扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
用IPSec过滤器阻断端口
Internet协议安全性(IPSec)过滤器可为增强服务器所需要的安全级别提供有效的方法。本指南推荐在其定义的高安全性环境中使用该选项,以便进一步减少服务器的攻击表面。
要了解关于IPSec过滤器使用的更多信息,请参看“威胁与对策:Windows Server 2003和Windows XP中的安全性设置 ”的第11章 “其它服务器的强化程序”。
下表列举了在本指南定义的高安全性环境下,可以在域控制器上创建的IPSec过滤器。
下表列举了在本指南定义的高安全性环境下,应该在域控制器上创建的IPSec过滤器。
表4.23: 域控制器IPSec过滤器网络流量图
在执行时上表所列举的规则时,应当对其进行镜像处理。这样可以保证任何进入服务器的网络流量也可以返回到源服务器。
上表表明了服务器要完成特定角色的功能所应打开的基本端口。如果服务器拥有一个静态IP地址,这些端口已经足够。如果要提供附加功能,则可能需要打开附加端口。打开附加端口将使您的环境下的域控制器更容易管理,但是这也可能大大降低服务器的安全性。
您应当在域控制器上使用编号为Q224196的知识库文章“将Active Directory复制流量限制在特定端口上”(http://support.microsoft.com/default.aspx?scid=224196)所建议的数值。这确保了在特定端口上进行域的复制。这里再次需要从超过50 000个端口中任意选择一个用于该目的。在上例中,端口57952被选中。您可以根据需要使用一个不同的端口,但是应当在所有将执行本指南的域控制器上均进行本修改。在知识库文章所介绍的步骤被执行之后,服务器必须重新启动以便让其生效。
正如上表所示,如果环境中运行了Microsoft Operations Manager (MOM),那么在执行了IPSec过滤器的服务器和MOM服务器之间,您应该允许传输所有的网络通信。这是必需的,因为在MOM服务器和OnePoint 客户端——向MOM控制台提供报告的客户应用程序——之间存在大量的交互过程。其他管理软件也可能具有类似的需求。如果希望获得更高级别的安全性,可将OnePoint 客户的过滤动作配置就IPSec与MOM服务器进行协商。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。