Я хочу заблокировать неиспользуемые порты на своем сервере, поэтому я отслеживаю порты с помощью CurrPorts и я понимаю некоторые процессы, такие как lsass.exe
есть динамические порты, например 49158,49976, ... Эти порты могут измениться после перезапуска службы.
Я изучил Рекомендации по настройке правил брандмауэра поэтому я хотел бы разрешить используемые порты и запретить другим переключателем ACL
(Список контроля доступа), например:
переключатель (conf)> ip access-list extended Firewall
переключатель (conf-ipacc)> разрешить tcp any (source-ip) any (source-port) 192.168.5.10 (server-ip) 53 (server-local-port) приоритет 10
переключатель (conf-ipacc)> разрешить tcp любой любой 192.168.5.10 49158 приоритет 50
.
.
switch (conf-ipacc)> deny tcp any any 192.168.5.10 any priority 1000
Вопрос:
Что я могу сделать для динамических портов, которые постоянно меняются?
ОС: Windows Server 2012
IP-адрес сервера: 192.168.5.10
Коммутатор: Cisco SG-300
Вам необходимо либо разрешить весь диапазон высокопроизводительных портов (49152-65535), либо выполнить приведенную ниже процедуру, чтобы ограничить трафик RPC до настраиваемого диапазона.
В этом примере порты с 5000 по 6000 включительно были выбраны произвольно, чтобы помочь проиллюстрировать, как можно настроить новый раздел реестра. Это не рекомендация относительно минимального количества портов, необходимого для какой-либо конкретной системы.
Добавьте Интернет-ключ в: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Rpc
Под ключом Интернета добавьте значения «Порты» (MULTI_SZ), «PortsInternetAvailable» (REG_SZ) и «UseInternetPorts» (REG_SZ).
Например, новый раздел реестра выглядит следующим образом: Ports: REG_MULTI_SZ: 5000-6000 PortsInternetAvailable: REG_SZ: Y UseInternetPorts: REG_SZ: Y
Перезагрузите сервер. Все приложения, использующие динамическое распределение портов RPC, используют порты с 5000 по 6000 включительно.
Для Active Directory необходимо разрешить множество других портов.
Если вам нужно разрешить доступ только к определенным известным системам, IPSEC будет более безопасным вариантом.