У меня всегда были проблемы с поиском информации о портах брандмауэра для некоторых программ / служб на базе Windows. Например,http://support.microsoft.com/kb/832017 дает мне порты, но нет различий между ВНУТРЕННИМИ (например, LAN) и ВНЕШНИМИ (для Интернета). Конфигурация брандмауэра от рабочего стола к серверу AD, несомненно, будет отличаться от конфигурации сервера AD к серверу AD и, конечно же, от сервера AD DNS к Интернету.
Я хочу заблокировать интерфейсы между моими настольными компьютерами и моими серверами, а затем и между серверами (от AD к AD и т. Д.).
У меня есть аппаратный брандмауэр между рабочими столами и серверами, а в коммутатор серверов также встроен брандмауэр. Я хочу начать с НЕТ разрешенных портов, а затем открыть только то, что необходимо для запуска служб на каждом сервере. У меня много серверов SQL Server, AD, DNS, Exchange, служб терминалов и т. Д., И каждый из них имеет немного отличающуюся конфигурацию порта в зависимости от того, общается ли он с Интернетом (Exchange, DNS) или локальными серверами ( Репликация Active Directory, общие ресурсы CIFS) или рабочие столы (SQL Server, Terminal ServiceS).
Чтобы сделать его немного более общим (и полезным для других), я надеялся, что мы сможем получить список всех распространенных приложений / служб Windows и портов, необходимых для подключения к Интернету / DMZ (вход / выход), для «доверенных» LAN (от сервера к серверу) (вход / выход), а затем ненадежная локальная сеть (от сервера к рабочему столу).
Позвольте мне начать с пары, пожалуйста, добавьте их в список. Также укажите, является ли это службой "по умолчанию" в Windows (например, Exchange не используется, но SMB будет).
Некоторые я вытащил из http://support.microsoft.com/kb/832017 http://technet.microsoft.com/en-us/library/bb124075(EXCHG.65).aspx
Remote Desktop - default if enabled
DMZ - None (usually)
T LAN - 3389 (TCP IN/OUT)
U LAN - None (or selected desktops; IT support etc.)
NT - NetBIOS - default if enabled
DMZ - None
T/U LAN - 137, 138 (UDP I/O), 139 (TCP I/O)
SMB - default
DMZ - None
T/U LAN - 445 (TCP I/O) ?
DNS - only if installed within AD
DMZ - 53 (TCP/UDP O)
T/U LAN - 53 (TCP/UDP I/O)
Я согласен с KPWINC по портам, все может использовать любой порт. Если ваша цель - защитить ваши серверы, я бы разместил аппаратный брандмауэр между вашими пользователями и серверами и убедился, что у него есть прокси-серверы, которые он может запускать на портах, которые должны быть открыты. Таким образом, если трафик выходит на порт 80, брандмауэр может определить, является ли это трафик HTTP, и сбросить его, если это не так. Мы используем Watchguard X1000, чтобы делать эту работу за нас, но я знаю, что есть и другие.
И да, я уже слышу, как некоторые люди говорят: «Но вирусы могут сделать свой трафик похожим на HTTP». Верно, но тогда ваш сервер также должен поддерживать связь с HTTP-службой.
Ваш вопрос не совсем ясен, но я сделаю все возможное ...
Следует помнить, что любая программа может использовать любой порт, который ей нравится. Вот как шпионское и вредоносное ПО удается процветать в некоторых средах ... используя общие, хорошо известные порты и притворяясь кем-то другим.
Менее опасным примером может быть программа Skype, которая попытается найти порт для использования, но в конечном итоге будет использовать порты 80 (HTTP / веб-порт) и 443 (порт SSL), если это необходимо.
Имея это в виду ... вы должны выполнить сканирование соответствующих ПК с помощью программы, такой как nmap или nessus, и т.д ... (их МНОГОЕ), чтобы узнать, какие порты открыты, а затем решите, как вы хотите настроить брандмауэр.
Вот ссылка на общие назначения портов, чтобы дать вам отправную точку для того, что МОЖЕТ работать на этом порту:
http://technet.microsoft.com/en-us/library/cc959833.aspx
Например, порт 53 обычно используется для DNS. Если вам не нужен DNS или на этом компьютере не работает DNS-сервер, вы можете заблокировать его.
В том же духе вы должны убедиться, что на вашем сервере не запущены службы, которые ему не нужны. Если вы видите, что порт 53 открыт на вашем сервере и у вас работает DNS-сервер (который вы не используете), выключите его. ;-)
Надеюсь это поможет.