在windows nt6.0之後微軟推出了進階安全windows防火牆(簡稱wfas),進階安全windows防火牆是分層安全模型的重要部分, 通過為計算機提供基于主機的雙向網絡通訊篩選, 進階安全windows防火牆 阻止未授權的網絡流量流向或流出本地計算機。進階安全 windows 防火牆 還是用網絡感覺,以便可以将相應安全設定應用到計算機連接配接到的網絡類型。windows 防火牆和 internet 協定保護 (sec) 配置設定內建到名為 進階安全 windows 防火牆 的單個 microsoft 管理控制台 (mmc),進階安全windows防火牆也成為網絡隔離政策的重要部分。
作為一個運維人員,越來越多的使用者反映伺服器被惡意攻擊,密碼被暴力破解等等,其實大多數原因都是自己給那些“入侵者”留的“後門”導緻的。入侵者通過掃描主機開放的端口,一旦發現可以利用的端口,就會進行下一步的入侵,例如windows的遠端端口(3389)和linux的遠端端口(22)。既然知道了問題的關鍵,那麼我們也有相應的對策,我們可以通過修改預設的遠端端口以及限制遠端的通路來關閉所謂的“後門”。那麼如何限制遠端通路呢?
接下來我們就以阿裡雲ecs執行個體windows server 2008 r2為例,來實作對遠端桌面的限制。
1.檢視防火牆狀态
阿裡雲ecs執行個體windows server 2008 r2防火牆預設是關閉的,鍵盤輸入win+r打開【運作】輸入“firewall.cpl” 回車來打開windows防火牆控制台,見下圖。
選擇打開或關閉windows防火牆。
如下圖,我們看到防火牆是預設關閉的。
2.啟用防火牆
還是通過上面的步驟開啟防火牆,見下圖。
這裡需要注意一點的是:啟用之前請确認遠端端口已經在裡面,否則自己也将無法遠端,不過進階安全windows防護牆入站規則預設是放行3389端口的
選擇進階設定。
選擇入站規則,我們看到open port 3389這條入站規則預設是放行3389端口的。
3.配置進階安全windows防火牆
鍵盤輸入win+r打開【運作】輸入“wf.msc” 回車來打開進階安全windows防火牆,如下圖。
(1)通過手工建立入站規則
在彈出的建立入站規則向導視窗,選擇 端口 然後滑鼠左鍵單擊下一步。
而後選擇 tcp 并設定特定本地端口3389。
下一步選擇允許連結。
下一步 預設配置即可。
下一步 填寫規則名稱,例如 remotedesktop ,最後滑鼠左鍵單擊完成。
看到我們剛剛添加的規則。
以上步驟就是把windows遠端端口加入到進階安全windows防火牆了,但是依然沒有實作我們的限制通路,接下來我們來實作通路限制
(2)配置作用域
右鍵選中我們剛剛建立的入站規則,然後選擇屬性>作用域>遠端ip位址>添加(将需要遠端此伺服器的ip位址填寫進去,注意:一旦啟用作用域,除了作用域裡面的ip位址,别的位址将無法遠端連結此伺服器)。
添加遠端ip位址。
(3)驗證作用域
我們在作用域——遠端ip位址裡面随便寫個位址,看看遠端連接配接會發生什麼。
遠端連接配接斷掉。
如果遠端連接配接沒有斷開,讓我們把下圖中open port 3389這條入站規則禁用掉就可以了。
遠端連接配接自己斷開了,這就說明我們的作用域生效了,那現在自己都無法遠端了,怎麼辦呢?别急,我們還有阿裡雲控制台,登入阿裡雲控制台,然後将上面的作用域位址換成自己的位址(這裡要寫辦公環境的公網位址,除非您的辦公環境和阿裡雲線上的環境打通,)就可以正常遠端了。
進入阿裡雲的控制台界面,找到相應執行個體打開遠端連接配接。
登入系統。
與之前同樣的方式,修改remotedesktop的作用域的遠端ip位址,将之前測試設定的1.1.1.1換回自己的ip位址。
以上就是使用進階安全windows防火牆來實作對伺服器遠端通路的限制,其他的服務和端口都可以按照上面的方法來實作,例如,關閉不常用的135 137 138 445 端口,限制ftp和相關服務的通路等等,這樣才能做到最大限度地保障伺服器安全的運作。
1.導出防火牆配置到檔案
2.導入防火牆配置檔案到系統中
netsh advfirewall import c:adv.pol
3.防火牆恢複預設設定
netsh advfirewall reset
4.關閉防火牆
5.開啟防火牆
netsh advfirewall set allprofiles state on
6.在所有配置檔案中設定預設阻擋入站并允許出站通信
netsh advfirewall set allprofiles firewallpolicy blockinbound,allowoutbound
7.删除名為 ftp 的規則
netsh advfirewall firewall delete rule name=ftp
8.删除本地端口 80 的所有入則
netsh advfirewall firewall delete rule name=all protocol=tcp localport=80
9.添加遠端桌面入站規則允許端口3389
netsh advfirewall firewall add rule name=遠端桌面(tcp-in-3389) protocol=tcp dir=in localport=3389 action=allow
<a href="https://help.aliyun.com/knowledge_detail/40699.html">windows防火牆限制端口/ip/應用通路的方法以及例外的配置</a>
<a href="https://help.aliyun.com/knowledge_detail/40857.html">windows 系統遠端桌面端口檢視和修改方法</a>
<a href="https://help.aliyun.com/knowledge_detail/41212.html">linux 修改預設遠端端口方法</a>
<a href="https://market.aliyun.com/software">更多開源軟體盡在雲市場</a>