问:请对这种情况提供一些忠告:在防火墙的后面有一台服务器,在隔离区有一台客户机。这台客户机需要访问一项备份的服务,但是,当连接到服务器时,它需要一个端口范围。每一个备份都使用不同的端口。如果4个端口对于运行备份来说是必要的,这台服务器就能够通过这4个开放端口被攻破。
但是,如果需要40个端口,这个风险是不是会增加10倍?换句话说,一个网络的总的风险与客户机和服务器之间开放的端口数量有关系吗?如果有关系,有没有另一种方法绕过这个难题? 答:我会犹豫地在开放端口数量与整个安全风险之间画一条直接的平行线。我将更容易地说明在可用的服务端口数量与这些服务暴露的主机范围方面的风险。如果全部40个端口是备……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
问:请对这种情况提供一些忠告:在防火墙的后面有一台服务器,在隔离区有一台客户机。这台客户机需要访问一项备份的服务,但是,当连接到服务器时,它需要一个端口范围。每一个备份都使用不同的端口。如果4个端口对于运行备份来说是必要的,这台服务器就能够通过这4个开放端口被攻破。但是,如果需要40个端口,这个风险是不是会增加10倍?换句话说,一个网络的总的风险与客户机和服务器之间开放的端口数量有关系吗?如果有关系,有没有另一种方法绕过这个难题?
答:我会犹豫地在开放端口数量与整个安全风险之间画一条直接的平行线。我将更容易地说明在可用的服务端口数量与这些服务暴露的主机范围方面的风险。如果全部40个端口是备份应用程序使用的专用服务,而不是Windows文件共享和其它更通用的端口,暴露全部的端口并不比暴露少量的端口风险大。然而,根据这些端口的性质,暴露大量的众所周知的端口可能会有潜在的风险。我将推测你正在使用这样一种协议。这个协议对于客户机和服务器之间协商的每一个连接都有一个专用端口。许多备份系统都是这样。如果是这样,你可以进行配置,并且把端口范围设置到数字很高的端口,其它服务没有使用的端口。一旦你限制了端口的数量,一定要严格控制和减少可能连接到这台服务器的系统的IP范围。
重要的是要记住,安全和方便性通常有一种相反的关系。安全的真正艺术是平衡这两者之间的关系并且达到一种妥协。也就是要有效地保证一个机构的数据安全,同时还要使这家公司能够满足其商业需求。
作者
Mike Chapple, CISSP,University of Notre Dame的IT安全专家。他曾担任国家安全局和美国空军的信息安全研究员。Mike经常为SearchSecurity.com撰稿,是《信息安全》杂志的技术编辑。
相关推荐
-
实施虚拟化:管理员应避免五大安全错误
如今,有约50%的服务器负载在虚拟机上运行,并且在未来的几年还要增加。虚拟化带来很多好处,也不可避免地带来许多由其自身产生的威胁……
-
警惕!Heartbleed还在继续
自从Heartbleed漏洞被公开以来,虽然受影响的服务器的总数在降低,但新发现的仍受该漏洞影响的服务器的数量却仍在增加。
-
企业系统安全管理和强化的十个建议(二)
许多运行在的服务器上的服务并不需要超级用户权限来执行他们的功能。通常,他们不需要任何特殊权限以外的读取和写入数据目录的能力。
-
整合远程服务器和存储设备 实现安全与高效
Riverbed Steelhead Granite解决方案利用一种全新的存储架构,企业可以整合远程基础设施,从而提高安全性和效率,同时不会对分支机构的最终用户应用性能造成不良影响。