optician Asked: 2009-07-18 02:17:14 +0800 CST2009-07-18 02:17:14 +0800 CST 2009-07-18 02:17:14 +0800 CST 在没有硬件防火墙的情况下保护直接连接到 Internet 上的 Windows 服务器的过程 772 我想知道其他人会使用什么清单来保护直接连接到互联网的 Windows 服务器。 除此之外,任何人对此的意见也将不胜感激。 谢谢 windows-server-2008 firewall windows-server-2003 sftp 5 个回答 Voted Best Answer Dan 2009-07-18T03:30:52+08:002009-07-18T03:30:52+08:00 我的服务器前面有防火墙,但我仍然执行以下所有操作: 如果您不使用 IIS,请禁用它 如果不需要,请删除 FTP(如果是,则仅限制对您授权 IP 地址的访问) 应用最新的服务包和修补程序 禁用不需要的传入端口 禁用不必要的服务,例如服务器(如果它不用作文件和打印服务器)和 RRAS 如果使用 IIS 移动 inetpub\wwwroot 文件夹 更改用于匿名访问的用户帐户并设置适当的权限 删除任何示例文件夹,例如 IIS Admin、基于 Web 的打印等。 删除您不使用的 ISAPI 过滤器 为 FTP 传输创建一个专用帐户 - 只给该帐户足够的权限来执行 ftp(即读/写它放置的文件,仅此而已) 登录 重命名管理员帐户 创建一个名为 Administrator 的新帐户,删除其所有访问权限和权限并禁用该帐户(虽然黑客会努力找出管理员帐户的名称,但许多脚本并不那么复杂) 如果您对服务器具有物理访问权限,则在管理员帐户上设置“拒绝从网络访问此计算机” 检查访客帐户是否已禁用(并检查所有其他帐户) 就个人而言,我不会这样做。如果您曾经使用 ZoneAlarm 运行过 PC(我回想 2002 年在带有 ADSL 调制解调器的 Windows 2000 机器上)并在所有和杂乱无章的敲击您 PC 的门时看到警报,那么您就会明白为什么。Cisco 和 Juniper 防火墙的新品起价约为 300 英镑 / 500 美元,或者您可以购买低规格的盒子并安装Smoothwall或类似产品。如果您将服务器放在一个托管位置,您应该能够为防火墙(和一个电源插座)获得另一个 1U 机架空间,而这只是 1st U 机架空间的一小部分。 optician 2009-07-18T02:25:07+08:002009-07-18T02:25:07+08:00 首先,这是我目前的清单。 禁用管理员帐户和所有非安全帐户 禁用 ftp 使用安全配置向导保护服务器阻止所有不需要的端口和服务,我目前保留端口 22,80,443 在端口 22(可能是更高的随机端口)上安装 WinSSHD 以将文件传输到服务器,也尝试过 win open shh,但在尝试安装密钥时有点混乱。 还有其他人要添加更多步骤吗? Ford Prefect 2009-07-18T20:34:12+08:002009-07-18T20:34:12+08:00 如果可能的话,我要做的第一件事是拔掉网络电缆,执行所有安全步骤,尤其是应用所有修补程序/服务器包,打开软件防火墙,然后重新插入网络电缆。无担保的盒子在野外只能维持半小时左右,尤其是窗户盒子。 RainyRat 2009-07-18T02:29:31+08:002009-07-18T02:29:31+08:00 通过“没有防火墙”,我假设您的意思是“没有外部防火墙”-服务器上的防火墙应该非常明确地打开,并且仅设置为公开您需要向 Internet 公开的服务-您没有提到这些是什么,但从标签来看,我猜这涉及到 SFTP。 确保服务器已尽可能全面地修补,并且只要它连接到 Internet,它就会一直保持这种状态。 如果您绝对必须拥有(普通)FTP,您还应该考虑进一步保护它 - 限制可以连接到您的 FTP 服务的 IP 地址,通过 SSL 进行,或者改用 SFTP。OpenSSH (如眼镜商所述)带有 SFTP 服务。 Maximus Minimus 2009-07-18T02:38:57+08:002009-07-18T02:38:57+08:00 如果你在没有防火墙的情况下直接连接到互联网,你必须假设在某个阶段你会受到攻击,并从那里开始工作。 除了安全性,我还建议进行一些良好的监控。至少您应该监控进程活动、CPU 和内存使用情况以及网络活动(我相信其他人会在列表中添加更多内容)。
我的服务器前面有防火墙,但我仍然执行以下所有操作:
如果使用 IIS
登录
就个人而言,我不会这样做。如果您曾经使用 ZoneAlarm 运行过 PC(我回想 2002 年在带有 ADSL 调制解调器的 Windows 2000 机器上)并在所有和杂乱无章的敲击您 PC 的门时看到警报,那么您就会明白为什么。Cisco 和 Juniper 防火墙的新品起价约为 300 英镑 / 500 美元,或者您可以购买低规格的盒子并安装Smoothwall或类似产品。如果您将服务器放在一个托管位置,您应该能够为防火墙(和一个电源插座)获得另一个 1U 机架空间,而这只是 1st U 机架空间的一小部分。
首先,这是我目前的清单。
禁用管理员帐户和所有非安全帐户
禁用 ftp
使用安全配置向导保护服务器阻止所有不需要的端口和服务,我目前保留端口 22,80,443
在端口 22(可能是更高的随机端口)上安装 WinSSHD 以将文件传输到服务器,也尝试过 win open shh,但在尝试安装密钥时有点混乱。
还有其他人要添加更多步骤吗?
如果可能的话,我要做的第一件事是拔掉网络电缆,执行所有安全步骤,尤其是应用所有修补程序/服务器包,打开软件防火墙,然后重新插入网络电缆。无担保的盒子在野外只能维持半小时左右,尤其是窗户盒子。
通过“没有防火墙”,我假设您的意思是“没有外部防火墙”-服务器上的防火墙应该非常明确地打开,并且仅设置为公开您需要向 Internet 公开的服务-您没有提到这些是什么,但从标签来看,我猜这涉及到 SFTP。
确保服务器已尽可能全面地修补,并且只要它连接到 Internet,它就会一直保持这种状态。
如果您绝对必须拥有(普通)FTP,您还应该考虑进一步保护它 - 限制可以连接到您的 FTP 服务的 IP 地址,通过 SSL 进行,或者改用 SFTP。OpenSSH (如眼镜商所述)带有 SFTP 服务。
如果你在没有防火墙的情况下直接连接到互联网,你必须假设在某个阶段你会受到攻击,并从那里开始工作。
除了安全性,我还建议进行一些良好的监控。至少您应该监控进程活动、CPU 和内存使用情况以及网络活动(我相信其他人会在列表中添加更多内容)。