我想阻止服务器上未使用的端口,因此我使用以下方法监视端口当前端口并且我知道某些进程lsass.exe
具有一些动态端口,例如 49158,49976,...这些端口可能会在服务重启后发生变化。
我研究了防火墙规则配置的最佳实践因此我想通过交换机ACL
(访问控制列表)允许使用的端口并拒绝其他端口,例如:
switch(conf)>ip access-list extended 防火墙
switch(conf-ipacc)>permit tcp any(源ip) any(源端口) 192.168.5.10(服务器ip) 53(服务器本地端口) 优先级 10
switch(conf-ipacc)>permit tcp any any 192.168.5.10 49158 优先级 50
.
.
switch(conf-ipacc)>deny tcp any any 192.168.5.10 any 优先级 1000
问题:
对于不断变化的动态端口我该怎么办?
操作系统:Windows Server 2012
服务器 IP地址:192.168.5.10
交换机:Cisco sg-300
答案1
您需要允许整个高端口范围(49152-65535),或者按照以下步骤将 RPC 流量限制在自定义范围内。
在此示例中,端口 5000 到 6000(含)是任意选择的,以帮助说明如何配置新的注册表项。这并不是对任何特定系统所需端口数量的最低建议。
在以下位置添加 Internet 密钥:HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc
在 Internet 项下,添加值“Ports”(MULTI_SZ)、“PortsInternetAvailable”(REG_SZ) 和“UseInternetPorts”(REG_SZ)。
例如,新的注册表项显示如下:Ports:REG_MULTI_SZ:5000-6000 PortsInternetAvailable:REG_SZ:Y UseInternetPorts:REG_SZ:Y
重新启动服务器。所有使用 RPC 动态端口分配的应用程序都使用端口 5000 到 6000(含)。
对于 Active Directory,还有许多其他端口需要允许。
如果您只需要允许访问特定的已知系统,IPSEC 将是一个更安全的选择。