Windows Server 2008 - Jak zablokować zaawansowaną zaporę?


Mam problemy z jednoczesnymi próbami brutalnej siły na moim Windows Server 2008 R2 i MS-SQL Server, który jest na nim.
  • Zmieniłem nazwę konta administratora systemu Windows (Administrator)
  • Zmieniłem nazwę i wyłączyłem konto SQL Server (sa)
  • Zainstalowałem Windows Security Essentials jako program antywirusowy.

Zalecono mi zablokowanie zapory dla WSZYSTKICH połączeń przychodzących i wychodzących Z WYJĄTKIEM tych, które są naprawdę potrzebne. Ale nie wiem dokładnie, jak to zrobić i jakie porty są naprawdę potrzebne.
Poradzono mi również, aby całkowicie zablokować połączenie z serwerem SQL poprzez uwierzytelnianie SQL i robić to tylko z uwierzytelnianiem systemu Windows. Ale czy moja aplikacja ASP Classic może nadal używać SQL Server?
Serwer służy do hostingu WWW, hostingu baz danych SQL i serwera poczty (POP3, SMTP i IMAP). Parallels PLESK jest również zainstalowany na serwerze, w tym HORDE Webmail.
Zrobiłem zrzut ekranu ustawień zapory serwera (

http://www.oltm.dk/x/settings.jpg
http://www.oltm.dk/x/settings.jpg) i wyeksportowano przychodzące reguły zapory (

http://www.oltm.dk/x/inbound.txt
http://www.oltm.dk/x/inbound.txt) i reguł wychodzących (ww.oltm.dk/x/outbound.txt)
Jestem nowy w Windows Server 2008 R2, więc wybacz mi, jeśli brakuje mi czegoś zupełnie oczywistego :)
Podziękować!
Zaproszony:
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Generalnie zgadzam się z blokowaniem wszystkiego, co niepotrzebne. Teraz wygląda na to, że masz wszystko otwarte.
ASP classic nadal powinien mieć możliwość bezpośredniego dostępu do SQL, ale będziesz musiał zalogować się do IIS i zmienić konto użytkownika, którego personifikuje, i przyznać temu kontu dostęp do wszystkich informacji wymaganych w SQL. Zalecałbym utworzenie nowego konta tylko w tym celu i przyznanie temu kontu dostępu tylko do plików i komponentów, które są niezbędne do jego działania. Zgadzam się, że zewnętrzny dostęp do SQL generalnie nie jest najlepszą opcją. Prawdopodobnie napiszę też kilka skryptów SQL i upewnię się, że nowe konto użytkownika nie może wykonywać czynności, takich jak usuwanie lub zmiana schematu. Zasadniczo utrzymuj ekspozycję na jak najniższym poziomie.
Wygląda na to, że prawdopodobnie potrzebujesz tylko 25 110 143 80 443 niezależnie od portu, na którym działa Twoja poczta internetowa, jeśli nie jest zintegrowana z IIS, i wszelkich portów zdalnych, których możesz potrzebować (3389, jeśli potrzebujesz RDP). Pamiętaj, że możesz zezwolić na porty wewnętrzne i ograniczyć porty z zewnątrz (stąd trzy sekcje w Zaporze systemu Windows).
Czy przed tym pudełkiem znajduje się zapora sprzętowa? Ty też możesz o tym pomyśleć. Moim zdaniem wolałbym inne dedykowane urządzenie, które poradzi sobie z obciążeniem ruchem, zamiast zaśmiecać serwer SQL/IIS fałszywymi próbami dostępu.

Aby odpowiedzieć na pytania, Zaloguj się lub Zarejestruj się