】【我的电脑】，右键单击【我的电脑】选择【属性】菜单，打开【我的电脑属性】窗口，选择【默认协议】页签，如

19、图-8 所示。图-8 【我的电脑】属性第三步， 在【dcom 协议】列表中单击选中 【面向连接的tcp/ip】 ， 然后依次单击 【属性】【添加】按钮，添加端口范围“4000-4500 ” ，最后单击【确定】按钮保存。如图-9 所示。金蝶知识库文档金蝶软件（中国）有限公司客户服务中心第 11 页共 19 页图-9 添加 dcom 端口范围第四步，以上步骤只是指定了dcom 端口范围，还需要在防火墙中设置这些端口允许通过。单个添加的方法过于繁琐，可采用批处理方式进行添加。新建文本文件并维护以下语句，另存文件并更改文件后缀名为“.bat ”的批处理文件，双击运行该批处理文件，即可在防火墙上批量添加

20、指定范围的端口范围，以开放“4000-4500 ”端口范围为例，效果如图-10 所示。echo off cls set var=4000 set end=4500 :continue echo add port %var% netsh firewall add portopening tcp %var% port_%var% set /a var+=1 if %var% lss %end%+1 goto continue echo complete pause 金蝶知识库文档金蝶软件（中国）有限公司客户服务中心第 12 页共 19 页图-10 批处理添加的端口范围4.3 防火墙端口检测采用“

21、telnet”命令可以检测连接的服务器是否在防火墙上允许通过该端口，使用“netstat abo”命令可以监听所有系统进程占用端口的情况。1. 以服务器ip 地址“ ”为例，检测端口1433 是否允许通过，可在客户端执行以下操作。单击打开【开始】菜单下的【运行】，输入“ cmd ”并单击【确定】按钮，在打开的命令窗口中输入“ telnet 1433” ，如图 -11 所示，按【回车】键。图-11 检测服务器 1433 端口如显示“正在连接到*.不能打开到主机的连接，在端口* ：连接失败” ，如图 -12所示，说明端口不通，需在防火墙上重新添加，并重

22、启服务器。金蝶知识库文档金蝶软件（中国）有限公司客户服务中心第 13 页共 19 页图-12 检测 1433 端口失败如弹出如图 -13 所示的窗口，而且光标闪烁，说明端口通畅。图-13 检测 1433 端口成功2在服务器上单击打开【开始】菜单下的【运行】，输入“ cmd ”并单击【确定】按钮，在打开的命令窗口中输入“netstat -abo” ，如图 -14 所示，按【回车】键。图-14 监听系统端口如图 -15 所示， 可看到本地tcp端口 5159 被加密服务kdsvrmgrservice.exe进程占用，末位数值“ 1480”为当前该进程pid 号（可从任务管理器的进程选项卡中查看）图

23、-15 加密服务占用端口号情况5. windows server 2008防火墙配置对于 windows server 2008操作系统， dcom 端口的设置与windows server 2003操作系统设置方法一致。防火墙单个端口的添加可以分别在两个功能中执行操作。而dcom 动态端口在防火墙上的添加，由于是一段范围内的多个端口，为简便用户操作，仍可以按照windows server 2003系统防火墙设置中介绍到的批量添加方法执行添加操作。1依次打开【开始】【控制面板】【windows 防火墙】，进入【 windows防火墙】窗口进行设置，如图-16 所示。金蝶知识库文档金蝶软件（中国

24、）有限公司客户服务中心第 14 页共 19 页图-16 【windows防火墙】窗口单击【更改设置】 ，进入【 windows防火墙设置】 ，选择【例外】选项卡，单击【添加端口】按钮进行添加，并单击【确定】按钮保存，如图-17 所示。图-17 防火墙端口添加2依次打开【开始】菜单下的【控制面板】【管理工具】【高级安全 windows 防火墙】 ，打开【高级安全 windows 防火墙】窗口，如图-18 所示。金蝶知识库文档金蝶软件（中国）有限公司客户服务中心第 15 页共 19 页图-18 高级安全 windows 防火墙在左侧列表中单击选择【入站规则】 ， 然后在右侧 【操作】列表中单击选择 【新建规则】 ，打开的【新建入站规则向导】窗口，如图-19 所示。图-19 规则类型在【规则类型】步骤，单击选择“端口”，单击【下一步】按钮配置“协议和端口”，如图-20所示。选择“ tcp ”协议，在“特定本地端口”输入框中输入需要开启的端口号，以英文符号“ , ”隔开，单击【下一步】按钮。金蝶知识库文档金蝶软件（中国）有限公司客户服务中心第 16 页共 19 页图-20 协议和端口在 【操作】 步骤中可以指定在连接与规则中指定的条件相匹配时要执行的操作，如图 -21所示。在【配置文件】步骤中可