Firewall

動態埠是不斷變化的,如何在防火牆中設置呢?

  • February 16, 2019

我想阻止伺服器上未使用的埠,因此我使用CurrPorts監視埠,並且我了解某些程序,例如lsass.exe具有一些動態埠,例如 49158,49976,… 這些埠可能會在服務重新啟動後發生變化。

我研究了防火牆規則配置的最佳實踐,所以我想通過開關ACL(訪問控制列表)允許使用的埠並拒絕其他埠,例如:

switch(conf)>ip access-list extended Firewall

switch(conf-ipacc)>permit tcp any(source-ip) any(source-port) 192.168.5.10(server-ip) 53(server-local-port) 優先級 10

switch(conf-ipacc)>permit tcp any any 192.168.5.10 49158 priority 50

.

switch(conf-ipacc)>deny tcp any any 192.168.5.10 any priority 1000

問題:

對於不斷變化的動態埠,我能做些什麼?

作業系統:Windows Server 2012

伺服器 IP 地址:192.168.5.10

交換機:Cisco sg-300

您要麼需要允許整個高埠範圍 (49152-65535),要麼按照以下過程將 RPC 流量限制在自定義範圍內。

https://support.microsoft.com/en-us/help/154596/how-to-configure-rpc-dynamic-port-allocation-to-work-with-firewalls

在此範例中,埠 5000 到 6000(含)已被任意選擇,以幫助說明如何配置新的系統資料庫項。這不是任何特定係統所需的最小埠數的建議。

  1. 在以下位置添加 Internet 密鑰:HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc
  2. 在 Internet 項下,添加值“Ports”(MULTI_SZ)、“PortsInternetAvailable”(REG_SZ) 和“UseInternetPorts”(REG_SZ)。

例如,新的系統資料庫項如下所示: Ports: REG_MULTI_SZ: 5000-6000 PortsInternetAvailable: REG_SZ: Y UseInternetPorts: REG_SZ: Y 3. 重新啟動伺服器。使用 RPC 動態埠分配的所有應用程序都使用埠 5000 到 6000(含)。

對於 Active Directory,還有許多其他需要允許的埠。

如果您只需要允許訪問特定的已知系統,IPSEC 將是一個更安全的選擇。

引用自:https://serverfault.com/questions/946571