金蝶知识库文档金蝶软件(中国)有限公司客户服务中心第1页共19页K3系统防火墙设置详解本文档适用于K/3系统与防火墙的应用。学习完本文档以后,可以对K/3系统在防火墙中的设置有详细的了解。2012年6月20日V1.0编写人:卢锦煌2012年6月25日V2.0审核人:李合雷本文件使用须知著作权人保留本文件的内容的解释权,并且仅将本文件内容提供给阁下个人使用。对于内容中所含的版权和其他所有权声明,您应予以尊重并在其副本中予以保留。您不得以任何方式修改、复制、公开展示、公布或分发这些内容或者以其他方式把它们用于任何公开或商业目的。任何未经授权的使用都可能构成对版权、商标和其他法律权利的侵犯。如果您不接受或违反上述约定,您使用本文件的授权将自动终止,同时您应立即销毁任何已下载或打印好的本文件内容。著作权人对本文件内容可用性不附加任何形式的保证,也不保证本文件内容的绝对准确性和绝对完整性。本文件中介绍的产品、技术、方案和配置等仅供您参考,且它们可能会随时变更,恕不另行通知。本文件中的内容也可能已经过期,著作权人不承诺更新它们。如需得到最新的技术信息和服务,您可向当地的金蝶业务联系人和合作伙伴进行咨询。著作权声明著作权所有20xx金蝶软件(中国)有限公司。所有权利均予保留。本期概述版本信息版权信息金蝶知识库文档金蝶软件(中国)有限公司客户服务中心第2页共19页目录1.K/3系统防火墙概述.......................................................32.K/3系统防火墙设置要求...................................................32.1中间层服务器......................................................................................................................32.2数据库服务器......................................................................................................................42.3其它......................................................................................................................................43.K/3系统与防火墙集成部署方案示例.........................................43.1数据库服务器置于防火墙内..............................................................................................43.2中间层服务器和数据库服务器置于防火墙内..................................................................53.3HR/Web服务器置于DMZ内,中间层服务器和数据库服务器置于防火墙内............64.WindowsServer2003防火墙配置...........................................74.1添加单一端口......................................................................................................................84.2添加范围端口......................................................................................................................94.3防火墙端口检测................................................................................................................125.WindowsServer2008防火墙配置..........................................136.WindowsServer2008R2防火墙配置.......................................17金蝶知识库文档金蝶软件(中国)有限公司客户服务中心第3页共19页1.K/3系统防火墙概述防火墙(FireWall)是通过创建一个中心控制点来实现网络安全控制的一种技术。它是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上,监视所有出入专用网的信息流,并决定哪些是可以通过的,哪些是不可以的。安全的防火墙意味着网络的安全。由于安全性的问题,防火墙一般只允许通过Internet信息数据交换使用特定端口(如Web使用80端口),但是K/3客户端在访问服务器时需要调用DCOM组件及相关服务的支持,而DCOM创建对象时使用的是1024-65535之间的动态端口,并且由于防火墙的IP伪装特性,这使DCOM在有防火墙的服务器上是不能进行正常连接的。本文以WindowsServer2003为例,详细讲解如何配置K/3系统防火墙,并简述WindowsServer2008及WindowsServer2008R2操作系统的防火墙配置。2.K/3系统防火墙设置要求防火墙端口主要在服务器上开放,启用防火墙后,在【Windows防火墙】中添加【例外】端口,并对DCOM动态端口限定范围,重启后生效。