請教版上各位大大
將一台Server配置在防火牆之後,該Server需要在認證畫面中輸入帳密才可以登入
問題:
1.在防火牆設定裡,需要甚麼樣的rule可以讓外來的連線看到需要認證畫面?
(e.g., 開放特定port?)
2.當輸入錯誤密碼次數超過預設的數目,Server如何告訴防火牆這個資訊?
防火牆根據這個資訊,踢掉這個連線,詳細的內部運作是如何執行的?
3.使用者透過VPN連線,卻在認證畫面一直輸入錯誤的帳密,防火牆要如何設定才可以把這個連線踢掉?
先謝謝各位大大的幫忙了啊!!
已邀請的邦友 {{ invite_list.length }}/5
您的問題很難回答, 因為有太多因素沒有說明:
您所謂的「認證畫面」是由誰送出來的? Server 是甚麼作業平台? 我至少看過以下幾種不同的認證畫面: IBM AIX/HP-UX/Sun Solaris/W2K/W2K3/W2K8/RedHat....以上的認證畫面都不一樣, 使用的協定也各不相同, 如果您沒說清楚, 我可能會回答得雞同鴨講....
您的防火牆廠牌型號? 我至少用過以下幾種廠牌: Cisco/FortiNet/Juniper/NetScreen/Cyberoam/CheckPoint/Zyxel....各廠牌的功能都不相同, 跟上述各種 Server 搭配的方法也不同, 有些可以達到您要的功能, 有些不能, 有些要搭配其他的軟硬體才能達到, 如果您沒說清楚, 我可能會回答得雞同鴨講....
如果您的目的, 只是單純的想要防止外人用 Try-Error 的方式來試 Win Server 密碼的話, 那很簡單就可以解決: 把認證畫面換成智慧卡, 幫每個 User 買一台讀卡機, 然後可以選擇用晶片卡或是悠遊卡來登入.
這樣一來, 用戶端的登入畫面根本不會出現輸入密碼的欄位, 想登入只能刷卡, 把鍵盤敲爛了也無法登入....看他有幾張卡可以來刷....
r大你好:
1.認證畫面是由W2k這台Server所提供的,外來的remote access需要輸入帳密才可以進入操作畫面。
2.防火牆是Cisco PIX 500 series。此防火牆建置在實驗室的一個local network,可透過 remote access來獲取此local network的資源!
3.使用者已經建立VPN連線,卻在最後的logon畫面一直輸入錯誤的帳密。在這裡我想請問大大的是,若企業成本只夠建置VPN,無法提供智慧卡登入,當有一直嘗試錯誤帳密的情況發生時,防火牆該如何反應?
我先假設您描述的架構長得像這樣:
外部用戶 <--> PIX 500 <--> W2K Server
不幸的是, W2K 和 PIX 500 都太老舊(10年前的技術), 缺乏現代資安設備的「區域聯防」能力, 所以您無法光靠簡單的設定, 就達到上面所描述的功能.
如果您有能力自行撰寫 W2K 程式的話, 可以利用這樣的邏輯:
iThome鐵人賽
看影片追技術