服務器安全設置之--IP安全策略 (僅僅列出需要屏蔽或阻止的端口或協議)

協議 IP協議端口 源地址 目標地址 描述 方式

ICMP -- -- -- ICMP 阻止
UDP 135 任何IP地址 我的IP地址 135-UDP 阻止
UDP 136 任何IP地址 我的IP地址 136-UDP 阻止
UDP 137 任何IP地址 我的IP地址 137-UDP 阻止
UDP 138 任何IP地址 我的IP地址 138-UDP 阻止
UDP 139 任何IP地址 我的IP地址 139-UDP 阻止
TCP 445 任何IP地址-從任意端口 我的IP地址-445 445-TCP 阻止
UDP 445 任何IP地址-從任意端口 我的IP地址-445 445-UDP 阻止
UDP 69 任何IP地址-從任意端口 我的IP地址-69 69-入 阻止
UDP 69 我的IP地址-69 任何IP地址-任意端口 69-出 阻止
TCP 4444 任何IP地址-從任意端口 我的IP地址-4444 4444-TCP 阻止
TCP 1026 我的IP地址-1026 任何IP地址-任意端口 灰鴿子-1026 阻止
TCP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鴿子-1027 阻止
TCP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鴿子-1028 阻止
UDP 1026 我的IP地址-1026 任何IP地址-任意端口 灰鴿子-1026 阻止
UDP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鴿子-1027 阻止
UDP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鴿子-1028 阻止
TCP 21 我的IP地址-從任意端口 任何IP地址-到21端口 阻止tftp出站 阻止
TCP 99 我的IP地址-99 任何IP地址-任意端口 阻止99shell 阻止

基本上我都是關閉上述對外的port

如果您有一些建議防堵的port也請告訴我一下....

Kaspersky Internet Security 6.0的防火牆也有針對威脅使用的連接埠,提供可勾選的關閉選項,非常實用 .

引用:

原帖由 integear 於 2007-1-27 22:48 發表
Kaspersky Internet Security 6.0的防火牆也有針對威脅使用的連接埠,提供可勾選的關閉選項,非常實用 .

閣下指的是Anti-hacker中的rules for packet filtering頁籤嗎？
這裡提供常見威脅的port之資訊供參考及設定，也可以自行加入，優先性又高於rules for app.中應用程式的設定，
真的是非常地好，不過不曉得卡巴lab.會不會更新這邊的資訊，並在有需要時在update時匯入

引用:

原帖由 drifter 於 2007-1-27 23:25 發表

閣下指的是Anti-hacker中的rules for packet filtering頁籤嗎？
這裡提供常見威脅的port之資訊供參考及設定，也可以自行巧w，
真的是非常地好，不過不曉得卡巴lab.會不會更新這邊的資訊，並在有需要時在upd ...

在MP1的時候,Kaspersky就已經有加強這方面的防禦了,據說正式版會更強悍 !

引用:

原帖由 integear 於 2007-1-28 07:43 發表


在MP1的時候,Kaspersky就已經有加強這方面的防禦了,據說正式版會更強悍 !

多謝閣下的資訊，很好奇會是怎樣個強悍法，期待中

TCP 3389 遠端桌面, 這個最好也擋掉

ICMP 如果用的防火牆可以設到 type, 可這樣設

ICMP : Ping other (Req) type 8 傳送打開
ICMP : Ping other (Rsp) type 0 IP 位址等於本機 接收打開
ICMP : Block type 10 接收關閉
最後再補一條
ICMP : Block type 0 IP any 傳送接收關閉

這樣自己可以 ping 別人, 又可以防止 ICMP 攻擊

為何要這樣設
UDP 135 任何IP地址 我的IP地址 135-UDP 阻止
UDP 136 任何IP地址 我的IP地址 136-UDP 阻止
UDP 137 任何IP地址 我的IP地址 137-UDP 阻止
UDP 138 任何IP地址 我的IP地址 138-UDP 阻止
UDP 139 任何IP地址 我的IP地址 139-UDP 阻止

阻止NetBIOS
因為有些攻擊透過NetBIOS訪問你電腦上的檔案

Thanks a lot!

IP協議端口是不是等於 通訊埠?

是的...就是常說的 port

UDP 135 任何IP地址 我的IP地址 135-UDP 阻止
UDP 136 任何IP地址 我的IP地址 136-UDP 阻止
UDP 137 任何IP地址 我的IP地址 137-UDP 阻止
UDP 138 任何IP地址 我的IP地址 138-UDP 阻止
UDP 139 任何IP地址 我的IP地址 139-UDP 阻止


這樣會不會也把網芳也擋掉？

" />

引用:

原帖由 tenniskao 於 2008-2-22 15:38 發表
UDP 135 任何IP地址 我的IP地址 135-UDP 阻止
UDP 136 任何IP地址 我的IP地址 136-UDP 阻止
UDP 137 任何IP地址 我的IP地址 137-UDP 阻止
UDP 138 任何IP地址 我的IP地址 138-UDP 阻止
UDP 139 任何IP地址 我的I ...

這樣可能會擋網芳....(如果TCP 135~139開著...因該可以看到網芳)

通常防火牆可以設置信任區(你得網芳 IP range 或 子網路遮罩)

例如：IP range 192.168.0.1~192.168.0.255 或是 IP 192.168.0.0 子網路遮罩 255.255.255.0

然後再信任區域的port 可以設成 any 到 any....因該就可以看到網芳