阿里云windows服务器安全设置(防火墙策略)

最新推荐文章于 2024-07-10 10:54:49 发布
最新推荐文章于 2024-07-10 10:54:49 发布
阅读量2k 收藏
点赞数
分类专栏: windows server 文章标签: windows server 防火墙

通过防火墙策略限制对外扫描行为

请您根据您的服务器操作系统,下载对应的脚本运行,运行后您的防火墙策略会封禁对外发包的行为,确保您的主机不会再出现恶意发包的情况,为您进行后续数据备份操作提供足够的时间。

Window2003的批处理文件

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
@rem 配置windows2003系统的IP安全策略
@rem version 3.0 time:2014-5-12
 
netsh ipsec static add policy name=drop
netsh ipsec static add filterlist name=drop_port
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=21 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=22 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=23 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=25 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=53 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=80 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=135 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=139 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=443 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=445 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=1314 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=1433 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=1521 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=2222 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=3306 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=3433 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=3389 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=4899 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=8080 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=18186 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any protocol=UDP mirrored=no
netsh ipsec static add filteraction name=denyact action=block
netsh ipsec static add rule name= kill policy=drop filterlist=drop_port filteraction=denyact
netsh ipsec static set policy name=drop assign=y

Window2008的批处理文件

?
1
2
3
4
5
6
7
8
9
10
@rem 配置windows2008系统的IP安全策略
@rem version 3.0 time:2014-5-12
 
@rem 重置防火墙使用默认规则
netsh firewall reset
netsh firewall set service remotedesktop enable all
 
@rem 配置高级windows防火墙
netsh advfirewall firewall add rule name= "drop" protocol=TCP dir =out remoteport= "21,22,23,25,53,80,135,139,443,445,1433,1314,1521,2222,3306,3433,3389,4899,8080,18186" action=block
netsh advfirewall firewall add rule name= "dropudp" protocol=UDP dir =out remoteport=any action=block

Linux系统脚本

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
#!/bin/bash
#########################################
#Function:  linux drop port
#Usage:    bash linux_drop_port.sh
#Author:   Customer Service Department
#Company:   Alibaba Cloud Computing
#Version:   2.0
#########################################
  
check_os_release()
{
  while true
  do
   os_release=$( grep "Red Hat Enterprise Linux Server release" /etc/issue 2> /dev/null )
   os_release_2=$( grep "Red Hat Enterprise Linux Server release" /etc/redhat-release 2> /dev/null )
   if [ "$os_release" ] && [ "$os_release_2" ]
   then
    if echo "$os_release" | grep "release 5" > /dev/null2 >&1
    then
     os_release=redhat5
     echo "$os_release"
    elif echo "$os_release" | grep "release 6" > /dev/null 2>&1
    then
     os_release=redhat6
     echo "$os_release"
    else
     os_release= ""
     echo "$os_release"
    fi
    break
   fi
   os_release=$( grep "Aliyun Linux release" /etc/issue2 > /dev/null )
   os_release_2=$( grep "Aliyun Linux release" /etc/aliyun-release2 > /dev/null )
   if [ "$os_release" ] && [ "$os_release_2" ]
   then
    if echo "$os_release" | grep "release 5" > /dev/null2 >&1
    then
     os_release=aliyun5
     echo "$os_release"
    elif echo "$os_release" | grep "release 6" > /dev/null 2>&1
    then
     os_release=aliyun6
     echo "$os_release"
    else
     os_release= ""
     echo "$os_release"
    fi
    break
   fi
   os_release=$( grep "CentOS release" /etc/issue 2> /dev/null )
   os_release_2=$( grep "CentOS release" /etc/ *release2> /dev/null )
   if [ "$os_release" ] && [ "$os_release_2" ]
   then
    if echo "$os_release" | grep "release 5" > /dev/null2 >&1
    then
     os_release=centos5
     echo "$os_release"
    elif echo "$os_release" | grep "release 6" > /dev/null 2>&1
    then
     os_release=centos6
     echo "$os_release"
    else
     os_release= ""
     echo "$os_release"
    fi
    break
   fi
   os_release=$( grep -i "ubuntu" /etc/issue 2> /dev/null )
   os_release_2=$( grep -i "ubuntu" /etc/lsb-release2 > /dev/null )
   if [ "$os_release" ] && [ "$os_release_2" ]
   then
    if echo "$os_release" | grep "Ubuntu 10" > /dev/null2 >&1
    then
     os_release=ubuntu10
     echo "$os_release"
    elif echo "$os_release" | grep "Ubuntu 12.04" > /dev/null 2>&1
    then
     os_release=ubuntu1204
     echo "$os_release"
    elif echo "$os_release" | grep "Ubuntu 12.10" > /dev/null 2>&1
    then
     os_release=ubuntu1210
     echo "$os_release"
    else
     os_release= ""
     echo "$os_release"
    fi
    break
   fi
   os_release=$( grep -i "debian" /etc/issue 2> /dev/null )
   os_release_2=$( grep -i "debian" /proc/version 2> /dev/null )
   if [ "$os_release" ] && [ "$os_release_2" ]
   then
    if echo "$os_release" | grep "Linux 6" > /dev/null2 >&1
    then
     os_release=debian6
     echo "$os_release"
    else
     os_release= ""
     echo "$os_release"
    fi
    break
   fi
   os_release=$( grep "openSUSE" /etc/issue 2> /dev/null )
   os_release_2=$( grep "openSUSE" /etc/ *release 2> /dev/null )
   if [ "$os_release" ] && [ "$os_release_2" ]
   then
    if echo "$os_release" | grep "13.1" > /dev/null 2>&1
    then
     os_release=opensuse131
     echo "$os_release"
    else
     os_release= ""
     echo "$os_release"
    fi
    break
   fi
   break
   done
}
  
