点击下一步后。可以选择的操作行为选项有3个。许可阻止和协商安全。我们直接选择许可
点击完成。。。返回到当前安全规则向导页面,我们选中我们建立的允许方法,
点击下一步完成,继而返回,我们继续添加需要的列表。在IP筛选列表页面。我们接着选择其他端口。继续刚才的行为设置。全部完成后点击确定。
以上设置的时我们常见的服务,(例如提供到公网上的web。或者某些固定公开端口)
访问规则
我们接下来就开始设置,固定的访问规则,例如网站数据库分开的情况。
那么我们需要了解的就是3306是固定机器访问固定机器,其他任何人没有权限不能访问该端口。服务器提供的80端口是公开的,我们80端口就按照上边所属进行设置即可。
来看我们3306如何设置固定访问端口:
在ip筛选器列表中,点击添加
写好名称。然后点击添加-下一步,设置描述信息-设置ip流量源。
因为网站是请求端,而数据库服务器是目标。所以这里我们设置我们自己的IP地址
点击下一步,我们开始设置目标地址。选择一个特定的ip地址或者子网。我们选择个ip地址
点击下一步,选择协议为tcp协议 端口为3306 点击完成。到ip筛选器列表我们点击确定,返回到选择界面。选择我们当前设置的3306筛选器,点击下一步,创建安全规则向导的操作。
点击添加,我们这次选择,协商安全。点击下一步
完成后。我们在安全规则页面。选中我们写的协商选项
我们在身份验证方法中。设置字符串保护方法
至此,全部完成。我们点击策略规则 右键 选择分配。这样就ok了。千万千万不要忘记,最后设置w开头的拒绝策略。来自所有的,到本server的。所有协议,拒绝!。
结果:仅仅网页访问正常,远程调用数据库可以进行。
隐性绕过方案:从网页上出现的问题入手。渗透进去后得到shell 导出文件。本地下载到,然后进行修改。
