服务器连接 防火墙是 网络安全 中至关重要的一环,它能够有效保护 服务器 免受外部攻击,本文将详细介绍服务器与防火墙的连接方式、配置步骤以及相关注意事项,并提供两个常见问题与解答。
服务器连接防火墙的方式
1、 直连方式 :适用于小型网络环境,将防火墙和服务器通过网线直接相连,这种方式传输速度快,设置简单。
2、 交换机方式 :使用交换机连接防火墙和服务器,适用于中小型网络,防火墙和服务器分别连接到交换机的不同端口,由交换机负责数据包的转发。
3、 虚拟局域网(VLAN)方式 :通过VLAN技术,将防火墙和服务器隔离在不同的子网中,提供更高的安全性,控制不同子网间的流量。
4、 三层交换机方式 :使用具备路由功能的三层交换机连接防火墙和服务器,适用于复杂的网络环境,如多个子网间的路由。
5、 双机热备方式 :在高可用性场景下,通过冗余链路连接两台防火墙和服务器,当一台设备故障时,另一台设备立即接管,确保服务连续性。
配置步骤
1、 确定网络拓扑 :在设计服务器防火墙连接时,首先要考虑网络架构。
2、 准备必要的网络设备 :包括防火墙、网络交换机、网线和网线夹等。
3、 连接防火墙和服务器 :根据所选的连接方式,进行物理连接。
4、 配置防火墙规则 :登录防火墙管理界面,设置网络接口的IP地址、子网掩码和网关,并配置入站和出站规则。
5、 配置服务器网络接口 :为服务器分配静态IP地址,并安装配置防火墙软件。
6、 测试和监测 :通过ping命令测试网络连通性,尝试从外部网络访问服务器,检查防火墙规则是否生效,并使用网络流量监测工具实时监控网络流量和安全事件。
注意事项
1、 最小权限原则 :配置防火墙规则时应遵守最小权限原则,只允许必要的流量通过。
2、 使用安全协议 :使用HTTPS、SSH等安全协议加密传输敏感信息。
3、 定期更新 :定期更新防火墙和服务器的软件版本,以修补漏洞和提升安全性。
4、 检查维护 :定期检查和维护网络设备,确保其正常运行。
常见问题与解答
问:如何更改服务器防火墙的端口数?
答:更改服务器防火墙的端口数通常涉及修改防火墙规则中的端口映射设置,具体步骤如下:
登录防火墙管理界面。
找到当前使用的端口映射规则。
根据需要修改或添加新的端口映射规则。
保存更改并重启防火墙(如果必要)。
测试新的端口映射是否生效。
更改端口数可能会影响服务器上运行的服务和应用,因此在进行此类更改之前,请务必了解相关服务的端口需求,并进行充分的测试。
问:如何更改服务器防火墙密码?
答:更改服务器防火墙密码的具体步骤取决于所使用的防火墙类型(硬件防火墙或软件防火墙)及其管理界面,以下是一般性的指导步骤:
登录防火墙的管理界面(通常通过Web浏览器访问)。
导航到用户管理或安全设置部分。
找到当前管理员账户的密码设置选项。
输入新密码,并确认更改。
保存更改并退出管理界面。
对于某些类型的防火墙,可能还需要通过命令行界面或特定的管理工具来更改密码,在进行此类操作时,请务必遵循防火墙厂商提供的文档和指南,为了增强安全性,建议定期更改防火墙密码,并使用强密码策略。
正确连接和配置服务器与防火墙是保障网络安全的重要措施,通过选择合适的连接方式、遵循配置步骤并注意相关事项,可以有效提高服务器的安全性和可靠性,对于常见问题如更改端口数和密码等,也需要掌握正确的解决方法以确保防火墙的正常运行。
小伙伴们,上文介绍了“ 服务器连接 防火墙 ”的内容,你了解清楚吗?希望对你有所帮助,任何问题可以给我留言,让我们下期再见吧。
服务器防火墙怎么设置电脑防火墙分为几种
