我是一名程序员,正在与我们的系统管理员争论。目前,在我们的网络服务器(不在 dmz 中)上,端口 80 被阻止,而 https 端口 (423) 我相信是畅通的。管理员的理由是,这样可以确保服务器的安全。我告诉他,端口 80 上不存在任何黑客/攻击,不用担心。有人能给我指出一些支持/反驳我的说法的文献吗?。 非常感谢。
环境 windows server 2003 serverpack 2
答案1
有很多保护服务器不仅仅是阻止几个端口。通常在服务器上,你会实施“默认拒绝”策略,阻止流量到全部端口,然后只免除您需要的特定端口。因此,如果您不需要端口 80 和 443,那么无论如何都应该阻止它们。
您说没有已知的针对端口 80 的漏洞,这很可能是正确的。您需要问自己,侦听这些端口的任何应用程序中是否存在漏洞。那99.9% 的时间里都会发生安全问题。
听起来你的目标是强制应用程序用户仅通过端口 443 使用 HTTPS 通道。我强烈建议不要直接阻止端口 80,而是开放该端口,并将连接到该端口的任何客户端重定向到 HTTPS。这样,用户可以在浏览器中输入“example.com”,他们就会自动重定向到“https://example.com“。这不是必需的,但通常来说,这是改善用户体验的良好做法。
答案2
与端口本身相比,监听该端口的服务更多。甚至 Skype 也可以监听端口 80(在我发现使用该端口的内容之前,设置 WampServer 带来了很多麻烦!)
最好不要打开任何不需要的端口。如果目前没有针对 IIS 的漏洞(我怀疑),那么将来可能会有。如果不需要,为什么要为了好玩而打开端口呢?
另外,支持你的说法不是个好主意吗前在争论中使用它们?我觉得你对系统管理员撒谎,然后跑来找我们支持你,这真是太有趣了。:)
答案3
以下是可以利用端口 80 的漏洞列表: http://www.doshelp.com/Ports/80.htm
据我了解,如果您保留 IIS 的默认配置,则端口 80 是任何针对 IIS 的漏洞利用的入口点。
归根结底,任何开放的端口都可能是一个漏洞,这就是为什么不需要的端口应该关闭的原因。显然,Web 服务器必须监听某些端口,因此服务和操作系统强化是运行 Web 服务器的重要部分。微软在这方面有广泛的指导——在 TechNet 上搜索“服务器强化”,你就会找到所需的信息。
这并不能明确支持或反驳您的主张,但希望它能帮助您和您的系统管理员一起思考这个问题。