屏蔽除白名单 IP 地址之外的所有公共 IP 地址

屏蔽除白名单 IP 地址之外的所有公共 IP 地址

我们在数据中心托管了一台 2008 R2 服务器,我们没有物理访问权限,但可以使用 RDP 连接到它。

我们计划运行 SQL Server 和一些其他服务,这些服务只能由有限数量的静态 WAN IP 地址访问。

不幸的是,边界没有防火墙设备,所以我们只能依赖 Windows 防火墙。

我的计划是阻止除那些选定的白名单 IP 地址之外的所有入站流量。在阅读了有关 MMC Snap-in、Windows 防火墙、IPSec 等的各种文章后,我偶然发现了以下帖子:https://serverfault.com/a/51223/214935

这让我相信,如果我创建一个新的入站规则(可能称为“全局白名单”),其中包含那些特定/受信任的 IP 地址,如果我禁用所有其他入站规则,那么其他所有内容都会被阻止。

坦率地说,这听起来像是一个计划,但老实说,它让我感到害怕,因为如果我搞砸了,我就会切断我们对服务器的唯一访问权限。

如果我能够在上面的帖子中发表评论,我就不会发布新问题,但作为新人,我的声誉太低了 :-(

我只是想澄清上述方法是否有效,或者我是否最终会切断我们与服务器的唯一连接。

也许有更好/更干净/更简单的方法来实现相同的结果。有人可以帮忙吗?

答案1

2 条入站规则:

1)允许受外部 IP(您的白名单 IP)限制的 RDP

2)阻止一切。

在测试环境中验证是否达到了预期效果,然后将其放到位。请注意,由于状态防火墙的性质,这不会阻止这些服务器与非白名单机器建立出站连接。

相关内容