Если имеется windows-сервер и на нем нет возможности (или желания) настроить стандартный firewall, то можно посмотреть в сторону бесплатных проверенных решений. Одним из них является Comodo firewall – он бесплатный, надежный, проверенный. В данной статье я опишу как на его основе обезопасить свой сервер, закрыв все, кроме 80 порта.
Скачать firewall можно на официальном сайте Comodo. После установки firewall автоматически закрывает все порты, поэтому если вы имеете доступ только по RDP, то зайти на сервер вы не сможете, так как порт RDP (по умолчанию 3389) тоже будет закрыт. Будьте осторожны и заранее спланируйте установку и все действия, в том числе, нужно обязательно знать, какие порты следует держать открытыми.
Для примера, допустим, есть задача закрытия всех портов, кроме 80. Именно этот порт используется по умолчанию как порт веб-интерфейса сайтов. Пусть его слушает Apache, как оно часто бывает. Таким образом, нужно открыть Apache доступ наружу, чтобы пользователи могли зайти на сайт, расположенный на сервере.
В Comodo Firewall существует несколько типов правил: глобальные – действуют в целом по серверу, и правила приложений – действуют для конкретных приложений. Можно открыть 80-й порт в целом для сервера, но запретить его использование конкретному приложению. Или разрешить его использование только избранным приложениям, таким, как Apache в данном случае.
Чтобы редактировать правила, нужно войти во вкладку . Откроется окно, где первой вкладкой будет – здесь настраиваются правила приложений.
Нажав кнопку Add, необходимо добавить приложение Apache. В области нужно выбрать , далее нажать кнопку Add, чтобы добавить правило.
Здесь важно назначить – 80. Остальные настройки очевидны и по умолчанию можно не трогать их. После создания правила для приложения надо перейти во вкладку .
Там уже будет некоторый набор правил, одно из них – которое запрещает вообще все соединения. Логика работы с правилами такова, что они обрабатываются сверху вниз. То есть правило разрешения 80 порта для сервера необходимо создать выше главного запрещающего правила. Если создать его ниже, смысла в этом не будет.
После этих операций – создания правила для приложения и глобального правила – на сервер можно будет зайти по 80-му порту и увидеть сайт, который на нем располагается. Аналогично можно настроить любые порты и приложения. Comodo Firewall очень гибкий, например, можно ограничить доступ по MAC-адресу.