Sql Server 2008 R2 对公网开放端口会不会很危险?

2018-04-10 17:05:52 +08:00
 nfroot
Windows 2008 R2 + Sql Server 2008 R2 想对外开放端口,账号不要用弱密码,开启系统 Windows Update,还会很大风险吗?

起因是目前 ERP 系统客户端要连 SQL 服务器,用 PPTP 连内网后访问内网 IP,很不爽因为所有流量都走服务器了,服务器带宽也小。伤不起。(虽然可以通过路由表来设置,但是没什么好用的客户端管理)

没什么好主意,想直接开放给外网了,这样就不用连 PPTP,不用转发客户端流量了……
3490 次点击
所在节点    问与答
22 条回复
nfroot
2018-04-10 17:13:56 +08:00
想到用 ipsec 预共享密钥加密端口,结果测试又不成功( C+S 都设置了),百思不得其解
taobibi
2018-04-10 17:23:52 +08:00
Sql Server 是可以买微软云服务的,安全性都是微软去管,只不过挺贵的
beginor
2018-04-10 17:40:50 +08:00
为什么不能自定义端口呢?
nfroot
2018-04-10 17:51:01 +08:00
@beginor 自定义端口?应该可以,但是端口扫描软件应该能识别吧……
hcymk2
2018-04-10 17:55:05 +08:00
beginor
2018-04-10 19:22:37 +08:00
@nfroot 默认端口是重灾区,自定义端口会好一些, 没有人有那个闲情逸致把你的服务器端口从头扫到尾
yingfengi
2018-04-10 20:57:11 +08:00
IPSec 搞不定???
aminic
2018-04-10 21:49:13 +08:00
架个 vpn 防火墙啥的当一下不行嘛
LoliconInside
2018-04-10 21:50:32 +08:00
防火墙限制一下来源 IP 啊
thinkif
2018-04-10 21:54:55 +08:00
最好通过 VPN 构建一个虚拟的局域网络。

同时无论是否用 VPN,端口和登录名都需要修改,不可以用默认。如果开了远程桌面,同样要修改远程桌面的端口和用户名。
7654
2018-04-10 21:55:03 +08:00
客户那边弄一台跳板就好,简单省事安全
PHPer233
2018-04-10 22:04:44 +08:00
修改 SQL Server 服务器的端口,配置防火墙拦截非法访问流量
wangxiaoaer
2018-04-10 22:06:37 +08:00
作为一个常年外网开启 sql server 端口的高级职业程序员,我想我还是有资格回答这个问题的。

首先这么开放是完全没有问题的,开源共享是大势所趋啊,封闭只有死路一条,把你的库放出来才有可能持续稳健发展。

其次,楼主把你的用户名密码发给我,我凭借多年删库跑路的经验来给你测试下到底安全性如何。

最后你们的感谢是我回答的动力哦。

爱你们,么么哒。
nfroot
2018-04-10 22:27:34 +08:00
@yingfengi ipsec 反复试来试去,就是连不上,搞不懂为啥。
我测试时网络环境是这样的
2008R2 服务器:192.168.1.10
服务器网关:192.168.1.1,网关外网 IP 是 1.1.1.1,网关映射服务器的 IIS 端口 51111

测试客户端外网 IP 是 1.1.1.1
测试客户端是 Win7,内网地址是 192.168.2.2,网关是 192.168.1.1,通过网关上网

服务器设置 ipsec,筛选器:源 IP:任何 IP,目的“我的 IP 地址”,端口 TCP:51111 (服务器 TCP 端口 51111 ),预共享密钥:OOXX,选择“此规则不指定 IPsec 隧道”

客户端设置 ipsec,筛选器:源 IP:我的 IP,目的“ 1.1.1.1 ”,端口 51111,预共享密钥 OOXX,选择“此规则不指定 IPsec 隧道”

服务器和客户端不设置 ipsec,客户端可以连接到服务器
客户端设置 ipsec,服务器不设置 ipsec,客户端不能连接到服务器
先设置服务器 ipsec,不设置客户端 ipsec,客户端不能连接到服务器
先设置客户端 ipsec,不设置服务器 ipsec,客户端不能连接到服务器
客户端通过 vpn 连接到服务器内网,服务器设置局域网 IP 为白名单,客户端可以连接到服务器
yingfengi
2018-04-10 22:33:50 +08:00
@nfroot 两边都是自己公司吗,联系直接两端路由做 IPSec
nfroot
2018-04-10 22:41:12 +08:00
@taobibi 成本还是要考虑的,太贵就没办法啦。
@LoliconInside 有人出差,这个不能限制吧……
@thinkif 现在就是 vpn 连入服务器所在内网,然后连接的,但是 vpn 客户端没有找到好用点的,我不想把所有网络流量都走服务器转发……所以想干脆抛弃 vpn ……(客户端想要简单的保持连接+修改路由表)
@7654 目前一分公司是这样处理的,直接路由器连接 vpn,客户端无感连接到服务器,但是出差的人不太适用,所以现在想抛弃 vpn 的方式……
@wangxiaoaer 你说有资格,那回答一下呗
@PHPer233

谢谢大家的回复
nfroot
2018-04-10 22:46:12 +08:00
@yingfengi 目前有 2 个场景,
场景 1:分公司连接总部,VPN,已解决,很稳定,客户端无感。
场景 2:部分外出人员使用 ERP,连接 VPN,由于 VPN 没有好点的客户端,所以想用 ipsec 代替(直接在人员电脑安装软件时设好 ipsec 规则),毕竟 ipsec 是系统级
mhycy
2018-04-10 23:27:37 +08:00
@nfroot zerotier 了解下,windows 平台可以尝试 libzt,原版的 25.255.255.254 fake gateway 问题有断网可能
745839
2018-04-10 23:46:09 +08:00
@wangxiaoaer 开车大神既视感
yingfengi
2018-04-11 08:26:31 +08:00
@nfroot 深信服 sslvpn 了解下 ヽ(  ̄д ̄;)ノ

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/445699

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX