我们有一台2008 R2服务器托pipe在数据中心,我们没有物理访问,但使用RDP连接到它。
我们计划运行SQL Server和其他一些应该只能访问有限数量的静态WAN IP地址的服务。
不幸的是,在外围没有防火墙设备,所以我们只能依靠Windows防火墙。
我的计划是阻止一切入站,除了那些被列入白名单的IP地址。 从各种关于MMCpipe理单元,Windows防火墙,IPSec等文章阅读后,我偶然发现了一个职位: https : //serverfault.com/a/51223/214935
这使我相信,如果我创build了一个新的入站规则,也就是所谓的“全局白名单”,它包含那些特定/可信的IP地址,那么如果我禁用所有其他入站规则,则其他所有的入站规则将被阻塞。
坦率地说,这听起来像是一个计划,但它真的吓到我,因为如果我搞砸了,我杀了我们唯一的访问服务器。
我不会发表一个新的问题,如果我能发表评论上述线程,但在这里是新的,我的名声太低:-(
我只需要澄清,如果上述应该工作,或者如果也许我最终将切断我们唯一的连接到服务器。
也许有一个更好的/更清洁/更简单的方法来实现相同的结果。 谁能帮忙?
2入站规则:
1)允许受外部IP限制的RDP(您的白名单IP)
2)阻止一切。
在testing环境中validation达到了预期的效果,然后放下。 请注意,由于状态防火墙的性质,这不会阻止这些服务器与非白名单的机器进行出站连接。