一、 初识网络防火墙1.1、防火墙的基本功能我们这里说的防火墙(Firewall)是一种网络设备,它在网络中起到两个最基本的功能:· 划分网络的边界· 加固内网的安全**划分网络的边界**防火墙设备的其中一个功能,就是划分网络的边界,严格地将网络分为外网和内网。 外网则是防火墙认为的——不安全的网络,不受信任的网络内网则是防火墙认为的——安全的网络,受信任的网络你可以这么打一个比喻:如果把网络比作一个城市,那么内网就是你的小区内部,外网就是城市道路小区的围墙就相当于是防火墙,起到了一个隔离内部环境和外部环境的功能并且呢,任何一个防火墙设备,在设计上就会强制把内部和外部的概念。 应用在接口上从内部访问外部默认情况下是允许的,但是从外部访问内部默认情况下是禁止的(需要设置相关策略才能从外部到内部访问。 )这种情况就像你到任何一个小区或者单位,你从里面出来的时候门卫一般不管你,但是如果想从外面进去,那可就不是那么回事了哦。 **加固网络的安全**刚才说到了防火墙的其中一个功能,就是网络流量流向的问题(内到外可以访问,外到内默认不能访问),这就从一定程度上加强了网络的安全性,那就是:内网属于私有环境,外人非请莫入!另外,防火墙还能从另外一些方面来加固内部网络的安全**1、隐藏内部的网络拓扑**这种情况用于互联网防火墙。 因为内网一般都会使用私有IP地址,而互联网是Internet的IP地址。 由于在IPv4环境下IP地址不足,内部使用大量的私有地址,转换到外部少量的Internet地址,这样的话,外部网络就不会了解到内部网络的路由,也就没法了解到内部网络的拓扑了。 同时,防火墙上还会使用NAT技术,将内部的服务器映射到外部,所以从外部访问服务器的时候只能了解到映射后的外部地址,根本不会了解到映射前的内部地址。 **2、带有安全检测防御**这种功能并不是每一款防火墙都有安全检测系统(intrusion detection system,简称IDS)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。 它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。 **3、会话日志功能**防火墙都有会话记录功能,每一个数据包在经过防火墙之后,都可以在防火墙的会话表中查询到历史访问记录。 比如10.112.100.101的主机在访问外部网络的时候,只要它访问成功,都会被防火墙所记录下来。 如果是外部主机访问内部呢?当然,在你的内部网络遭受不安全以后,可以在防火墙上查到从外到内,到底是哪个IP地址非法闯入了。 如果确实有外部非法闯入内部的访问,也可以追查防火墙的安全策略设置,看看哪一条安全策略的设置有问题。 虽然这看起来是一种亡羊补牢的做法,但是能查到危害源,总比你什么都查不到要好啊。 1.2、防火墙在企业环境的应用1、互连网出口设备这估计是大家最能想到的一种用途吧。 因为Internet就是一个最典型的外网,当企业网络接入Internet的时候,为了保证内部网络不受来自外部的威胁侵害,就会在互联网出口的位置部署防火墙。 2、分支机构接骨干网作边界设备在电力行业、金融行业等大型跨地,跨省的企业时,为了企业中各个省级、地市级单位的内部数据通信通常都会自建一张骨干网络。 在每个省级、地市级单位办公网络接入骨干网时,就可以在网络接入点部署防火墙,进一步提高每个单位的办公网络安全性。 3、数据中心内保护服务器数据中心(DataCenter)是为企业存放重要数据资料的,同时数据中心内会放置各种各样功能不一的服务器。 想要保证数据的安全,首先就要保证这些服务器的安全。 物理上的安全嘛,你就防火防水防贼呗,应用上的安全,找杀毒软件嘛;但是在网络上防止,防止非授权人员操作服务器,就需要到防火墙来发挥作用了。 一般在传统的数据中心内,会根据不同的功能来决定服务器的分区,然后在每个分区和核心设备的连接处部署防火墙。 ## 1.3、并不是任何场合都适合部署防火墙谁都知道安全性和方便性有时候会有那么一些冲突。 你去坐飞机,会经过非常严格的安检,没个十几二十分钟完成不了;但是在坐高铁,火车或者大巴的时候,安检可能就没那么严格了。 防火墙作为一种网络安全设备,部署在网络中会对穿过防火墙的数据包进行拦截,然后确定它符合策略要求以后才会放行。 这会对网络传输效率造成一定影响。 所以在一些十几个人的小公司或者是网络功能单一的环境(网络就是用来上网用的)是不会使用防火墙的。 加上企业级防火墙价格一般比较高(十几万到一百多万不等的价格),在那些以节约成本为先的偏小型私人企业一般不会使用防火墙。 