用WINDOWS自带IP安全策略,指定ip访问数据库1433端口
2015-01-30 13:44
585 查看
用WINDOWS自带IP安全策略,指定ip访问数据库1433端口
前段时间在做两台服务器(服务器A,服务器B,都在广州同一个机房,如果不同机房打开网站将会非常慢)负载均衡实现数据同步的时候.因为人才订阅和发布招聘不能改变端口.只能用默认的1433端口,以前因为禁用了外部连接数据库只能本地连接,所以没有受到过***.但是开了1433端口,但这次受到的***从昨晚到今天早上用那字典来猜的人上百个.让广州人才网(www.guangzhoujob.com)技术部同事非常郁闷!虽然我的密码长达32位,能猜出的机率非常小,但是为了免受这样的骚扰,决定用IP策略来把服务器a的1433只能服务器B来连接,服务器B的1433只能服务器A来连接!
如果他是在网卡的属性里做的简单的安全策略,那就不好设置了,
如果他是在IPSEC策略管理器里做的,那样就灵活多了,也可以实现上面我的想法
现在是我设置的只充许一个IP访问数据库mysql和mssql和远程桌面的策略
netsh ipsec static add policy name=sfqas的安全策略
netsh ipsec static add filterlist name=允许列表
netsh ipsec static add filterlist name=拒绝列表
netsh ipsec static add filter filterlist=允许列表 srcaddr=58.32.191.123 dstaddr=me description=别人到我特定访问 protocol=tcp mirrored=yes dstport=1433
netsh ipsec static add filter filterlist=允许列表 srcaddr=any dstaddr=me description=别人到我特定访问 protocol=tcp mirrored=yes dstport=3006
netsh ipsec static add filter filterlist=允许列表 srcaddr=any dstaddr=me description=别人到我特定访问 protocol=tcp mirrored=yes dstport=3389
netsh ipsec static add filter filterlist=允许列表 srcaddr=any dstaddr=me description=别人到我特定访问 protocol=tcp mirrored=yes dstport=80
netsh ipsec static add filter filterlist=拒绝列表 srcaddr=any dstaddr=me description=别人到我特定访问 protocol=tcp mirrored=yes
netsh ipsec static add filteraction name=充许 action=permit
netsh ipsec static add filteraction name=拒绝 action=block
netsh ipsec static add rule name=充许规则 policy=sfqas的安全策略 filterlist=允许列表 filteraction=充许
netsh ipsec static add rule name=拒绝规则 policy=sfqas的安全策略 filterlist=拒绝列表 filteraction=拒绝
netsh ipsec static set policy name=sfqas的安全策略 assign=y
当然如果他有其它一些的策略应用 ,就要注意,如是直接运行这引动命令,他原来的可能就会没有了
这样做虽然指定了访问了.但是还是互相访问不了,所以现在还要做的工作是,在策略里添加一个指定访问的IP地址
就是说.服务器A设置,源选择我的IP,目的就是服务器B的IP端口是TCP 1433
服务器B设置,源选择我的IP,目的就是服务器A的IP端口是TCP 1433
这样两能服务器就可以互相访问了,其它IP地址是不可以访问这两能务器的1433
前段时间在做两台服务器(服务器A,服务器B,都在广州同一个机房,如果不同机房打开网站将会非常慢)负载均衡实现数据同步的时候.因为人才订阅和发布招聘不能改变端口.只能用默认的1433端口,以前因为禁用了外部连接数据库只能本地连接,所以没有受到过***.但是开了1433端口,但这次受到的***从昨晚到今天早上用那字典来猜的人上百个.让广州人才网(www.guangzhoujob.com)技术部同事非常郁闷!虽然我的密码长达32位,能猜出的机率非常小,但是为了免受这样的骚扰,决定用IP策略来把服务器a的1433只能服务器B来连接,服务器B的1433只能服务器A来连接!
如果他是在网卡的属性里做的简单的安全策略,那就不好设置了,
如果他是在IPSEC策略管理器里做的,那样就灵活多了,也可以实现上面我的想法
现在是我设置的只充许一个IP访问数据库mysql和mssql和远程桌面的策略
netsh ipsec static add policy name=sfqas的安全策略
netsh ipsec static add filterlist name=允许列表
netsh ipsec static add filterlist name=拒绝列表
netsh ipsec static add filter filterlist=允许列表 srcaddr=58.32.191.123 dstaddr=me description=别人到我特定访问 protocol=tcp mirrored=yes dstport=1433
netsh ipsec static add filter filterlist=允许列表 srcaddr=any dstaddr=me description=别人到我特定访问 protocol=tcp mirrored=yes dstport=3006
netsh ipsec static add filter filterlist=允许列表 srcaddr=any dstaddr=me description=别人到我特定访问 protocol=tcp mirrored=yes dstport=3389
netsh ipsec static add filter filterlist=允许列表 srcaddr=any dstaddr=me description=别人到我特定访问 protocol=tcp mirrored=yes dstport=80
netsh ipsec static add filter filterlist=拒绝列表 srcaddr=any dstaddr=me description=别人到我特定访问 protocol=tcp mirrored=yes
netsh ipsec static add filteraction name=充许 action=permit
netsh ipsec static add filteraction name=拒绝 action=block
netsh ipsec static add rule name=充许规则 policy=sfqas的安全策略 filterlist=允许列表 filteraction=充许
netsh ipsec static add rule name=拒绝规则 policy=sfqas的安全策略 filterlist=拒绝列表 filteraction=拒绝
netsh ipsec static set policy name=sfqas的安全策略 assign=y
当然如果他有其它一些的策略应用 ,就要注意,如是直接运行这引动命令,他原来的可能就会没有了
这样做虽然指定了访问了.但是还是互相访问不了,所以现在还要做的工作是,在策略里添加一个指定访问的IP地址
就是说.服务器A设置,源选择我的IP,目的就是服务器B的IP端口是TCP 1433
服务器B设置,源选择我的IP,目的就是服务器A的IP端口是TCP 1433
这样两能服务器就可以互相访问了,其它IP地址是不可以访问这两能务器的1433
相关文章推荐
- 利用Windows的本地安全策略限制指定的IP访问服务器
- win2003 ip安全策略 限制某个IP或IP段访问服务器指定端口图文说明
- 用windows 2000的IP安全策略封闭端口的办法
- Windows下通过ip安全策略设置只允许固定IP远程访问
- windows server 2008 IP安全策略关闭端口,禁止ping,修改远程连接3389端口,开放指定端口
- win2008 IP安全策略关闭端口、禁止ping、修改远程连接3389端口、开放指定端口
- windows下 IP 访问策略控制 (Windows IP安全策略控制)
- 利用Windows2003 IP安全策略实现服务器远程桌面端口(3389)访问控制
- 利用Windows2003 IP安全策略实现服务器远程桌面端口(3389)访问控制
- windows 2000 安全策略设置,2003 IP安全设置
- 在Windows 2000中实施远程访问安全策略
- 设置IP安全策略将木马阻杀在端口外
- 设置IP安全策略 阻杀木马在端口之外
- windows Server 2003使用ip安全策略禁止某ip访问服务器的方法
- windows 2003 server开始-运行输入IP访问局域网机子时提示“无任何网络提供程序接受指定的网络路径”
- Windows中针对木马的IP安全策略
- 快速测试指定IP和端口是否可以访问
- 设置IP安全策略 将木马阻杀在端口之外
- windows指定ip,端口开放
- Ipsec:ip安全行策略来实现数据库加密.二十