我们希望将在Windows 2008服务器上运行的IIS网站的IP地址列表白名单。 由于这个IP地址列表是dynamic的,我们希望将其存储在一个文本文件中,该文件将使用Web服务进行更新。 你如何去做这件事,我们必须避免任何forms的人工干预,例如打开一个GUI或重新启动服务器。 我们知道如何通过IP表或通过dynamic生成Apache或Nginx的规则。 有人能帮助我们吗?
我正在编写一个大脚本,并通过Powershell应用一系列本地策略设置。 其中大部分工作是通过Secedit导出当前安全configuration完成的,将其传递给ArrayList,根据需要添加/更新值,然后导出ArrayList并使用Secedit导入。 我的问题是我需要设置本地防火墙策略(计算机configuration\策略\ Windows设置\安全设置\高级安全Windows防火墙\高级安全Windows防火墙\ Windows防火墙属性\域configuration文件\防火墙状态),这已经造成我卡住了。 我能够使用本地防火墙设置 $Domain = Get-NetFirewallProfile -name domain $domain | Set-NetFirewallProfile -DefaultInboundAction allow 但是这不是在操纵政策。 我也可以操作在策略更改时写入/更新的registry项,但是更改这些项不会显示策略更改,例如: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\enablefirewall=4,1 变成: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\enablefirewall=4,0 如果运行gpupdate / force,则不显示策略已更改 – 将此设置从内存中清除(这是因为策略包含在c:\ windows \ security下的安全数据库中) 我已经尝试在通过secedit导入的文件中添加registry项 – 成功加载但不操作设置。 我已经尝试使用open-netgpo – 但我无法这样做,因为这不是域join的计算机(并且永远不会join域),我无法传递一个有效的策略存储选项,以便它可以操纵本地防火墙策略 理想情况下,我希望通过本地策略来控制,而不仅仅是激活的防火墙设置。 我希望有一种方法可以使用Powershell来更改防火墙策略,这样我就可以以自动的方式完成我需要的function。 谢谢
我目前正在使用ISA 2000运行Windows SBS 2003,并将迁移到包含Windows SBS 2008 Standard Edition的新服务器。 由于SBS 2008的内部防火墙不应该被看作是任何外部防火墙的替代品,所以我正在寻找反馈意见,指出如何在现有的硬件和软件configuration下实施单独的防火墙来保护我的networking。 注意:一旦旧的Windows Small Business Server从域控制器降级后,我计划通过安装新的操作系统重新使用旧硬件。 假设,在Forefront Threat Management Gateway 2010出现的时候,甚至试图在networking边缘运行ISA也是明智之举吗? 我应该看哪些硬件或软件(或其组合)解决scheme? 如果select分别购买ISA 2006的新副本和第二个服务器许可证,我可以看到情况变得相当昂贵。 任何见解或可能的解决scheme将不胜感激!
我有一个像素515e运行像素6.3瓦/ 64MB RAM,3个以太网接口,只有2使用中。 我使用它作为约100台设备的互联网网关,每天约6 Mbps(兆比特每秒)的入站峰值,约为出站值的10%-20%。 这很好,没有问题。 我们不使用任何VPNfunction。 虽然PIX不知道/关心这个大多数客户端是无线的。 我们有合规/政策问题,所以我们要强制用户在使用互联网之前进行身份validation,并补充详细的日志。 我build议用另一种产品replacePIX; 我的build议(Windows +未命名的门户软件)失败了,所以我们又回到了使用一直工作得很好的PIX。 所以我烧了一些我的预算,但是我需要想出一个解决scheme,最好是使用我的。 我的理解是,PIX实际上可以对用户进行身份validation和审计访问。 我真的不需要详细的URL日志,我真正需要的是准确的date和时间,用户名,MAC地址,本地IP地址,本地端口(翻译+未翻译),远程IP,远程端口和八位字节计数 我相信我有一个处理伐木,所以我的问题是 1)在允许访问互联网之前,这个PIX是否需要authentication? 我的意思是所有的互联网接入(游戏,telnet,…),不只是HTTP。 任何指导,使这项工作? 注意:我无法控制我的用户设备,我可以拒绝他们访问(原因),但我无法在他们的计算机上安装软件。 2)现在任何支持互联网的设备(PC,Mac,iphone,android)都可以访问互联网。 我想确保它们继续工作,那么这些改变是否足以与这些现有设备一起工作呢? 3)如果我继续下去,这个pix会不堪重负(CPU /内存)? 在高峰时段,我看到了每秒800多个数据包。 4)如果这是一个坏主意,请提供build议 注意我不想讨论这个政策。 如果用户想要超出他们同意的政策,我真的不在乎,但他们需要使用/购买自己的3G服务进行这样的活动,并留在(W)局域网。
