阿里云
发表主题 回复主题
  • 3093阅读
  • 16回复

[教程]安全组规则让你的win主机更安全

级别: 论坛版主
发帖
6953
云币
12559
— 本帖被 火蓝云 执行加亮操作(2017-04-17) —
引用
近期4-14又曝光一个win安全漏洞,但是有些人无法使用linux怎么办,这样的问题 总会出现,那么我们就要利用手边的工具去做到安全
mSb#Nn6W  
f>UXD  
+>{Y.`a;Jo  
【高危漏洞预警】Window系统SMB和RDP多个高危漏洞 公告地址https://help.aliyun.com/noticelist/articleid/20305369.html 7KAO+\)H^Y  
:lPb.UCY  
BlA_.]Sg$  
其实我也不是很懂~那么我的win主机是怎么做到利用手边资源安全防护的呢~ :<bB?N(  
fj;y}t1E]  
V`XNDNJ:  
一、修改远程端口,让进入这的大门有局限性 这个并不能完善安全,有些程序漏洞可以利用开启3389端口,修改无效 @ W[f1  
这个可以搜索一下 一大堆教程 A|X">,A  
lE&&_INHQ  
O06"bi5Y  
二、安全1做了 就要做安全2,就是开放白名单端口,由于我们是服务,应用决定端口,所以没有必要把所有端口全部开放 .ZVUd84B  
可以利用ecs服务器的 安全组规则 做到云防护,开启我们需要的端口,例如网页端口 80 443,远程端口修改后的,以及FTP 邮件端口需要什么开放什么 Wp!%-vzy&  
pu 7{a  
首先登陆阿里控制台,点击ecs云服务器,然后点击安全组 8TLgNQP  
"NXB$a!:  
 ]<cK";  
3c]b)n~Y  
|yQZt/*SOZ  
一般都会有一个默认安全组,如果没有点击右上角的创建安全组,有了安全组之后 点击配置规则 =WyZX 7@R  
1^7hf;|#g  
UQC=g  
-ZRO@&tMD  
KLitg6&P  
一般我们只限制入的方向,就是针对进入服务器的端口做限制 7BK0}sxO  
s/q7.y7n{  
YkniiB[/  
'E/^8md>  
2.l Z:VLN  
由于紧急漏洞阿里已经在右上角 针对性的做了 添加防护规则,但是今天是这个漏洞 明天是其他呢~ 所以黑名单只能保当前黑名单的端口,那么其他端口 {B?Wu3-  
WJkZ!O$"j  
提醒一下:如果没有规则 就是默认 所有端口都是拒绝的,就是不允许进入的 V )x$|!(  
端口 最大65535,推荐远程端口 5位 没啥原理可说可以百度,我们也不需要懂,知道安全没问题就好 &eCa0s?mI  
所有: :U3kW8;UMP  
1、删除默认规则,先拒绝所有端口链接 [<g?WPCcC  
2、点击右上角 添加安全组规则,添加你使用的端口允许,这样只放行白名单 更安全  常规一般都是tcp, http 80,https 443,ftp 21,以及远程端口 一般做站 这几个就够了 MGR!Z@1y  
QS` PpyBkd  
VEqS;~[  
修改一下几项: ES.fOdx  
1 端口范围,网站访问 就写80/80 这样只开放80端口,提醒一条规则无法 写多个间断的端口,例如 开放 80 和443 就要写两个规则 #\.,?A}9  
2、授权对象 0.0.0.0/0 表示所有IP可以连接,除非一些特殊类型服务做安全连接 否则这里都填写这个 toya fHf  
3、优先级只要没有冲突 随便填写 ,就是按优先级 从小到大执行 规则,满足条件 执行不在想下执行 k.vBj~xU  
/%}*Xh  
5_I->-<  
这样就只开放了 80 (http),21(FTP),55500(远程端口)三个端口 就完全可以满足网站使用了 oX S1QT`B  
l_P-j 96WD  
aE&,]'6  
其他可以深入学习 更好的完善你的服务器安全 #sPHdz'3M  
2 Ga7$q  
Y;@>b{s  
]h* c,.  
]iN'x?Fo  
[ 此帖被火蓝云在2017-04-17 09:59重新编辑 ]
本帖最近评分记录: 1 条评分 云币 +1
jesuiszb 云币 +1 您的帖子很精彩!希望很快能再分享您的下一帖! 04-17
win/linux PHP环境配置+软件程序安装调试
磁盘修改属性 取消快照随实例一起释放,可以减少不必要的损失
有偿Q1478932637  免费技术交流群167372835 申请请说明来意 账号不要带广告信息
级别: 程序猿
发帖
372
云币
813
只看该作者 沙发  发表于: 04-17
恩恩,学习了。
级别: 论坛版主
发帖
1146
云币
2008
只看该作者 板凳  发表于: 04-17
您的帖子很精彩!希望很快能再分享您的下一帖!
级别: 总版主
发帖
6731
云币
14998

