用WINDOWS自带IP安全策略,指定ip访问数据库1433端口

用WINDOWS自带IP安全策略,指定ip访问数据库1433端口
前段时间在做两台服务器(服务器A,服务器B,都在广州同一个机房，如果不同机房打开网站将会非常慢)负载均衡实现数据同步的时候.因为人才订阅和发布招聘不能改变端口.只能用默认的1433端口,以前因为禁用了外部连接数据库只能本地连接,所以没有受到过***.但是开了1433端口,但这次受到的***从昨晚到今天早上用那字典来猜的人上百个.让广州人才网(www.guangzhoujob.com)技术部同事非常郁闷!虽然我的密码长达32位,能猜出的机率非常小,但是为了免受这样的骚扰,决定用IP策略来把服务器a的1433只能服务器B来连接,服务器B的1433只能服务器A来连接!
如果他是在网卡的属性里做的简单的安全策略，那就不好设置了，
如果他是在IPSEC策略管理器里做的，那样就灵活多了，也可以实现上面我的想法
现在是我设置的只充许一个IP访问数据库mysql和mssql和远程桌面的策略
netsh ipsec static add policy name=sfqas的安全策略
netsh ipsec static add filterlist name=允许列表
netsh ipsec static add filterlist name=拒绝列表

netsh ipsec static add filter filterlist=允许列表 srcaddr=58.32.191.123 dstaddr=me description=别人到我特定访问 protocol=tcp mirrored=yes dstport=1433
netsh ipsec static add filter filterlist=允许列表 srcaddr=any dstaddr=me description=别人到我特定访问 protocol=tcp mirrored=yes dstport=3006
netsh ipsec static add filter filterlist=允许列表 srcaddr=any dstaddr=me description=别人到我特定访问 protocol=tcp mirrored=yes dstport=3389
netsh ipsec static add filter filterlist=允许列表 srcaddr=any dstaddr=me description=别人到我特定访问 protocol=tcp mirrored=yes dstport=80
netsh ipsec static add filter filterlist=拒绝列表 srcaddr=any dstaddr=me description=别人到我特定访问 protocol=tcp mirrored=yes
netsh ipsec static add filteraction name=充许 action=permit
netsh ipsec static add filteraction name=拒绝 action=block

netsh ipsec static add rule name=充许规则 policy=sfqas的安全策略 filterlist=允许列表 filteraction=充许
netsh ipsec static add rule name=拒绝规则 policy=sfqas的安全策略 filterlist=拒绝列表 filteraction=拒绝

netsh ipsec static set policy name=sfqas的安全策略 assign=y
当然如果他有其它一些的策略应用 ，就要注意，如是直接运行这引动命令，他原来的可能就会没有了
这样做虽然指定了访问了.但是还是互相访问不了,所以现在还要做的工作是,在策略里添加一个指定访问的IP地址
就是说.服务器A设置,源选择我的IP,目的就是服务器B的IP端口是TCP 1433
服务器B设置,源选择我的IP,目的就是服务器A的IP端口是TCP 1433
这样两能服务器就可以互相访问了,其它IP地址是不可以访问这两能务器的1433