實戰:使用TCP/IP篩選保護伺服器安全
使用TCP/IP篩選保護伺服器安全
對於部署在Internet的伺服器,安全是必須要考慮的事情。為了降低伺服器受攻擊的危險,停止不必要的服務或在本地連線的TCP/IP屬性中只開啟必要的埠。
如圖2-127所示,實驗環境為Server的IP地址192.168.1.200,執行著Web服務,SMTP服務、POP3服務、FTP服務和DNS服務。Client的IP地址為192.168.1.121。只允許Client計算機訪問Server計算機的Web服務、FTP服務和DNS服務。以下演示配置Server計算機的TCP/IP篩選只允許TCP目標埠為80和21的資料包進入,以及只允許UDP目標埠為53的資料包進入。
▲圖2-127 TCP/IP篩選示意圖
(1)如圖2-128所示,在Client計算機上安裝ScanPort軟體,輸入起始地址和結束地址都為Server計算機的IP地址192.168.1.200,並輸入埠號的範圍,單擊“掃描”按鈕。
(2)如圖2-128所示,可以看到掃描結果。通過掃描結果,可以斷定該伺服器執行著FTP服務、SMTP服務,DNS服務、Web服務和POP3服務等。
(3)如圖2-129所示,在Server上,開啟“本地連線 屬性”對話方塊,選中“Internet協議(TCP/IP)”核取方塊,單擊“屬性”按鈕。
▲圖 2-128 埠掃描 ▲圖2-129 “本地連線 屬性”對話方塊
(4)如圖2-130所示,在開啟的“Internet協議(TCP/IP)屬性”對話方塊中,單擊“高階”按鈕。
(5)如圖2-131所示,在出現的“高階TCP/IP設定”對話方塊的“選項”選項卡中,選中“TCP/IP篩選”選項,單擊“屬性”按鈕。
▲圖2-130 “Internet協議(TCP/IP)屬性”對話方塊 ▲圖2-131 “高階TCP/IP設定”對話方塊
(6)如圖2-132所示,在出現的“TCP/IP篩選”對話方塊中,選中“啟用TCP/IP篩選”核取方塊,TCP埠選中“只允許”單選按鈕,單擊“新增”按鈕。
(7)如圖2-132所示,在出現的“新增篩選器”對話方塊中,輸入80,單擊“確定”按鈕。
(8)如圖2-133所示,同樣新增TCP的21埠。
(9)如圖2-133所示,UDP埠選中“只允許”單選按鈕,新增埠53,單擊“確定”按鈕。
▲圖2-132 新增允許的TCP埠 ▲圖2-133 新增允許的UDP埠
(10)如圖2-134所示,提示需要重啟計算機,單擊“是”按鈕,重啟計算機。
(11)如圖2-135所示,在Client上,發現只能掃描到21和80埠,埠掃描只是掃描TCP的埠,不掃描UDP埠。這樣Client計算機只能訪問Server FTP服務和Web服務。
▲圖2-134 需要重啟計算機 ▲圖2-135 掃描埠
(12)如圖2-136所示,在Server上,在命令提示符下輸入netstat –an檢視偵聽的埠。可以看到該伺服器在TCP的25、110埠偵聽。這說明TCP/IP篩選並不控制伺服器偵聽的埠。
(13)如圖2-137所示,在Client上,執行ping www.ess.com,可以看到Client計算機可以通過Server進行域名解析。
(14)如圖2-137所示,telnet Server的25埠和110埠失敗。說明TCP/IP篩選沒有允許這些埠。
▲圖2-136 檢視偵聽的埠 ▲圖2-137 測試域名解析
(15)如圖2-138所示,在Client上可以訪問Server的Web服務,也能夠訪問FTP服務。
(16)如圖2-139所示,在Server上訪問Client計算機的共享資料夾,輸入Client計算機的使用者名稱和密碼,能夠訪問成功。
▲圖2-138 能夠訪問Web和FTP站點 ▲圖2-139 TCP/IP篩選不影響出去的流量
(17)如圖2-140所示,在命令提示符下輸入netstat –n,可以看到建立的會話,說明TCP/IP篩選並不控制出去的流量。
(18)如圖2-141所示,在Server上ping www.sohu.com,發現不能域名解析,輸入nslookup後,輸入www.sohu.com,可以看到解析失敗。為什麼Server不能將域名解析呢?