exit_script()
{
  echo -e "\033[1;40;31mInstall $1 error,will exit.\n\033[0m"
  rm -f $LOCKfile
  exit 1
}
  
config_iptables()
{
  iptables -I OUTPUT 1 -p tcp -m multiport --dport21,22,23,25,53,80,135,139,443,445 -j DROP
  iptables -I OUTPUT 2 -p tcp -m multiport --dport 1433,1314,1521,2222,3306,3433,3389,4899,8080,18186-j DROP
  iptables -I OUTPUT 3 -p udp -j DROP
  iptables -nvL
}
  
ubuntu_config_ufw()
{
  ufwdeny out proto tcp to any port 21,22,23,25,53,80,135,139,443,445
  ufwdeny out proto tcp to any port 1433,1314,1521,2222,3306,3433,3389,4899,8080,18186
  ufwdeny out proto udp to any
  ufwstatus
}
  
####################Start###################
#check lock file ,one time only let thescript run one time
LOCKfile= /tmp/ .$( basename $0)
if [ -f "$LOCKfile" ]
then
  echo -e "\033[1;40;31mThe script is already exist,please next timeto run this script.\n\033[0m"
  exit
else
  echo -e "\033[40;32mStep 1.No lock file,begin to create lock fileand continue.\n\033[40;37m"
  touch $LOCKfile
fi
  
#check user
if [ $( id -u) != "0" ]
then
  echo -e "\033[1;40;31mError: You must be root to run this script,please use root to execute this script.\n\033[0m"
  rm -f $LOCKfile
  exit 1
fi
  
echo -e "\033[40;32mStep 2.Begen tocheck the OS issue.\n\033[40;37m"
os_release=$(check_os_release)
if [ "X$os_release" == "X" ]
then
  echo -e "\033[1;40;31mThe OS does not identify,So this script isnot executede.\n\033[0m"
  rm -f $LOCKfile
  exit 0
else
  echo -e "\033[40;32mThis OS is $os_release.\n\033[40;37m"
fi
  
echo -e "\033[40;32mStep 3.Begen toconfig firewall.\n\033[40;37m"
case "$os_release" in
redhat5|centos5|redhat6|centos6|aliyun5|aliyun6)
  service iptables start
  config_iptables
  ;;
debian6)
  config_iptables
  ;;
ubuntu10|ubuntu1204|ubuntu1210)
  ufwenable <<EOF
y
EOF
  ubuntu_config_ufw
  ;;
opensuse131)
  config_iptables
  ;;
esac
  
echo -e "\033[40;32mConfig firewallsuccess,this script now exit!\n\033[40;37m"
rm -f $LOCKfile

上述文件下载到机器内部直接执行即可。

设置iptables,限制访问

?
1
2
3
4
5
6
7
8
9
10
11
12
13
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -Z
 
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
/sbin/iptables -A INPUT -p icmp -m icmp --icmp- type 8 -j ACCEPT
/sbin/iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -P INPUT DROP
  service iptables save

