远程桌面协议 (RDP) 是管理 Windows 服务器的最简单和最常用的方法。 包含在所有版本的 Windows 服务器中,并且在所有 Windows 桌面上都有一个内置客户端。 也有免费的应用程序可用于 麦金塔电脑 和 Linux 基于桌面。 不幸的是,由于它的应用如此广泛,RDP 也成为了大量 蛮力攻击 在服务器上。 恶意用户将使用受感染的计算机尝试使用 RDP 连接到您的服务器。 即使攻击未能成功猜出您的管理员密码,大量尝试连接也会导致服务器不稳定和其他性能问题。 幸运的是,您可以使用一些方法来最大程度地减少遭受此类攻击的风险。
使用 VPN
使用虚拟专用网络(或 VPN)是保护您的服务器免受 RDP 恶意攻击的最佳方法之一。 使用 VPN 连接意味着在尝试访问您的服务器之前,必须首先连接到安全的专用网络。 此专用网络已加密并托管在您的服务器之外,因此安全连接本身不需要您的任何服务器资源。 一旦连接到专用网络,您的工作站就会被分配一个专用 IP 地址,然后用于打开与服务器的 RDP 连接。 使用 VPN 时,服务器配置为仅允许来自 VPN 地址的连接,拒绝来自外部 IP 地址的任何尝试 (看 Windows 防火墙中的端口范围)。 VPN 不仅可以保护服务器免受恶意连接的侵害,还可以保护通过 VPN 连接在本地工作站和服务器之间传输的数据。 有关更多信息,请参阅我们的文章 什么是 VPN 隧道?
注意:所有 Liquid 网络帐户都免费提供一个 Cloud VPN 用户。 只需支付少量月费,您就可以添加其他用户。 如果您对我们的服务有任何疑问,请咨询我们的托管顾问 Cloud VPN服务。
使用硬件防火墙
就像使用 VPN 一样,向服务器基础设施添加硬件防火墙可以进一步保护您的服务器免受恶意攻击。 您可以将 Liquid Web 防火墙添加到您的帐户,以仅允许来自受信任位置的 RDP 连接。 我们的防火墙的运行方式与软件 Windows 防火墙的运行方式大致相同,但功能是在硬件本身上处理的,从而使您的服务器资源可以自由处理合法请求。 要了解有关向您的帐户添加硬件防火墙的更多信息,请联系我们 解决方案团队. 如果您已经安装了 Liquid Web 防火墙,我们的支持团队可以验证它是否已正确配置以保护 RDP 连接。
识别可信 IP 地址
保护您的服务器的一个组成部分是识别不受防火墙限制的受信任 IP 地址。 这允许通过 IP 过滤的选定连接获得对服务器的访问。 为此,我们从允许连接到服务器的所有计算机上打开 Web 浏览器。 然后,浏览到 Liquid Web IP 检查器工具 并记下该页面上显示的报告 IP 地址。 有了这些信息,我们然后继续下一节“范围”端口或添加防火墙规则。 如果您遇到问题,请参阅我们关于 RDP 连接故障排除的知识库文章。 或者,如果您只需要查找您的公共 IP 地址,请使用此链接。
界定 RDP 防火墙规则
与使用 VPN 类似,您可以使用 Windows 防火墙来限制对 RDP 端口(默认为端口 3389)的访问。 将端口访问限制为单个 IP 地址或一组 IP 地址的过程称为“范围界定”端口。 当您确定 RDP 端口的范围时,您的服务器将不再接受来自未包含在该范围内的任何 IP 地址的连接尝试。 范围界定释放了服务器资源,因为服务器不需要处理恶意连接尝试,被拒绝的未授权用户在到达 RDP 系统之前在防火墙处被拒绝。 以下是确定 RDP 端口范围所需的步骤:
- 登录到服务器,单击 Windows 图标,然后在搜索栏中键入 Windows 防火墙。
