K3系统防火墙设置详解本期概述●本文档适用于K/3 系统与防火墙的应用。

●学习完本文档以后，可以对K/3 系统在防火墙中的设置有详细的了解。

版本信息●2012年6月20日 V1.0 编写人：卢锦煌●2012年6月25日 V2.0 审核人：李合雷版权信息●本文件使用须知著作权人保留本文件的内容的解释权，并且仅将本文件内容提供给阁下个人使用。

对于内容中所含的版权和其他所有权声明，您应予以尊重并在其副本中予以保留。

您不得以任何方式修改、复制、公开展示、公布或分发这些内容或者以其他方式把它们用于任何公开或商业目的。

任何未经授权的使用都可能构成对版权、商标和其他法律权利的侵犯。

如果您不接受或违反上述约定，您使用本文件的授权将自动终止，同时您应立即销毁任何已下载或打印好的本文件内容。

著作权人对本文件内容可用性不附加任何形式的保证，也不保证本文件内容的绝对准确性和绝对完整性。

本文件中介绍的产品、技术、方案和配置等仅供您参考，且它们可能会随时变更，恕不另行通知。

本文件中的内容也可能已经过期，著作权人不承诺更新它们。

如需得到最新的技术信息和服务，您可向当地的金蝶业务联系人和合作伙伴进行咨询。

著作权声明著作权所有 2012金蝶软件（中国）有限公司。

所有权利均予保留。

目录1. K/3系统防火墙概述 (3)2. K/3系统防火墙设置要求 (3)2.1 中间层服务器 (3)2.2 数据库服务器 (4)2.3 其它 (4)3. K/3系统与防火墙集成部署方案示例 (4)3.1 数据库服务器置于防火墙内 (4)3.2 中间层服务器和数据库服务器置于防火墙内 (5)3.3 HR/Web服务器置于DMZ内，中间层服务器和数据库服务器置于防火墙内 (6)4. Windows Server 2003防火墙配置 (7)4.1 添加单一端口 (8)4.2 添加范围端口 (9)4.3 防火墙端口检测 (12)5. Windows Server 2008防火墙配置 (13)6. Windows Server 2008 R2防火墙配置 (17)1. K/3系统防火墙概述防火墙（FireWall）是通过创建一个中心控制点来实现网络安全控制的一种技术。

它是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上，监视所有出入专用网的信息流，并决定哪些是可以通过的，哪些是不可以的。

安全的防火墙意味着网络的安全。

由于安全性的问题，防火墙一般只允许通过Internet 信息数据交换使用特定端口（如Web使用80端口），但是K/3 客户端在访问服务器时需要调用DCOM 组件及相关服务的支持，而DCOM 创建对象时使用的是1024-65535 之间的动态端口，并且由于防火墙的IP 伪装特性，这使DCOM 在有防火墙的服务器上是不能进行正常连接的。

本文以Windows Server 2003为例，详细讲解如何配置K/3系统防火墙，并简述Windows Server 2008及Windows Server 2008 R2操作系统的防火墙配置。

2. K/3系统防火墙设置要求防火墙端口主要在服务器上开放，启用防火墙后，在【Windows防火墙】中添加【例外】端口，并对DCOM动态端口限定范围，重启后生效。

K/3系统采用三层架构，根据K/3系统的通信原理，各层对防火墙的要求基本相同，但也存在一些差异。

2.1 中间层服务器中间层服务器上需要开放的端口有：（1）TCP端口135，是远程过程调用服务（RPC）的固定端口，不能改变。

与数据库服务器、Web服务器、客户端通讯时均需使用；（2）TCP端口 5159，K/3中间层加密服务的固定端口，不能改变，10.3之前版本不需要此端口。

用于中间层与客户端、Web服务器通讯，中间层与数据库之间通讯不需此端口。

（3）DCOM动态端口，DTC服务默认动态端口为TCP 1025~65534，可以更改。

对于中间层不在防火墙内的环境可保持此默认值，中间层在防火墙内时可通过设置将动态端口改到较小范围，一般设置500个连续端口即可，例如5000-5500。

这些端口在K/3运行时并不处于侦听状态，只会动态调用和释放。

此外如果有下列服务，需要开通以下额外端口：（1）TCP端口5150 ，K/3门店系统使用的数据同步端口，可以在门店系统中更改。

（2）TCP端口5678 ，IMTS远程传输系统端口，可以在IMTS系统中更改。

（3）HTTP端口80，合并报表系统需调用的HTTP端口，可随IIS设置更改。

2.2 数据库服务器数据库服务器上需要开放的端口有：（1）TCP端口135，是远程过程调用服务（RPC）的固定端口，不能改变；（2）TCP端口1433，这是SQL Server数据库服务的默认TCP端口，可以在SQL Server 中更改；（3）DCOM动态端口，DTC服务默认动态端口为TCP 1025~65534，可以更改。