我正在build立一个公共Web服务器:Windows Server 2008 R2,IIS7.5。 有没有人有一个教程/演练/提示正确保护公共Web服务器? 我见过几个教程,但主要集中在Windows Server 2003上。 到目前为止我所做的是: 为网站/应用程序池创build了特定的用户帐户, 重命名pipe理员帐户, 安装了FTPS, configuration防火墙来阻止任何非公共服务(web / https), configuration防火墙允许仅从特定IP地址(rdp,IISpipe理,ftp)访问pipe理界面 也许还有一些其他的东西,但现在不记得了… ICMP是允许的…我应该禁用所有除了ping? 端口扫描仅显示Web和https端口。 还有其他build议吗? 谢谢
我为一家拥有相当标准networking存在的公司工作。 一个专用networking服务器和一个专用数据库服务器位于数据中心。 我们是运行Windows Server 2k3和SQL Server 2k5的MS家庭 虽然我们大部分的通信都是从WebApp到数据库服务器,但是我们有一个传统的VB.net Uberapplication,它不会消失,现在它正在导致安全问题。 它直接与我们的异地SQL服务器build立连接,因为它运行在我们的员工机器和一些客户端上,所以我们不能防御SQL Server端口或者因为不断变化的客户端IP而安装一个白名单。 我希望某种防火墙能够以某种方式向它发送一个validation数据包,并允许该IP访问该端口,同时阻止未经validation的IP。
每隔几分钟,我们的思科ASA 5505防火墙就会logging我无法用我有限的思科体验计算出的错误。 Severity Date Time Syslog ID Source IP Destination IP Description 3 Mar 25 2010 17:21:14 305006 8.8.8.8 regular translation creation failed for icmp src inside:10.10.0.206 dst outside:8.8.8.8 (type 3, code 3) 3 Mar 25 2010 17:18:37 305006 8.8.4.4 regular translation creation failed for icmp src inside:10.10.0.206 dst outside:8.8.4.4 (type 3, code 3) logging的内部IP是我们的内部DNS服务器,外部IP是Google的公共DNS服务器,我们在本地BINDconfiguration中用作转发器。 […]
我要: a)将多个部门划分成VLAN,希望完全限制他们之间的访问(销售人员不需要与支持工作站或打印机进行通信,反之亦然)或b)通过VLAN的某些IP地址和TCP / UDP端口 – 即允许销售VLAN仅在端口443上访问服务器VLAN中的CRM Web服务器。 在端口方面,我需要一个48端口交换机和另一个24端口交换机来配合现有的两个24端口二层交换机(Linksys)。 我正考虑使用D-Links或HP Procurves,因为思科已经超出了我们的价格范围。 问题1: 根据我的理解(如果我错了,请纠正我),如果服务器(VLAN10)和销售(VLAN20)都在同一个48端口交换机(或两个堆叠的24端口交换机)上,那么交换机“知道”每个设备属于哪个VLAN和端口,并在它们之间交换数据包; 此时我也可以使用ACL来限制VLAN之间的访问。 它是否正确? 问题2: 现在让我们说支持(VLAN30)在不同的交换机(Linksys之一)上。 我假设我需要中继(标记)交换机#2的VLAN交换#1,所以交换机#1看到交换机#2的VLAN30(反之亦然)。 一旦交换机#1可以“看到”VLAN30,我假设我可以应用ACL,如问题#1所述。 它是否正确? 问题3: 一旦交换机#1可以看到所有的VLAN,我可以实现看似“三层”的ACL过滤,只限制某些TCP / UDP端口和IP地址(例如,只允许3389到terminal服务器,192.168。 10.4 / 32)。 我说“貌似”,因为一些第2层交换机提到了通过ACL限制端口和IP地址的能力; 我(可能是错误地)认为,为了有第三层ACL(包过滤),我需要至less有一个第三层交换机充当核心路由器。 如果我的假设不正确,那么您需要一个三层交换机来进行VLAN间路由还是VLAN间交换? 通常只有当你的部门之间需要更高级别的数据包过滤能力吗?
有一个思科1800路由器,没有NAT,有2个互联网连接。 两者都有自己的IP范围和路由器IP。 想要使用一个互联网和其他VPN的,但不知道如何看到从一个单一的防火墙的公共IP,因为防火墙设置只允许从一个来源的IP范围。 防火墙没有双重isp只是一个端口的广域网。 有任何想法吗? 添加路线也许?
我将Windows Server 2003 x64升级到了Windows Server 2008 R2 x64,而且我注意到我无法连接到在计算机上运行的SQL Server(从局域网内)。 我运行了http://support.microsoft.com/kb/968872/en-us上指定的OpenSqlServerPort.bat脚本,但软件防火墙仍然以某种方式阻止了我的局域网内的访问。 我安装了Microsoft的端口查询工具,并validation端口正在被过滤: TCP端口1433(ms-sql-s服务):FILTERED portqry.exe -n 192.168.1.15 -e 1433 -p TCP退出并返回代码0x00000002。 我还可以在EventLog中看到它被阻止: Windows过滤平台阻止了一个数据包。 过滤信息: 筛选器运行时ID:74459 图层名称:传输 层运行时间ID:12 我希望有一种方法来查找导致块的过滤规则。 我在Google上没有find任何使用运行时ID的东西。 有人有主意吗?