動態埠是不斷變化的,如何在防火牆中設置呢?
我想阻止伺服器上未使用的埠,因此我使用CurrPorts監視埠,並且我了解某些程序,例如
lsass.exe
具有一些動態埠,例如 49158,49976,… 這些埠可能會在服務重新啟動後發生變化。我研究了防火牆規則配置的最佳實踐,所以我想通過開關
ACL
(訪問控制列表)允許使用的埠並拒絕其他埠,例如:switch(conf)>ip access-list extended Firewall
switch(conf-ipacc)>permit tcp any(source-ip) any(source-port) 192.168.5.10(server-ip) 53(server-local-port) 優先級 10
switch(conf-ipacc)>permit tcp any any 192.168.5.10 49158 priority 50
。
.
switch(conf-ipacc)>deny tcp any any 192.168.5.10 any priority 1000
問題:
對於不斷變化的動態埠,我能做些什麼?
作業系統:Windows Server 2012
伺服器 IP 地址:192.168.5.10
交換機:Cisco sg-300
您要麼需要允許整個高埠範圍 (49152-65535),要麼按照以下過程將 RPC 流量限制在自定義範圍內。
在此範例中,埠 5000 到 6000(含)已被任意選擇,以幫助說明如何配置新的系統資料庫項。這不是任何特定係統所需的最小埠數的建議。
- 在以下位置添加 Internet 密鑰:HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc
- 在 Internet 項下,添加值“Ports”(MULTI_SZ)、“PortsInternetAvailable”(REG_SZ) 和“UseInternetPorts”(REG_SZ)。
例如,新的系統資料庫項如下所示: Ports: REG_MULTI_SZ: 5000-6000 PortsInternetAvailable: REG_SZ: Y UseInternetPorts: REG_SZ: Y 3. 重新啟動伺服器。使用 RPC 動態埠分配的所有應用程序都使用埠 5000 到 6000(含)。
對於 Active Directory,還有許多其他需要允許的埠。
如果您只需要允許訪問特定的已知系統,IPSEC 將是一個更安全的選擇。