编辑

编辑

域控制器上的 Windows 默认防火墙设置似乎会向“任何”类型的连接开放多个端口。我想要向互联网开放的只是 RDP 端口。

我可以并且应该手动限制每个入站规则以允许范围仅为“本地子网”吗?有没有更简单的方法可以做到这一点?

答案1

域控制器需要相当为了向您的网络提供服务而开放;它不应该直接连接到互联网。


编辑

好的,让我们看看您可以在这里做什么。

像你现在这样行事肯定会带来麻烦,你应该不惜一切代价避免。

你有两个解决方案:

  • 从所有服务器上删除“私有”NIC,仅在其上使用公共 IP 地址(但使用静态 IP 地址,而不是 DHCP!)并在每个服务器上配置防火墙,以仅允许它们之间的连接以及您将从 RDP 连接到它们的位置。
  • 从它们中删除“公共”NIC,有效地将它们放入私有LAN中,并添加另一台运行Windows RRAS或ISA Server(或FFTMG,Linux或任何其他您想要的)的计算机,该计算机具有两个网卡,一个是公共的,一个是私有的,作为网络的防火墙。

无论你做什么,都不要同时在所有计算机上使用两个 NIC 和公有/私有 IP 地址。这样,你会遇到两种解决方案的麻烦加上多宿主,并且没有任何好处。

答案2

如果您使用 Windows 防火墙(或机器本身上运行的任何其他类型的软件防火墙)来保护您的设备免受互联网攻击,那么您就做错了。首先,这意味着您的每个设备都直接连接到互联网,其次,您需要配置和管理多个防火墙。

您需要安装合适的防火墙设备并配置路由,以便所有互联网访问都通过它。为自己提供互联网的单一访问点是一项基本的安全要求。这不需要复杂或昂贵,而且可以帮助您晚上睡得更安稳。

答案3

尝试高级安全 Windows 防火墙,它允许您执行比“消费者友好型”控制面板 UI 更多的操作。

您可能还考虑第三方防火墙提供商。

答案4

尝试以下链接:

Windows Server 系统的服务概述和网络端口要求 http://support.microsoft.com/kb/832017

希望这会有所帮助。

相关内容