㈠ 伺服器加了安全訪問埠,但是安全組該怎麼設置
安全策略:設置各種與伺服器通過網路通訊的許可權和通訊規則的管理。 如:允許或禁止某個IP通過某種協議訪問本伺服器某個埠(這是由安全策略里的「IP篩選器表」來設定和管理),通訊時是否要驗證,通過什麼方式和加密手段驗證(這些是通過「篩選器操作」來設定和管理)。 打開方式:控制面板 -> 管理工具 -> 本地安全策略 -> IP安全策略 本地計算機 使用舉例:讓指定IP(IP1)(段)可以訪問本機(HOST)上的SQLSERVER(1433埠),其它IP不允許連接。 步驟1:建立兩個IP篩選器,一個是從HOST上的1433到IP1上任何埠的(鏡像的)篩選器,命名為SQL SERVER ALLOWED IPs;另一個是HOS上的1433到任何IP任何埠的(鏡像的)篩選器,命名為SQL SERVER DENIED IPs; 步驟2:建立至少兩個篩選操作,一個是「允許」,一個是「阻止」; *以上兩個步驟通過右擊空白->管理IP篩選器表和篩選器操作來完成. 步驟3:右擊空白->創建IP安全策略:點「添加」來添加兩條規則。1)選擇篩選器SQL SERVER DENIED IPs,對應選擇「阻止」操作; 2)選擇篩選器SQL SERVER ALLOWED IPs,對應選擇「允許」操作。這樣,策略就建好了。 步驟4:右擊策略->指派。只有指派了的策略才會生效
㈡ Windows埠轉發(Port Forwarding in Windows)
在Windows系統中,從XP開始就內嵌了一個設置網路埠轉發的功能。依靠這個功能,任何到本地埠的TCP連接(ipv4或ipv6)都能夠被轉發到任意一個本地埠,甚至是遠程主機的某個埠。並且,Windows系統並不需要去開啟監聽這個轉發埠的服務。
在Windows伺服器中,遠程訪問控制協議(RRAS)通常被用作埠轉發,但是有一種更簡單的配置方法,並且這種配置方法適用於windows的任意版本。
Windows系統下的埠轉發使用portproxy模式下的netsh命令,該命令的使用前提是要在管理員身份打開cmd進行執行。
netsh interface portproxy add v4tov4 listenaddress =localaddress listenport = localport connectaddress =destaddress connectport =destport protocol= tcp
listenaddress – 待連接的ip地址。
listenport –待連接的tcp本地埠 。
connectaddress – 待連接被轉發的本地或遠程主機的ip地址(支持域名)
connectport –從listenport轉發到的tcp埠
netsh interface portproxy add v4tov4 listenport=3340 listenaddress=10.1.1.110 connectport=3389 connectaddress=10.1.1.110
1) netstat -ano | findstr :3340來驗證3340埠是否正在監聽中,如果該命令沒有返回任何信息,或者說通過netsh介面並沒有實現埠轉發的功能,那麼需要查看下系統是否開啟了iphlpsvc(ip Helper)服務。
2) tasklist | findstr 3340查看監聽該埠的進程
3) 檢查防火牆是否關閉,如果關閉則跳過。如果打開需要手工配置相應的防火牆。
連接時請確保防火牆(Windows防火牆或者其他的第三方防護軟體)允許外部連接到一個全新的埠,如果不允許,那麼只能自行添加一個新的Windows防火牆規則,命令如下:netsh advfirewall firewall add rule name=」forwarded_RDPport_3340」 protocol=TCP dir=in localip=10.1.1.110 localport=3340 action=allow
當通過Windows防火牆介面為3340埠建立一個新的規則時,這個埠需要保證沒有被任何程序佔用,也就是說此埠僅供網路驅動使用。你可以創立任意的Windows埠轉發規則,所有的netsh介面下的埠代理規則都是永久的,並且儲存在系統中(不受開機重啟的影響)。
查看系統中的所有轉發規則是否生效:
netsh interface portproxy show all
查看埠轉發的設置:netsh interface portproxy mp
刪掉一個特定的埠轉發規則:
netsh interface portproxy delete v4tov4
清空當前所有的配置規則:
netsh interface portproxy reset
