Я хотел бы заблокировать неиспользуемые порты на моем сервере, поэтому я отслеживаю порты с помощью CurrPorts и понимаю некоторые процессы, такие как lsass.exe
имеют некоторые динамические порты, например 49158,49976, ... Эти порты могут измениться после перезапуска службы.
Я изучил Рекомендации по настройке правил брандмауэра , поэтому я хотел бы разрешить используемые порты и запретить другие с помощью переключателя ACL
(Список управления доступом), например:
переключатель (conf)> ip access-list extended Firewall
переключатель (conf-ipacc)> разрешить tcp любой (исходный IP) любой (исходный порт) 192.168.5.10 (сервер-IP) 53 (локальный порт сервера) приоритет 10
переключатель (conf-ipacc)> разрешить TCP любой любой 192.168.5.10 49158 приоритет 50
.
.
переключатель (conf-ipacc)> запретить tcp любой 192.168.5.10 любой приоритет 1000
Вопрос:
Что я могу сделать для динамических портов, которые постоянно меняются?
ОС: Windows Server 2012
IP-адрес сервера: 192.168.5.10
Коммутатор: Cisco sg-300
Вам нужно либо разрешить весь диапазон высокопроизводительных портов (49152-65535), либо выполнить приведенную ниже процедуру, чтобы ограничить трафик RPC до настраиваемого диапазона.
В этом примере порты 5000 до 6000 включительно были выбраны произвольно, чтобы проиллюстрировать, как можно настроить новый раздел реестра. Это не рекомендация относительно минимального количества портов, необходимого для какой-либо конкретной системы.
Добавьте Интернет-ключ в: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Rpc
В разделе Интернета добавьте значения «Порты» (MULTI_SZ), «PortsInternetAvailable» (REG_SZ) и «UseInternetPorts» (REG_SZ).
Например, новый раздел реестра выглядит следующим образом: Порты: REG_MULTI_SZ: 5000-6000 PortsInternetAvailable: REG_SZ: Y UseInternetPorts: REG_SZ: Y
Перезагрузите сервер. Все приложения, использующие динамическое распределение портов RPC, используют порты с 5000 по 6000 включительно.
Для Active Directory необходимо разрешить множество других портов.
Если вам нужно разрешить доступ только к определенным известным системам, IPSEC будет более безопасным вариантом.