我们有一个客户坚持让6-7个局域网电脑通过互联网向RDP开放。 每台PC上的RDP侦听端口已经从默认改变。 这些端口在Sonicwall TZ200 FW中转发。 我要实现这些安全措施中的一个或两个:需要一个vpn,只允许来自lan地址的RDP连接,和/或在Sonicwall中创build用户,并要求RDP用户在build立RDP会话之前向SW进行身份validation。 但是我的问题仍然是针对性的:侦听端口是否可以通过对防火墙和公有IP地址进行端口扫描来确定,如果是,如何最好地防止?
简短的回答。 是
较长的答案。 无论端口在哪个端口上,端口都可以被发现。 RDP也不例外。 端口扫描相当普遍。
在您的情况下支持的configuration是许可和使用RDP网关服务。 您有一个入口点,在443上进行侦听,并使用TLS进行encryption,然后作为RDP隧道,以便在内部networking上进行任何操作。
对于任何人来说,这不仅仅是一个开放的东西。 它有一个单独的身份validation层(通过Active Directory),您可以使用安全模型进行细化。 如在A组中,只能到达计算机组B等。
许多环境select使用VPN,而不是因为它更容易。
为了解决您的直接问题:是的,所有侦听端口及其上的服务通常可以通过运行一个简单的端口扫描来发现。 你完全不能完全阻止它,虽然我已经有一些成功的减缓/阻止端口扫描尝试与psad,它可能不支持你的防火墙,并不是不可战胜的。