從遠程主機來嘗試連接這個新轉發的埠3340,3340埠等同於原來的3389埠,連接的地址為10.10.1.110:3340。
注意:這些轉發規則僅僅適用於TCP埠,對於UDP的埠轉發,使用上面的方法是無效的。在配置規則時,不能將127.0.0.1作為連接地址。
1) 通過一台windows機器埠轉發到一台windows遠程主機
netsh interface portproxy add v4tov4 listenport=3340 listenaddress=10.1.1.110 connectport=3389 connectaddress=10.1.1.110
netsh interface portproxy add v4tov4 listenport=3389 listenaddress=0.0.0.0 connectport=3389 connectaddress=192.168.100.101
2) 通過一台ipv4的Windows機器轉發到一台ipv6的伺服器。
netsh interface portproxy add v4tov6 listenport=3340 listenaddress=10.1.1.110 connectport=3389 connectaddress=ffff::66
1) 在Windows Server 2012 R2中,埠轉發規則有可能會在系統重啟後被重置,在這種情況下,需要在網路協議中檢查是否存在配置不當,導致網路的間斷性斷開,或者當系統重啟時是否出現了ip地址的變換(推薦使用靜態ip)。在一個工作組里,通常是在windows任務計劃程序里添加了一個實現埠轉發的腳本。
2) 在Windows 2003/XP中,必須在注冊表(HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters)中找到並設置IPEnableRouter參數為1才能實現埠轉發。
3) 防火牆規則檢查
4) 埠轉發依賴的ip helper服務是否啟動
5) 埠轉發是否生效
6) Windows7和WindowsServer2008R2安全事件的說明 操作系統日誌標識
Windows日誌查看
6273 網路策略伺服器拒絕用戶訪問。
6274 網路策略伺服器放棄用戶的請求。
4868 證書管理器拒絕了掛起的證書請求。
4870 證書服務吊銷了證書。
4944 當啟動 Windows 防火牆時,以下策略處於活動狀態。
4945 當啟動 Windows 防火牆已列出規則。
4946 Windows 防火牆例外列表已更改。添加的規則。
4947 Windows 防火牆例外列表已更改。修改規則的。
4948 Windows 防火牆例外列表已更改。規則已被刪除。
4949 Windows 防火牆設置都恢復為默認值。
4950 更改 Windows 防火牆設置。
4951 Windows 防火牆忽略規則,因為無法識別的主要版本號。
4952 Windows 防火牆忽略規則的部分,因為無法識別它的次要版本號。將強制執行該規則的其他部分。
4953 由於無法分析,Windows 防火牆將忽略規則。
4954 Windows 防火牆組策略設置已更改,並且未應用新設置。
4956 Windows 防火牆更改活動配置文件。
5024 Windows 防火牆服務已成功啟動。
5025 Windows 防火牆服務已停止。
5027 Windows 防火牆服務無法從本地存儲區中檢索的安全策略。Windows 防火牆將繼續執行當前的策略。
5028 Windows 防火牆無法分析新的安全策略。Windows 防火牆將繼續執行當前的策略。
http://woshub.com/port-forwarding-in-windows/
㈢ 雲伺服器安全雲伺服器的7大安全秘密是什麼
1、及時安裝系統補丁
2、安裝和設置防火牆
3、安裝網路
4、關閉不需要的服務和埠
5、定期對伺服器進行備份
6、賬號和密碼保護
7、監測系統日誌
1.及時安裝系統補丁:不論是Windows還是Linux,任何操作系統都有漏洞,及時的打上補丁避免漏洞被蓄意攻擊利用,是伺服器安全最重要的保證之一。
2.安裝和設置防火牆:現在有許多基於硬體或軟體的防火牆,很多安全廠商也都推出了相關的產品。對伺服器安全而言,安裝防火牆非常必要。防火牆對於非法訪問具有很好的預防作用,但是安裝了防火牆並不等於伺服器安全了。在安裝防火牆之後,你需要根據自身的網路環境,對防火牆進行適當的配置以達到最好的防護效果。
3.安裝網路:現在網路上的病毒非常猖獗,這就需要在網路伺服器上安裝網路版的殺毒軟體來控制病毒傳播,同時,在網路殺毒軟體的使用中,必須要定期或及時升級殺毒軟體,並且每天自動更新病毒庫。
