ADDS與防火牆
AD DS與防火牆
AD DS相關埠:
RPC Endpoint Mapper TCP135
Kerberos TCP88 UDP88
LDAP TCP389 UDP389
LDAPS(LDAP over SSL) TCP636 UDP636
LDAP GC TCP3268
LDAPS GC TCP3269
SMB(Microsoft CIFS) TCP445
DNS TCP53 UDP53
NTP(Network Time Protocol) UDP123
NetBIOS Name Server UDP137
NetBIOS Datagram Service UDP138
NetBIOS Session Service TCP139
AD資料庫複製、檔案複製服務(FRS)、分散式檔案系統(DFS)服務:使用動態埠,需限制埠範圍或改為靜態埠。
RPC Endpoint Mapper TCP135
Kerberos TCP88 UDP88
LDAP TCP389 UDP389
LDAPS(LDAP over SSL) TCP636 UDP636
LDAP GC TCP3268
LDAPS GC TCP3269
SMB(Microsoft CIFS) TCP445
DNS TCP53 UDP53
NTP(Network Time Protocol) UDP123
NetBIOS Name Server UDP137
NetBIOS Datagram Service UDP138
NetBIOS Session Service TCP139
AD資料庫複製、檔案複製服務(FRS)、分散式檔案系統(DFS)服務:使用動態埠,需限制埠範圍或改為靜態埠。
客戶端加入域用到的埠:
1.Microsoft CIFS:TCP445
2.Kerberos:TCP88、UDP88
3.DNS:TCP53、UDP53
4.LDAP:TCP389、UDP389
5.Netlogon服務:
NetBIOS Name Service:UDP137
NetBIOS Datagram Service:UDP138
NetBIOS Session Service:TCP139
SMB:TCP445
計算機登陸域時用到的埠:
1.SMB:TCP445
2.Kerberos:TCP88、UDP88
3.LDAP:UDP389
4.DNS: TCP53、UDP53
建立域信任時用到的埠:
1.SMB:TCP445
2.Kerberos:TCP88、UDP88
3.LDAP:TCP389、UDP389
4.LDAPS:TCP636(如果使用SSL)
5.DNS:TCP53、UDP53
1.SMB:TCP445
2.Kerberos:TCP88、UDP88
3.LDAP:TCP389、UDP389
4.LDAPS:TCP636(如果使用SSL)
5.DNS:TCP53、UDP53
驗證域信任時用到的埠:
1.SMB:TCP445
2.Kerberos:TCP88、UDP88
3.LDAP:TCP389、UDP389
4.LDAPS:TCP636(如果使用SSL)
5.DNS:TCP53、UDP53
6.Netlogon服務:
NetBIOS Name Service:UDP137
NetBIOS Datagram Service:UDP138
NetBIOS Session Service:TCP139
SMB:TCP445
訪問檔案資源共享時用到的埠:
1.SMB:TCP445
2. NetBIOS Name Service:UDP137
NetBIOS Datagram Service:UDP138
NetBIOS Session Service:TCP139
SMB:TCP445
1.SMB:TCP445
2.Kerberos:TCP88、UDP88
3.LDAP:TCP389、UDP389
4.LDAPS:TCP636(如果使用SSL)
5.DNS:TCP53、UDP53
6.Netlogon服務:
NetBIOS Name Service:UDP137
NetBIOS Datagram Service:UDP138
NetBIOS Session Service:TCP139
SMB:TCP445
訪問檔案資源共享時用到的埠:
1.SMB:TCP445
2. NetBIOS Name Service:UDP137
NetBIOS Datagram Service:UDP138
NetBIOS Session Service:TCP139
SMB:TCP445
域名解析服務(DNS)使用的埠:
1.UDP53(客戶機向伺服器進行域名查詢時)
2.TCP53(伺服器之間的查詢)