所以防火墙一般用于数据中心,大型企业总部,国有企业省级、地区级办公机构,带有服务器区域的网络环境或机密性较高的单位。 二、防火墙的生厂商根据防火墙的部署方式,防火墙分为硬件防火墙和软件防火墙两种。 硬件防火墙:防火墙是一台网络设备,独立上架安装使用。 下图为大家展示了思科的硬件防火墙,Cisco ASA和Cisco Firepower软件防火墙:用一台多网卡服务器,安装windows或Linux操作系统,再在操作系统上安装与防火墙相关的功能软件。 下图为大家展示Microsoft ISA正在发布Exchange服务器硬件防火墙的生产商很多,但是在国内大多数都是用以下几种产品:捷哥列出这些生产商也只是其中一部分,上述厂商的防火墙捷哥都接触过,但是经常遇到的还是Cisco ASA,Juniper SRX,华为USG,天融信NGFW,迪普DPTec-FW1000这些设备。 这里捷哥本人也不敢乱说谁好谁坏吧,只是经过一段时间的观察,发现了这样一个小小规律:一般来说Cisco ASA和Juniper SRX,华为USG,H3C FW,迪普FW系列用作内网防火墙较多,而天融信和深信服系列更多用于互联网出口。 软件防火墙一般都是由软件公司生产:Windows 自带的防火墙(一般Windows都作终端使用,很少让其作为路由设备转发数据)Linux自带的防火墙(Netfilter,管理工具叫IPtables)ISA/TMG(微软软件)Squid(开源软件,更多的情况用于代理服务器)## 三、防火墙的分类防火墙按照功能和级别的不同,一般分类这么三类:* 包过滤型防火墙* 状态检测型防火墙* 代理型防火墙## 3.1、包过滤型防火墙这种防火墙只能实现最基础的包过滤功能,按照既定的访问控制列表对数据包的三、四层信息进行控制,详细一点就是:三层信息:源IP地址,目标IP地址四层信息:源端口,目标端口这种情况其实用一个路由器或者三层交换机,配置ACL就能实现只有符合了条件的数据包才能被放行,不符合条件的数据包无论如何都不会被放行。 但是包过滤型防火墙的性质就是那么教条与顽固不化!如果是使用一个路由器,强行设置从外部到内部拒绝所有流量会有什么后果呢?当然,外部的流量全部被ACL阻止了,但是这么设置在某些场合会造成网络通信故障:比如内部的主机访问外部TCP协议的服务,需要经过三次握手,其中第二次握手的流量就是从外部到内部的,如果单使用一个路由器的ACL实现包过滤,并且在外部接口配置拒绝所有流量进入,就会导致三次握手无法完成,从而内部主机访问不到外部的服务。 第一次握手,内部主机10.112.100.101使用随机端口访问外部的WebServer`200.100.1.2的TCP 80`三层信息源IP地址:10.112.100.101目标IP地址:200.100.1.2源端口:TCP 目标端口:TCP 80由于内部接口放行所有流量,所以这个第一次握手的流量被放行了第二次握手,外部主机200.100.1.2的被动地TCP 80发出相应,将第二次握手的数据包传回到10.112.100.101的TCP 端口上,此时三层信息源IP地址:200.100.1.2目标IP地址:10.112.100.101源端口:TCP 80目标端口:TCP 但是外部接口拒绝了所有流量的进入,所以这个第二次握手的包无法送到内部主机,导致三次握手无法完成。 从而主机就没法访问外部Web Server了由于TCP连接时,内部主机在发起第一次握手时总是以随机端口进行连接,所以你在外部也没法针对相应的端口进行流量的放行,但是如果把外部接口也改为permit ip any any,又会导致内部主机容易受到外部的侵害。 说到这里,捷哥想说一句题外话曾经有一个学员网友问了我一个问题,说是在企业部署了一台Cisco 6509交换机作为汇聚设备。 但是他又想实现这样的一个功能,看图吧:网友的意思是,想在Gi 2/1接口上做一些控制,只允许来自核心方面的流量访问办公区域的一些特定端口,其他的全部禁止访问,问我在这个Cisco 6509上怎么做。 我告诉他的是:如果设备是交换机的话,你这个操作没法做。 因为办公区的电脑访问外网或者内网服务器的时候,会打开一些随机端口,你就没法知道这些随机端口是什么。 