Windows-Server-2008-R2
阻止除白名單之外的所有公共 IP 地址
我們有一個 2008 R2 伺服器託管在數據中心,我們沒有物理訪問權限,但使用 RDP 連接到它。
我們計劃執行 SQL Server 和其他一些服務,這些服務只能由有限數量的靜態 WAN IP 地址訪問。
不幸的是,外圍沒有防火牆設備,所以我們只能依賴 Windows 防火牆。
我的計劃是阻止所有入站內容,除了那些選擇列入白名單的 IP 地址。在閱讀了有關 MMC 管理單元、Windows 防火牆、IPSec 等的各種文章後,我偶然發現了一個文章:https ://serverfault.com/a/51223/214935
這讓我相信,如果我創建一個可能稱為“全域白名單”的新入站規則,其中包含那些特定/受信任的 IP 地址,如果我隨後禁用所有其他入站規則,那麼其他所有內容都會被阻止。
坦率地說,這聽起來像是一個計劃,但老實說,它讓我感到害怕,因為如果我把這件事搞砸了,我會扼殺我們對伺服器的唯一訪問權限。
如果我能夠在上述執行緒上發表評論,但我在這裡是新人,我的聲譽太低,我就不會發布新問題 :-(
我只需要澄清上述是否可行,或者我是否最終會切斷我們與伺服器的唯一連接。
也許有更好/更清潔/更簡單的方法來實現相同的結果。任何人都可以幫忙嗎?
2 入站規則:
- 允許受外部 IP 限制的 RDP(您的白名單 IP)
2)阻止一切。
在測試環境中驗證是否達到了預期的效果,然後就位。請注意,由於狀態防火牆的性質,這不會阻止這些伺服器與非白名單機器建立出站連接。