不可小看TCP/IP筛选
前几天接连遭遇客户的服务器被入侵,面对这一切我确实为他们感到惋惜。不重视技术,统统拿来主义怎么能行,从网上找个IPSec就套用根本无法解决问题。
说到IPSec,我承认他所带来的安全性还是值得承载的,但是微软为什么要将TCP/IP筛选和IPSec分开当然是有他的道理。在我个人认为IPSec是建立在TCP/IP筛选上的,没有合理的配置TCP/IP筛选而直接去做IPSec等同于虚设。而目前很多技术人员过多地只依赖于IPSec,认为只要将它设置好就可以保证服务器的安全,在我看来这点见解我不敢苟同。
就像之前提过的IPSec是建立在TCP/IP筛选上的这个说话,实际仔细揣摩还是能够理解它的意思!通常我的做法都是先对服务器当前运营程序作评估和统计,得出端口使用明细后会首先设置TCP/IP筛选,比如一台网站服务器,上面运行着IIS、FTP、MSSQL以及邮件系统,并允许RemoteDektop。他所涉及到的端口为:80、20、21、1433、25、110、3389,另外如果FTP要求被动模式,还应该添加被动端口段。为此,在TCP/IP筛选中添加以上这些端口。这样网站服务器就基本安全了。这时,可能要考虑到1433和3389的安全性,希望能够加固此端口,这时就可以利用IPSec来实现更加安全的配置。比如限制哪些IP可以访问3389和1433。
IPSec确实也可以实现以上的目标,但是现在我们来假设一个情景。单独使用IPSec实现了以上的目标,此时网站运营程序出现漏洞,导致黑客上传后门程序,在服务器上开放了一个后门端口5666,后果可想而知!而使用TCP/IP筛选就可以有效避免这个问题,因为之前已经配置了筛选,只允许特定端口开放,那么当后门程序开放了一个端口后,它也只是在回环IP上起作用,也就是127.0.0.1或者Localhost上!那么这个黑客后门程序实际上已经无法构成威胁!就像一个Public的主机,通常这类主机是虚拟主机,需要开放很多权限以满足客户的需要,主要的安全就涉及到FSO!所以面对这类主机,我通常会肯定的说明他不是绝对的安全。为什么会这样讲呢?因为我可以保障服务器的主要目录不受到威胁,但最终客户目录却无法保障。扯得有些远了!此篇备忘主要记录关于TCP/IP筛选的问题。