如果你随便在Gi 2/1接口上去做限制,会导致你办公区域的电脑根本没法上网。 ## 3.2、状态检测型防火墙状态检测型防火墙就是为了解决傻×的包过滤型防火墙而存在的。 它比包过滤型防火墙还多了一层状态检测功能。 状态化检测型防火墙可以识别出主动流量和被动流量,如果主动流量是被允许的,那么被动流量也是被允许的。 例如TCP的三次握手中,第一次流量是主动流量,从内到外,第二次流量就是从外到内的被动流量,这可以被状态监测型防火墙识别出并且放行。 状态监测型防火墙会有一张连接表,里面记录合法流量的信息。 当被动流量弹回时,防火墙就会检查连接表,只要在连接表中查到匹配的记录,就会放行这个流量第一次握手,内部主机10.112.100.101使用随机端口访问外部的WebServer200.100.1.2的TCP 80三层信息源IP地址:10.112.100.101目标IP地址:200.100.1.2源端口:TCP 目标端口:TCP 80由于内部接口放行所有流量,所以这个第一次握手的流量被放行了但此时,防火墙在连接表中生成了如下内容:第二次握手时,是外部主机被动弹回的流量源地址(外部):200.100.1.2源端口(外部):TCP 80目标地址(内部):10.112.100.101目标端口(内部):TCP 此时,防火墙会暂时拦截流量,然后检查连接表,看看内部主机的IP和端口,外部主机的IP和端口是否与连接表中记录的相同,如果相同,它就会放行这个流量。 当然,形成连接表记录的先决条件是:主动发起访问一端的流量要符合防火墙的安全策略要求,也就是说内部网络向外部网络不被明确拒绝,外部网络访问内部网络被明确允许。 只有连接表内记录了内外主机和IP端口信息的,被动弹回的流量才会被防火墙放行。 如果是外部主动发起的流量,而防火墙又没有允许它访问内部,由于是外部主动发起的流量,所以防火墙的连接表里没有相应的信息,这就会遭到防火墙的拒绝。 从而达到既保证了内部到外部的正常通信,又使得内部主机不受到外部的侵犯,这就是状态检测型防火墙的魅力所在。 目前主流的硬件防火墙几乎都支持状态监测功能。 ## 3.3、代理型防火墙代理型防火墙一般是一个安装在多网卡服务器上的软件,拥有状态监测的功能,但是多了一项功能就是代理服务器功能。 一般有正向代理和反向代理两种功能:**正向代理**正向代理用于内部主机访问Internet服务器的时候,特别是Web服务的时候很管用。 当内部主机第一次访问外部的Web服务器时,代理服务器会将访问后的内容放在自己的高速缓存中,当内部主机再次访问该Web服务器的时候,如果有相同的内容,代理服务器就会将这个访问定位到自己的高速缓存,从而提升内部主机的访问速度。 代理型防火墙的代理功能可以在内部主机访问Web数据的时候,起到一个缓存加速的情况。 但是这种防火墙因为是安装在一台服务器上的软件,其性能受到服务器本身的限制。 所以对于一些实时性的数据,或者是从网上下载文件到本地,就可能会被防火墙拖慢网速。 目前代理型防火墙在企业一般很少用于正向代理或者是出口网关设备,倒是反向代理更多。 **反向代理**反向代理和正向代理有点类似,只不过访问的方向是外部到内部。 当外部主机要访问内部发布的某个服务器的时候,不会让它把访问目标定位到内部服务器上,而是反向代理设备上。 反向代理设备会从真实的服务器上抽取数据到自己的缓存中,起到保护真实服务器的功能。 反向代理一般单独部署,不和状态检测防火墙部署在一起,各自实现各自的功能。 反向代理在一定程度上可以保护内部的真实服务器,即使遭到危险,也是反向代理被危及被破坏的数据也是缓存。 并且反向代理服务器上可能会记录对方的危险方式,找出网络系统中存在的缺陷,提醒管理员即使封阻漏洞,修复缺陷。 # 四、关于防火墙的学习方法## 4.1、理解原理,掌握技巧(了解原理,查阅手册)因为防火墙生产厂商比较多,把每个厂商的防火墙的配置命令和设置方式都拿出来一个一个的说,这个非常不现实。 因为在企业内部的防火墙都是生产环境,我不可能那生产环境的防火墙来给大家做试验品,一来这可能导致网络故障(责任我背不起啊!)