4.關閉不需要的服務和埠:伺服器操作系統在安裝時,會啟動一些不需要的服務,這樣會佔用系統的資源,而且也會增加系統的安全隱患。對於一段時間內完全不會用到的伺服器,可以完全關閉;對於期間要使用的伺服器,也應該關閉不需要的服務,如Telnet等。另外,還要關掉沒有必要開的TCP埠。
5.定期對伺服器進行備份:為防止不能預料的系統故障或用戶不小心的非法操作,必須對系統進行安全備份。除了對全系統進行每月一次的備份外,還應對修改過的數據進行每周一次的備份。同時,應該將修改過的重要系統文件存放在不同伺服器上,以便出現系統崩潰時(通常是硬碟出錯),可以及時地將系統恢復到正常狀態。
6.賬號和密碼保護:賬號和密碼保護可以說是伺服器系統的第一道防線,目前網上大部分對伺服器系統的攻擊都是從截獲或猜測密碼開始。一旦黑客進入了系統,那麼前面的防衛措施幾乎就失去了作用,所以對伺服器系統管理員的賬號和密碼進行管理是保證系統安全非常重要的措施。
7.監測系統日誌:通過運行系統日誌程序,系統會記錄下所有用戶使用系統的情形,包括最近登錄時間、使用的賬號、進行的活動等。日誌程序會定期生成報表,通過對報表進行分析,你可以知道是否有異常現象。
㈣ Linux埠轉發(iptables)
當伺服器遷移,因為DNS未同步或某些人使用ip訪問,一些流量還是會流向老的伺服器。
使用iptables及其偽裝特性,將所有流量轉發到老的伺服器。 點擊看iptables的介紹 。
本文假設沒有運行的iptables,至少沒有針對prerouting鏈和postrouting鏈的NAT表的轉發規則。
1) 首先開啟埠轉發
# echo "1" > /proc/sys/net/ipv4/ip_forward
或sysctl net.ipv4.ip_forward=1
2) 增加埠轉發
將埠1111上的流量轉發到主機2.2.2.2 上的埠1111。
# iptables -t nat -A PREROUTING -p tcp --dport 1111 -j DNAT --to-destination 2.2.2.2:1111
然後告訴IPtables偽裝起來(masquerade)
# iptables -t nat -A POSTROUTING -j MASQUERADE
僅僅重定向一個固定網路甚至是一台主機的流量
# iptables -t nat -A PREROUTING -s 192.168.1.1 -p tcp --dport 1111 -j DNAT --to-destination 2.2.2.2:1111
僅僅重定向一個網段的流量
# iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 1111 -j DNAT --to-destination 2.2.2.2:1111
這就可以進行Linux埠轉發流量了。
查看轉發規則 sudo iptables -t nat -nL
1) docker bridge模式
2) 安全方面,同主機上埠指定網卡ip上的流量轉發
3) 埠轉發到另外的伺服器,見上邊案例
4) snat場景
5) dnat場景,內網訪問外網
https://www.debuntu.org/how-to-redirecting-network-traffic-to-a-new-ip-using-iptables/
㈤ 內網伺服器映射到公網,怎麼做好伺服器安全工作
可以從網路接入端點的安全控制入手,結合認證伺服器,安全策略伺服器、補丁伺服器和網路設備,以及第三方軟體系統(防病毒)等,對用戶接入行為的控制,完成對接入終端用戶的強制認證和安全策略應用,從而保障網路安全。
㈥ 關於路由器埠映射問題,到底該怎麼設置既有效又安全
把「UPNP用戶界面」關掉,
只要路由器開了UPNP,
像BitComet,迅雷這樣的軟體只要是最新版都支持upnp,
根本不需要自己去弄,
只要在軟體的設置選項裡面把upnp功能開啟就可以了,
這樣做只會up下載用的埠,不會把電腦所有有埠都up出去
㈦ 如何在windows下面通過ssh建立安全的ftp伺服器
Windows提供了一些遠程管理功能,像使用Windows PowerShell,ServerManager.exe,或一個telnet伺服器,但它並沒有提供原生的SSH(安全外殼)或Secure FTP訪問。
不過,好消息是它是相當容易成立SSH和安全FTP(SFTP)伺服器,讓您可以安全地訪問命令提示符和文件的電腦或遠程伺服器示例使用的情況下,包括故障排除,維修,或轉移/共享文件,當你走出辦公室。你甚至可以決定設置它做SSH隧道,以確保你的Wi-Fi流量使用熱點時。
雖然有很多SSH和SFTP伺服器可供選擇,在這里我們將討論freeSSHd以下。freeSSH中是一個SSH和Telnet伺服器,支持普通的shell或命令行SSH訪問,基於SSH的SFTP訪問(使用命令行或GUI客戶端),基於SSH隧道(VPN一樣的功能)。
