我们在以前的文章中介绍了服务器要想完成特定角色的功能所应该打开的基本端口。如果服务器使用静态的 IP 地址,这些端口已经足够。如果需要提供更多的功能,则可能需要打开更多的端口。打开更多的端口将使得您的环境下的 IIS 服务器更容易管理,但是这可能大大降低服务器的安全性。
由于在域成员和域控制器之间有大量的交互,尤其是 RPC 和身份验证通信,在 IIS 服务器和全部域控制器之间,您应该允许所有的通信。通信还可以被进一步限制,但是大多数环境都需要为有效保护服务器而创建更多的过滤器。
这将使得执行和管理 IPSec 策略非常困难。您应该为每一个将与 IIS 服务器进行交互的域控制器创建类似的规则。为了提高 IIS 服务器的可靠性和可用性,您需要为环境中的所有域控制器添加更多规则。
如果环境中运行了 Microsoft 操作管理器 (MOM),那么在执行 IPSec 过滤器的IIS 服务器和 MOM 服务器之间,应该允许传输所有的网络通信。这是必须的,因为在 MOM 服务器和 OnePoint 客户端(向 MOM 控制台提供报告的客户端应用程序)之间存在大量的交互过程。
其它管理软件可能也具有类似的需求。如果需要更高级别的安全性,则可以配置 OnePoint 客户端的过滤操作,从而协调 IPSec 和 MOM 服务器。
该 IPSec 策略将有效地阻止通过任意一个高端口的通信,因此它不允许远程过程调用 (RPC) 通信。这可能会使得IIS 服务器的管理非常困难。由于已经关闭了许多端口,您可以启用终端服务。这样一来,管理员便可以执行远程管理。
【编辑推荐】