二来我和客户签了保密协议,出于职业道德我也不能把这些配置都展示给大家。 进口防火墙产品因为是全英文的手册复杂,但是有着一套比较完善的模拟器系统,可以帮助大家理解防火墙的特性和配置方式,所以,捷哥在这个专栏里面,着重用两款进口产品(Cisco和Juniper)为大家展示防火墙特性的一些配置及验证。 国内的防火墙产品,捷哥也会在专栏的文章里面体现到。 因为国内的产品缺少模拟器,而且实际环境多半是Web界面进行配置,所以对于国内的防火墙产品捷哥重点是教大家如何去查阅手册(国内产品一定是全中文手册,非常容易看懂)。 ## 2、抓住重点,切勿混淆这一点是针对于学过路由交换的读者说的。 曾经捷哥在51cto学院出了一个跟Juniper相关的视频课程,结果被人打了差评,原因就是我没有讲在防火墙上如何配置OSPF、BGP这些路由协议。 在这里我必须给大家强调一下,因为防火墙从最初的设计上来讲,就是为了作为网络边界设备和安全设备。 防火墙的工作重点是在处理包过滤及状态化会话,以及兼顾一些安全检测的功能,对路由处理能力并不强。 在实际的企业部署中,一般是不会在防火墙上去跑动态路由的。 所以,学习防火墙,重点技术就是在安全策略,NAT,以及一些安全的配置还有防火墙双机热备上面。 ## 3、经验只可借鉴不可照搬防火墙位于网络的关键位置,特别是数据中心的防火墙。 一般来说,在企业中运维防火墙的话,防火墙的变更操作会很多,一般都会在安全策略,ACL的地方进行变更操作。 所以要玩好防火墙,技术之外的技巧,例如脚本技巧,文本技巧要大于技术之内。 捷哥会给大家介绍一些如何去对一些陌生的防火墙厂商的快速上手技巧,大家可以灵活借鉴,但不可生搬硬套哦。 还有呢,防火墙很多时候查看多余配置。 对于进口防火墙来说,如何在全英文的界面下抓住重点,从查看到的内容中找到关键信息和关键参数,这也是需要一点点小小的技巧的。 当然啦,大家不要只盯着configure,学会show和display也同样重要。
如何设置防火墙 ?快来看看吧
1.1 什么是防火墙防火墙是一种网络安全设备,通常位于网络边界,用于隔离不同安全级别的网络,保护一个网络免受来自另一个网络的攻击和入侵。 这种“隔离”不是一刀切,是有控制地隔离,允许合法流量通过防火墙,禁止非法流量通过防火墙。 如图1.1所示,防火墙位于企业Internet出口保护内网安全。 在防火墙上可以指定规则,允许内网10.1.1.0/24网段的PC访问Internet,禁止Internet用户访问IP地址为192.168.1.2的内网主机。 1.1由上文可见,防火墙与路由器、交换机是有区别的。 路由器用来连接不同的网络,通过路由协议保证互联互通,确保将报文转发到目的地;交换机通常用来组建局域网,作为局域网通信的重要枢纽,通过二层/三层交换快速转发报文;而防火墙主要部署在网络边界,对进出网络的访问行为进行控制,安全防护是其核心特性。 路由器与交换机的本质是转发,防火墙的本质是控制。 防火墙控制网络流量的实现主要依托于安全区域和安全策略,下文详细介绍。 1.2 接口与安全区域前文提到防火墙用于隔离不同安全级别的网络,那么防火墙如何识别不同网络呢?答案就是安全区域(Security Zone)。 通过将防火墙各接口划分到不同的安全区域,从而将接口连接的网络划分为不同的安全级别。 防火墙上的接口必须加入安全区域(部分机型的独立管理口除外)才能处理流量。 安全区域的设计理念可以减少网络攻击面,一旦划分安全区域,流量就无法在安全区域之间流动,除非管理员指定了合法的访问规则。 如果网络被入侵,攻击者也只能访问同一个安全区域内的资源,这就把损失控制在一个比较小的范围内。 因此建议通过安全区域为网络精细化分区。 接口加入安全区域代表接口所连接的网络加入安全区域,而不是指接口本身。 接口、网络和安全区域的关系如图1.2所示。 1.2防火墙的安全区域按照安全级别的不同从1到100划分安全级别,数字越大表示安全级别越高。 防火墙缺省存在trust、dmz、untrust和local四个安全区域,管理员还可以自定义安全区域实现更细粒度的控制。 