动态端口不断变化,如何在防火墙中设置它们?

动态端口不断变化,如何在防火墙中设置它们?

我想阻止服务器上未使用的端口,因此我使用以下方法监视端口当前端口并且我知道某些进程lsass.exe具有一些动态端口,例如 49158,49976,...这些端口可能会在服务重启后发生变化。

我研究了防火墙规则配置的最佳实践因此我想通过交换机ACL(访问控制列表)允许使用的端口并拒绝其他端口,例如:

switch(conf)>ip access-list extended 防火墙
switch(conf-ipacc)>permit tcp any(源ip) any(源端口) 192.168.5.10(服务器ip) 53(服务器本地端口) 优先级 10
switch(conf-ipacc)>permit tcp any any 192.168.5.10 49158 优先级 50
.
.
switch(conf-ipacc)>deny tcp any any 192.168.5.10 any 优先级 1000

问题:

对于不断变化的动态端口我该怎么办?

操作系统:Windows Server 2012
服务器 IP地址:192.168.5.10
交换机:Cisco sg-300

答案1

您需要允许整个高端口范围(49152-65535),或者按照以下步骤将 RPC 流量限制在自定义范围内。

https://support.microsoft.com/en-us/help/154596/how-to-configure-rpc-dynamic-port-allocation-to-work-with-firewalls

在此示例中,端口 5000 到 6000(含)是任意选择的,以帮助说明如何配置新的注册表项。这并不是对任何特定系统所需端口数量的最低建议。

  1. 在以下位置添加 Internet 密钥:HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc

  2. 在 Internet 项下,添加值“Ports”(MULTI_SZ)、“PortsInternetAvailable”(REG_SZ) 和“UseInternetPorts”(REG_SZ)。

    例如,新的注册表项显示如下:Ports:REG_MULTI_SZ:5000-6000 PortsInternetAvailable:REG_SZ:Y UseInternetPorts:REG_SZ:Y

  3. 重新启动服务器。所有使用 RPC 动态端口分配的应用程序都使用端口 5000 到 6000(含)。

对于 Active Directory,还有许多其他端口需要允许。

如果您只需要允许访问特定的已知系统,IPSEC 将是一个更安全的选择。

相关内容