正如你可能都知道的那样,RDP for Windows中不断出现新的安全漏洞。 我已经search了这个问题,并可能修复/解决scheme。 我感到惊讶的是,没有人提到,限制在Windows防火墙的IP范围作为一个可能的修复(以便只有你的IP可以连接到机器)。 我想这是因为,由于某种原因,这不是一个好的解决scheme(我不是专家)。 所以我的问题是,这个解决scheme有什么问题?
在Windows XP和Windows Server 2003上,使用以下命令可以知道Windows防火墙上的当前打开的端口: netsh firewall show state 但是,在Windows 7和Hyper-V Server 2008 R2上,当我给出这个命令时,它说: 目前没有端口在所有networking接口上打开。 重要提示:命令执行成功。 但是,“netsh防火墙”已过时; 改为使用“netsh advfirewall防火墙”。 显然有端口是开放的,因为诸如NetBIOS NS,远程桌面和Hyper-V远程pipe理等服务正在运行。 我尝试了一些“netsh advfirewall”显示命令,但没有find一个方法来找出哪些端口是允许的Windows防火墙。 知道目前开放的港口,我可以肯定,我允许必要的和足够的stream量通过,不多也不less。 浏览整套高级防火墙规则非常繁琐且容易出错。 Windows 7和Windows Server 2008上有没有一个命令可以有效地执行此操作?
好的,问题:我有一个IISnetworking服务器和Windows防火墙。 为了允许传入连接到IIS,我启用了端口80和8080。 但现在,我怎样才能阻止与Windows防火墙端口80(=禁令)特定的IP地址/范围?
在阅读本文和这篇文章之后 ,我决定在大多数情况下将所有的防火墙更改为拒绝,而不是阻止数据包。 我的经validation实了这些文章的论点。 不幸的是,Windows 2008 R2在默认情况下使用了所谓的“隐形模式”,我发现没有明显的方法来正确禁用它。 在Technet文章下方的注释中,有一个指向下面的msdn文章的链接,该文章显示了某种可能会禁用它的键或结构。 但是我无法在registry中find任何“隐形”的密钥。 无论如何,第二个评论表明这可能无法正常工作: 即使在防火墙被禁用的情况下,过滤平台的某些元素也始终处于活动状态,包括“隐形模式”,但不支持禁用隐形模式。 那么“隐身模式”还能做什么,而不是拒绝数据包? 有谁知道如何禁用隐形模式?
我正计划在Rackspace云上运行一些服务器。 除了使用负载平衡器来控制networkingstream量,Windows防火墙有多好? 我正在考虑吞吐量以及安全性。
我试图使用客户端到网关IPSEC VPN将win server 2008 R2机箱连接到juniper ssg防火墙。 我试图用高级安全Windows防火墙设置它,但连接似乎不起作用。 很想听到这个工作的人。 谢谢! 我正在使用的设置是: Endpoint 1: [ip address of this machine] Endpoint 2: [ip range of the machines behind the firewall at the other end] Auth mode: require inbound and outbound Method: PSK Key: [###] Profile: Domain, Private, Public 使用IPsec隧道,应用授权。 Local tunnel endpoint: [ip address of this machine] Remote […]
我刚刚购买了Windows Server 2008 R2 VPS计划,我惊讶地发现默认configuration禁用了Windows防火墙。 我启用了防火墙并禁用了大部分入站规则,但是我对核心networking类别中的规则有一些不确定性。 我知道我不想要DHCP,所以我禁用了IP4和IP6版本,但是我对这个类别的其他条目感到不知所措: IGMP IPHTTPS IPv6 Multicast Listener Done, Query, Report and Report v2 Neighbor Discovery Advertisement and Solicitation Packet Too Big Parameter Problem Router Advertisement Router Solicitation Teredo Time Exceeded 该服务器的唯一计划入站连接是HTTP,HTTPS和RDP,所以我的首选是禁用所有这些规则。 但是,我想确保这不会导致任何意想不到的问题。
