У меня проблемы с одновременными попытками грубой силы на моем Windows Server 2008 R2 и MS-SQL Server, который на нем.
Мне посоветовали заблокировать брандмауэр для ВСЕХ входящих и исходящих соединений, ЗА ИСКЛЮЧЕНИЕМ тех, которые действительно необходимы. Но я не знаю точно, как это сделать и какие порты действительно необходимы.
Мне также посоветовали полностью заблокировать подключение к серверу SQL через аутентификацию SQL и делать это только с аутентификацией Windows. Но может ли мое приложение ASP Classic по-прежнему использовать SQL-сервер?
Сервер используется для веб-хостинга, хостинга баз данных SQL и почтового сервера (POP3, SMTP и IMAP). На сервере также установлен Parallels PLESK, включая HORDE Webmail.
Я сделал снимок экрана настроек брандмауэра сервера ( http://www.oltm.dk/x/settings.jpg ) и экспортировал входящие правила брандмауэра ( http://www.oltm.dk/x/inbound.txt ) и исходящие правила (ww.oltm.dk/x/outbound.txt)
Я новичок в Windows Server 2008 R2, так что простите меня, если я упускаю что-то совершенно очевидное :)
Спасибо!
Я в целом согласен с блокировкой всего ненужного. Прямо сейчас похоже, что у вас все открыто.
ASP classic по-прежнему должен иметь доступ к SQL напрямую, но вам нужно будет войти в IIS и изменить учетную запись пользователя, которую он олицетворяет, и предоставить этой учетной записи доступ ко всей информации, необходимой в SQL. Я бы рекомендовал создать новую учетную запись только для этого и предоставить этой учетной записи доступ только к файлам и компонентам, которые необходимы для ее работы. Я согласен с тем, что внешний доступ к SQL, как правило, не лучший вариант. Я также, вероятно, немного напишу SQL-скрипты и убедился, что новая учетная запись пользователя не может выполнять такие действия, как удаление или изменение схемы. По сути, максимально сокращайте экспозицию.
Похоже, вам, вероятно, понадобится всего 25 110 143 80 443, независимо от порта, на котором работает ваша веб-почта, если он не интегрирован с IIS, и любые порты удаленного доступа, которые могут вам понадобиться (3389, если вам нужен RDP). Имейте в виду, что вы можете разрешить внутренние порты и ограничить порты извне (отсюда и три раздела в брандмауэре Windows).
У вас есть аппаратный брандмауэр перед этим боксом? Вы можете подумать и об этом. На мой взгляд, я бы предпочел другое специализированное устройство, которое справилось бы с нагрузкой трафика, чем загромождает сервер SQL / IIS поддельными попытками доступа.
