我们有一位客户坚持要让 6-7 台局域网 PC 向互联网开放以进行 RDP。每台 PC 上的 RDP 侦听端口已从默认端口更改。这些端口在其 Sonicwall TZ200 FW 中转发。我将实施以下一项或两项安全措施:要求使用 vpn 并仅允许来自局域网地址的 RDP 连接,和/或在 Sonicwall 中创建用户并要求 RDP 用户在建立 RDP 会话之前向 SW 进行身份验证。但我的问题仍然很中肯:侦听端口是否可以通过针对防火墙和公共 IP 地址的端口扫描来确定,如果可以,如何最好地预防?
答案1
简短回答。是的
更长的答案。无论服务在哪个端口上监听,只要其端口向 Internet 开放,就都可能被发现。RDP 也不例外。端口扫描非常常见。
您的环境中支持的配置是许可并使用RDP 网关服务。您有一个在 443 上监听并使用 TLS 加密的单一入口点,然后该入口点充当 RDP 隧道,以便您在内部网络上到达任何地方。
它并不是任何人都可以使用的开放产品。它有一个单独的身份验证层(通过 Active Directory),并且您可以使用安全模型获得相当精细的信息。例如,组 A 只能访问计算机组 B,等等。
许多环境选择使用 VPN,因为它“更简单”。
答案2
回答您的直接问题:是的,通常可以通过运行简单的端口扫描来发现所有监听端口及其上的服务。您无法完全阻止这种情况,虽然我曾使用 psad 成功减缓/阻止端口扫描尝试,但您的防火墙可能不支持它,并且它并非牢不可破。