我们的其中一项服务是在英国境内的200名员工专用的外联网。 我们看到来自中国,俄罗斯,乌克兰和尼日利亚的大量login尝试。 我有大量的IP范围,我想阻止。 有成千上万的条目。 (为了这个讨论的目的,我没有兴趣开放一个关于阻止整个国家是非的辩论,这是我的要求 – 我需要完成它。) 我写了一个Powershell脚本,每24小时更新一次列表,并将填充Windows防火墙与规则。 但是,我很担心激活它。 我的问题是,Windows防火墙在以这种方式处理数千个阻止规则方面的效率如何? 比如说,如果我的脚本包含了10000个块规则(甚至是10万个),它会有效地工作还是停下来? 虽然我想尽可能保护我的Web服务器,但我需要确保Web服务器能够快速处理请求。 UPDATE 我决定抓住机会运行PowerShell脚本。 我已经去了一个稍微不同的技术。 我创build了一个规则,而不是创build6700个规则(覆盖数百万个IP),并将所有错误的IP范围推送到所有远程地址部分的母亲。 结果 :完美地工作。 阻挡大部分中国,俄罗斯,台湾,乌克兰和尼日利亚,这是我们入侵黑客攻击最多的地方。 性能没有明显的差异。 我们似乎在没有任何改变的情况下提供相同数量的请求。 一个用于Windows防火墙。 它似乎能够非常有效地处理数千个IP块。 更新2 – 反馈 脚本已经存在了好几天了,所以我想你会很感激一些反馈。 我将脚本设置为每天运行的计划作业,使用新的IP范围更新防火墙,并从CSV文件读入。 这一切都完美,防火墙function非常快。 但有一个警告的字眼:脚本本身需要约。 运行4-5分钟,在这段时间内,CPU占用最大,Web请求极其缓慢。 因此,我build议在晚上或在不期待重负载的维护时段内运行脚本。 对我来说,解决scheme是在每个负载平衡服务器上的不同时间运行脚本,以便在执行过程中不会降低性能。 这是脚本: $csv = Import-Csv -Path 'C:\Scripts\IP Block List.csv' $data = @() $csv | ForEach-Object { $data += $_.From + "-" + $_.To […]
我的机器正在运行Windows 7旗舰版。 以下是我迄今为止所做的(成功): 在FastCGI上使用PHP安装IIS 7.5 得到它的工作! 当我去http://localhost/index.php ,我的PHP脚本运行良好。 冉ipconfig找出我的本地IP地址是192.168.1.102。 我确认http://192.168.1.102/index.php的function与上面的localhost地址完全一样。 进入我的路由器pipe理(我有一个Linksys WRT54G2),并设置在端口80端口转发到192.168.1.102。 现在端口80正在转发到我的机器。 在Windows防火墙中设置入站规则以允许端口80上的所有活动。 找出我的外部IP地址来自Google。 我们称之为XXX.XX.XX.XX. 然而,当我尝试从我自己的机器,或从远在电脑上的http://XXX.XX.XX.XX/index.php ,而不是在我的networking上,无论如何…我什么也没得到。 它试图连接一段时间(失败),但最终只是放弃。 这是我想知道的: 我错过了什么? 我忘了/忽略了什么? 我如何才能在自己的本地networking之外工作并访问? 假设我确实得到了这个工作,那么我怎样才能使用80端口以外的端口呢? 我需要做些什么改变(例如IIS,Windows防火墙,路由器pipe理等)才能做到这一点? 非常感谢!
在防火墙高级安全pipe理器/入站规则/规则属性/范围选项卡中,您有两个部分来指定本地IP地址和远程IP地址。 什么使地址符合本地或远程地址的要求? 这个问题是非常明显的一个正常的设置,但现在,我正在build立一个远程虚拟化服务器,我不太确定。 我得到的是一个有两个接口的物理主机。 物理主机使用接口1与公共IP。 虚拟机连接接口2与公共IP。 我有一个虚拟子网之间的两个 – 192.168.123.0 当编辑防火墙规则时,如果我把192.168.123.0/24放在本地ip地址区域或远程ip地址区域,windows做什么不同呢? 它有什么不同吗? 我问这个问题的原因是,在防火墙处于活动状态的情况下,两个域之间的域名通信工作出现问题。 我有很多防火墙的经验,所以我知道我想要做什么,但是这里发生的事情的逻辑逃避了我,这些规则是非常繁琐的,不得不一一编辑。 编辑:这两个规则有什么区别: 让来自本地子网192.168.1.0/24的stream量访问SMB端口 让来自远程子网192.168.1.0/24的stream量访问SMB端口 我有一个IP地址为192.168.1.1的LAN端口,我认为没有什么区别 伊恩