阻止特定防火墙端口以防止 SMB 流量离开企业环境的指南

概要
恶意用户可以将服务器消息块 (SMB) 协议用于恶意目的。 

通过帮助防止可能恶意的流量通过企业防线,防火墙最佳实践和防火墙配置可以提高网络安全。 

企业防线防火墙应阻止与以下 SMB 相关端口的未经请求的通信(来自 Internet)和出站流量(指向 Internet):

137
138
139
445
更多信息
这些端口可以用于发起与可能恶意的基于 Internet SMB 服务器的连接。SMB 流量应限于专用网络或虚拟专用网络 (VPN)。 

建议 

在企业边缘或防线防火墙阻止这些端口有助于防止防火墙后面的系统尝试将 SMB 用于恶意目的。组织可以允许端口 445 访问特定的 Azure 数据中心 IP 范围(请参阅以下引用)以启用本地客户端(位于企业防火墙后面)使用 SMB 端口与 Azure 文件存储交互的混合场景。

方法 

防线防火墙通常使用“阻止列表”或“批准列表”规则方法或者这两种方法。 

阻止列表 
允许流量,除非拒绝(阻止列出的流量)规则阻止。 

示例 1
全部允许
拒绝 137 名称服务
拒绝 138 数据报服务
拒绝 139 会话服务
拒绝 445 会话服务

批准列表 
拒绝流量,除非允许规则允许。 

若要帮助阻止可能使用其他端口的攻击,我们建议你阻止来自 Internet 的所有未经请求的通信。我们建议使用总拒绝,并包含允许规则例外(批准列表)。 

注意 本部分的批准列表方法通过不包括允许规则来隐式阻止 NetBIOS 和 SMB 流量。 

示例 2
全部拒绝
允许 53 DNS
允许 21 FTP
允许 80 HTTP
允许 443 HTTPS
允许 143 IMAP
允许 123 NTP
允许 110 POP3
允许 25 SMTP

允许端口列表并不详尽。可能需要附加的防火墙条目,具体取决于企业需求。

解决方法的影响

多个 Windows 服务使用受影响的端口。阻止连接到端口可能会阻止多种应用程序或服务正常工作。可能受影响的部分应用程序或服务如下:
  • 使用 SMB (CIFS) 的应用程序
  • 使用邮件槽或命名管道(通过 SMB 的 RPC)的应用程序
  • 服务器(文件和打印共享) 
  • 组策略
  • 网络登录
  • 分布式文件系统 (DFS)
  • 终端服务器授权 
  • 打印后台处理程序 
  • 计算机浏览器 
  • 远程过程调用定位器 
  • 传真服务 
  • 索引服务 
  • 性能日志和警报 
  • Systems Management Server
  • 许可证记录服务 

如何撤消解决方法

在防火墙上取消阻止端口。有关端口的详细信息,请参阅 TCP 和 UDP 端口分配

参考

Azure 远程应用程序 https://azure.microsoft.com/zh-cn/documentation/articles/remoteapp-ports/

Azure 数据中心 IP http://go.microsoft.com/fwlink/?LinkId=825637

Microsoft Office https://support.office.com/zh-cn/article/Office-365-URLs-and-IP-address-ranges-8548a211-3fe7-47cb-abb1-355ea5aa88a2
属性

文章 ID:3185535 - 上次审阅时间:09/01/2016 14:41:00 - 修订版本: 3.0

Windows 10, Windows 10 Version 1511, Windows 10 Version 1607, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1, Windows RT 8.1, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2008 R2 Service Pack 1, Windows 7 Service Pack 1, Windows Server 2008 Service Pack 2, Windows Vista Service Pack 2

  • kbexpertiseinter kbsecurity kbsecvulnerability KB3185535
反馈