用 IPSec 过滤器阻断端口
Internet 协议安全 (IPSec) 过滤器能为提高服务器的安全级别提供一条有效途径 。本指南推荐在其定义的高安全性环境中使用该选项 , 以便进一步减少服务器的攻击表面积 。
有关 IPSec 过滤器使用的详细信息 , 请参阅模块其他成员服务器强化过程 。
下表列出了可在本指南定义的高安全性环境中的文件服务器上创建的所有 IPSec 过滤器 。
表 3:文件服务器 IPSec 网络流量图
在执行上表列出的所有规则时都应该进行镜像处理 。这可以确保进入服务器的所有网络流量也可以返回到源服务器 。
上表描述了为服务器执行特别任务功能所需打开的基本端口 。如果服务器使用静态 IP 地址 , 这些端口已经足够使用了 。如果需要提供其他功能 , 可能需要打开其他端口 。打开其他端口可使您环境中的文件服务器更容易管理 , 不过 , 它们可能大大降低这些服务器的安全性 。
由于域成员和域控制器之间具有大量的交互操作 , 因此在特殊的 RPC 和身份验证通信中 , 您需要允许文件服务器和所有域控制器之间的所有通信 。还可以将通信进一步限制 , 但是大多数环境都需要为有效保护服务器而创建更多的过滤器 。这使得 IPSec 策略的执行和管理更为困难 。与一个文件服务器相关的所有域控制器都要创建相似的规则 。为了提高文件服务器的可靠性和可用性 , 您需要为环境中的所有域控制器添加更多规则 。
如上所述 , 如果在环境中运行 Microsoft Operation Manager (MOM) , 则必须允许通过运行 IPSec 过滤器的服务器和 MOM 服务器之间的所有网络通信 。这一点十分重要 , 因为 MOM 服务器和 OnePoint 客户 — 向 MOM 控制台提供报告的客户端应用程序 — 之间具有大量的交互行为 。其他的管理软件可能也有相似的要求 。如果需要更高级别的安全性 , 可以将 OnePoint 客户过滤操作配置为就 IPSec 同 MOM 服务器进行协商 。
IPSec 策略可以有效地阻止任意一个高端口的通信 , 因此 , 将无法进行远程过程调用 (RPC) 通信 。这使得服务器的管理更加困难 。由于已经有效关闭了如此之多的端口 , 因此可以启用终端服务 。这将使管理员能够进行远程管理 。
上面的网络流量图假定环境中包括启用了 DNS 服务器的 Active Directory 。如果使用独立的 DNS 服务器 , 可能还需要设定其他规则 。
执行 IPSec 策略不会对服务器的性能产生明显的影响 。但是 , 在执行这些过滤器前应首先进行测试 , 以验证服务器的必要功能和性能是否得以维持 。如果要支持其他应用软件 , 还可能需要添加其他规则 。
本指南包括一个 .cmd 文件 , 该文件简化了为文件服务器创建 IPSec 过滤器的过程 。“PacketFilters-File.cmd”文件使用 NETSH 命令创建适当的过滤器 。必须修改 .cmd 文件以使它包括环境中域控制器的 IP 地址 。脚本为即将添加的域控制器提供了两个占位符 。如果需要 , 还可以添加其他的域控制器 。域控制器的 IP 地址列表必须是最新的 。
如果环境中有 MOM , 那么相应的 MOM 服务器的 IP 地址也必须列入脚本 。这个脚本不会创建永久性的过滤器 。因此 , 除非 IPSec 策略代理开始运行 , 否则服务器是不受保护的 。有关生成永久性的过滤器或创建更高级 IPSec 过滤脚本的详细信息 , 请参阅模块其他成员服务器强化过程 。最后 , 将该脚本配置为不对其创建的 IPSec 策略进行分配 。IP 安全策略管理单元可用于检查它创建的 IPSec 过滤器和分配 IPSec 策略以便使其生效 。
小结
本模块讲述了在本指南所定义的三种环境中保护文件服务器安全所需采取的服务器强化设置 。所论述的大多数设置都是使用组策略进行配置和应用的 。您可以将能够对 MSBP 进行有益补充的组策略对象 (GPO) 链接到包含文件服务器的相应组织单位 (OU) 中 , 以便为这些服务器提供的服务赋予更多的安全性 。
推荐阅读
- 最新WinXP应用技巧五则
- 轻松改变Win2003登录方式
- Win 2003上传文件不能超过200k解决方法
- AI查看文件页面大小的操作方法
- Win 2003无法上传较大文件的解决方法
- OPPO Find X2如何连接打印机?OPPO Find X2连接打印机打印文件教程
- 使用Win Server 2003搭建安全文件服务器
- qq接收的文件在哪文件夹
- 将XP的小游戏移植到Win2003中
- 管好Win XP/2003的预读取文件