為一個特定 IP 的所有程序和埠打開 Windows 2008 防火牆的風險有多大？

為方便起見，我設置了我們客戶的 Windows 2008 R2 伺服器之一的防火牆規則，以便它對所有傳入流量、所有埠和所有程序開放，但范圍設置將其限制為一個特定的遠端 IP 地址- 我們的. 原因是我們遠端訪問數據庫和其他程序。

問：這樣的設置**有風險嗎？**除了我們的固定 IP 地址，我是否應該努力為特定埠和程序建立單獨的規則？

作為一名開發人員，我發現很難估計 IP 欺騙的危險以及任何其他可以利用該設置的黑客技術。

一般來說，可攻擊的表面積越小越好。將其限制為特定的源 IP，您走在正確的軌道上。按照最低權限原則，您應該拒絕所有目標埠，只打開您實際需要的埠。然後，您必須權衡管理成本與風險。風險將取決於幾個因素，例如您正在訪問的數據的敏感程度、伺服器是否受到威脅、量化的損失是多少等。

話雖如此，攻擊者更有可能從他們自己的網路內部利用客戶伺服器上的漏洞，而不是他們執行中間人攻擊並獲取您的憑據、敏感的數據庫材料等。實際應用中的 IP 欺騙在這裡不必擔心。它通常用於掃描網路或建構另一台機器/IP。當使用需要在源和目標之間建立會話的協議時，欺騙 IP 並執行任何功能變得非常複雜。可能，但不太可能。（參見 arp 或 dns 中毒）

另一個更可能的攻擊向量（對數據庫）可能是您自己的機器/網路受到損害，攻擊者可以從那裡轉向並攻擊數據庫機器。當然，在這一點上，你會遇到更大的問題。;） 希望這個對你有幫助。

引用自：https://serverfault.com/questions/361625