프로덕션 환경의 SQL Server 로그에 여러 번의 로그인 시도가 실패했습니다. 누군가가 "sa"자격 증명을 사용하여 로그인하려고한다고 생각합니다. "sa"로그인을 비활성화했습니다. 내 SQL 서버가 인터넷 (공개 IP)에 있으며 로컬 연결, 즉 LAN상의 내 APP 서버 만 허용하는 방화벽 규칙을 만들고 싶습니다.SQL 서버에서 원격 연결을 차단하고 로컬 연결 만 허용
나는 Windows 방화벽을 열고 특정 IP 주소 (내 응용 프로그램 서버 IP)의 포트 1433에서만 연결을 허용하고 원격 연결을 허용하지 않는 인바운드 규칙을 추가했습니다.
하지만 이제는 내 응용 프로그램 서버가 SQL Server에만 연결할 수 없습니다.
아이디어가 있으십니까?
로컬 서브넷의 전체 IP 범위를 허용 된 주소로 입력하여이 문제를 해결했으며 내 APP 서버에서 DB 서버에 액세스하고 다른 모든 원격 연결을 차단할 수있었습니다.
그래, 고칠 수 있습니다. 서버 (제어판 - 관리 도구)의 방화벽 컨트롤로 이동하면 모든 인바운드 방화벽 규칙 목록이 표시됩니다.
해당 목록에서 포트 1433에서 SQL Server를 찾을 수 있어야합니다. 두 번 클릭하여 규칙을 연 다음 "범위"탭으로 이동하십시오. 여기에는 벽을 통해 허용되는 로컬 IP와 벽을 통해 허용 된 원격 IP에 대한 상자가 명시되어 있습니다. 그것을 사용하고 네트워크 관리자와 이야기하면 불필요한 침입을 차단할 유효한 IP 목록 (또는 191.100.100. *과 같은 IP 와일드 카드)을 제안 할 수 있어야합니다.
외부 세계에 노출 된 SQL Server를 사용하는 것은 당연한 일이지만 분명히 책임이있는 것은 아닙니다.
네트워크 방화벽 및 ACL과 같은 외부 방법을 사용하지 않으면 로컬 컴퓨터에서 Windows 방화벽을 사용할 수 있습니다. 포트를 열면 성가신 것으로 나타났습니다. 플러스 포트를 통해 들어오는 원치 않는 트래픽을 제한하지 않습니다. Windows 방화벽에서 프로그램 규칙을 사용하여 성공했습니다.
고급 보안이 설정된 Windows 방화벽에서 새 인바운드 규칙을 만드는 것으로 시작하십시오.
%ProgramFiles%\Microsoft SQL Server\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\sqlservr.exe인바운드 규칙 탭에서 규칙을 찾습니다. 규칙에 대한 Properties 대화 상자를 열고 Scope 탭으로 이동하십시오. 원격 IP 주소 상자의 상자에 액세스하려는 컴퓨터의 서버 IP, 서브넷 등을 지정할 수 있습니다.
브레인,이 방화벽 규칙은 모든 익명의 IP가 SQL 서버에 연결되는 것을 차단합니까? 왜냐하면 나는 테스트를 위해 똑같이했기 때문에 (여전히 범위 목록에없는) 여러 IP에서 SQL 서버에 액세스 할 수 있습니다. 다음은 내가 시도한 모든 것입니다 : http://stackoverflow.com/questions/19640819/protect-sql-server -from-hackers – Vicky
예 - 위의 마지막 부분을 확인하고 원격 IP 주소 상자에 허용 할 IP/서브넷 만 추가하십시오. 방화벽을 다시 사용하도록 설정하고 다시 사용하도록 설정하면 변경 사항이 적용되는지 확인할 수 있습니다. 방화벽은 어떤 IP가 지역 또는 공공인지를 알지 못하므로 기억해야합니다. –
SQL 2008의 포트 목록은 다음과 같습니다. http://support.microsoft.com/kb/968872/de –
@DavinTryon : 작동하지 않았습니다. 스크립트는 모든 연결을 허용하는 방화벽 규칙을 만듭니다.제 질문은 : 방화벽 규칙을 작성하여 LAN을 통해 로컬 시스템 만 허용하는 방법은 무엇입니까? – Taher