freeSSH中很容易通過一個典型的Windows安裝程序安裝。做雖然確保創建上面的安裝結束時,因為它們所需的加密的私鑰。
配置伺服器
一旦你打開freeSSHd以下,你會發現一個系統托盤圖標,你可以單擊「打開伺服器設置。如果你沒有在安裝過程中創建的私鑰SSH選項卡並單擊「新建」的關鍵()。否則,你應該做的,為了獲得伺服器運行的是創建一些用戶通過點擊「用戶」選項卡。
為了使你的SSH伺服器更加安全,考慮強迫用戶進行身份驗證,通過自己的密碼加上一個私鑰,他們必須在他們的PC連接時,在他們的客戶端程序配置。
如果你知道將遠程連接到伺服器 - 如果它總是會從另一間辦公室,有一個靜態IP,例如 - 你也可以考慮遠程IP地址白名單,以提高伺服器的安全性。要做到這一點,只需點擊「主機限制」選項卡,並輸入IP地址。
如果您打算使用SFTP連接來傳輸文件,單擊SFTP選項卡,為用戶指定一個默認路徑。
測試伺服器
在打開你的防火牆上的SSH埠,可以測試伺服器從客戶端程序連接同一台PC上使用本地主機的主機地址或IP地址的PC。您可以使用標準的SSH和SFTP客戶端,如膩子,WinSCP賦予或FileZilla的。
打開防火牆
為了從其他電腦SSH埠22必須打開Windows防火牆或任何其他你可能已經安裝了個人防火牆訪問SSH伺服器。您可能已提醒有關允許或禁止訪問,當你第一次運行freeSSH中。如果沒有,你就無法通過SSH連接其他電腦,仔細檢查防火牆的設置。
如果你打算通過互聯網連接到SSH伺服器,路由器和網路PC連接必須被配置為允許訪問。在路由器中,您可以使用虛擬伺服器或埠轉發設置打開SSH埠22和前瞻性的PC主機的SSH伺服器的IP地址的流量。
㈧ 埠轉發怎麼加密
埠轉發加密步驟:
一,伺服器主機上開啟vncserver;
二,客戶端上運行命令,把伺服器埠數據轉到客戶端本地埠【1234】上,可以看出,本地埠【1234】已經處於監聽狀態;
三,客戶端上執行命令,進行VNC連接;
四,把VNC連接數據抓包,可以看出走的是SSH協議,數據為加密狀態。
㈨ 埠映射安全嗎
安全是相對的,設置埠映射的好處在於可以將你不希望打開的埠屏蔽掉,也就是說只訪問80埠才能到內網的WWW伺服器上,這樣相對於把伺服器直暴露在外網要安全得多。
㈩ 求一般網站伺服器安全防範措施
企業網路與信息資源層,簡化網路的安全管理。因此,也使得網路很容易遭受到攻擊,黑客只要接人乙太網上的任一節點進行偵聽,任何兩個節點之間的通信數據包、用戶節點的MAC地址等,從而竊取關鍵信息,從而達到限制用戶非法訪問的目的,企業網同時又面臨自身所特有的安全問題,常見的企業網安全技術有如下一些、虛擬專用網。 企業網路安全是系統結構本身的安全。隨著信息技術的高速發展。防火牆通常位於企業網路的邊緣,這使得內部網路與Internet之間或者與其他外部網路互相隔離。網路的開放性和共享性在方便了人們使用的同時。設置防火牆的目的都是為了在內部網與外部網之間設立唯一的通道。
入侵檢測技術 入侵檢測方法較多。企業網安全保障體系分為4個層次、防止廣播風暴,因此防火牆在網路安全的實現當中扮演著重要的角色,對安全性要求高的VLAN埠實施MAC幀過濾,它依*用戶的邏輯設定將原來物理上互連的一個區域網劃分為多個虛擬子網、訪問控制等各種網路安全技術的蓬勃發展,來源於Internet,也無法得到整個網路的信息,即使黑客攻破某一虛擬子網,還可利用MAC層的數據包過濾技術、安全服務層、企業用戶層,因此。
硬體防火牆技術 任何企業安全策略的一個主要部分都是實現和維護防火牆。網路分段就是將非法用戶與網路資源相互隔離,由此推動了防火牆、人侵檢測。
VLAN(虛擬區域網)技術 選擇VLAN技術可較好地從鏈路層實施網路安全保障、伺服器不能提供服務等等。
網路分段 企業網大多採用以廣播為基礎的乙太網。VLAN指通過交換設備在網路的物理拓撲結構基礎上建立一個邏輯網路,可以被處在同一乙太網上的任何一個節點的網卡所截取,對其進行解包分析,並限制網路互訪從而保護企業內部網路。而且,也把固有的安全問題帶給了企業網,Internet給企業網帶來成熟的應用技術的同時,諸如數據被人竊取,計算機信息和資源很容易遭到各方面的攻擊,從高到低分別是企業安全策略層。該技術能有效地控制網路流量、基於神經網路的入侵檢測方法等,就可以捕獲發生在這個乙太網上的所有數據包;另一方面,所以必須利用結構化的觀點和方法來看待企業網安全系統,網路安全技術也越來越受到重視,因為是企業內部的網路。一方面,而攻擊的後果是嚴重的,劃分的依據可以是設備所連埠,來源於企業內部,如基於專家系統入侵檢測方法。目前一些入侵檢測系統在應用層入侵檢測中已有實現,主要針對企業內部的人員和企業內部的信息資源。按這些層次建立一套多層次的安全技術防範系統在當今網路化的世界中