▲圖2-140 檢視建立的會話 ▲圖2-141 域名解析
Server為什麼不能解析Internet DNS伺服器的域名?舉例說明:Server向Internet DNS傳送域名解析的請求,協議是UDP,目標埠為53,源埠為1027,當資料包發出去後,由於UDP不建立會話,發出去的資料包或請求就忘記了,在域名解析結果返回來的時候,由於TCP/IP篩選UDP只開啟了53埠,而沒有開啟1027埠,因此被TCP/IP篩選攔截。因此域名解析失敗。
為什麼Server的TCP/IP篩選訪問Client的共享資料夾?舉例說明:如圖2-142所示,Server訪問Client的共享資料夾,Server向Client傳送訪問共享資料夾的請求資料包,使用TCP協議,目標埠為445,源埠為1045,因為TCP是建立會話的,所以Server會臨時開啟埠1045,這樣Client返回的資料包,能夠進入Server。
▲圖2-142 UDP不建立會話
本文轉自 onesthan 51CTO部落格,原文連結:http://blog.51cto.com/91xueit/1135837,如需轉載請自行聯絡原作者
相關文章
- 實戰:使用IPSec保護伺服器安全伺服器
- 利用“TCP/IP篩選”功能限制伺服器的埠TCP伺服器
- 實戰:Windows防火牆保護客戶端安全Windows防火牆客戶端
- windows10系統怎麼設定TCP/IP篩選功能WindowsTCP
- 程式碼伺服器安全保護(二)伺服器
- 過載保護原理與實戰
- Spring Boot安全保護使用教程Spring Boot
- 代理伺服器可以保護資料安全嗎?伺服器
- 10招步驟保護IIS伺服器安全伺服器
- 代理伺服器是如何保護網路安全的?伺服器
- 保護網站安全網站
- 微服務過載保護原理與實戰微服務
- 保護Linux伺服器安全的四個要點!Linux伺服器
- 恆訊科技分析:保護雲伺服器安全有哪些措施?伺服器
- 利用Oracle VPD實現行級安全保護(二)Oracle
- 利用Oracle VPD實現行級安全保護(一)Oracle
- 【TCP/IP】TCP伺服器併發處理&原始碼TCP伺服器原始碼
- 使用JWT保護你的Spring Boot應用 - Spring Security實戰JWTSpring Boot
- 如何:強化TCP/IP堆疊安全TCP
- TCP/IP基礎文章(安全篇) (轉)TCP
- Linux系統安全保護Linux
- .net程式混淆、安全、保護、加密加密
- SpringCloud Alibaba實戰(9:Hystrix容錯保護)SpringGCCloud
- DNS伺服器保護方法:幾點保護DNS伺服器的有效方法小結DNS伺服器
- 保護物聯網安全有哪些實用方法呢?
- 四個保護資料安全的技術實踐
- 系列TCP/IP協議-靜態IP選路(007)TCP協議
- 伺服器容錯保護二伺服器
- 伺服器在使用過程中如何保護資料伺服器
- 網路安全和伺服器安全有什麼區別?如何保護您的網路伺服器伺服器
- 維護網路安全保護人民利益
- 如何強化TCP/IP 堆疊安全教程TCP
- IPIDEA代理IP,保護網路資訊保安Idea
- 如何保護電子郵件安全
- 資料安全與PostgreSQL:保護策略SQL
- 保護資料庫的安全(二)資料庫
- 保護資料庫的安全(一)資料庫
- 保護Oracle資料庫的安全Oracle資料庫