我一直很难找到一些基于 Windows 的软件/服务的防火墙端口信息。例如,http://support.microsoft.com/kb/832017给了我端口,但内部(例如 LAN)和外部(到互联网)之间没有区别。从桌面到 AD 服务器的防火墙配置无疑不同于从 AD 服务器到 AD 服务器,当然从 AD DNS 服务器到 Internet。
我想锁定我的台式计算机和服务器之间的接口,然后还要锁定服务器之间的接口(AD 到 AD 等)。
我在台式机和服务器之间有一个硬件防火墙,服务器交换机也嵌入了防火墙。我想从不允许端口开始,然后只打开在每台服务器上运行服务所必需的内容。我有很多 SQL Server、AD、DNS、Exchange、终端服务等服务器,每个服务器的端口配置略有不同,具体取决于它是与 Internet(Exchange、DNS)还是本地服务器( Active Directory 复制、CIFS 共享)或桌面(SQL Server、终端服务)。
为了使其更通用(对其他人有用),我希望我们能够获得所有常见 Windows 应用程序/服务的列表以及 internet/dmz(输入/输出)所需的端口,以“信任” LAN(服务器到服务器)(输入/输出),然后是不受信任的 LAN(服务器到桌面)。
让我从几个开始,请将它们添加到列表中。另外,请说明这是否是 Windows 中的“默认”服务(例如 Exchange 不是,但 SMB 会是)。
我从http://support.microsoft.com/kb/832017 http://technet.microsoft.com/en-us/library/bb124075(EXCHG.65).aspx中提取了一些内容
Remote Desktop - default if enabled
DMZ - None (usually)
T LAN - 3389 (TCP IN/OUT)
U LAN - None (or selected desktops; IT support etc.)
NT - NetBIOS - default if enabled
DMZ - None
T/U LAN - 137, 138 (UDP I/O), 139 (TCP I/O)
SMB - default
DMZ - None
T/U LAN - 445 (TCP I/O) ?
DNS - only if installed within AD
DMZ - 53 (TCP/UDP O)
T/U LAN - 53 (TCP/UDP I/O)
我同意 KPWINC 的端口,任何东西都可以使用任何端口。如果您的目标是保护您的服务器,我会在您的用户和服务器之间放置一个硬件防火墙,并确保它具有可以在必须打开的端口上运行的代理。这样,如果流量从端口 80 出来,防火墙可以查看它是否是 HTTP 流量,如果不是,则将其丢弃。我们使用 Watchguard X1000 为我们完成这项工作,但我知道还有其他的。
是的,我已经听到一些人说“但病毒可能会使他们的流量看起来像 HTTP”。是的,但是您的服务器也必须与 HTTP 服务一起使用。
你的问题不是很清楚,但我会尽力...
要记住的一件事是任何程序都可以使用它喜欢的任何端口。这就是间谍软件和恶意软件如何在某些环境中茁壮成长的方式……通过使用常见的、众所周知的端口并伪装成其他东西。
一个不那么恶意的例子是 Skype 程序,它会尝试查找要使用的端口,但如果必须,最终会使用端口 80(HTTP/Web 端口)和 443(SSL 端口)。
考虑到这一点...您应该使用诸如 nmap 或 nessus 等程序对有问题的 PC 进行扫描...(那里有很多)以找出哪些端口是打开的,然后决定如何设置防火墙。
以下是常见端口分配的链接,可让您了解可能在该端口上运行的内容:
http://technet.microsoft.com/en-us/library/cc959833.aspx
例如,53 端口通常用于 DNS。如果您不需要 DNS,或者您没有在该计算机上运行 DNS 服务器,则可以阻止它。
同样,您应该确保您的服务器没有运行它不需要的服务。如果您看到服务器上的端口 53 打开并且您有一个 DNS 服务器(您没有使用)正在运行,请将其关闭。;-)
希望这可以帮助。