【TechTarget中国原创】问:请对这种情况提供一些忠告:在防火墙的后面有一台服务器,在隔离区有一台客户机。这台客户机需要访问一项备份的服务,但是,当连接到服务器时,它需要一个端口范围。每一个备份都使用不同的端口。如果4个端口对于运行备份来说是必要的,这台服务器就能够通过这4个开放端口被攻破。但是,如果需要40个端口,这个风险是不是会增加10倍?换句话说,一个网络的总的风险与客户机和服务器之间开放的端口数量有关系吗?如果有关系,有没有另一种方法绕过这个难题?
答:我会犹豫地在开放端口数量与整个安全风险之间画一条直接的平行线。我将更容易地说明在可用的服务端口数量与这些服务暴露的主机范围方面的风险。如果全部40个端口是备份应用程序使用的专用服务,而不是Windows文件共享和其它更通用的端口,暴露全部的端口并不比暴露少量的端口风险大。然而,根据这些端口的性质,暴露大量的众所周知的端口可能会有潜在的风险。我将推测你正在使用这样一种协议。这个协议对于客户机和服务器之间协商的每一个连接都有一个专用端口。许多备份系统都是这样。如果是这样,你可以进行配置,并且把端口范围设置到数字很高的端口,其它服务没有使用的端口。一旦你限制了端口的数量,一定要严格控制和减少可能连接到这台服务器的系统的IP范围。
重要的是要记住,安全和方便性通常有一种相反的关系。安全的真正艺术是平衡这两者之间的关系并且达到一种妥协。也就是要有效地保证一个机构的数据安全,同时还要使这家公司能够满足其商业需求。