一旦我通过 IP 锁定了我的服务器,我还需要阻止针对我的服务器的攻击吗?

一旦我通过 IP 锁定了我的服务器,我还需要阻止针对我的服务器的攻击吗?

我有一台公共专用服务器,客户端可以通过 RDP 登录。我使用 rdpguard 来阻止服务器上的恶意 RDP 登录尝试。最近,我将其锁定,只允许特定 IP 地址通过 Windows 防火墙。

我是否仍需要像 rdpguard 这样的程序来阻止这些攻击,或者我可以将其删除并释放 rdpguard 使用的资源?它现在有用吗,还是防火墙阻止他们尝试登录?

我没有硬件防火墙,也无法为我的情况获取硬件防火墙,所以请避免这个话题。

谢谢你!

答案1

Windows 防火墙不一定能“阻止”您的计算机对 TCP 端口 3389 进行暴力攻击。它只是通过访问控制列表过滤那些您允许使用该端口/服务的人。即使使用 Windows 防火墙,RDP 服务也可能会受到多种攻击。如果您尚未使用 SSL,我建议您按照本文中的详细说明进行操作来自 technet 的指导

我会将 RDPGuard 保留在你的系统上,作为“穷人的”纵深防御

答案2

好吧,如果您拒绝除客户端 IP 之外的所有 IP 的访问,那么 rdpguard 所做的就是阻止来自客户端的恶意登录尝试。

可能没有必要继续跑步,但话又说回来,这也无害。

答案3

Windows 防火墙实际上只能有效地处理第 3 层,而您应该一直关注第 7 层,即应用程序层过滤。Technet 指出这里那:

除某些文件传输协议 (FTP) 流量外,Windows 防火墙不使用应用程序层信息来状态过滤流量。

虽然该文章针对的是 Server 2003,但同样适用于 2008。虽然我没有使用过 rdpgaurd,但它似乎只进行日志监控而不是真正的流量检查。

回答您的问题:实施的安全措施应与您所保护的数据的价值成正比。对于内部服务器,第 3 层保护可能就足够了,但对于面向公众的服务器,您应该在不妨碍操作的情况下实施尽可能多的安全措施。所以在我看来,是的,如果您关心您的客户和您作为服务提供商的声誉,那么您需要保护您的外部系统。此外,您应该使用专门为这种情况设计的产品。在不知道您的操作参数的情况下,既然您说硬件是不可能的,请查看 Microsoft 的 Forefront 产品线。否则,大多数主要的网络/安全(McAfee、Cisco、F5、Checkpoint 等)供应商都会根据您的预算提供一些软件解决方案。

答案4

请记住,RDPGuard 仅依赖 Windows 事件日志来阻止传入的 IP 地址。有多种方法可以绕过这一点,这意味着该应用程序不会获取攻击者的 IP 地址,也不会对此采取任何措施。

最好将 RDP 默认端口(3389)更改为其他端口。

相关内容