Windows 服務 - 在防火牆中打開的常用埠
我一直很難找到一些基於 Windows 的軟體/服務的防火牆埠資訊。例如,http://support.microsoft.com/kb/832017給了我埠,但內部(例如 LAN)和外部(到網際網路)之間沒有區別。從桌面到 AD 伺服器的防火牆配置無疑不同於從 AD 伺服器到 AD 伺服器,當然從 AD DNS 伺服器到 Internet。
我想鎖定我的台式電腦和伺服器之間的介面,然後還要鎖定伺服器之間的介面(AD 到 AD 等)。
我在台式機和伺服器之間有一個硬體防火牆,伺服器交換機也嵌入了防火牆。**我想從不允許埠開始,然後只打開在每台伺服器上執行服務所必需的內容。**我有很多 SQL Server、AD、DNS、Exchange、終端服務等伺服器,每個伺服器的埠配置略有不同,具體取決於它是與 Internet(Exchange、DNS)還是本地伺服器( Active Directory 複製、CIFS 共享)或桌面(SQL Server、終端服務)。
為了使其更通用(對其他人有用),我希望我們能夠獲得所有常見 Windows 應用程序/服務的列表以及 internet/dmz(輸入/輸出)所需的埠,以“信任” LAN(伺服器到伺服器)(輸入/輸出),然後是不受信任的 LAN(伺服器到桌面)。
讓我從幾個開始,請將它們添加到列表中。另外,請說明這是否是 Windows 中的“預設”服務(例如 Exchange 不是,但 SMB 會是)。
我從http://support.microsoft.com/kb/832017 http://technet.microsoft.com/en-us/library/bb124075(EXCHG.65).aspx中提取了一些內容
Remote Desktop - default if enabled DMZ - None (usually) T LAN - 3389 (TCP IN/OUT) U LAN - None (or selected desktops; IT support etc.) NT - NetBIOS - default if enabled DMZ - None T/U LAN - 137, 138 (UDP I/O), 139 (TCP I/O) SMB - default DMZ - None T/U LAN - 445 (TCP I/O) ? DNS - only if installed within AD DMZ - 53 (TCP/UDP O) T/U LAN - 53 (TCP/UDP I/O)
你的問題不是很清楚,但我會盡力…
要記住的一件事是任何程序都可以使用牠喜歡的任何埠。這就是間諜軟體和惡意軟體如何在某些環境中茁壯成長的方式……通過使用常見的、眾所周知的埠並偽裝成其他東西。
一個不那麼惡意的例子是 Skype 程序,它會嘗試查找要使用的埠,但如果必須,最終會使用埠 80(HTTP/Web 埠)和 443(SSL 埠)。
考慮到這一點…您應該使用諸如 nmap 或 nessus 等程序對有問題的 PC 進行掃描…(那裡有很多)以找出哪些埠是打開的,然後決定如何設置防火牆。
以下是常見埠分配的連結,可讓您了解可能在該埠上執行的內容:
http://technet.microsoft.com/en-us/library/cc959833.aspx
例如,53 埠通常用於 DNS。如果您不需要 DNS,或者您沒有在該電腦上執行 DNS 伺服器,則可以阻止它。
同樣,您應該確保您的伺服器沒有執行它不需要的服務。如果您看到伺服器上的埠 53 打開並且您有一個 DNS 伺服器(您沒有使用)正在執行,請將其關閉。;-)
希望這可以幫助。