![动态端口不断变化,如何在防火墙中设置它们?](https://linux22.com/image/731284/%E5%8A%A8%E6%80%81%E7%AB%AF%E5%8F%A3%E4%B8%8D%E6%96%AD%E5%8F%98%E5%8C%96%EF%BC%8C%E5%A6%82%E4%BD%95%E5%9C%A8%E9%98%B2%E7%81%AB%E5%A2%99%E4%B8%AD%E8%AE%BE%E7%BD%AE%E5%AE%83%E4%BB%AC%EF%BC%9F.png)
我想阻止服务器上未使用的端口,因此我使用以下方法监视端口当前端口并且我知道某些进程lsass.exe
具有一些动态端口,例如 49158,49976,...这些端口可能会在服务重启后发生变化。
我研究了防火墙规则配置的最佳实践因此我想通过交换机ACL
(访问控制列表)允许使用的端口并拒绝其他端口,例如:
switch(conf)>ip access-list extended 防火墙
switch(conf-ipacc)>permit tcp any(源ip) any(源端口) 192.168.5.10(服务器ip) 53(服务器本地端口) 优先级 10
switch(conf-ipacc)>permit tcp any any 192.168.5.10 49158 优先级 50
.
.
switch(conf-ipacc)>deny tcp any any 192.168.5.10 any 优先级 1000
问题:
对于不断变化的动态端口我该怎么办?
操作系统:Windows Server 2012
服务器 IP地址:192.168.5.10
交换机:Cisco sg-300
答案1
您需要允许整个高端口范围(49152-65535),或者按照以下步骤将 RPC 流量限制在自定义范围内。
在此示例中,端口 5000 到 6000(含)是任意选择的,以帮助说明如何配置新的注册表项。这并不是对任何特定系统所需端口数量的最低建议。
在以下位置添加 Internet 密钥:HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc
在 Internet 项下,添加值“Ports”(MULTI_SZ)、“PortsInternetAvailable”(REG_SZ) 和“UseInternetPorts”(REG_SZ)。
例如,新的注册表项显示如下:Ports:REG_MULTI_SZ:5000-6000 PortsInternetAvailable:REG_SZ:Y UseInternetPorts:REG_SZ:Y
重新启动服务器。所有使用 RPC 动态端口分配的应用程序都使用端口 5000 到 6000(含)。
对于 Active Directory,还有许多其他端口需要允许。
如果您只需要允许访问特定的已知系统,IPSEC 将是一个更安全的选择。