У меня всегда были проблемы с поиском информации о портах брандмауэра для некоторых программ/служб на базе Windows. Например,http://support.microsoft.com/kb/832017дает мне порты, но нет различия между ВНУТРЕННИМИ (например, LAN) и теми, которые ВНЕШНИЕ (в Интернет). Конфигурация брандмауэра от рабочего стола до сервера AD, несомненно, будет отличаться от конфигурации от сервера AD до сервера AD и, конечно, от сервера DNS AD до Интернета.
Я хочу заблокировать интерфейсы между моими настольными компьютерами и серверами, а также между серверами (AD-AD и т. д.).
У меня установлен аппаратный брандмауэр между настольными компьютерами и серверами, а также встроенный брандмауэр в коммутаторе сервера.Я хочу начать с полного отсутствия разрешенных портов, а затем открыть только те, которые необходимы для запуска служб на каждом сервере.У меня много серверов SQL Server, AD, DNS, Exchange, Terminal Services и т. д., и у каждого из них немного отличается конфигурация портов в зависимости от того, взаимодействует ли он с Интернетом (Exchange, DNS) или локальными серверами (репликация Active Directory, общие ресурсы CIFS) или рабочими столами (SQL Server, Terminal ServiceS).
Чтобы сделать это немного более общим (и полезным для других людей), я надеялся, что мы сможем получить список всех распространенных приложений/служб Windows и портов, необходимых для Интернета/DMZ (вход/выход), для «доверенной» локальной сети (сервер-сервер) (вход/выход), а затем для недоверенной локальной сети (сервер-рабочий стол).
Позвольте мне начать с пары, пожалуйста, добавьте их в список. Также, пожалуйста, укажите, является ли это службой "по умолчанию" в Windows (например, Exchange не является таковой, но SMB будет).
Некоторые я взял изhttp://support.microsoft.com/kb/832017 http://technet.microsoft.com/en-us/library/bb124075(EXCHG.65).aspx
Remote Desktop - default if enabled
DMZ - None (usually)
T LAN - 3389 (TCP IN/OUT)
U LAN - None (or selected desktops; IT support etc.)
NT - NetBIOS - default if enabled
DMZ - None
T/U LAN - 137, 138 (UDP I/O), 139 (TCP I/O)
SMB - default
DMZ - None
T/U LAN - 445 (TCP I/O) ?
DNS - only if installed within AD
DMZ - 53 (TCP/UDP O)
T/U LAN - 53 (TCP/UDP I/O)
решение1
Ваш вопрос не совсем ясен, но я постараюсь...
Помните, что любая программа может использовать любой порт, который ей нравится. Вот как шпионские и вредоносные программы умудряются процветать в некоторых средах... используя общие, хорошо известные порты и притворяясь чем-то другим.
Менее вредоносным примером может служить программа Skype, которая попытается найти порт для использования, но в конечном итоге, если это необходимо, будет использовать порты 80 (HTTP/веб-порт) и 443 (порт SSL).
Имея это в виду... вам следует выполнить сканирование ПК(ов) с помощью такой программы, как nmap или nessus и т. д. (их МНОГО), чтобы выяснить, какие порты открыты, а затем решить, как вы хотите настроить свой брандмауэр.
Вот ссылка на общие назначения портов, которая даст вам отправную точку для определения того, что МОЖЕТ работать на этом порту:
http://technet.microsoft.com/en-us/library/cc959833.aspx
Например, порт 53 обычно используется для DNS. Если у вас нет необходимости в DNS или на вашей машине не запущен DNS-сервер, вы можете заблокировать его.
В том же духе, вы должны убедиться, что ваш сервер не запускает службы, которые ему не нужны. Если вы видите порт 53 открытым на вашем сервере и у вас есть работающий DNS-сервер (который вы не используете), выключите его. ;-)
Надеюсь это поможет.
решение2
Я согласен с KPWINC по поводу портов, что угодно может использовать любой порт. Если ваша цель — защитить ваши серверы, я бы разместил аппаратный брандмауэр между вашими пользователями и серверами и убедился, что у него есть прокси-серверы, которые он может запустить на портах, которые должны быть открыты. Таким образом, если трафик выходит на порт 80, брандмауэр может увидеть, является ли это HTTP-трафиком, и отбросить его, если это не так. Мы используем Watchguard X1000, чтобы сделать эту работу за нас, но я знаю, что есть и другие.
И да, я уже слышу, как некоторые говорят: «Но вирусы могут сделать так, чтобы их трафик выглядел как HTTP». Это так, но тогда ваш сервер также должен быть уязвимым с HTTP-сервисом.