首先,抱歉,这个问题不太具体,我不太清楚该从哪里寻找具体信息,所以这只是对我经常遇到的问题的一般性讨论。我尝试与许多不同的主机和他们强制执行的“最佳实践”合作。我想尝试根据以下陈述为自己获取一些知识。
“使用默认 SQL 服务器端口比使用随机非标准端口的安全性更低”
- 在我看来这就像是通过隐藏来实现的安全,但这并不是特别安全?
“提供数据包检查功能的防火墙无需担心端口完全开放”
- 由于安全方面是由数据包检查处理的,因此可以完全开放入站端口(例如,在此实例中为 sql)吗?
“由于 IP 嗅探/欺骗,添加基于 IP 的防火墙限制并不安全 - 正确/最佳方法是在机器之间使用 VPN。”
- 这显然并不总是可能的,但在服务器<>服务器任务上应该使用 VPN 吗?
这是因为我在处理继承以下设置时感到困惑:
主机 A
- 硬件防火墙所有出站流量开放
- 我可以通过全局打开端口或通过 IP 来管理入站流量
- 目前没有 VPN
主机 B
- 我无法控制的硬件防火墙
- 3 个出站端口已打开(非常严格),无法再打开
- SQL 端口入站完全打开,我可以使用 Windows 防火墙进行限制
- 目前没有 VPN
主机 C
- 没有硬件防火墙
- 如果需要我可以管理 Windows 防火墙
- SQL 设置使用非默认端口
- 目前没有 VPN
我需要这些服务器能够在多个不同的端口上进行通信,而服务器 B 不允许这样做。对我来说,在它们之间建立 VPN 似乎是正确的方法,但我对此非常不熟悉,所以愿意接受纠正吗?
答案1
这是一个很广泛的问题,但我将讨论主要问题
“使用默认的 SQL 服务器端口比使用随机的非标准端口安全性更低”——在我看来,这就像是通过隐藏来实现的安全性,并不是特别安全?
你说得对。使用非默认端口作为安全措施被高估了。但是,它确实增加了一些针对简单攻击的安全性。如果有人想闯入系统,这不会阻止他。但是如果某个(或数千个)无聊的黑客运行端口扫描器来寻找 SQL 服务器(或任何其他服务器)来练习或捣乱,非默认端口可能会阻止他们。
“提供数据包检查的防火墙不需要担心端口是否完全开放”——由于安全方面是由数据包检查处理的,因此完全开放的入站端口(例如,在本例中为 sql)可以吗?
数据包检查比端口阻塞级别更高、更复杂,因此更容易受到攻击、总线或配置错误的影响。通常,您应该将安全措施置于适当的最低级别,因此如果可以选择端口阻塞,那么它将比数据包检查更好
“由于 IP 嗅探/欺骗,添加基于 IP 的防火墙限制并不安全 - 正确/最佳方法是在机器之间使用 VPN。” - 这显然并不总是可行的,但在服务器<>服务器任务上应该使用 VPN 吗?
确实,你可以信任网络外部的 IP 地址,将其作为一项强大的安全措施,而 VPN 将是更合适的解决方案。但是,假设攻击者无法控制你的 ISP 或网络接入设备,那么欺骗 IP 就不是那么简单了
答案2
如果您使用证书和传输加密,SQL 在互联网上是非常安全的。不这样做是一种安全“最糟糕的做法”,除非使用站点到站点 VPN。启用和使用传输加密并不困难,并且无需站点到站点 VPN 即可进行访问。
“由于 IP 嗅探/欺骗,添加基于 IP 的防火墙限制并不安全 - 正确/最佳方法是在机器之间使用 VPN。”
具体来说,通过这种类型的连接发送未加密的数据是不安全的。如果数据和身份验证是加密的,则存在 IP 限制的合法场景。