K3系统防火墙设置详解

K3系统防火墙设置详解

本期概述

●本文档适用于K/3 系统与防火墙的应用。

●学习完本文档以后，可以对K/3 系统在防火墙中的设置有详细的了解。

版本信息

●2012年6月20日 V1.0 编写人：卢锦煌

●2012年6月25日 V2.0 审核人：李合雷

版权信息

●本文件使用须知

著作权人保留本文件的内容的解释权，并且仅将本文件内容提供给阁下个人使用。对于内容中所含的版权和其他所有权声明，您应予以尊重并在其副本中予以保留。您不得以任何方式修改、复制、公开展示、公布或分发这些内容或者以其他方式把它们用于任何公开或商业目的。任何未经授权的使用都可能构成对版权、商标和其他法律权利的侵犯。如果您不接受或违反上述约定，您使用本文件的授权将自动终止，同时您应立即销毁任何已下载或打印好的本文件内容。

著作权人对本文件内容可用性不附加任何形式的保证，也不保证本文件内容的绝对准确性和绝对完整性。本文件中介绍的产品、技术、方案和配置等仅供您参考，且它们可能会随时变更，恕不另行通知。本文件中的内容也可能已经过期，著作权人不承诺更新它们。如需得到最新的技术信息和服务，您可向当地的金蝶业务联系人和合作伙伴进行咨询。

著作权声明著作权所有 2012金蝶软件（中国）有限公司。

所有权利均予保留。

目录

1. K/3系统防火墙概述 (3)

2. K/3系统防火墙设置要求 (3)

2.1 中间层服务器 (3)

2.2 数据库服务器 (4)

2.3 其它 (4)

3. K/3系统与防火墙集成部署方案示例 (4)

3.1 数据库服务器置于防火墙内 (4)

3.2 中间层服务器和数据库服务器置于防火墙内 (5)

3.3 HR/Web服务器置于DMZ内，中间层服务器和数据库服务器置于防火墙内 (6)

4. Windows Server 2003防火墙配置 (7)

4.1 添加单一端口 (8)

4.2 添加范围端口 (9)

4.3 防火墙端口检测 (12)

5. Windows Server 2008防火墙配置 (13)

6. Windows Server 2008 R2防火墙配置 (17)

1. K/3系统防火墙概述

防火墙（FireWall）是通过创建一个中心控制点来实现网络安全控制的一种技术。它是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上，监视所有出入专用网的信息流，并决定哪些是可以通过的，哪些是不可以的。安全的防火墙意味着网络的安全。

由于安全性的问题，防火墙一般只允许通过Internet 信息数据交换使用特定端口（如Web使用80端口），但是K/3 客户端在访问服务器时需要调用DCOM 组件及相关服务的支持，而DCOM 创建对象时使用的是1024-65535 之间的动态端口，并且由于防火墙的IP 伪装特性，这使DCOM 在有防火墙的服务器上是不能进行正常连接的。本文以Windows Server 2003为例，详细讲解如何配置K/3系统防火墙，并简述Windows Server 2008及Windows Server 2008 R2操作系统的防火墙配置。

2. K/3系统防火墙设置要求

防火墙端口主要在服务器上开放，启用防火墙后，在【Windows防火墙】中添加【例外】端口，并对DCOM动态端口限定范围，重启后生效。K/3系统采用三层架构，根据K/3系统的通信原理，各层对防火墙的要求基本相同，但也存在一些差异。

2.1 中间层服务器

中间层服务器上需要开放的端口有：

（1）TCP端口135，是远程过程调用服务（RPC）的固定端口，不能改变。与数据库服务器、Web服务器、客户端通讯时均需使用；

（2）TCP端口 5159，K/3中间层加密服务的固定端口，不能改变，10.3之前版本不需要此端口。用于中间层与客户端、Web服务器通讯，中间层与数据库之间通讯不需此端口。

（3）DCOM动态端口，DTC服务默认动态端口为TCP 1025~65534，可以更改。对于中间层不在防火墙内的环境可保持此默认值，中间层在防火墙内时可通过设置将动态端口改到较小范围，一般设置500个连续端口即可，例如5000-5500。这些端口在K/3运行时并不处于侦听状态，只会动态调用和释放。

此外如果有下列服务，需要开通以下额外端口：

（1）TCP端口5150 ，K/3门店系统使用的数据同步端口，可以在门店系统中更改。

（2）TCP端口5678 ，IMTS远程传输系统端口，可以在IMTS系统中更改。

（3）HTTP端口80，合并报表系统需调用的HTTP端口，可随IIS设置更改。

2.2 数据库服务器

数据库服务器上需要开放的端口有：

（1）TCP端口135，是远程过程调用服务（RPC）的固定端口，不能改变；

（2）TCP端口1433，这是SQL Server数据库服务的默认TCP端口，可以在SQL Server 中更改；

（3）DCOM动态端口，DTC服务默认动态端口为TCP 1025~65534，可以更改。对于数据库不在防火墙内的环境可保持此默认值，数据库在防火墙内时可通过设置将动态端口改到较小范围，一般设置50个连续端口即可，例如5000-5050。

2.3 其它

HR/WEB服务器上需要开放的端口有：

（1）HTTP端口80 ，IIS的HTTP端口，可随IIS设置更改。

（2）TCP端口8185，为可选端口，供GUI模式的HR客户端平台调用。局域网内的HR 管理人员可使用GUI HR客户端平台，而非局域网或非HR管理人员通过基于HTTP协议的Web 客户端访问系统，不需要访问此端口。此端口可通过修改K/3 HR/Web服务器安装目录Kingdee\K3ERP\KDHRAPP\IISServer\Server下Kingdee.K3.HR.Server.exe.config文件更改。

客户端上需要开放的端口有：

（1）TCP端口135，是远程过程调用服务（RPC）的固定端口，不能改变；

（2）DCOM动态端口，默认是TCP 1025～1325，如果在中间层组件服务中修改了这部分端口的值，客户端组件服务不需要随之更改，但是防火墙必须按中间层更改的值进行设定。

此外如果有下列服务，需要开通以下额外端口：

（1）门店传输，TCP 5150，可以更改；

（2）IMTS传输，TCP 5678，可以更改。

3. K/3系统与防火墙集成部署方案示例

为便于理解以上介绍到的K/3各层对防火墙设置的要求，以及不同的网络部署模式，下面将以示例方式进行介绍。

3.1 数据库服务器置于防火墙内

案例