安全指南:金蝶云星空服务器的Windows防火墙配置

一、概述

       防火墙是通过创建一个中心控制点来实现网络安全控制的一种技术。它是一个由软件和(或)硬件设备组合而成、在内外网之间、专用网与公共网之间的界面上,监视所有出入专用网的信息流,决定哪些可以,哪些不可以的的一种专业工具。

       Windows防火墙是最常见的一种,他由Windows系统自带提供,本文主要讲述金蝶云星空产品启用Windows防火墙时必要的设置,其他防火墙产品可参考本文,由对应的提供商指导合理设置。


二、防火墙设置要求

       防火墙一般仅设置入站规则,对于出站,大多数情况是没有去限制的,故对于金蝶云星空产品,我们主要讨论服务器端启用防火墙后入站规则的设置。

       金蝶云星空产品服务器角色一般分为管理中心、应用服务器、数据库服务器三种。应用规模较小时可部署在一起,如果用户、业务规模较大,一般分开部署。

2.1管理中心

       管理中心需开放的端口有:

       1)8000,此端口是管理中心网页访问默认端口,与应用服务器、数据库服务器通讯时需要使用。

       2)8088,此端口是K3CloudManager服务默认端口,与应用服务器通讯需要使用。

2.2应用服务器

       应用服务器需开放端口有:

        1)80,此端口是应用服务器业务站点http访问默认端口,客户端连接服务器时需要使用。

        2)443,此端口是应用服务器业务站点https访问默认端口,如果配置使用https协议需要使用。

        3)8088,此端口是K3CloudManager服务默认端口,与管理中心通讯需要使用。

        4)135,此端口是SQL Server分布式事务MSDTC依赖的RPC服务端口,在与SQL Server数据库通讯时需使用。

2.3数据库服务器

       1)1433,SQL Server实例默认端口,与管理中心、应用服务器通讯时需要使用。

       2)135,此端口是SQL Server分布式事务MSDTC依赖的RPC服务端口,在与应用服务器通讯时需使用。

三、防火墙设置案例

       以下就常见部署场景举例说明防火墙设置。

3.1单一部署

       单一部署,指管理中心、应用服务器、数据库服务器均部署在一台服务器上,服务器启用防火墙,开放应用服务器面向客户端的端口策略即可:

       应用服务器允许客户端访问,放开TCP端口:80、443(如果有修改端口按实际端口放开)。    

3.2分开部署

       常见的分开部署有两种情况:

3.2.1 管理中心和应用服务器一起(后续简称为星空服务器),数据库服务器分开部署。此时两台服务器都建议启用防火墙,分别设置如下策略:

       1)星空服务器允许数据库访问,放开TCP端口:135、8000

       2)星空服务器允许客户端访问,放开TCP端口:80、443(如果有修改端口按实际端口放开)。 

       3)数据库服务器允许星空服务器访问,放开TCP端口:135、1433

3.2.2全分开部署,此时全部服务器建议启用防火墙,分别设置如下策略:

       1)管理中心允许数据库访问,放开TCP端口:8000。

       2)管理中心允许应用服务器访问,放开TCP端口:8000、8088。

       3)应用服务器允许管理中心访问,放开TCP端口:8088。 

       4)应用服务器允许数据库服务器访问,放开TCP端口:135。 

       5)星空服务器允许客户端访问,放开TCP端口:80、443(如果有修改端口按实际端口放开)。 

       6)数据库服务器允许管理中心和应用服务器访问,放开TCP端口:135、1433。

四、Windows 2012R2防火墙设置

1、依次点击打开“开始-管理工具-高级安全 Windows 防火墙”,打开高级安全 Windows 防火墙设置。

2、选择左上“入站规则”,右键选择“新建规则”,要创建的规则类型,选择“端口”,点击下一步。

image.png

3、协议和端口,我们参考第三节的策略分别输入,这边设置“星空服务器允许客户端访问”这条策略,输入80,443,然后点击下一步。(注意80和443之间是英语状态下的逗号

image.png

4、保持“允许连接”不做修改,继续下一步。

5、保持勾选“域、专用、公用”,继续下一步。

6、名称我们输入“星空服务器允许客户端访问”作为规则名称,以便后续区分规则用途,点击完成,完成规则创建。

image.png

7、对应那些仅特定计算机允许的规则(如数据库服务器1433端口,仅允许管理中心、应用服务器连接即可),还需编辑下规则属性。

       1)在“高级安全Windows防火墙”里,点击“入站规则”,然后中间区域找到并双击新添加的规则,打开属性。

       2)切换到“作用域”页签,在“远程IP地址”下选择“下列IP地址”。

       3)点击“添加”,在“此IP地址或子网”下输入合适的值,如管理中心IP,单独的多个IP可以分多次添加。

image.png

8、对其他规则也参考以上步骤,在对应服务器逐一添加。

注意如果是远程桌面访问服务器,为免后续启用防火墙之后无法远程服务器,应对远程桌面的端口也添加规则(默认端口3389)

9、在高级安全Windows防火墙设置界面,点击左上角的“本地计算机上的高级安全Windows防火墙”,然后点击中间的Windows防火墙属性。

       1)在“域配置文件、专用配置文件、公用配置文件”下分别将“防火墙状态”设置为“启用(推荐)”。

       2)保持“入站连接”设置为“阻止(默认值)”。

       3)保持“出站连接”设置为“允许(默认值)”。

image.png

10、以上设置后,Windows防火墙即开始生效,对于不符合规则的请求会阻止掉,从而保障服务器安全。

五、端口连通性检测

1、通过telnet命令,可以测试指定端口是否能连通。

image.png

image.png

2、通过netstat -abno命令可以检查服务器上进程与监听的端口,由于输入内容较多,建议可结果为文件后查看,如

netstat -abno > c:\net.txt

image.png

3、如果某个端口服务器上有监听,但是测试不通,则需要重新检查防火墙设置。    

完整的安全指南请参考:https://vip.kingdee.com/school/125955553284795136

原文链接:https://vip.kingdee.com/article/125680748878960128

© 版权声明
THE END
喜欢就支持一下吧
点赞13 分享