当前位置：首页 > 编程日记 > 正文

实战：使用TCP/IP筛选保护服务器安全

编程日记 2024-04-24 14:30:00

使用TCP/IP筛选保护服务器安全

对于部署在Internet的服务器，安全是必须要考虑的事情。为了降低服务器受***的危险，停止不必要的服务或在本地连接的TCP/IP属性中只打开必要的端口。

如图2-127所示，实验环境为Server的IP地址192.168.1.200，运行着Web服务，SMTP服务、POP3服务、FTP服务和DNS服务。Client的IP地址为192.168.1.121。只允许Client计算机访问Server计算机的Web服务、FTP服务和DNS服务。以下演示配置Server计算机的TCP/IP筛选只允许TCP目标端口为80和21的数据包进入，以及只允许UDP目标端口为53的数据包进入。

▲图2-127 TCP/IP筛选示意图

（1）如图2-128所示，在Client计算机上安装ScanPort软件，输入起始地址和结束地址都为Server计算机的IP地址192.168.1.200，并输入端口号的范围，单击“扫描”按钮。

（2）如图2-128所示，可以看到扫描结果。通过扫描结果，可以断定该服务器运行着FTP服务、SMTP服务，DNS服务、Web服务和POP3服务等。

（3）如图2-129所示，在Server上，打开“本地连接属性”对话框，选中“Internet协议（TCP/IP）”复选框，单击“属性”按钮。

clip_image003 clip_image004

▲图 2-128 端口扫描 ▲图2-129 “本地连接属性”对话框

（4）如图2-130所示，在打开的“Internet协议（TCP/IP）属性”对话框中，单击“高级”按钮。

（5）如图2-131所示，在出现的“高级TCP/IP设置”对话框的“选项”选项卡中，选中“TCP/IP筛选”选项，单击“属性”按钮。

clip_image005 clip_image006

▲图2-130 “Internet协议（TCP/IP）属性”对话框 ▲图2-131 “高级TCP/IP设置”对话框

（6）如图2-132所示，在出现的“TCP/IP筛选”对话框中，选中“启用TCP/IP筛选”复选框，TCP端口选中“只允许”单选按钮，单击“添加”按钮。

（7）如图2-132所示，在出现的“添加筛选器”对话框中，输入80，单击“确定”按钮。

（8）如图2-133所示，同样添加TCP的21端口。

（9）如图2-133所示，UDP端口选中“只允许”单选按钮，添加端口53，单击“确定”按钮。

clip_image007 clip_image008

▲图2-132 添加允许的TCP端口 ▲图2-133 添加允许的UDP端口

（10）如图2-134所示，提示需要重启计算机，单击“是”按钮，重启计算机。

（11）如图2-135所示，在Client上，发现只能扫描到21和80端口，端口扫描只是扫描TCP的端口，不扫描UDP端口。这样Client计算机只能访问Server FTP服务和Web服务。

clip_image009 clip_image010

▲图2-134 需要重启计算机 ▲图2-135 扫描端口

（12）如图2-136所示，在Server上，在命令提示符下输入netstat –an查看侦听的端口。可以看到该服务器在TCP的25、110端口侦听。这说明TCP/IP筛选并不控制服务器侦听的端口。

（13）如图2-137所示，在Client上，运行ping www.ess.com，可以看到Client计算机可以通过Server进行域名解析。

（14）如图2-137所示，telnet Server的25端口和110端口失败。说明TCP/IP筛选没有允许这些端口。

clip_image011 clip_image012

▲图2-136 查看侦听的端口 ▲图2-137 测试域名解析

（15）如图2-138所示，在Client上可以访问Server的Web服务，也能够访问FTP服务。

（16）如图2-139所示，在Server上访问Client计算机的共享文件夹，输入Client计算机的用户名和密码，能够访问成功。

clip_image013 clip_image014

▲图2-138 能够访问Web和FTP站点 ▲图2-139 TCP/IP筛选不影响出去的流量

（17）如图2-140所示，在命令提示符下输入netstat –n，可以看到建立的会话，说明TCP/IP筛选并不控制出去的流量。

（18）如图2-141所示，在Server上ping www.sohu.com，发现不能域名解析，输入nslookup后，输入www.sohu.com，可以看到解析失败。为什么Server不能将域名解析呢？

clip_image015 clip_image016

▲图2-140 查看建立的会话 ▲图2-141 域名解析

Server为什么不能解析Internet DNS服务器的域名？举例说明：Server向Internet DNS发送域名解析的请求，协议是UDP，目标端口为53，源端口为1027，当数据包发出去后，由于UDP不建立会话，发出去的数据包或请求就忘记了，在域名解析结果返回来的时候，由于TCP/IP筛选UDP只打开了53端口，而没有打开1027端口，因此被TCP/IP筛选拦截。因此域名解析失败。

为什么Server的TCP/IP筛选访问Client的共享文件夹？举例说明：如图2-142所示，Server访问Client的共享文件夹，Server向Client发送访问共享文件夹的请求数据包，使用TCP协议，目标端口为445，源端口为1045，因为TCP是建立会话的，所以Server会临时打开端口1045，这样Client返回的数据包，能够进入Server。

clip_image017

▲图2-142 UDP不建立会话

titel263

12353

system63

system373

https://www.dkcj.cn/info/5159.html

实战：使用TCP/IP筛选保护服务器安全

相关文章：

python中的协程（二）

C语言网络编程：bind函数详解

java flex 图片上传_flex上传图片到java服务器

开发者怎么样做到盈利

如何在Windows Azure VM上的SQL Server和Windows Azure SQL Database两者中做出选择

C语言网络编程：socket函数

python excel web_使用python在WEB页面上生成EXCEL文件

dateTimePicker编辑状态下，取值不正确的问题

RMAN Backups

异步使用委托delegate --- BeginInvoke和EndInvoke方法

C语言网络编程：TCP编程模型

九度 1553：时钟(模拟题)

python3.7.4安装教程桌面_Python 3.7.4 for Windows的安装

CSS 合法颜色值

SQL 关于apply的两种形式cross apply 和 outer apply

C语言网络编程：TCP客户端实现

java不能对什么类型进行转换_关于java：“不兼容类型：void无法转换为…”是什么意思？...

屏蔽Drupal中的“Notice: Undefined index”警告

【AJAX】DWR入门教程

$.ajax居然触发popstate事件?

C语言网络编程：UDP通信实现

智能跳过节假日算法java_java计算两个日期之前的天数实例(排除节假日和周末)...

一步步学习SPD2010--第十四章节--在Web页面使用控件（3）--验证用户数据输入

【C#】Gif文件生成

深度学习各种环境问题积累

C语言网络编程：TCP实现多线程实现多客户端

Linux C连接Mysql

java servlet 多线程_Servlet的多线程和线程安全

JMeter 聚合报告之 90% Line 参数说明

CCF-碰撞的小球