保护虚拟主机免受攻击

2018年12月10日

我的虚拟主机(VPS)支持VNC和远程桌面,一旦远程桌面防火墙设置错误导致不能连接,可以用VNC连接修复。如果有的VPS不支持VNC,设置起来就要非常小心了。

只允许我进行远程桌面连接

进行此设置的目的是让尽量多的攻击者无法探测VPS是否打开了远程桌面。防火墙直接丢弃封包,不给攻击者暴力破解的机会。

打开Remote Desktop – User Mode (TCP-In)、Remote Desktop – User Mode (UDP-In)规则,在Scope选项卡里的Remote Address IP填入我的IP段。

如果设置规则后无法远程桌面,可以在VNC里先允许任意,然后打开高级防火墙的monitoring日志功能,打开日志文件看看我的IP到底是多少。有时候http://www.myip.cn/https://www.whatismyip.com/、本机ipconfig或路由器192.168.1.1看到的IP和VPS防火墙看到的IP不一样。

只允许我进行FTP连接

如果用的是IIS自带的FTP服务器,则打开FTP Server (FTP Traffic-In)、FTP Server Passive (FTP Passive Traffic-In)、FTP Server Secure (FTP SSL Traffic-In)规则,在Scope选项卡里的Remote Address IP填入我的IP段。

使用Internet 协议安全性(IPSec)保护远程连接

我很长一段时间用了这个办法,VPS和本机设置同一个预共享密钥,并两机同时开关Internet 协议安全性规则。

这个方法的缺点是VPS似乎不能配置为VPN服务器了。

使用系统属性的远程桌面设置

在VPS上右击此电脑,点属性,打开系统属性的远程选项卡。平时直接不允许远程桌面到此计算机。需要时,用VNC开允许远程桌面到此计算机,并确保勾选仅允许运行使用网络级别身份验证的远程桌面的计算机连接。另见《使用网络级别身份验证保护远程桌面》。

只允许我进行任意端口的连接

创建防火墙规则allow me,在Scope选项卡里的Remote Address IP填入我的IP段。

疑难修复