Вопросы Теги

Windows Server 2008 R2 + IIS 7: как отклонить трафик для заданный домен / порт

У нас есть экземпляр Windows Server 2008 R2, на котором запущен IIS 7, обслуживающий несколько веб-сайтов / веб-служб в нескольких доменах (все порты 80 или 443).

У нас есть проблема безопасности с определенным поддоменом / портом, и я хотел бы настроить сервер так, чтобы он вообще не отвечал на эту комбинацию поддомена / порта (т.е. даже на TCP-ответ ... SYN не должен получать соответствующий ACK , как будто сервера даже не существует)

Я не опытный сетевой администратор, тем более в Windows. Используя Microsoft Network Monitor, я вижу, что что-то берет трубку и отвечает 404:

enter image description here

Поле «процесс» пустое, поэтому я не знаю, что на самом деле берет трубку. . Я подозреваю, что это должен быть IIS, но нет веб-сайта, настроенного для ответа на этот конкретный домен / порт. Я думал, что, возможно, «веб-сайт по умолчанию» улавливает весь ненастроенный трафик, но когда я настраивал мониторинг неудачных запросов на веб-сайте по умолчанию, я не получаю для этого журналов.

Я полагаю, что запись в брандмауэре может сделать эту работу, но я хотел бы знать, как все работает на самом деле, прежде чем идти по этому пути. Что отвечает на этот сетевой запрос и как мне узнать? И затем я могу настроить этот компонент так, чтобы он не отвечал на эти запросы?

ОБНОВЛЕНИЕ: согласно комментарию @Mass Nerder, я выполнил netstat -anb и получил следующее для порта 80 (рассматриваемого порта) : 

  TCP    0.0.0.0:80             0.0.0.0:0              LISTENING
 Can not obtain ownership information
  TCP    172.17.63.2:80         50.205.86.154:37961    ESTABLISHED
 Can not obtain ownership information
  TCP    172.17.63.2:80         50.205.86.154:54097    ESTABLISHED
 Can not obtain ownership information
  TCP    172.17.63.4:80         69.66.192.88:53898     ESTABLISHED
 Can not obtain ownership information
  TCP    172.17.63.4:80         69.66.192.88:53899     ESTABLISHED
 Can not obtain ownership information
  TCP    172.17.63.4:80         69.66.192.88:53900     ESTABLISHED
 Can not obtain ownership information
  TCP    [::]:80                [::]:0                 LISTENING
 Can not obtain ownership information
1
задан 13 October 2016 в 21:32
1 ответ

Я предполагаю, что сервер находится в демилитаризованной зоне или в сети напрямую, иначе вы могли бы отфильтровать на реальном брандмауэре. Без Назначения я не могу сказать, что вы пытаетесь заблокировать. Это трафик с IP:80? Ваш запрос "даже не TCP ответ" означал бы, что вам вообще не придется открывать порт на этом IP, иначе IIS ответит вам.

f вы хостируете несколько доменов на одном IP:port combo, то это не вариант.

1
ответ дан 3 December 2019 в 23:40

Теги

Похожие вопросы