我正在帮助一位客户解决 SQL Server 2005 暴露的问题。他们不愿在防火墙或 VPN 解决方案上让步,而且他们的日志中充满了暴力攻击的迹象。
在 X 登录 SQL Server 2005 失败后,有没有办法自动禁止某个 IP 地址?
答案1
不,至少在 SQL Server 中不是,因为 SQL Server 不会以这种方式基于 IP 进行跟踪。登录触发器的 EventData 中会显示 IP 地址(在 SP2 中添加),但登录触发器仅在成功登录事件时触发。登录失败不会导致触发器触发。运行您正在审核失败登录安全事件的跟踪会显示主机名,但这可能会被欺骗,并且不能保证它是 IP。
您能从性能角度来解决这个问题吗?这些失败的每次连接都会导致 SQL Server 启动一个连接,这会消耗 CPU 和内存。由于没有前端网络设备来过滤这些不良连接,服务器和 SQL Server 无法获得应有的性能。
答案2
不直接在 SQL Server 世界中。将默认端口 (1433) 更改为其他端口号怎么样?
答案3
你是否建议光滑墙? 它是免费的,没有比它更经济实惠的了!
您甚至不需要米色盒子,因为您可以获得 VMWare 设备。