1.UDP53(客戶機向伺服器進行域名查詢時)
2.TCP53(伺服器之間的查詢)
AD資料庫複製時用到的埠:
1.AD資料庫複製預設使用動態RPC埠(1024~65535),1)可以修改埠範圍。2)使用靜態埠。
2.RPC Endpoint Mapper:TCP135 (使用動態RPC時,需要搭配RPC Endpoint Mapper服務)
3.Kerberos:TCP88、UDP88
4.LDAP:TCP389、UDP389
5.LDAPS:TCP636(如果使用SSL)
6.DNS:TCP53、UDP53
7.SMB:TCP445
1.AD資料庫複製預設使用動態RPC埠(1024~65535),1)可以修改埠範圍。2)使用靜態埠。
2.RPC Endpoint Mapper:TCP135 (使用動態RPC時,需要搭配RPC Endpoint Mapper服務)
3.Kerberos:TCP88、UDP88
4.LDAP:TCP389、UDP389
5.LDAPS:TCP636(如果使用SSL)
6.DNS:TCP53、UDP53
7.SMB:TCP445
檔案複製服務(FRS)用到的埠:
若域功能級別在windows server 2008 之前,則同一個域的域控制器之間複製SYSVOL資料夾時,會使用FRS(File Replication Service)。
FRS採用動態RPC埠(1024~65535) 1)可以限制埠使用範圍 2)可以指定使用靜態埠
若域功能級別在windows server 2008 之前,則同一個域的域控制器之間複製SYSVOL資料夾時,會使用FRS(File Replication Service)。
FRS採用動態RPC埠(1024~65535) 1)可以限制埠使用範圍 2)可以指定使用靜態埠
分散式檔案系統(DFS)會用到的埠:
若域功能級別是windows server 2008及以後級別時,則windows server 2008域的域控制器之間在複製SYSVOL資料夾時需要使用DFS複製服務(DFS Replication Service),所以域控制器被防火牆隔離時需要開放的埠:
1.LDAP:TCP389、UDP389
2.SMB:TCP445
3.NetBIOS Datagram Service:UDP138
4.NetBIOS Session Service:TCP139
5.Distributed File System(DFS):動態RPC埠。1)可以限制埠範圍 2)可以指定使用靜態埠。
6.RPC EndPoint Mapper:TCP135 (使用動態RPC埠時,需要搭配RPC EndPoint Mapper)
若域功能級別是windows server 2008及以後級別時,則windows server 2008域的域控制器之間在複製SYSVOL資料夾時需要使用DFS複製服務(DFS Replication Service),所以域控制器被防火牆隔離時需要開放的埠:
1.LDAP:TCP389、UDP389
2.SMB:TCP445
3.NetBIOS Datagram Service:UDP138
4.NetBIOS Session Service:TCP139
5.Distributed File System(DFS):動態RPC埠。1)可以限制埠範圍 2)可以指定使用靜態埠。
6.RPC EndPoint Mapper:TCP135 (使用動態RPC埠時,需要搭配RPC EndPoint Mapper)
限制所有服務使用動態RPC埠範圍:
修改登錄檔如下路徑:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftRpc
新增名為Internet的項
在此項下新增鍵值:
Ports ,REG_MULTI_SZ(多字串值) ,5000-5030(埠範圍)
PortsInternetAvailable ,REG_SZ(字串值) ,Y
UseInternetPorts ,REG_SZ(字串值) ,Y
完成後重啟計算機。
限制AD資料庫複製時使用指定的靜態埠:
修改登錄檔如下路徑:
HKEY_LOCAL_MACHINESYSTEMCurrentContolSetServicesNTDSParameters
新增如下鍵值:
TCP/IP Port ,REG_DWORD(DWORD[32位]值) ,56789(指定使用的埠)
完成後重啟計算機。
限制FRS使用指定的靜態埠:
修改登錄檔如下路徑:
HKEY_LOCAL_MACHINESYSTEMCurrentContolSetServicesNTFRSParameters
新增如下鍵值:
