我们在数据中心托管了一台 2008 R2 服务器,我们没有物理访问权限,但可以使用 RDP 连接到它。
我们计划运行 SQL Server 和一些其他服务,这些服务只能由有限数量的静态 WAN IP 地址访问。
不幸的是,边界没有防火墙设备,所以我们只能依赖 Windows 防火墙。
我的计划是阻止除那些选定的白名单 IP 地址之外的所有入站流量。在阅读了有关 MMC Snap-in、Windows 防火墙、IPSec 等的各种文章后,我偶然发现了以下帖子:https://serverfault.com/a/51223/214935
这让我相信,如果我创建一个新的入站规则(可能称为“全局白名单”),其中包含那些特定/受信任的 IP 地址,如果我禁用所有其他入站规则,那么其他所有内容都会被阻止。
坦率地说,这听起来像是一个计划,但老实说,它让我感到害怕,因为如果我搞砸了,我就会切断我们对服务器的唯一访问权限。
如果我能够在上面的帖子中发表评论,我就不会发布新问题,但作为新人,我的声誉太低了 :-(
我只是想澄清上述方法是否有效,或者我是否最终会切断我们与服务器的唯一连接。
也许有更好/更干净/更简单的方法来实现相同的结果。有人可以帮忙吗?
答案1
2 条入站规则:
1)允许受外部 IP(您的白名单 IP)限制的 RDP
2)阻止一切。
在测试环境中验证是否达到了预期效果,然后将其放到位。请注意,由于状态防火墙的性质,这不会阻止这些服务器与非白名单机器建立出站连接。