我有一台 Windows Server 2003/2008 机器,我在这台机器上部署了一些应用程序。我想把这台机器放在沙盒环境中,这意味着我希望这台机器只能访问代理/网关,即它私用的 SQL Server 数据库服务器,并且我想避免这台机器对实验室服务器机房中的其他机器进行网络访问。有什么简单的解决方案吗?
顺便说一句:我目前的环境是,我在实验室服务器机房中有一台运行一些 Beta 软件的服务器。它通过代理/网关连接互联网。由于该软件是 Beta 版,我想降低被互联网黑客入侵并被黑客软件控制以攻击同一实验室服务器中的其他服务器的风险。
提前致谢,乔治
答案1
如果说您有一台可以选择操作系统的“2003/2008 机器”,那么我会选择使用服务器 2008,因为它具有更好的内置防火墙服务。它更好,因为它支持传入和传出流量过滤器。
将服务器与环境的其余部分物理隔离(dmz)可能是防止与实验室中其他机器通信的最佳选择。
如果这不可能的话,前面提到的防火墙应该足以只允许与需要与其通信的设备(客户端和代理)以及应用程序运行所需的端口进行通信。
这并不意味着它一定能免受攻击者的攻击,因为这需要对现有的应用程序、系统和网络基础设施有更多端到端的知识。
答案2
如果您的服务器可以访问代理/网关,则意味着您希望它出去。这将破坏沙盒。并不是因为您阻止了入站连接,您就安全了。
如果你下载了恶意软件,那么恶意软件将连接到外部,创建隧道,然后黑客可以通过隧道进入你的服务器。
要拥有沙盒:
- 将服务器置于 DMZ 中,并设置防火墙
- 如果是 2008,则可以使用嵌入式防火墙(状态化,入站和出站)
- 您可以在域加入的网络中利用 IPsec 创建一个虚拟网络,其中只有 IPsec 云的成员才能相互通信
答案3
根据您的意愿将其放在具有特定路由和防火墙规则的自己的专用网络上(对于没有路由/拒绝所有 - 使用物理控制台/虚拟控制台进行访问的沙箱)。
答案4
您的交换机支持 VLAN 吗?如果支持,那么这就是您要找的。