У нас есть сервер 2008 R2, размещенный в центре обработки данных, где у нас нет физического доступа, но мы подключаемся к нему с помощью RDP.
Мы планируем запустить SQL Server и некоторые другие службы, которые должны быть доступны только ограниченному количеству статических IP-адресов WAN.
К сожалению, по периметру нет брандмауэра, поэтому нам остается полагаться только на брандмауэр Windows.
Мой план состоит в том, чтобы заблокировать все входящие сообщения, кроме выбранных IP-адресов из белого списка. Прочитав различные статьи о MMC Snap-in, Windows Firewall, IPSec и т. Д., Я наткнулся на сообщение здесь: https://serverfault.com/a/51223/214935
Это заставило меня поверить, что если я создам новое правило для входящих подключений, возможно, называемое «Глобальный белый список», которое будет содержать эти конкретные / доверенные IP-адреса, если я затем отключу все другие правила для входящих подключений, все остальное будет заблокировано.
Честно говоря, это звучит как план, но, честно говоря, меня пугает, потому что, если я все испорчу, я убью наш единственный доступ к серверу.
Я бы не опубликовал новый вопрос, если бы мог оставить комментарий в вышеупомянутой ветке, но, поскольку я здесь новичок, моя репутация слишком низкая :-(
Мне просто нужно уточнить, должно ли вышеперечисленное работать или, возможно, я разорву наше единственное соединение с сервером.
Возможно, есть лучший / более чистый / простой способ добиться тех же результатов. Кто-нибудь может помочь?
2 правила для входящих:
1) разрешить RDP, ограниченный внешними IP-адресами (вашими IP-адресами из белого списка)
2) все заблокировать.
Убедитесь в тестовой среде, что желаемый эффект достигнут, а затем приступайте к работе. Имейте в виду, что это не помешает этим серверам устанавливать исходящие соединения с машинами, не внесенными в белый список, из-за природы межсетевых экранов с отслеживанием состояния.