Добро пожаловать в форум, Guest >> Войти | Регистрация | Поиск | Правила | | В избранное | Подписаться | ||
Все форумы / Microsoft SQL Server |
![]() ![]() |
gepard1980 Member Откуда: Ярославль Сообщений: 244 |
Есть машина c MS SQL Server 2008R2. Работает в сети, размещенной в Azure. Требуется дать доступ к базам для PHP-приложения, которое находится на обычном Jino-хостинге. Открывать порт 1433 наружу как я понял это самоубийство. Подскажите как лучше сделать. |
3 июл 17, 13:59 [20608980] Ответить | Цитировать Сообщить модератору |
Владислав Колосов Member Откуда: Сообщений: 8320 |
gepard1980, Через веб-сервисы (SOAP и т.п). Где-то у Вас должен быть веб-сервер, которому доверяете прямое соединения с сиквелом. VPN в Вашей конфигурации, насколько я понимаю, невозможен. |
3 июл 17, 14:54 [20609236] Ответить | Цитировать Сообщить модератору |
gepard1980 Member Откуда: Ярославль Сообщений: 244 |
Владислав Колосов, веб-сервис есть, но нужно API писать тогда. Хочу доступ дать, чтобы самому ничего не писать, а PHP-приложение само данные получало. |
3 июл 17, 15:00 [20609279] Ответить | Цитировать Сообщить модератору |
Руслан Дамирович Member Откуда: Резиновая нерезиновая Сообщений: 940 |
Вам шашечки или ехать? Если ничего не писать - открывай 1433 порт. |
||
3 июл 17, 15:05 [20609304] Ответить | Цитировать Сообщить модератору |
Владислав Колосов Member Откуда: Сообщений: 8320 |
gepard1980, если безопасность волнует, то надо создавать слой приложений работы с сервером. Порт если откроете, его сразу начнут китайцы брутфорсить. Попробуйте наложить на файрволе сервера ограничения на IP клиента. |
3 июл 17, 15:07 [20609311] Ответить | Цитировать Сообщить модератору |
gepard1980 Member Откуда: Ярославль Сообщений: 244 |
Владислав Колосов, правильно ли я понимаю, что если открою порт 1433 и в фаерволе настрою доступ с одного IP, то все равно будут пакетами бомбить порт (DDOS)? |
3 июл 17, 15:32 [20609453] Ответить | Цитировать Сообщить модератору |
TaPaK Member Откуда: Kiev Сообщений: 6801 |
|
||
3 июл 17, 15:34 [20609459] Ответить | Цитировать Сообщить модератору |
s_ustinov Member Откуда: Munchen, DE Сообщений: 2209 |
На AWS, насколько помню, можно ограничить доступ не на уровне операционки, а на уровне настроек соединения с сетью. И вот там то и надо прописать IP вашего сервера, которому разрешен доступ, а всем остальным - запретить. В ажуре, думаю, примерно так же. |
||
3 июл 17, 15:41 [20609493] Ответить | Цитировать Сообщить модератору |
gepard1980 Member Откуда: Ярославль Сообщений: 244 |
s_ustinov, спасибо за наводку! Нашел, что в Azure есть Network Security Groups, как раз оно. https://docs.microsoft.com/en-us/azure/virtual-machines/windows/classic/setup-endpoints |
3 июл 17, 16:38 [20609770] Ответить | Цитировать Сообщить модератору |
Владислав Колосов Member Откуда: Сообщений: 8320 |
gepard1980, Вы неправильно понимаете принципы DoS. DoS наступает в случае, если все доступные подключения исчерпаны. У вас же разрешены подключения только для белого списка. Риск есть других техник, но он будет в любом таком случае, независимо от принятых мер. |
3 июл 17, 18:40 [20610252] Ответить | Цитировать Сообщить модератору |
s_ustinov Member Откуда: Munchen, DE Сообщений: 2209 |
Есть разница - идет защита на уровне ОС или на уровне сетевого оборудования. Если настраивать на уровне Network Security Groups, то пакеты с левых машин просто не будут доходить до виртуальной машины с виндой. Безопасность такой настройки существенно выше, чем использовать файрвол винды. |
||
3 июл 17, 19:26 [20610362] Ответить | Цитировать Сообщить модератору |
SQL2008 Member Откуда: Москва Сообщений: 4394 |
1. Пропишите разрешение на соедиение только с сервером с Jino. 2. Выберите нестандартный порт. У нас, например, ни один SQL не работает по 1433, все переназначены. 3. Отключите login sa совсем! Сделайте сисадминовский аккаунт с именем, типа 823764G98AG72YWER, к нему аналогичный пароль. 4. Настройте, наконец, SSL-соединение, хоть с самоподписанным сертификатом. Если конечно ваш софт это позволяет. |
||
4 июл 17, 10:38 [20611364] Ответить | Цитировать Сообщить модератору |
Владислав Колосов Member Откуда: Сообщений: 8320 |
SQL2008, на Ажуре можно выбрать иной порт? |
4 июл 17, 11:32 [20611561] Ответить | Цитировать Сообщить модератору |
gepard1980 Member Откуда: Ярославль Сообщений: 244 |
Решается на уровне Azure. В свойствах виртуальной машины, где MS SQL Server крутится, открыл вкладку 'Точки доступа'. Добавил порт SQL. Далее настроил ACL: открыл двум внешним IP доступ к машине, также машинам из внутренней сети Azure, остальным доступ закрыл. Скриншот прикрепил. К сообщению приложен файл. Размер - 17Kb |
4 июл 17, 11:57 [20611660] Ответить | Цитировать Сообщить модератору |
Все форумы / Microsoft SQL Server | ![]() |