Назад | Перейти на главную страницу

Заблокировать все общедоступные IP-адреса, кроме внесенных в белый список

У нас есть сервер 2008 R2, размещенный в центре обработки данных, где у нас нет физического доступа, но мы подключаемся к нему с помощью RDP.

Мы планируем запустить SQL Server и некоторые другие службы, которые должны быть доступны только ограниченному количеству статических IP-адресов WAN.

К сожалению, по периметру нет брандмауэра, поэтому нам остается полагаться только на брандмауэр Windows.

Мой план состоит в том, чтобы заблокировать все входящие сообщения, кроме выбранных IP-адресов из белого списка. Прочитав различные статьи о MMC Snap-in, Windows Firewall, IPSec и т. Д., Я наткнулся на сообщение здесь: https://serverfault.com/a/51223/214935

Это заставило меня поверить, что если я создам новое правило для входящих подключений, возможно, называемое «Глобальный белый список», которое будет содержать эти конкретные / доверенные IP-адреса, если я затем отключу все другие правила для входящих подключений, все остальное будет заблокировано.

Честно говоря, это звучит как план, но, честно говоря, меня пугает, потому что, если я все испорчу, я убью наш единственный доступ к серверу.

Я бы не опубликовал новый вопрос, если бы мог оставить комментарий в вышеупомянутой ветке, но, поскольку я здесь новичок, моя репутация слишком низкая :-(

Мне просто нужно уточнить, должно ли вышеперечисленное работать или, возможно, я разорву наше единственное соединение с сервером.

Возможно, есть лучший / более чистый / простой способ добиться тех же результатов. Кто-нибудь может помочь?

2 правила для входящих:

1) разрешить RDP, ограниченный внешними IP-адресами (вашими IP-адресами из белого списка)

2) все заблокировать.

Убедитесь в тестовой среде, что желаемый эффект достигнут, а затем приступайте к работе. Имейте в виду, что это не помешает этим серверам устанавливать исходящие соединения с машинами, не внесенными в белый список, из-за природы межсетевых экранов с отслеживанием состояния.