只看该作者 地板  发表于: 04-17
安全组感觉就是个坑,很多新用户都死在这里
级别: 程序猿
发帖
372
云币
813
只看该作者 4楼 发表于: 04-17
楼主,已经在安全组开启了21端口,但是,还是连接不了FTP,进到这一步就进不去了
级别: 总版主
发帖
6731
云币
14998

只看该作者 5楼 发表于: 04-17
回 4楼(痛而不言之) 的帖子
开放全部端口看看
级别: 程序猿
发帖
372
云币
813
只看该作者 6楼 发表于: 04-17
回 5楼(梦丫头) 的帖子
我知道开放全部端口是可以,但是按楼主的方法,设置只开放80及21端说可以用,我试试看,结果不行
级别: 论坛版主
发帖
6953
云币
12559
只看该作者 7楼 发表于: 04-17
回 4楼(痛而不言之) 的帖子
你服务器上 是什么FTP软件
win/linux PHP环境配置+软件程序安装调试
磁盘修改属性 取消快照随实例一起释放,可以减少不必要的损失
有偿Q1478932637  免费技术交流群167372835 申请请说明来意 账号不要带广告信息
级别: 程序猿
发帖
372
云币
813
只看该作者 8楼 发表于: 04-17
WIN2012默认安装的,然后用FlashFXP连接FTP wSrq?U5q  
[ 此帖被痛而不言之在2017-04-17 13:38重新编辑 ]
级别: 论坛版主
发帖
6953
云币
12559
只看该作者 9楼 发表于: 04-17
回 8楼(痛而不言之) 的帖子
站点管理 当前站点,传输选项 把被动模式 取消打钩 之后 连接看下
win/linux PHP环境配置+软件程序安装调试
磁盘修改属性 取消快照随实例一起释放,可以减少不必要的损失
有偿Q1478932637  免费技术交流群167372835 申请请说明来意 账号不要带广告信息
级别: 程序猿
发帖
372
云币
813
只看该作者 10楼 发表于: 04-17
回 9楼(火蓝云) 的帖子
还是不行,楼主没测试过吗,看来只有开放全部端口了
级别: 论坛版主
发帖
6953
云币
12559
只看该作者 11楼 发表于: 04-17
我测试过了,因为你连接是被动模式,需要使用 1024以上随机端口连接 ?H(']3X5@  
CJ[^Fi?CH  
主动模式 是21端口连接 可以加我给你看下FTP设置
win/linux PHP环境配置+软件程序安装调试
磁盘修改属性 取消快照随实例一起释放,可以减少不必要的损失
有偿Q1478932637  免费技术交流群167372835 申请请说明来意 账号不要带广告信息
级别: 小白
发帖
41
云币
31
只看该作者 12楼 发表于: 05-05
Re安全组规则让你的win主机更安全
如果您的机器较多,需要针对不同的机器加入不同的组。这时候,你就需要开通云骑士了
级别: 码农
发帖
112
云币
62
只看该作者 13楼 发表于: 05-29
阿里云越来越不适合新手了
级别: 菜鸟
发帖
60
云币
196
只看该作者 14楼 发表于: 06-05
新手一定觉得安全组很麻烦
发表主题 回复主题
« 返回列表
«12»
共2页
上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个