我有一个Web服务器/数据库/域控制器。 我注意到,公共IP和私有IP上的端口137和138在所有机器上都是打开的,在0.0.0.0上也有其他开放端口(即135,2002)
只能在公共IP上closures137-139吗? 会干扰任何服务。
应该明确地启用监听服务,就像大多数服务器上的核心服务一样。 如果你不需要端口137,138等,然后禁用服务,所以他们不听。 谷歌“禁用netbios通过TCP”。 您可以根据每个networking适配器禁用netbios服务。 所以确保在WAN上禁用它们。
首先谷歌结果:
http://www.petri.co.il/disable_netbios_in_w2k_xp_2003.htm
另外,如前所述,您应该只在您的networking服务器上进行公开监听,并且只能在您实际使用的端口上进行监听。 使用基于Windows主机的防火墙将除tcp请求之外的所有内容都删除到http(80),https(443),DNS(53)(UDP)。
另外,这个内部networking完全是你自己的吗? 如果与其他“专用”服务器客户或其他部门共享,您可能希望限制通过内部接口上的源IP访问任何netbios,核心Windows服务。
这完全是基于你所提供的信息,而且我不能照顾你描述之外的事情:
您应该locking外部接口,以便唯一的出站访问的机器是Web服务器,在端口80和443(如果您提供SSL页面)
如果您的内部AD DNS需要parsing外部DNS条目,则可能还需要打开它与Web之间的端口53。
澄清一下:你是否在谈论Windows防火墙本身的locking问题? 如果是这样,请检查这些服务器和Internet链接之间的硬件防火墙上的设置。 这是lockingnetworkingstream量的最常见的地方,您不需要在本地机器上复制这些规则。
不过要清楚的是,你应该绝对限制在137-139港口上网。 检查端口445!