我在日志文件查看器中检查了我的 SQL Server 2008R2 日志,发现有人来自中国一直尝试以“SA”身份登录,但当然失败了。
有什么方法可以阻止这些黑客攻击我的服务器吗?
提前致谢。
答案1
使用防火墙——为什么该端口(或 SQL 服务器上的任何端口)向世界其他地方开放?
大多数企业都有多个网络层级;
- 从防火墙/负载平衡的 Web 层开始,该 Web 层与应用程序层之间设有防火墙,允许只是Web 层中已知 Web 服务器的特定 IP 和端口,以便与应用程序层中的特定应用程序服务器进行通信。
- 应用程序层只能与 Web 层中的特定 IP 和端口通信,并且只能通过 IP 和端口与受防火墙保护的 DB 服务器通信。
- DB 层再次受到防火墙保护,并且只允许通过 IP 和端口与应用程序层服务器通信。
有些人(包括我自己)还在数据库层后面有一个安全层,以处理任何特别敏感或合同上必须更安全的数据。
这是一个广泛使用的模型,通常被证明是非常安全的。将 SQL 管理端口暴露在外面的想法真的让我不寒而栗,请停止这种做法,否则你将会回来寻找这。
答案2
在它前面设置防火墙并限制地址。如果您确实需要 SQL 服务器面向公众并向互联网开放,那么您将不得不努力确保其安全。如果您所做的只是在其上运行网站,那么将其锁定到您的 Web 服务器地址应该很容易。
更好的是,在你的 SQL 服务器和你的 Web 服务器前面放置一个防火墙,并且只允许到你的 Web 服务器的传入连接。