RPC TCP/IP Port Assigement , REG_DWORD , 45678 (指定使用的靜態埠)
完成後重啟計算機。
修改登錄檔如下路徑:
HKEY_LOCAL_MACHINESYSTEMCurrentContolSetServicesNTFRSParameters
新增如下鍵值:
RPC TCP/IP Port Assigement , REG_DWORD , 45678 (指定使用的靜態埠)
完成後重啟計算機。
限制DFS使用指定的靜態埠:
以管理員身份執行如下命令:(Windows Server 2003 R2及之後的版本)
DFSRDIAG.exe StaticRPC /Port:34567(靜態埠)
完成後重啟計算機。
IPSec與VPN埠
1.IPSec所使用的協議與埠:
Encapsulation Security Payload(ESP):協議號為50
Authentication Header(AH):協議號為51
Intern Key Exchange(IKE):使用UDP埠500
Encapsulation Security Payload(ESP):協議號為50
Authentication Header(AH):協議號為51
Intern Key Exchange(IKE):使用UDP埠500
2.PPTP VPN使用的協議與埠:
1.General Routing Encapsulation(GRE):協議號47
2.PPTP:使用TCP埠1723
1.General Routing Encapsulation(GRE):協議號47
2.PPTP:使用TCP埠1723
3.L2TP/IPSec所使用的協議與埠:
Encapsulation Security Payload(ESP):協議號為50
Intern Key Exchange(IKE):使用UDP埠500
NAT-T:使用UDP埠4500,他讓IPSec通過NAT。
注:雖然L2TP/IPSec還會用到UDP埠1701,但他是被封裝在IPSec資料包內,因此不需要在防火牆開放此埠。
Encapsulation Security Payload(ESP):協議號為50
Intern Key Exchange(IKE):使用UDP埠500
NAT-T:使用UDP埠4500,他讓IPSec通過NAT。
注:雖然L2TP/IPSec還會用到UDP埠1701,但他是被封裝在IPSec資料包內,因此不需要在防火牆開放此埠。
本文轉自祕飛虎51CTO部落格,原文連結:http://blog.51cto.com/mifeihu/1106235 ,如需轉載請自行聯絡原作者
相關文章
- WAb防火牆與傳統防火牆防火牆
- 軟體防火牆與硬體防火牆詳解防火牆
- rmi、防火牆與網閘防火牆
- 防火牆防火牆
- 配置ModSecurity防火牆與OWASP規則防火牆
- centos6.8防火牆操作與配置CentOS防火牆
- 網路防火牆的配置與管理防火牆
- 防火牆(firewall)防火牆
- SQL防火牆SQL防火牆
- 防火牆IPTABLES防火牆
- RouterOS防火牆ROS防火牆
- iptables防火牆防火牆
- 防火牆配置防火牆
- 防火牆入侵於檢測——————3、思科 PIX 防火牆和 ASA 防火牆產品線防火牆
- 淺談下一代防火牆與Web應用防火牆的區別防火牆Web
- AutoRun病毒防火牆如何使用 AutoRun病毒防火牆教程防火牆
- 全面分析防火牆及防火牆的滲透(轉)防火牆
- linux apf 防火牆安裝與配置Linux防火牆
- WAF與網路防火牆的區別防火牆
- CentOS 防火牆操作CentOS防火牆
- 防火牆介紹防火牆
- CentOS 7.0防火牆CentOS防火牆
- linux 防火牆Linux防火牆
- 防火牆透明模式防火牆模式
- 配置防火牆示例防火牆
- 電影:防火牆防火牆
- 防火牆部署案例防火牆
- 【網路安全】什麼Web應用防火牆?它與雲防火牆有什麼差異?Web防火牆
- ubuntu 關閉防火牆命令 ubuntu怎樣關閉防火牆Ubuntu防火牆
- 選用單防火牆DMZ還是雙防火牆DMZ(轉)防火牆
- SNAT、DNAT策略相關與防火牆配置解析防火牆
- UTM與下一代防火牆(轉)防火牆
- 設定TSMserver與TSM client穿過防火牆Serverclient防火牆
- 企業上網與防火牆建設(轉)防火牆
- Linux防火牆之IPtables概念與用法(轉)Linux防火牆
- 防火牆 搜尋 釋出 防火牆是什麼?怎麼理解?防火牆
- 八種防火牆產品評測(企業級防火牆)(轉)防火牆
- 資料庫防火牆資料庫防火牆