Windows Server 2008 - 如何鎖定高級防火牆?
我在我的 Windows Server 2008 R2 和它上面的 MS-SQL Server 上同時進行蠻力嘗試時遇到問題。
- 我已重命名 Windows 管理員帳戶(管理員)
- 我已重命名並禁用了 SQL Server 帳戶 (sa)
- 我已安裝 Windows Security Essentials 作為防病毒軟體
有人建議我為所有入站和出站連接鎖定防火牆,但真正必要的連接除外。但我不知道該怎麼做以及哪些埠是真正必要的。
我還被建議完全鎖定通過 SQL 身份驗證連接到 SQL 伺服器,並且只使用 Windows 身份驗證。但是我的 ASP Classic 應用程序仍然可以使用 SQL 伺服器嗎?
該伺服器用於虛擬主機、SQL 數據庫託管和郵件伺服器(POP3、SMTP 和 IMAP)。該伺服器還安裝了 Parallels PLESK,包括 HORDE Webmail。
我截取了伺服器的防火牆設置 ( http://www.oltm.dk/x/settings.jpg ) 並導出了防火牆入站規則 ( http://www.oltm.dk/x/inbound.txt ) 和出站規則 (ww.oltm.dk/x/outbound.txt)
我是 Windows Server 2008 R2 的新手,如果我遺漏了一些非常明顯的東西,請原諒我 :)
謝謝!
我通常同意鎖定所有不必要的東西。現在看起來你已經打開了一切。
ASP 經典應該仍然能夠直接訪問 SQL,但您需要進入 IIS 並更改它所模擬的使用者帳戶,並讓該帳戶訪問 SQL 中所需的任何資訊。我建議為此創建一個新帳戶,並僅授予該帳戶訪問其完成工作所需的文件和組件的權限。我同意外部 SQL 訪問通常不是一個好方法。我還可能會編寫一些 SQL 腳本,並確保新使用者帳戶不能執行刪除或修改架構之類的操作。基本上盡可能減少你的曝光。
看起來您可能只需要 25,110,143,80,443,無論您的 webmail 執行在哪個埠(如果它沒有集成 IIS)以及您可能需要的任何遠端訪問埠(如果您需要 RDP,則為 3389)。請記住,您可以在內部允許埠並在外部限制埠(因此 Windows 防火牆中的三個部分)。
你在這個盒子前面有硬體防火牆嗎?你也可以考慮一下。在我看來,我寧願使用另一個專用設備來處理流量負載,也不願讓 SQL/IIS 機器陷入虛假訪問嘗試。