共享权限与windows xp内置的Windows防火墙,两者的关系可谓是非同一般。xp系统防火墙中的设置决定了局域网中其它计算机是否能连接、或是否能看到彼此。
在“运行”栏中使用命令“Firewall.cpl”打开“Windows防火墙”窗口后,单击切换到如图所示的“例外”选项卡设置界面。
选中“文件和打印机共享”项并单击“编辑”按钮,在打开如图所示的对话框中,可以看到“文件和打印机共享”共使用了4个端口。
这4个端口实际上是指明了在Windows防火墙中,允许“文件和打印机共享”服务使用两种共享通道,提供对远程用户访问共享资源这一行为的支持。也就是说,共享权限要想得以应用,至少这两种共享通道必须开放一种。
第一种共享通道就是使用TCP/IP上的服务器消息块SMB进行直接承载。使用SMB直接承载不需要经过NetBT层,SMB通信使用的端口是 445(TCP和UDP),它和NetBT是两套独立的机制,它消除了由于NetBIOS名字解析而产生的广播,是WindowsXP推荐的方法。
在较早版本的操作系统中,SMB通信要求“TCP上的NetBIOS”(NBT)协议在TCP/IP传输上运行,而在WindowsXP 中,SMB已经可以独立运行了。SMB协议定义了一系列的用于在计算机之间传递消息的命令。SMB使用4种消息类型:会话控制、文件、打印机和邮件。 SMB通信数据的前面会有一个长度为4字节的数据头。数据头的第一个字节总是0x00,接下来的3个字节是其余的数据的长度。
在命令提示符窗口中,使用“Net config redirector”或“Net config server”命令后,可以看到当前计算机中开放的共享通道情况。在如图所示的结果中,可以看到当前计算机名称、登录用户名、操作系统版本、工作站正运行共享通道,等等。
其中,NetBT_Tcpip会分别绑定到各个适配器;对于绑定到的各个适配器,会分别显示一个NetBT_Tcpip实例。上图中可以看出绑 定到了3个适配器。NetbiosSmb是一个全局设备,它不是基于每个适配器进行绑定的。这意味着如果不完全禁用Microsoft网络的文件和打印机 共享,就不能在Windows中禁用直接承载的SMB,,
第二种是可以使用NetBT的137(NetBIOS名称解析,NetBI〇S-ns,TCP/UDP端口)、138(NetBIOS数据报服务,NetBIOS-dgm,UDP$黑口)、139(NetBIOS会话服务,NetBI〇S-ssn,TCP端口)这3个端口进行数据传输。如果网络中没有Windows9X/NT4.0等旧版操作系统的话,可以考虑该方式;如果不想在“网上邻居”中通过访问 计算机名的方式来访问共享资源,而只想在“网上邻居”的地址栏中使用“\\ServerlPAddress”的方式来进行访问,那么就可以禁用它。
在“命令提示符”窗口中使用“Netstat-ao”命令,在如图所示的反馈信息中可以看到NetBI〇S-ns、NetBIOS- dgm,NetBIOS-ssn这3个分别代表137、138、139端口的进程正在使用,而Microsoft-ds则表示445端口正在开放。
在同时启用了直接承载接口SMB和NetBT接口的情况下,xp系统会观察哪一种共享通道先做出响应,就使用哪一种通道。如果删除NetBT接口的话,对于SMB来说,有几个不错的优化作用:一是简化了SMB通信传输;二是删除WINS和NetBIOS广播;三是为文件和打印机共享标准化了DNS名称解析。
只有在Windows防火墙提供的共享通道畅通无阻的情况下,共享权限才能得以应用。Windows防火墙提供的共享通道是否畅通无阻,一般可以分如下几种情况:
(1)Windows防火墙功能关闭,在如图所示的“本地连接”属性窗口中,当启用了“Microsoft网络的文件和打印机共享”组件时,两种共享通道将同时开放。
(2)无论Windows防火墙功能是否启用。只要在“本地连接”属性窗口中,没有启用“Microsoft网络的文件和打印机共享”组件,两种共享通道将同时关闭。
(3)Windows防火墙功能启用后,在“例外”列表中的“文件和打印机共享”服务被选中,且该服务的445或是NetBT(137、 138、139)端口至少有一个处于勾选状态时,共享通道将至少开放一条。如果全部没有勾选,则“例外”列表中的“文件和打印机共享”服务会自动处于未选 中状态。
转自:http://www.xp74.com/article/news/3575.htm
转载请注明:jinglingshu的博客 » 防火墙与共享权限的设置与管理