本文介绍了防火墙的概念及其在网络安全中的作用,特别是Windows防火墙的设置方法。文章详细列出了金蝶云星空产品在不同服务器角色(管理中心、应用服务器、数据库服务器)下启用防火墙时需开放的端口,并提供了单一部署和分开部署两种常见场景下的防火墙设置案例。此外,还详细说明了在Windows 2012R2系统下如何进行防火墙的具体设置步骤,包括入站规则的创建、修改以及防火墙状态的启用等。最后,文章提供了端口连通性的检测方法,确保防火墙设置正确无误。
一、概述
防火墙是通过创建一个中心控制点来实现网络安全控制的一种技术。它是一个由软件和(或)硬件设备组合而成、在内外网之间、专用网与公共网之间的界面上,监视所有出入专用网的信息流,决定哪些可以,哪些不可以的的一种专业工具。
Windows防火墙是最常见的一种,他由Windows系统自带提供,本文主要讲述金蝶云星空产品启用Windows防火墙时必要的设置,其他防火墙产品可参考本文,由对应的提供商指导合理设置。
二、防火墙设置要求
防火墙一般仅设置入站规则,对于出站,大多数情况是没有去限制的,故对于金蝶云星空产品,我们主要讨论服务器端启用防火墙后入站规则的设置。
金蝶云星空产品服务器角色一般分为管理中心、应用服务器、数据库服务器三种。应用规模较小时可部署在一起,如果用户、业务规模较大,一般分开部署。
2.1管理中心
管理中心需开放的端口有:
1)8000,此端口是管理中心网页访问默认端口,与应用服务器、数据库服务器通讯时需要使用。
2)8087、8088,此端口是K3CloudManager服务默认端口,管理中心安装补丁用到。
2.2应用服务器
应用服务器需开放端口有:
1)80,此端口是应用服务器业务站点http访问默认端口,客户端连接服务器时需要使用。
2)443,此端口是应用服务器业务站点https访问默认端口,如果配置使用https协议需要使用。
3)8087、8088,此端口是K3CloudManager服务默认端口,与管理中心通讯需要使用。
4)135,此端口是SQL Server分布式事务MSDTC依赖的RPC服务端口,在与SQL Server数据库通讯时需使用。
2.3数据库服务器
1)1433,SQL Server实例默认端口,与管理中心、应用服务器通讯时需要使用。
2)135,此端口是SQL Server分布式事务MSDTC依赖的RPC服务端口,在与应用服务器通讯时需使用。
三、防火墙设置案例
以下就常见部署场景举例说明防火墙设置。
3.1单一部署
单一部署,指管理中心、应用服务器、数据库服务器均部署在一台服务器上,服务器启用防火墙,开放应用服务器面向客户端的端口策略即可:
应用服务器允许客户端访问,放开TCP端口:80、443(如果有修改端口按实际端口放开)。
3.2分开部署
常见的分开部署有两种情况:
3.2.1 管理中心和应用服务器一起(后续简称为星空服务器),数据库服务器分开部署。此时两台服务器都建议启用防火墙,分别设置如下策略:
1)星空服务器允许数据库访问,放开TCP端口:135、8000
2)星空服务器允许客户端访问,放开TCP端口:80、443(如果有修改端口按实际端口放开)。
3)数据库服务器允许星空服务器访问,放开TCP端口:135、1433
3.2.2全分开部署,此时全部服务器建议启用防火墙,分别设置如下策略:
1)管理中心允许数据库访问,放开TCP端口:8000。
2)管理中心允许应用服务器访问,放开TCP端口:8000、8088。
3)应用服务器允许管理中心访问,放开TCP端口:8088。
4)应用服务器允许数据库服务器访问,放开TCP端口:135。
5)星空服务器允许客户端访问,放开TCP端口:80、443(如果有修改端口按实际端口放开)。
6)数据库服务器允许管理中心和应用服务器访问,放开TCP端口:135、1433。
四、Windows 2012R2防火墙设置
1、依次点击打开“开始-管理工具-高级安全 Windows 防火墙”,打开高级安全 Windows 防火墙设置。
2、选择左上“入站规则”,右键选择“新建规则”,要创建的规则类型,选择“端口”,点击下一步。
3、协议和端口,我们参考第三节的策略分别输入,这边设置“星空服务器允许客户端访问”这条策略,输入80,443,然后点击下一步。(注意80和443之间是英语状态下的逗号)
4、保持“允许连接”不做修改,继续下一步。
5、保持勾选“域、专用、公用”,继续下一步。
6、名称我们输入“星空服务器允许客户端访问”作为规则名称,以便后续区分规则用途,点击完成,完成规则创建。
7、对应那些仅特定计算机允许的规则(如数据库服务器1433端口,仅允许管理中心、应用服务器连接即可),还需编辑下规则属性。
1)在“高级安全Windows防火墙”里,点击“入站规则”,然后中间区域找到并双击新添加的规则,打开属性。
2)切换到“作用域”页签,在“远程IP地址”下选择“下列IP地址”。
3)点击“添加”,在“此IP地址或子网”下输入合适的值,如管理中心IP,单独的多个IP可以分多次添加。
8、对其他规则也参考以上步骤,在对应服务器逐一添加。
注意如果是远程桌面访问服务器,为免后续启用防火墙之后无法远程服务器,应对远程桌面的端口也添加规则(默认端口3389)
9、在高级安全Windows防火墙设置界面,点击左上角的“本地计算机上的高级安全Windows防火墙”,然后点击中间的Windows防火墙属性。
1)在“域配置文件、专用配置文件、公用配置文件”下分别将“防火墙状态”设置为“启用(推荐)”。
2)保持“入站连接”设置为“阻止(默认值)”。
3)保持“出站连接”设置为“允许(默认值)”。
10、以上设置后,Windows防火墙即开始生效,对于不符合规则的请求会阻止掉,从而保障服务器安全。
五、端口连通性检测
1、通过telnet命令,可以测试指定端口是否能连通。
2、通过netstat -abno命令可以检查服务器上进程与监听的端口,由于输入内容较多,建议可结果为文件后查看,如
netstat -abno > c:\net.txt
3、如果某个端口服务器上有监听,但是测试不通,则需要重新检查防火墙设置。
完整的安全指南请参考:https://vip.kingdee.com/school/125955553284795136
推荐阅读