我一直无法find一些基于Windows的软件/服务的防火墙端口信息。 例如, http://support.microsoft.com/kb/832017给了我端口,但是INTERNAL(例如LAN)和EXTERNAL(到因特网)之间没有区别。 从桌面到AD服务器的防火墙configuration无疑将不同于AD服务器到AD服务器,当然也从AD DNS服务器到Internet。
我想locking我的台式电脑和我的服务器之间的接口,然后在服务器之间(AD到AD等)。
我在桌面和服务器之间有一个硬件防火墙,服务器交换机也有防火墙。 我想从不允许的端口开始,然后只打开在每台服务器上运行服务所需的内容。 我有很多的SQL Server,AD,DNS,交换,terminal服务等服务器,每个人都有一个稍微不同的端口configuration,取决于它是否与互联网(Exchange,DNS)或本地服务器Active Directory复制,CIFS共享)或桌面(SQL Server,Terminal ServiceS)。
为了使它更通用一些(对其他人有用),我希望能够得到所有常见的Windows应用程序/服务和internet / dmz(进/出)所需的端口列表,以“可信”局域网(服务器到服务器)(进/出),然后不可信的局域网(服务器到桌面)。
让我从一对夫妇开始,请将它们添加到列表中。 此外,请包括这是否是Windows中的“默认”服务(例如,Exchange不是,但SMB是)。
一些我从http://support.microsoft.com/kb/832017拉扯http://technet.microsoft.com/en-us/library/bb124075(EXCHG.65).aspx
Remote Desktop - default if enabled DMZ - None (usually) T LAN - 3389 (TCP IN/OUT) U LAN - None (or selected desktops; IT support etc.) NT - NetBIOS - default if enabled DMZ - None T/U LAN - 137, 138 (UDP I/O), 139 (TCP I/O) SMB - default DMZ - None T/U LAN - 445 (TCP I/O) ? DNS - only if installed within AD DMZ - 53 (TCP/UDP O) T/U LAN - 53 (TCP/UDP I/O) 你的问题不完全清楚,但我会尽我所能…
有一点要记住,任何程序都可以使用任何喜欢的端口。 这就是间谍软件和恶意软件如何在一些环境中蓬勃发展…通过使用通用的,众所周知的端口并假装是别的东西。
一个不太恶意的例子是Skype程序,它将尝试find一个端口使用,但最终将使用端口80(HTTP / Web端口)和443(SSL端口),如果必须的话。
考虑到这一点,你应该使用nmap或nessus等程序扫描有问题的PC(有很多这样的程序),找出哪些端口是开放的,然后决定你想如何设置你的防火墙。
这是一个通用端口分配的链接,为您提供了在该端口上运行MIG的一个起点:
http://technet.microsoft.com/en-us/library/cc959833.aspx
例如,端口53通常用于DNS。 如果您不需要DNS,或者没有在该机器上运行的DNS服务器,则可以将其阻止。
沿着同样的路线,你应该确保你的服务器没有运行它不需要的服务。 如果您在服务器上看到端口53打开,并且您有一台DNS服务器(您没有使用),请将其closures。 😉
希望这可以帮助。
我同意端口上的KPWINC,任何东西都可以使用任何端口。 如果您的目标是保护您的服务器,我会在您的用户和服务器之间放置一个硬件防火墙,并确保它具有可以在必须打开的端口上运行的代理。 这样,如果stream量在端口80上出现,防火墙可以看到是否是HTTPstream量,如果不是,则丢弃。 我们使用WatchGuard X1000来为我们做这个工作,但是我知道那里有其他人。
是的,我已经可以听到一些人说:“但病毒可能会使他们的stream量看起来像HTTP”。 确实,但是你的服务器必须和HTTP服务一样可行。