506
高級安全Windows防火牆概述以及最佳實踐
簡介
在Windows NT6.0之後微軟推出了高級安全Windows防火牆(簡稱WFAS),高級安全Windows防火牆是分層安全模型的重要部分, 通過為計算機提供基於主機的雙向網絡通訊篩選, 高級安全Windows防火牆 阻止未授權的網絡流量流向或流出本地計算機。高級安全 Windows 防火牆 還是用網絡感知,以便可以將相應安全設置應用到計算機連接到的網絡類型。Windows 防火牆和 Internet 協議保護 (sec) 配置設置集成到名為 高級安全 Windows 防火牆 的單個 Microsoft 管理控製台 (MMC),高級安全Windows防火牆也成為網絡隔離策略的重要部分。
適用場景
作為一個運維人員,越來越多的用戶反映服務器被惡意攻擊,密碼被暴力破解等等,其實大多數原因都是自己給那些“入侵者”留的“後門”導致的。入侵者通過掃描主機開放的端口,一旦發現可以利用的端口,就會進行下一步的入侵,例如Windows的遠程端口(3389)和Linux的遠程端口(22)。既然知道了問題的關鍵,那麼我們也有相應的對策,我們可以通過修改默認的遠程端口以及限製遠程的訪問來關閉所謂的“後門”。那麼如何限製遠程訪問呢?
接下來我們就以阿裏雲ECS實例Windows Server 2008 R2為例,來實現對遠程桌麵的限製。
操作步驟
1.查看防火牆狀態
阿裏雲ECS實例Windows Server 2008 R2防火牆默認是關閉的,鍵盤輸入Win+R打開【運行】輸入“firewall.cpl” 回車來打開Windows防火牆控製台,見下圖。
選擇打開或關閉Windows防火牆。
如下圖,我們看到防火牆是默認關閉的。
2.啟用防火牆
還是通過上麵的步驟開啟防火牆,見下圖。
這裏需要注意一點的是:啟用之前請確認遠程端口已經在裏麵,否則自己也將無法遠程,不過高級安全Windows防護牆入站規則默認是放行3389端口的
選擇高級設置。
選擇入站規則,我們看到open port 3389這條入站規則默認是放行3389端口的。
3.配置高級安全Windows防火牆
鍵盤輸入Win+R打開【運行】輸入“wf.msc” 回車來打開高級安全Windows防火牆,如下圖。
(1)通過手工新建入站規則
在彈出的新建入站規則向導窗口,選擇 端口 然後鼠標左鍵單擊下一步。
而後選擇 TCP 並設置特定本地端口3389。
下一步選擇允許鏈接。
下一步 默認配置即可。
下一步 填寫規則名稱,例如 RemoteDesktop ,最後鼠標左鍵單擊完成。
看到我們剛剛添加的規則。
以上步驟就是把Windows遠程端口加入到高級安全Windows防火牆了,但是依然沒有實現我們的限製訪問,接下來我們來實現訪問限製
(2)配置作用域
右鍵選中我們剛剛創建的入站規則,然後選擇屬性>作用域>遠程IP地址>添加(將需要遠程此服務器的IP地址填寫進去,注意:一旦啟用作用域,除了作用域裏麵的IP地址,別的地址將無法遠程鏈接此服務器)。
添加遠程IP地址。
(3)驗證作用域
我們在作用域——遠程IP地址裏麵隨便寫個地址,看看遠程連接會發生什麼。
遠程連接斷掉。
如果遠程連接沒有斷開,讓我們把下圖中open port 3389這條入站規則禁用掉就可以了。
遠程連接自己斷開了,這就說明我們的作用域生效了,那現在自己都無法遠程了,怎麼辦呢?別急,我們還有阿裏雲控製台,登錄阿裏雲控製台,然後將上麵的作用域地址換成自己的地址(這裏要寫辦公環境的公網地址,除非您的辦公環境和阿裏雲線上的環境打通,)就可以正常遠程了。
進入阿裏雲的控製台界麵,找到相應實例打開遠程連接。
登錄係統。
與之前同樣的方式,修改RemoteDesktop的作用域的遠程IP地址,將之前測試設置的1.1.1.1換回自己的IP地址。
換回自己的IP地址後可以正常遠程了,如果不知道自己的公網IP,可以點擊此處查看
以上就是使用高級安全Windows防火牆來實現對服務器遠程訪問的限製,其他的服務和端口都可以按照上麵的方法來實現,例如,關閉不常用的135 137 138 445 端口,限製FTP和相關服務的訪問等等,這樣才能做到最大限度地保障服務器安全的運行。
命令行的方式
1.導出防火牆配置到文件
netsh advfirewall export c:\adv.pol
2.導入防火牆配置文件到係統中
netsh advfirewall import c:\adv.pol
3.防火牆恢複默認設置
Netsh advfirewall reset
4.關閉防火牆
netsh advfirewall set allprofiles state off
5.開啟防火牆
netsh advfirewall set allprofiles state on
6.在所有配置文件中設置默認阻擋入站並允許出站通信
netsh advfirewall set allprofiles firewallpolicy blockinbound,allowoutbound
7.刪除名為 ftp 的規則
netsh advfirewall firewall delete rule name=ftp
8.刪除本地端口 80 的所有入則
netsh advfirewall firewall delete rule name=all protocol=tcp localport=80
9.添加遠程桌麵入站規則允許端口3389
netsh advfirewall firewall add rule name=遠程桌麵(TCP-In-3389) protocol=TCP dir=in localport=3389 action=allow
相關鏈接
用戶可通過雲中沙箱平台體驗上述文檔中的操作,點擊此處。
Windows防火牆限製端口/IP/應用訪問的方法以及例外的配置
最後更新:2017-06-29 15:31:59