有没有什么方法可以借助 IPSEC 来阻止除一个 IP 之外的所有 IP?

有没有什么方法可以借助 IPSEC 来阻止除一个 IP 之外的所有 IP?

这里我想问一下,有什么方法可以只允许我的机器访问客户端服务器,因为我想保护我的服务器免受黑客攻击。为此,我找了很多方法,但找不到一种特定的方法只允许我的 IP 访问。如果我阻止所有 IP,那么它会阻止所有 IP,但是当创建一条规则只允许我的 IP 时,该规则不起作用。

您能否指出可能的原因或提出解决方案?

它适用于 Windows Server 2003

答案1

如果您使用的是 Windows,那么答案是肯定的。您可以设置一个适用于所有 IP 的默认阻止规则。然后,您可以设置另一条规则,允许与您希望允许的 IP 集进行 TCP 通信(或 UDP,如果需要)。它也可以基于协议。例如,需要连接到后端 SQL Server 的 DMZ Web 服务器:

  • 阻止从任何源到目标服务器的所有 TCP/UDP。
  • 允许从外部 IP 到目标服务器的所有 TCP/80(HTTP)和 TCP/443(HTTPS)流量。
  • 允许镜像 TCP/1433(假设 MSSQLServer 的默认 TCP 端口)到 SQL Server 的内部 IP 地址。

答案2

听起来这个问题是关于防火墙而不是 IPSEC。如果您只允许 IPSEC 安全连接,那么您将只为所选客户端拥有一个 IPSEC SA(安全关联)。这不一定需要绑定到特定 IP,如果您不知道将从哪个 IP 访问服务器,这将是一个不错的选择。任何您没有 SA 的客户端都将无法获得访问权限。

如果您知道自己的 IP 地址,那么您更有可能想要在客户端服务器上安装软件防火墙,或者在其前面安装硬件防火墙,以只允许从您指定的 IP 进行访问。

您还可以结合使用这两种方法,以便使用 IPSEC 在传输过程中加密管理流量,并且服务器受到保护,仅通过防火墙接受来自您主机的流量。如果管理已经使用加密通道(例如 SSH 或 HTTPS),则可能不需要 IPSEC 加密。

相关内容