对于数据库不在防火墙内的环境可保持此默认值，数据库在防火墙内时可通过设置将动态端口改到较小范围，一般设置50个连续端口即可，例如5000-5050。

2.3 其它HR/WEB服务器上需要开放的端口有：（1）HTTP端口80 ，IIS的HTTP端口，可随IIS设置更改。

（2）TCP端口8185，为可选端口，供GUI模式的HR客户端平台调用。

局域网内的HR 管理人员可使用GUI HR客户端平台，而非局域网或非HR管理人员通过基于HTTP协议的Web 客户端访问系统，不需要访问此端口。

此端口可通过修改K/3 HR/Web服务器安装目录Kingdee\K3ERP\KDHRAPP\IISServer\Server下Kingdee.K3.HR.Server.exe.config文件更改。

客户端上需要开放的端口有：（1）TCP端口135，是远程过程调用服务（RPC）的固定端口，不能改变；（2）DCOM动态端口，默认是TCP 1025～1325，如果在中间层组件服务中修改了这部分端口的值，客户端组件服务不需要随之更改，但是防火墙必须按中间层更改的值进行设定。

此外如果有下列服务，需要开通以下额外端口：（1）门店传输，TCP 5150，可以更改；（2）IMTS传输，TCP 5678，可以更改。

3. K/3系统与防火墙集成部署方案示例为便于理解以上介绍到的K/3各层对防火墙设置的要求，以及不同的网络部署模式，下面将以示例方式进行介绍。

3.1 数据库服务器置于防火墙内案例数据库服务器在防火墙内，中间层服务器和局域网客户端在防火墙外。

中间层穿过防火墙与数据库服务器通讯，客户端与中间层的通讯不需要经过防火墙。

如图-1所示。

图-1 仅数据库服务器在防火墙内分析与说明1．防火墙策略设置（1）定义三种服务：TCP135（协议TCP，端口135）、TCP1433（协议TCP，端口1433）、TCP-DTC（协议TCP，端口6000-6050，此处假定数据库服务器用6000-6050作为MSDTC端口）。

（2）设置对数据库服务器的访问策略，对中间层服务器的地址开通TCP135、TCP1433、TCP-DTC服务。

2．Windows设置（1）数据库服务器：将6000-6050设置为MSDTC通讯端口，确认SQL Server已开通TCP/IP协议（SQL Server 2005/2008默认不启用TCP/IP协议）。

（2）中间层服务器：不需做任何特殊设置。

（3）客户端：不需做任何特殊设置。

3．金蝶K/3设置各服务器和客户端均不需做任何特殊设置。

3.2 中间层服务器和数据库服务器置于防火墙内案例中间层服务器和数据库服务器均在防火墙内，局域网客户端在防火墙外。

客户端穿过防火墙与中间层服务器通讯，中间层服务器与数据库服务器的通讯不需要经过防火墙。

如图-2所示。

图-2 服务器均在防火墙内分析与说明1．防火墙策略设置（1）定义三种服务：TCP135（协议TCP，端口135）、TCP5159（协议TCP，端口5159）、TCP-DTC（协议TCP，端口6000-6500，此处假定中间层服务器用6000-6500作为MSDTC端口）。

（2）设置对中间层服务器的访问策略，对客户端所在VLAN开通TCP135、TCP5159、TCP-DTC服务。

2．Windows设置（1）中间层服务器：将6000-6500设置为MSDTC通讯端口（2）数据库服务器：不需做任何特殊设置。

（3）客户端：不需做任何特殊设置3．金蝶K/3设置各服务器和客户端均不需做任何特殊设置。

3.3 HR/Web服务器置于DMZ内，中间层服务器和数据库服务器置于防火墙内案例HR/Web在防火墙DMZ区，中间层服务器和数据库服务器在防火墙内，Web客户端在防火墙外。

客户端穿过防火墙与DMZ中的HR/Web服务器通讯，HR/Web服务器穿过防火墙与中间层服务器通讯，中间层服务器与数据库服务器的通讯不需要经过防火墙。

如图-3所示。

图-3 HR/Web服务器在DMZ内，服务器在防火墙内附：DMZ是英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。

它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。

另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。

分析与说明1．防火墙策略设置（1）定义四种服务：TCP135（协议TCP，端口135）、TCP5159（协议TCP，端口5159）、TCP-DTC（协议TCP，端口6000-6500，此处假定中间层服务器用6000-6500作为MSDTC端口）、HTTP80（协议HTTP，端口80）。

（2）设置对HR/Web服务器的访问策略，开通HTTP80服务。

（3）设置对中间层服务器的访问策略，对HR/Web服务器的地址开通TCP135、TCP5159、TCP-DTC服务。

2．Windows设置（1）HR/Web服务器：检查、测试IIS设置，看默认端口是否80。

（2）中间层服务器：将6000-6500设置为MSDTC通讯端口（3）数据库服务器：不需做任何特殊设置。

（4）客户端：不需做任何特殊设置3．金蝶K/3设置各服务器和客户端均不需做任何特殊设置。

4. Windows Server 2003防火墙配置以操作系统Windows Server 2003为例，详细介绍金蝶K/3系统相关防火墙的详细配置。

4.1 添加单一端口第一步，依次单击【开始】菜单下的【控制面板】→【Windows防火墙】，打开【Windows 防火墙】窗口，如图-4所示。