我有一个 Web 服务器/数据库/域控制器。我注意到所有机器上的公用 IP 和专用 IP 上的端口 137 和 138 均已打开,0.0.0.0 上还有其他开放端口(即 135、2002)
我可以并且应该只关闭公共 IP 上的 137-139 吗?这会影响任何服务吗?
答案1
监听服务应该明确启用,而不是像大多数服务器上的核心服务那样隐式启用。如果您不需要端口 137、138 等,则禁用这些服务,这样它们就不会监听。谷歌搜索“禁用 TCP 上的 netbios”。您可以根据每个网络适配器禁用 netbios 服务。因此,一定要在 WAN 上禁用它们。
第一个谷歌结果:
http://www.petri.co.il/disable_netbios_in_w2k_xp_2003.htm
此外,如前所述,您应仅在 Web 服务器上公开监听,并且只监听您实际使用的端口。使用基于 Windows 主机的防火墙丢弃除 http(80)、https(443)、DNS(53)(UDP) 的 TCP 请求之外的所有内容。
另外,这个内部网络是您自己独有的吗?如果它与其他“专用”服务器客户或其他部门共享,您可能希望限制内部接口上源 IP 对任何 netbios、核心 windows 服务的访问。
答案2
这完全基于您提供的信息,我无法满足您描述之外的内容:
您应该锁定外部接口,以便唯一具有出站访问权限的机器是 Web 服务器,位于端口 80 和 443 上(如果您提供 SSL 页面)
如果您的内部 AD DNS 需要解析外部 DNS 条目,您可能还需要在它和 Web 之间打开端口 53。
澄清一下:您指的是 Windows 防火墙本身的锁定吗?如果是,请检查这些服务器和互联网链接之间的硬件防火墙上的设置。这是锁定网络流量的最常见位置,您无需在本地机器上重复这些规则。
不过要明确一点,你应该绝对限制 137-139 端口上的互联网访问。同时检查 445 端口!