K/3系统采用三层架构,根据K/3系统的通信原理,各层对防火墙的要求基本相同,但也存在一些差异。2.1中间层服务器中间层服务器上需要开放的端口有:(1)TCP端口135,是远程过程调用服务(RPC)的固定端口,不能改变。与数据库服务器、Web服务器、客户端通讯时均需使用;(2)TCP端口5159,K/3中间层加密服务的固定端口,不能改变,10.3之前版本不需要此端口。用于中间层与客户端、Web服务器通讯,中间层与数据库之间通讯不需此端口。(3)DCOM动态端口,DTC服务默认动态端口为TCP1025~65534,可以更改。对于中间层不在防火墙内的环境可保持此默认值,中间层在防火墙内时可通过设置将动态端口改到较小范围,一般设置500个连续端口即可,例如5000-5500。这些端口在K/3运行时并不处于侦听状态,只会动态调用和释放。此外如果有下列服务,需要开通以下额外端口:(1)TCP端口5150,K/3门店系统使用的数据同步端口,可以在门店系统中更改。(2)TCP端口5678,IMTS远程传输系统端口,可以在IMTS系统中更改。(3)HTTP端口80,合并报表系统需调用的HTTP端口,可随IIS设置更改。金蝶知识库文档金蝶软件(中国)有限公司客户服务中心第4页共19页2.2数据库服务器数据库服务器上需要开放的端口有:(1)TCP端口135,是远程过程调用服务(RPC)的固定端口,不能改变;(2)TCP端口1433,这是SQLServer数据库服务的默认TCP端口,可以在SQLServer中更改;(3)DCOM动态端口,DTC服务默认动态端口为TCP1025~65534,可以更改。对于数据库不在防火墙内的环境可保持此默认值,数据库在防火墙内时可通过设置将动态端口改到较小范围,一般设置50个连续端口即可,例如5000-5050。2.3其它HR/WEB服务器上需要开放的端口有:(1)HTTP端口80,IIS的HTTP端口,可随IIS设置更改。(2)TCP端口8185,为可选端口,供GUI模式的HR客户端平台调用。局域网内的HR管理人员可使用GUIHR客户端平台,而非局域网或非HR管理人员通过基于HTTP协议的Web客户端访问系统,不需要访问此端口。此端口可通过修改K/3HR/Web服务器安装目录Kingdee\K3ERP\KDHRAPP\IISServer\Server下Kingdee.K3.HR.Server.exe.config文件更改。客户端上需要开放的端口有:(1)TCP端口135,是远程过程调用服务(RPC)的固定端口,不能改变;(2)DCOM动态端口,默认是TCP1025~1325,如果在中间层组件服务中修改了这部分端口的值,客户端组件服务不需要随之更改,但是防火墙必须按中间层更改的值进行设定。此外如果有下列服务,需要开通以下额外端口:(1)门店传输,TCP5150,可以更改;(2)IMTS传输,TCP5678,可以更改。3.K/3系统与防火墙集成部署方案示例为便于理解以上介绍到的K/3各层对防火墙设置的要求,以及不同的网络部署模式,下面将以示例方式进行介绍。3.1数据库服务器置于防火墙内案例金蝶知识库文档金蝶软件(中国)有限公司客户服务中心第5页共19页数据库服务器在防火墙内,中间层服务器和局域网客户端在防火墙外。中间层穿过防火墙与数据库服务器通讯,客户端与中间层的通讯不需要经过防火墙。如图-1所示。图-1仅数据库服务器在防火墙内分析与说明1.防火墙策略设置(1)定义三种服务:TCP135(协议TCP,端口135)、TCP1433(协议TCP,端口1433)、TCP-DTC(协议TCP,端口6000-6050,此处假定数据库服务器用6000-6050作为MSDTC端口)。(2)设置对数据库服务器的访问策略,对中间层服务器的地址开通TCP135、TCP1433、TCP-DTC服务。2.Windows设置(1)数据库服务器:将6000-6050设置为MSDTC通讯端口,确认SQLServer已开通TCP/IP协议(SQLServer2005/2008默认不启用TCP/IP协议)。(2)中间层服务器:不需做任何特殊设置。(3)客户端:不需做任何特殊设置。3.金蝶K/3设置各服务器和客户端均不需做任何特殊设置。3.2中间层服务器和数据库服务器置于防火墙内案例中间层服务器和数据库服务器均在防火墙内,局域网客户端在防火墙外。客户端穿过防火墙与中间层服务器通讯,中间层服务器与数据库服务器的通讯不需要经过防火墙。如图-2所示。金蝶知识库文档金蝶软件(中国)有限公司客户服务中心第6页共19页图-2服务器均在防火墙内分析与说明1.防火墙策略设置(1)定义三种服务:TCP135(协议TCP,端口135)、TCP5159(协议TCP,端口5159)、TCP-DTC(协议TCP,端口6000-6500,此处假定中间层服务器用6000-6500作为MSDTC端口)。(2)设置对中间层服务器的访问策略,对客户端所在VLAN开通TCP135、TCP5159、TCP-DTC服务。2.Windows设置(1)中间层服务器:将6000-6500设置为MSDTC通讯端口(2)数据库服务器:不需做任何特殊设置。(3)客户端:不需做任何特殊设置3.金蝶K/3设置各服务器和客户端均不需做任何特殊设置。3.3HR/Web服务器置于DMZ内,中间层服务器和数据库服务器置于防火墙内案例HR/Web在防火墙DMZ区,中间层服务器和数据库服务器在防火墙内,Web客户端在防火墙外。客户端穿过防火墙与DMZ中的HR/Web服务器通讯,HR/Web服务器穿过防火墙与中间层服务器通讯,中间层服务器与数据库服务器的通讯不需要经过防火墙。如图-3所示。金蝶知识库文档金蝶软件(中国)有限公司客户服务中心第7页共19页图-3HR/Web服务器在DMZ内,服务器在防火墙内附:DMZ是英文“demilitarizedzone”的缩写,中