交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
应用场景
开启服务器端口控制后,通过WG的数据将会被严格过滤,只有在开放端口列表中的端口才能访问,更高的保护了服务器。
比如,服务器仅开放了80端口供外接访问,外部用户访问服务器时,就只能访问80端口;同时服务器主动访问外网时,也只能使用80端口作为源端口,否则WG都不会允许数据通过。
功能原理
开启服务器端口控制后,外界经过WG访问服务器时,会校验访问服务器的端口是多少,如果在开放列表中,就放通数据,否则将阻断数据;
同时,如果服务器如果需要上外网,WG将检测服务器发起连接使用的端口,如果在开放列表中,就放通数据,否则阻断数据。
因此,如果启用此功能,一定要先与用户沟通清楚,是否服务器有主动联外网的需求,服务器自身用的端口是否固定。如果没有固定,则不能使用此功能,因为服务器主动发起的连接,由于服务器源端口不固定,而这个端口不在开放端口列表中,会导致连接被WG阻断。
一、组网需求
只允许服务器的指定端口能与外网通信。
二、配置要点
1、添加服务器安全组,在服务器列表中添加需要保护的服务器地址及对应的端口;
说明:
只有加到服务器安全组中的IP的端口才会被WG保护,如果服务器需要保护的端口未加全,则这部分端口对应的网站还是会被攻击。
设备使用反向代理方式接入时,服务器安全组配置时,要将反向代理服务器IP地址和服务器实际IP地址均加入服务器列表中。
2、勾选开启屏蔽服务器版本信息;
3、选择其他安全功能,并选择需要使用的URL安全策略,单击“应用”配置生效。
三、配置步骤
1、添加服务器安全组,在服务器列表中添加需要保护的服务器地址及对应的端口;
(1) 进入菜单 Web安全 > 服务器安全组,选择添加:
说明:服务器安全组的匹配顺序是从上往下,如果此服务器安全组和安全策略中有多个条目,则最上面的条目最优先匹配,而且匹配中之后,不会继续往下匹配其他的服务器安全组。
(2)在服务器列表中,输入要保护的服务器及其端口,单击“添加”后加入列表,如下图:
说明:
必须要单击"添加"才会把服务器加到服务器列表里。
由于一次只能添加一个HTTP或者HTTPS端口,如果同一台服务器有多个端口需要保护,需要添加多次。
2、将页面往下拉,找到服务器安全选项,勾选"启用服务器端口控制",并在后面开放的端口中写入服务器上开放的端口:
说明:
(1)开放端口可以写多个端口,用英文逗号隔开
(2)开放端口设置后,服务器只能使用这些端口与外界通信,因此如果服务器本身需要上外网,则不使用此规则,除非已经知道服务器主动连外网时需要使用的端口,并将其也一并加入到此端口列表中。
3、选择其他安全功能,并选择需要使用的URL安全策略,将页面拉到最下方,单击“应用”,配置生效。
四、配置验证
访问服务器不在开放端口列表中的端口,连接将被阻断,且WG上不会留日志。