我为一家互联网业务相当标准的公司工作。一台专用网络服务器和一台专用数据库服务器位于数据中心。我们是一家运行 Windows Server 2k3 和 SQL Server 2k5 的 MS 公司
虽然我们的大部分通信都是从 WebApp 到 DB 服务器并返回,但我们有一个不会消失的旧式 VB.net Uber 应用程序,它现在正在造成安全问题。
它直接与我们的异地 SQL 服务器建立连接,并且由于它在我们的员工机器和一些客户端上运行,我们无法关闭 SQL 服务器端口或安装白名单,因为客户端 IP 不断变化。
我希望有某种防火墙,我们可以以某种方式向其发送身份验证数据包,它将允许该 IP 访问端口,同时仍然阻止未经身份验证的 IP。
答案1
您能否配置 VPN,然后只允许经过身份验证的主机访问 SQL 服务器?
答案2
您可以在客户端上尝试 dyndns,并在防火墙中允许这些 dyndns。您认为这样可行吗?
答案3
有一种称为“portknocking”的技术,它允许主机将一系列连接尝试作为几乎 PIN 发送至各个端口(就像您在银行 ATM 卡上所用的一样)。portknocking 守护进程会监视这些连接尝试,当检测到正确的一系列连接尝试时,就会采取行动。
尽管它可能有点复杂,但这种技术可能也适合您,尤其是考虑到问题的最后一个组成部分。