V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
nfroot
V2EX  ›  问与答

Sql Server 2008 R2 对公网开放端口会不会很危险?

  •  
  •   nfroot · 2018-04-10 17:05:52 +08:00 · 3312 次点击
    这是一个创建于 2179 天前的主题,其中的信息可能已经有所发展或是发生改变。
    Windows 2008 R2 + Sql Server 2008 R2 想对外开放端口,账号不要用弱密码,开启系统 Windows Update,还会很大风险吗?

    起因是目前 ERP 系统客户端要连 SQL 服务器,用 PPTP 连内网后访问内网 IP,很不爽因为所有流量都走服务器了,服务器带宽也小。伤不起。(虽然可以通过路由表来设置,但是没什么好用的客户端管理)

    没什么好主意,想直接开放给外网了,这样就不用连 PPTP,不用转发客户端流量了……
    22 条回复    2018-04-11 17:59:50 +08:00
    nfroot
        1
    nfroot  
    OP
       2018-04-10 17:13:56 +08:00
    想到用 ipsec 预共享密钥加密端口,结果测试又不成功( C+S 都设置了),百思不得其解
    taobibi
        2
    taobibi  
       2018-04-10 17:23:52 +08:00   ❤️ 1
    Sql Server 是可以买微软云服务的,安全性都是微软去管,只不过挺贵的
    beginor
        3
    beginor  
       2018-04-10 17:40:50 +08:00 via Android   ❤️ 2
    为什么不能自定义端口呢?
    nfroot
        4
    nfroot  
    OP
       2018-04-10 17:51:01 +08:00
    @beginor 自定义端口?应该可以,但是端口扫描软件应该能识别吧……
    hcymk2
        5
    hcymk2  
       2018-04-10 17:55:05 +08:00   ❤️ 1
    beginor
        6
    beginor  
       2018-04-10 19:22:37 +08:00 via Android   ❤️ 1
    @nfroot 默认端口是重灾区,自定义端口会好一些, 没有人有那个闲情逸致把你的服务器端口从头扫到尾
    yingfengi
        7
    yingfengi  
       2018-04-10 20:57:11 +08:00 via Android   ❤️ 1
    IPSec 搞不定???
    aminic
        8
    aminic  
       2018-04-10 21:49:13 +08:00 via Android   ❤️ 1
    架个 vpn 防火墙啥的当一下不行嘛
    LoliconInside
        9
    LoliconInside  
       2018-04-10 21:50:32 +08:00 via Android   ❤️ 1
    防火墙限制一下来源 IP 啊
    thinkif
        10
    thinkif  
       2018-04-10 21:54:55 +08:00   ❤️ 1
    最好通过 VPN 构建一个虚拟的局域网络。

    同时无论是否用 VPN,端口和登录名都需要修改,不可以用默认。如果开了远程桌面,同样要修改远程桌面的端口和用户名。
    7654
        11
    7654  
       2018-04-10 21:55:03 +08:00   ❤️ 1
    客户那边弄一台跳板就好,简单省事安全
    PHPer233
        12
    PHPer233  
       2018-04-10 22:04:44 +08:00 via iPhone   ❤️ 1
    修改 SQL Server 服务器的端口,配置防火墙拦截非法访问流量
    wangxiaoaer
        13
    wangxiaoaer  
       2018-04-10 22:06:37 +08:00   ❤️ 1
    作为一个常年外网开启 sql server 端口的高级职业程序员,我想我还是有资格回答这个问题的。

    首先这么开放是完全没有问题的,开源共享是大势所趋啊,封闭只有死路一条,把你的库放出来才有可能持续稳健发展。

    其次,楼主把你的用户名密码发给我,我凭借多年删库跑路的经验来给你测试下到底安全性如何。

    最后你们的感谢是我回答的动力哦。

    爱你们,么么哒。
    nfroot
        14
    nfroot  
    OP
       2018-04-10 22:27:34 +08:00
    @yingfengi ipsec 反复试来试去,就是连不上,搞不懂为啥。
    我测试时网络环境是这样的
    2008R2 服务器:192.168.1.10
    服务器网关:192.168.1.1,网关外网 IP 是 1.1.1.1,网关映射服务器的 IIS 端口 51111

