我pipe理一个小型企业的Windows小型企业服务器2003 R2服务器。 此服务器已经暴露给互联网的唯一端口是SSL和SBS远程Web工作区function使用的RDP隧道端口。
我已经注意到在安全事件日志中有时会出现一堆login失败事件 – 这看起来像是用各种用户名/密码组合敲打服务器的人。 由于SSL是唯一可以进行login的端口,所以我猜测他们正在SBS远程工作站,Exchange OWA或Exchange Activesync中进行攻击。
我们目前只有一个Linksys路由器(有售后固件),所以我想买一个商业级防火墙/ UTM设备 – 特别是Sonicwall TZ 100.但是,据我的理解,大多数UTM的无法保护HTTPSstream量,所以我我不确定在这种情况下会有帮助吗?
是否有东西可以检测到所有来自同一个IP的一串login尝试,然后阻止它?
谢谢
我认为你正在寻找一些类似于fail2ban或者denyhosts的东西,它们在nix上提供了类似的function。
看到这个和这个 。