У нас есть экземпляр Windows Server 2008 R2, на котором запущен IIS 7, обслуживающий несколько веб-сайтов / веб-служб в нескольких доменах (все порты 80 или 443).
У нас есть проблема безопасности с определенным поддоменом / портом, и я хотел бы настроить сервер так, чтобы он вообще не отвечал на эту комбинацию поддомена / порта (т.е. даже на TCP-ответ ... SYN
не должен получать соответствующий ACK
, как будто сервера даже не существует)
Я не опытный сетевой администратор, тем более в Windows. Используя Microsoft Network Monitor, я вижу, что что-то берет трубку и отвечает 404:
Поле «процесс» пустое, поэтому я не знаю, что на самом деле берет трубку. . Я подозреваю, что это должен быть IIS, но нет веб-сайта, настроенного для ответа на этот конкретный домен / порт. Я думал, что, возможно, «веб-сайт по умолчанию» улавливает весь ненастроенный трафик, но когда я настраивал мониторинг неудачных запросов на веб-сайте по умолчанию, я не получаю для этого журналов.
Я полагаю, что запись в брандмауэре может сделать эту работу, но я хотел бы знать, как все работает на самом деле, прежде чем идти по этому пути. Что отвечает на этот сетевой запрос и как мне узнать? И затем я могу настроить этот компонент так, чтобы он не отвечал на эти запросы?
ОБНОВЛЕНИЕ: согласно комментарию @Mass Nerder, я выполнил netstat -anb
и получил следующее для порта 80 (рассматриваемого порта) :
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
Can not obtain ownership information
TCP 172.17.63.2:80 50.205.86.154:37961 ESTABLISHED
Can not obtain ownership information
TCP 172.17.63.2:80 50.205.86.154:54097 ESTABLISHED
Can not obtain ownership information
TCP 172.17.63.4:80 69.66.192.88:53898 ESTABLISHED
Can not obtain ownership information
TCP 172.17.63.4:80 69.66.192.88:53899 ESTABLISHED
Can not obtain ownership information
TCP 172.17.63.4:80 69.66.192.88:53900 ESTABLISHED
Can not obtain ownership information
TCP [::]:80 [::]:0 LISTENING
Can not obtain ownership information
Я предполагаю, что сервер находится в демилитаризованной зоне или в сети напрямую, иначе вы могли бы отфильтровать на реальном брандмауэре. Без Назначения я не могу сказать, что вы пытаетесь заблокировать. Это трафик с IP:80? Ваш запрос "даже не TCP ответ" означал бы, что вам вообще не придется открывать порт на этом IP, иначе IIS ответит вам.
f вы хостируете несколько доменов на одном IP:port combo, то это не вариант.