例如,一个企业按图1-3划分防火墙的安全区域,内网接口加入trust安全区域,外网接口加入untrust安全区域,服务器区接口加入dmz安全区域,另外为访客区自定义名称为guest的安全区域。 一个接口只能加入到一个安全区域,一个安全区域下可以加入多个接口。 1.3上图中有一个特殊的安全区域local,安全级别最高为100。 local代表防火墙本身,local区域中不能添加任何接口,但防火墙上所有接口本身都隐含属于local区域。 凡是由防火墙主动发出的报文均可认为是从local安全区域发出,凡是接收方是防火墙的报文(非转发报文)均可认为是由local安全区域接收。 另外除了物理接口,防火墙还支持逻辑接口,如子接口、VLANIF、Tunnel接口等,这些逻辑接口在使用时也需要加入安全区域。 1.3 安全策略前文提到防火墙通过规则控制流量,这个规则在防火墙上被称为“安全策略”。 安全策略是防火墙产品的一个基本概念和核心功能,防火墙通过安全策略来提供安全管控能力。 如图1-4所示,安全策略由匹配条件、动作和内容安全配置文件组成,针对允许通过的流量可以进一步做反病毒、入侵防御等内容安全检测。 1.4组网以及web界面所有匹配条件在一条安全策略中都是可选配置;但是一旦配置了,就必须全部符合才认为匹配,即这些匹配条件之间是“与”的关系。 一个匹配条件中如果配置了多个值,多个值之间是“或”的关系,只要流量匹配了其中任意一个值,就认为匹配了这个条件。 一条安全策略中的匹配条件越具体,其所描述的流量越精确。 你可以只使用五元组(源/目的IP地址、端口、协议)作为匹配条件,也可以利用防火墙的应用识别、用户识别能力,更精确、更方便地配置安全策略。 穿墙安全策略与本地安全策略穿过防火墙的流量、防火墙发出的流量、防火墙接收的流量均受安全策略控制。 如图1-5所示,内网PC既需要Telnet登录防火墙管理设备,又要通过防火墙访问Internet。 此时需要为这两种流量分别配置安全策略。 1.5穿墙安全策略与本地安全策略尤其讲下本地安全策略,也就是与local域相关相关的安全策略。 以上例子中,位于trust域的PC登录防火墙,配置trust访问local的安全策略;反之如果防火墙主动访问其他安全区域的对象,例如防火墙向日志服务器上报日志、防火墙连接安全中心升级特征库等,需要配置local到其他安全区域的安全策略。 记住一点防火墙本身是local安全区域,接口加入的安全区域代表接口连接的网络属于此安全区域,这样就可以分清防火墙本身和外界网络的域间关系了。 缺省安全策略与安全策略列表防火墙存在一条缺省安全策略default,默认禁止所有的域间流量。 缺省策略永远位于策略列表的最底端,且不可删除。 用户创建的安全策略,按照创建顺序从上往下排列,新创建的安全策略默认位于策略列表底部,缺省策略之前。 防火墙接收到流量之后,按照安全策略列表从上向下依次匹配。 一旦某一条安全策略匹配成功,则停止匹配,并按照该安全策略指定的动作处理流量。 如果所有手工创建的安全策略都未匹配,则按照缺省策略处理。 由此可见,安全策略列表的顺序是影响策略是否按预期匹配的关键,新建安全策略后往往需要手动调整顺序。 企业的一台服务器地址为10.1.1.1,允许IP网段为10.2.1.0/24的办公区访问此服务器,配置了安全策略policy1。 运行一段时间后,又要求禁止两台临时办公PC(10.2.1.1、10.2.1.2)访问服务器。 此时新配置的安全区策略policy2位于policy1的下方。 因为policy1的地址范围覆盖了policy2的地址范围,policy2永远无法被匹配。
如何为被动模式FTP服务器配置Windows防火墙 详细�0�3
