我在尋找某些基於 Windows 的軟體/服務的防火牆連接埠資訊時總是遇到困難。例如,http://support.microsoft.com/kb/832017給我端口,但內部(例如 LAN)和外部(到互聯網)端口之間沒有區別。從桌面到 AD 伺服器的防火牆設定無疑會不同於從 AD 伺服器到 AD 伺服器,當然還有從 AD DNS 伺服器到網際網路的防火牆設定。
我想鎖定桌上型電腦和伺服器之間的接口,以及伺服器之間的介面(AD 到 AD 等)。
我在桌上型電腦和伺服器之間有一個硬體防火牆,伺服器交換器也嵌入了防火牆。我想從不允許的連接埠開始,然後只打開在每台伺服器上運行服務所需的連接埠。我有很多 SQL Server、AD、DNS、Exchange、終端服務等伺服器,每台伺服器的連接埠配置都略有不同,取決於它是與互聯網(Exchange、DNS)還是本機伺服器( Active Directory 複製、CIFS 共享)或桌面(SQL Server、終端機服務)。
為了使其更通用(對其他人有用),我希望我們能夠獲得所有常見 Windows 應用程式/服務以及互聯網/DMZ(輸入/輸出)所需連接埠的列表,以「受信任」 LAN(伺服器到伺服器) (輸入/輸出),然後是不受信任的LAN(伺服器到桌面)。
讓我從幾個開始,請將它們添加到列表中。另外,請說明這是否是 Windows 中的「預設」服務(例如 Exchange 不是,但 SMB 是)。
一些我從中提取的http://support.microsoft.com/kb/832017 http://technet.microsoft.com/en-us/library/bb124075(EXCHG.65).aspx
Remote Desktop - default if enabled
DMZ - None (usually)
T LAN - 3389 (TCP IN/OUT)
U LAN - None (or selected desktops; IT support etc.)
NT - NetBIOS - default if enabled
DMZ - None
T/U LAN - 137, 138 (UDP I/O), 139 (TCP I/O)
SMB - default
DMZ - None
T/U LAN - 445 (TCP I/O) ?
DNS - only if installed within AD
DMZ - 53 (TCP/UDP O)
T/U LAN - 53 (TCP/UDP I/O)
答案1
你的問題不太清楚,但我會盡力...
要記住的一件事是任何程式都可以使用牠喜歡的任何連接埠。這就是間諜軟體和惡意軟體在某些環境中蓬勃發展的方式……透過使用常見的、眾所周知的連接埠並偽裝成其他東西。
一個惡意程度較低的範例是 Skype 程序,它會嘗試尋找要使用的端口,但如果必須的話,最終會使用端口 80(HTTP/Web 端口)和 443(SSL 端口)。
考慮到這一點...您應該使用 nmap 或 nessus 等程式對有問題的 PC 進行掃描...(有很多這樣的程式)以找出打開的端口,然後決定您要如何設置防火牆。
以下是常見連接埠分配的鏈接,為您提供了解該連接埠上可能運行的內容的起點:
http://technet.microsoft.com/en-us/library/cc959833.aspx
例如,連接埠 53 通常用於 DNS。如果您不需要 DNS 或您沒有在該電腦上執行 DNS 伺服器,則可以封鎖它。
同樣,您應該確保您的伺服器沒有運行不需要的服務。如果您看到伺服器上的連接埠 53 打開,並且您有一個 DNS 伺服器(您沒有使用)正在運行,請將其關閉。 ;-)
希望這可以幫助。
答案2
我同意 KPWINC 關於連接埠的觀點,任何東西都可以使用任何連接埠。如果您的目標是保護您的伺服器,我會在您的使用者和伺服器之間放置硬體防火牆,並確保它具有可以在必須開啟的連接埠上運行的代理程式。這樣,如果流量來自連接埠 80,防火牆可以查看它是否是 HTTP 流量,如果不是則將其丟棄。我們使用 Watchguard X1000 來完成這項工作,但我知道還有其他產品。
是的,我已經聽到一些人說「但是病毒可能會讓他們的流量看起來像 HTTP」。確實如此,但是您的伺服器也必須能夠使用 HTTP 服務。