限制图形堡垒发布的SecureCRT只能连接字符堡垒的配置方法 | 您所在的位置:网站首页 › securecrt命令输入上限 › 限制图形堡垒发布的SecureCRT只能连接字符堡垒的配置方法 |
限制图形堡垒发布的SecureCRT只能连接字符堡垒的配置方法
发布时间:2020-06-22 03:09:45
来源:网络
阅读:699
作者:碧云天
栏目:建站服务器
1. 概述 之前发布过防止PLSQL绕行登录数据库控制方法,有项目反馈,用户能通过图形堡垒发布的CRT,手工连接其他主机,导致绕过字符堡垒的情况。本想按照前面的套路,修改CRT的菜单,结果发现不可行,菜单文件里面写的是二进制的,根本无法对应。经过测试,可以通过windows防火墙出站策略控制指定目录下CRT只连接指定IP的指定端口(比如只连字符堡垒的端口),如果项目组测试时需要用CRT手工连接其他IP和端口,只需拷贝一个CRT到其他目录下,就可以不受限制(图形堡垒需要2008及以上的操作系统,并且所有图形堡垒CRT的目录相同)。 2. 操作步骤 2.1. 通过域组策略强制图形堡垒开启防火墙组策略:计算机配置→策略→Windows 设置→安全设置→高级安全windows防火墙→高级安全windows防火墙,右侧点“windows防火墙属性” 域配置文件、专属配置文件、公用配置文件,三个地方的防火墙状态,选择“启用(推荐)” 配置这项之前,需要确保图形堡垒已经开启了防火墙,并且配置了入站策略,否则,开启防火墙,可能会导致客户端无法连接图形堡垒的端口,影响图形堡垒的正常使用 2.2. 通过域组策略配置出站策略,限定只允许访问堡垒端口组策略:计算机配置→策略→Windows 设置→安全设置→高级安全windows防火墙→高级安全windows防火墙→出站策略,右键新建规则,选择自定义,点下一步 设置CRT程序路径,点下一步 协议类型选择“TCP”,远程端口选择“特定端口”,设置除了字符堡垒的端口之外的其它端口,比如字符堡垒端口为TCP2200,那么远程端口则填“0-2199,2201-65535”,点下一步 规则应用IP按默认的选择“任何IP地址”,点下一步 操作方式按默认“阻止连接”,点下一步 按默认方式三个地方都应用规则,点下一步 起个名字,比如permitTCP2200,点完成 2.3. 通过域组策略配置出站策略,限定只允许访问堡垒IP步骤和前面差不多,只是这次设定的是IP地址范围,但是需要设置两个规则,比如字符堡垒的地址为10.1.1.1~10.1.1.10,那么设置两个规则,第一个规则地址范围为0.0.0.0~10.1.1.0,第二个规则地址范围为10.1.1.11~255.255.255.255 下面以创建10.1.1.1前面的ip地址范围规则为例,说明步骤: 组策略:计算机配置→策略→Windows 设置→安全设置→高级安全windows防火墙→高级安全windows防火墙→出站策略,右键新建规则,选择自定义,点下一步 设置CRT程序路径,点下一步 端口和协议,按默认,任何协议,点下一步 本地IP为“任何IP”,目标IP选择“下列IP”,点右侧的添加 选择“此IP地址范围”,输入从0.0.0.0到10.1.1.0,点确定,返回 点下一步,操作方式按默认“阻止连接”,点下一步 按默认方式三个地方都应用规则,点下一步 起个名字,比如before10.1.1.1,点完成 3. 备注:1.如果要求松一点,第二步和第三步,可以只选择其中一个 2.windows防火墙规则优先级不是按规则顺序来执行的 3.不要尝试配置一个允许规则,再配置一个拒绝所有的规则,因为拒绝规则优先。 推荐阅读: 麒麟堡垒机V1.31d发布 堡垒机应用发布软件安装手册免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:[email protected]进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。 服务器 windows server 上一篇新闻:[WCF]使用Svcutil.exe生成客户端代理 下一篇新闻:云非币 与国际银行合作,采取资金隔离、信息加密、资金监控等措 猜你喜欢 Linux操作系统的安装配置步骤 常用Linux镜像地址介绍 linux中怎么改文件的所有者 xshell连接linux的步骤 Linux系统中“/”和“~”的区别 linux中chmod命令的使用方法 Linux中shell的变量介绍 网站域名解析是什么 如何做才能避免在注册域名时出错 域名不续费会怎样 |
CopyRight 2018-2019 实验室设备网 版权所有 |