    测试客户端外网 IP 是 1.1.1.1
    测试客户端是 Win7,内网地址是 192.168.2.2,网关是 192.168.1.1,通过网关上网

    服务器设置 ipsec,筛选器:源 IP:任何 IP,目的“我的 IP 地址”,端口 TCP:51111 (服务器 TCP 端口 51111 ),预共享密钥:OOXX,选择“此规则不指定 IPsec 隧道”

    客户端设置 ipsec,筛选器:源 IP:我的 IP,目的“ 1.1.1.1 ”,端口 51111,预共享密钥 OOXX,选择“此规则不指定 IPsec 隧道”

    服务器和客户端不设置 ipsec,客户端可以连接到服务器
    客户端设置 ipsec,服务器不设置 ipsec,客户端不能连接到服务器
    先设置服务器 ipsec,不设置客户端 ipsec,客户端不能连接到服务器
    先设置客户端 ipsec,不设置服务器 ipsec,客户端不能连接到服务器
    客户端通过 vpn 连接到服务器内网,服务器设置局域网 IP 为白名单,客户端可以连接到服务器
    yingfengi
        15
    yingfengi  
       2018-04-10 22:33:50 +08:00 via Android   ❤️ 1
    @nfroot 两边都是自己公司吗,联系直接两端路由做 IPSec
    nfroot
        16
    nfroot  
    OP
       2018-04-10 22:41:12 +08:00
    @taobibi 成本还是要考虑的,太贵就没办法啦。
    @LoliconInside 有人出差,这个不能限制吧……
    @thinkif 现在就是 vpn 连入服务器所在内网,然后连接的,但是 vpn 客户端没有找到好用点的,我不想把所有网络流量都走服务器转发……所以想干脆抛弃 vpn ……(客户端想要简单的保持连接+修改路由表)
    @7654 目前一分公司是这样处理的,直接路由器连接 vpn,客户端无感连接到服务器,但是出差的人不太适用,所以现在想抛弃 vpn 的方式……
    @wangxiaoaer 你说有资格,那回答一下呗
    @PHPer233

    谢谢大家的回复
    nfroot
        17
    nfroot  
    OP
       2018-04-10 22:46:12 +08:00
    @yingfengi 目前有 2 个场景,
    场景 1:分公司连接总部,VPN,已解决,很稳定,客户端无感。
    场景 2:部分外出人员使用 ERP,连接 VPN,由于 VPN 没有好点的客户端,所以想用 ipsec 代替(直接在人员电脑安装软件时设好 ipsec 规则),毕竟 ipsec 是系统级
    mhycy
        18
    mhycy  
       2018-04-10 23:27:37 +08:00   ❤️ 1
    @nfroot zerotier 了解下,windows 平台可以尝试 libzt,原版的 25.255.255.254 fake gateway 问题有断网可能
    745839
        19
    745839  
       2018-04-10 23:46:09 +08:00 via Android   ❤️ 1
    @wangxiaoaer 开车大神既视感
    yingfengi
        20
    yingfengi  
       2018-04-11 08:26:31 +08:00 via Android   ❤️ 1
    @nfroot 深信服 sslvpn 了解下 ヽ(  ̄д ̄;)ノ
    Soar360
        21
    Soar360  
       2018-04-11 10:39:47 +08:00 via iPhone   ❤️ 1
    openvpn 了解下?
    nfroot
        22
    nfroot  
    OP
       2018-04-11 17:59:50 +08:00
    @mhycy
    @745839
    @yingfengi
    @Soar360
    谢谢,目前这些都不错,我再研究研究。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1000 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 22:11 · PVG 06:11 · LAX 15:11 · JFK 18:11
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.