web-dev-qa-db-ja.com

ホワイトリストに登録されているものを除くすべてのパブリックIPアドレスをブロックする

データセンターでホストされている2008R2サーバーがあり、物理的なアクセスはありませんが、RDPを使用して接続しています。

限られた数の静的WAN IPアドレスにのみアクセス可能である必要があるSQLServerおよびその他のサービスを実行する予定です。

残念ながら、境界にはファイアウォールアプライアンスがないため、信頼できるのはWindowsファイアウォールのみです。

私が持っている計画は、ホワイトリストに登録されたIPアドレスを選択したものを除いて、すべてのインバウンドをブロックすることです。 MMCスナップイン、Windowsファイアウォール、IPSecなどに関するさまざまな記事を読んだ後、ここに投稿がありました: https://serverfault.com/a/51223/214935

これにより、特定の/信頼できるIPアドレスを含む「グローバルホワイトリスト」と呼ばれる新しいインバウンドルールを作成した場合、他のすべてのインバウンドルールを無効にすると、他のすべてがブロックされると思いました。

率直に言って、それは計画のように聞こえますが、これを台無しにすると、サーバーへの唯一のアクセスが失われるため、正直に怖いです。

上記のスレッドにコメントを投稿できたなら、新しい質問を投稿しなかったでしょうが、ここでは新しいので、私の評判は低すぎます:-(

上記が機能するかどうか、またはサーバーへの唯一の接続を切断することになるかどうかを明確にする必要があります。

おそらく、同じ結果を達成するためのより良い/よりクリーンな/より簡単な方法があります。誰か助けてもらえますか?

2
Wayne Phipps

2つのインバウンドルール:

1)外部IP(ホワイトリストに登録されたIP)によって制限されたRDPを許可する

2)すべてをブロックします。

テスト環境で目的の効果が達成されていることを確認してから、所定の位置にドロップします。ステートフルファイアウォールの性質上、これらのサーバーがホワイトリストに登録されていないマシンにアウトバウンド接続するのを防ぐことはできません。

1
MartinC