通过打开到 TCP 端口号 21 的“命令通道”连接,标准模式 FTP 客户端会启动到服务器的会话。 客户端通过将 PORT 命令发送到服务器请求文件传输。 然后,服务器会尝试启动返回到 TCP 端口号 20 上客户端的“数据通道”连接。 客户端上运行的典型防火墙将来自服务器的此数据通道连接请求视为未经请求,并会丢弃数据包,从而导致文件传输失败。 Windows Vista 和 Windows Server 2008 中的 高级安全 Windows 防火墙 支持有状态 FTP ,该 FTP 允许将端口 20 上的入站连接请求与来自客户端的先前出站 PORT 命令相匹配。 但是,如果您通过 SSL 使用 FTP 来加密和保护 FTP 通信,则防火墙不再能够检查来自服务器的入站连接请求,并且这些请求会被阻止。 为了避免此问题, FTP 还支持“被动”操作模式,客户端在该模式下启动数据通道连接。 客户端未使用 PORT 命令,而是在命令通道上发送 PASV 命令。 服务器使用 TCP 端口号进行响应,客户端应连接到该端口号来建立数据通道。 默认情况下,服务器使用极短范围( 1025 到 5000 )内的可用端口。 为了更好保护服务器的安全,您可以限制 FTP 服务使用的端口范围,然后创建一个防火墙规则:仅在那些允许的端口号上进行 FTP 通信。 本主题将讨论执行以下操作的方法: 1. 配置 FTP 服务以便仅将有限数量的端口用于被动模式 FTP 2. 配置入站防火墙规则以便仅在允许的端口上进行入站 FTP 连接 以下过程显示在 Internet 信息服务 (IIS) 7.0 版上配置 FTP 服务的步骤。 如果您使用其他 FTP 服务,请查阅产品文档以找到相应的步骤。 配置对 SSL 的支持不在本主题的讨论范围之内。 有关详细信息,请参阅 IIS 文档。 配置 FTP 服务以便仅将有限数量的端口用于被动模式 FTP 1. 在 IIS 7.0 管理器中的“连接”窗格中,单击服务器的顶部节点。 2. 在细节窗格中,双击“FTP 防火墙支持”。 3. 输入您希望 FTP 服务使用的端口号的范围。 例如,- 允许服务器同时支持 100 个被动模式数据连接。 4. 输入防火墙的外部 IPv4 地址,数据连接通过该地址到达。 5. 在“操作”窗格中,单击“应用”保存您的设置。 还必须在 FTP 服务器上创建防火墙规则,以在前一过程中配置的端口上允许入站连接。 尽管您可以创建按编号指定端口的规则,但是,创建打开 FTP 服务所侦听的任何端口的规则更为容易。 通过按前一过程中的步骤操作,您可限制 FTP 侦听的端口。 配置入站防火墙规则以便仅允许到 FTP 所侦听端口的入站 FTP 连接 1. 打开管理员命令提示符。 依次单击「开始」、“所有程序”和“附件”,右键单击“命令提示符”,然后单击“以管理员身份运行”。 2. 运行下列命令: 复制代码 netsh advfirewall firewall add rule name=”FTP Service” action=allow service=ftpsvc protocol=TCP dir=in 3. 最后,禁用有状态 FTP 筛选,以使防火墙不会阻止任何 FTP 通信。 复制代码 netsh advfirewall set global StatefulFTP disable Windows Firewall and non-secure FTP traffic Windows firewall can be configured from command line using netsh command. 2 simple steps are required to setup Windows Firewall to allow non-secure FTP traffic 1) Open port 21 on the firewall netsh advfirewall firewall add rule action=allow protocol=TCP dir=in localport=21 2) Activate firewall application filter for FTP (aka Stateful FTP) that will dynamically open ports for data connections netsh advfirewall set global StatefulFtp enable
发表评论