Программный брандмауэр с веб-интерфейсом / возможностью входа в систему для одного сервера Windows
У нас есть один веб-сервер с SQL-сервером и т. Д. (Все MS, веб-сервер 2008 и т. Д.).
Нам нужно разрешить доступ к базе данных напрямую, чтобы наш клиент мог писать отчеты (именно так работает SSRS!). У нас изначально была БД, которая просто сидела в интернете, вы не поверите, сколько попыток было сделано, чтобы войти в учетную запись sa!
Теперь учетная запись переименована во что-то другое, и мы используем брандмауэр Windows.
Дело в том, что некоторые клиенты работают из дома с динамическими IP-адресами, поэтому им приходится отправлять почту каждый день / неделю / перезагрузку маршрутизатора, а мне нужно удаленный рабочий стол, чтобы разрешить этот IP-адрес.
ЕСТЬ ЛИ СПОСОБ ЛУЧШЕ? Я думал о веб-интерфейсе для брандмауэра, они могут добавить свой собственный IP-адрес или, желательно, просто войти в систему, и он позволяет получить доступ ко всему с этого IP, или что-то в этом роде.
1 ответ
Если мы говорим о настройке компании, то нет никаких причин для доступа к этому серверу SQL из Интернета.
Если вам нужно разрешить доступ для перемещающихся клиентов, используйте соответствующий брандмауэр с решением VPN. У Watchguard и Palo Alto есть действительно хорошие решения для VPN. Также проверьте, есть ли эта функция в текущем брандмауэре компании.
Опять же, я не могу не подчеркнуть этого, используйте надлежащий брандмауэр!
У нас есть один веб-сервер с SQL-сервером и т. Д.
Возможен неудачный выбор дизайна - и веб-серверам, и базам данных нравится иметь много "места" для бега. Наличие обоих на одном сервере может вызвать проблемы с конкуренцией.
Нам нужно разрешить доступ к базе данных напрямую, чтобы наш клиент мог писать отчеты... SSRS
Почему? Если у вас уже есть "веб-сервер, SQL Server и т. Д." почему бы на этой машине не установить SSRS и не дать им доступ [к веб-интерфейсу] к этому?
У нас изначально была БД, просто сидящая в Интернете...
Нет, просто нет.
Веб-серверы имеют встроенную защиту от "гадостей", которые существуют "Out There". Базы данных серверов нет. Вы должны "изолировать" свои базы данных от "нежелательных".
Запуск приложения SSRS через веб-сервер - простой способ добиться этого.
Я думаю, что VPN был бы хорошим решением (если я правильно понял ваши потребности). Вы можете легко установить бесплатный и очень безопасный, используя OpenVPN (у вас есть возможность использовать имя пользователя / пароли и 2048-битные сертификаты: уверен, если вы спросите меня). Самый быстрый и простой способ реализовать это решение - использовать довольно старый ПК (любой p4 с 2-мя сетевыми картами подойдет) и Zeroshell ( http://www.zeroshell.net/). Не стесняйтесь спрашивать любые подробности:)
Вы определенно не хотите, чтобы внешние стороны настраивали брандмауэр на производственном сервере базы данных из Интернета. Однако для вашего удобства можно создать сценарий конфигурации брандмауэра Windows с помощью PowerShell, например, для подачи правил из текстового файла или аналогичного. Однако это не решает вашу непосредственную проблему.
Возможно ли переосмысление того, как клиенты подключаются к услуге? Предоставление клиентам доступа к защищенной иным образом машине Windows в вашей сети (с установленным необходимым клиентским программным обеспечением) через что-то вроде Apache Guacamole или VPN (согласно предложению @Pittos) позволит вам перенести повторяющиеся изменения безопасности с сервера базы данных. Вы также будете управлять учетными данными пользователей, а не правилами брандмауэра. Это, вероятно, значительно снижает риск ошибок.