以上脚本,在每次重装完系统后执行一次即可,其配置会保存至/etc/sysconfig/iptables

GGxiaobai
关注
专栏目录
windows server 2008阿里云ECS服务器安全策略设置
网站安全资讯
06-27 565
撸了今年阿里、头条和美团的面试,我有一个重要发现.......>>> ...
Windows服务器安全策略配置——简单实用
PAINzw的博客
12-07 8363
Windows服务器安全策略配置——简单实用! Windows服务器安全策略怎么做?不要觉得这是一个非常深奥遥不可及的问题,其实也是从各个方面去加固系统的安全性而已,它没有一个定论,今天我和你们分享一下windows服务器基本安全策略保障服务器基本安全的一些简单实用的加固方法。 禁用Guest账户Guest账户为黑客入侵打开了方便之门,黑客使用Guest账户可以进行提权。禁用Guest账户是很好的选择。 打开“开始——管理工具——计算机管理——本地用户和组——用户——Guest,右键打开属性
阿里云windows server 2008ECS服务器安全策略设置
weixin_33896069的博客
06-19 508
最近我们Sinesafe安全公司在为客户使用阿里云ecs服务器安全的过程中,发现服务器基础安全性都没有做。为了为站长们提供更加有效的安全基础解决方案,我们Sinesafe将对阿里云服务器win2008 系统进行基础安全部署实战过程! 比较重要的几部分 1.更改默认administrator用户名,复杂密码2.开启防火墙3.安装杀毒软件 1)新做系统一...
防火墙安全策略(基本配置)
最新发布
2301_78439235的博客
07-10 3445
此时,即使配置了接口所在安全域允许访问local区域的安全策略,也不能通过该接口访问本地防火墙。所以服务器回包时候,会直接查询会话表,实现通信,所以防火墙只需要放行一边就行,流量能出去能建立会话,流量就可以按照会话回来。firewall zone name命令用来创建安全区域,并进入安全区域视图。id表示安全区域ID,取值4~99,默认递增。安全区域在使用时需要与防火墙的特定接口相关联,即需要将接口加入到安全区域。和交换机、路由器相同,interface命令用来创建接口或进入指定的接口视图。
阿里云linux服务器安全设置(防火墙策略等)
09-15
主要介绍了阿里云linux服务器安全设置,主要是针对防火墙策略等一些补充
网站运维:阿里云防火墙设置和云服务器Winserver2008的防火墙设置
weixin_43731793的博客
06-27 976
………………………………………………………………………………………………………………………… 云服务器Winserver2008的防火墙是第二级防火墙 阿里云防火墙设置是第一级防火墙 比如:云服务器Winserver2008的防火墙设置了80端口可以访问,但是阿里云防火墙设置80端口,是访问不了的。 正常操作:关闭云服务器Winserver2008的防火墙,在阿里云防火墙上添加规则。 ……...
阿里云国际版云服务器防火墙设置
mimi258的博客
07-26 918
入侵防御页面为您实时展示云防火墙拦截流量的源IP、目的IP、阻断应用、阻断来源和阻断事件详情等信息。在互联网防护页签中,您可查看最近1小时、1天、7天、1个月和自定义时间范围内互联网出方向或入方向的阻断情况。入侵防御页面为您展示了云防火墙对互联网出方向、入方向的流量和VPC间流量进行防护的详细信息,您可切换到互联网防护或VPC防护页签查看对应事件详情。详细数据:展示了所有阻断事件的详细信息,包括事件的风险级别、事件数量、源IP地址和目的IP地址等信息。防护数据:包含攻击总数、攻击类型分布、拦截数据。
阿里云服务器如何关闭防火墙阿里云安全组怎么设置端口?
littlesmallless的博客
11-23 2433
4、云防火墙阿里云防火墙是一款云原生的云上边界网络安全防护产品,可提供统一的互联网边界、内网VPC边界、主机边界流量管控与安全防护,包括结合情报的实时入侵防护、全流量可视化分析、智能化访问控制、日志溯源分析等能力,是您的网络边界防护与等保合规利器。阿里云安全组怎么设置端口?目前国内云服务器在注重安全的同时会推出自带的防火墙,比如我们在默认情况下安装的云服务器阿里云会默认安装安骑士,同时安全组也是必须要设置的。我们常规的会用root密码登录,或者安全一些的我们也可以用密钥对文件登录,这样安全度更高一些。
关于将Web项目部署到阿里云服务器(5个步骤搞定)
09-14
安全组是阿里云服务器的虚拟防火墙,用于控制流入和流出流量。 - 在阿里云控制台的“网络和安全”菜单下,创建一个新的安全组,并配置相应的规则,允许必要的端口(如RDP的3389端口)通信。 4. **安装环境和应用**...
阿里云轻量应用服务器防火墙配置(全网最简单)
Gufang617的博客
12-03 5422
阿里云轻量应用服务器防火墙配置 1.命令行配置 1.开启防火墙 systemctl start firewalld 2.限制端口 firewall-cmd --zone=public --add-port=5672/tcp --permanent # 开放5672端口 firewall-cmd --zone=public --remove-port=5672/tcp --permanent #关闭5672端口 firewall-cmd --reload # 配置立即生效很重要!!配置好要重新加载 3.查
阿里云国际版云服务器防火墙怎么设置呢?
mimi258的博客
08-13 814
入侵防御页面为您实时展示云防火墙拦截流量的源IP、目的IP、阻断应用、阻断来源和阻断事件详情等信息。在互联网防护页签中,您可查看最近1小时、1天、7天、1个月和自定义时间范围内互联网出方向或入方向的阻断情况。入侵防御页面为您展示了云防火墙对互联网出方向、入方向的流量和VPC间流量进行防护的详细信息,您可切换到互联网防护或VPC防护页签查看对应事件详情。详细数据:展示了所有阻断事件的详细信息,包括事件的风险级别、事件数量、源IP地址和目的IP地址等信息。防护数据:包含攻击总数、攻击类型分布、拦截数据。
阿里云服务器防火墙踩坑记录(轻量级)
微笑的花的博客
12-05 6282
使用防火墙开端口语句 /sbin/iptables -I INPUT -p tcp --dport 22 -j ACCEPT /etc/rc.d/init.d/iptables save //保存 service iptables restart //重启防火墙 执行到第二步时报错,iptables文件不存在 检查发现我的云服务器系统是CentOS 7.3,而从CentOS 7开始使用fir...
阿里云服务器防火墙相关命令
wbyzl1的博客
04-27 1616
阿里云服务器防火墙相关命令 systemctl start firewalld ##启动Firewall systemctl stop firewalld ##关闭Firewall systemctl restart firewalld ##重启Firewall 禁止开机启动启动防火墙 systemctl disable firewalld 开放端口 firewall-cmd -...
如何配置阿里云服务器防火墙
热门推荐
dxyzhbb的博客
03-27 1万+
这里我用阿里云演示怎么打开防火墙。。。 1.进入阿里云控制台找到配置規則,点击一下会出现现有防火墙规则 配置规则 2.先说一下入方向就是请求服务器,出方向就相当于服务器的响应,这里要明确http请求默认的都是先走80端口,所以我们必须把80打开,至于22端口就是连接外网ssh连接用的,至于-1-1就是代表所有0-65535协议是ICMP都可以访问,不是tcp协议这里要分清楚。至于出方...
阿里云防火墙配置、Linux下安装Nginx、JDK、TomCat (保姆级教程)
LIJINGPO的博客
09-01 1189
i586是32位的,x64是64位的,根据Linux系统位数来选择。上传:在FinalShell中的文件中依次点击:local —> nginx —> html —> 拖入文件。下图为配置了tomcat和Mysql及nginx的防火墙(原始就存在两个)注册并登录阿里云服务器后找到 云服务器ECS里面的实例然后点击实例名称。准备工作,有些系统没有安装vim,所以当vim不可用时,先安装vim。会得到nginx-1.16.0目录(ls查看)点击安全组,点击后面的管理规则。推荐工具 FileZilla。
阿里云Web应用防火墙 过滤海量恶意CC攻击教程
weixin_33910385的博客
02-23 545
阿里云 web 应用防火墙是什么?简单说可以起到防护外部攻击、修补服务器漏洞,抵挡海量恶意 CC 攻击的作用,用于避免网站数据泄露,保障网站安全和使用。平时常见的攻击网站手法比如 SQL 注入、XSS 跨站脚本等,还有常见 Web 服务器插件漏洞被利用、上传木马、攻击非授权核心资源访问等,web 应用防火墙都能够一一抵挡住。今天魏艾斯博客也是刚接触阿里云 Web 应用防火墙,我们一起来学习如何使用...
Windows服务器安全加固:防火墙与账号口令策略
Windows服务器安全加固过程中,首先我们要关注的是防火墙设置防火墙服务器的第一道防线,它可以阻止未经授权的访问。在Windows Server 2008 R2和2012中,可以通过控制面板中的“Windows防火墙”来配置高级...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值