Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 Доступ к SQL Server из интернета  [new]
gepard1980
Member

Откуда: Ярославль
Сообщений: 240
Есть машина c MS SQL Server 2008R2. Работает в сети, размещенной в Azure. Требуется дать доступ к базам для PHP-приложения, которое находится на обычном Jino-хостинге. Открывать порт 1433 наружу как я понял это самоубийство. Подскажите как лучше сделать.
3 июл 17, 13:59    [20608980]     Ответить | Цитировать Сообщить модератору
 Re: Доступ к SQL Server из интернета  [new]
Владислав Колосов
Member

Откуда:
Сообщений: 7407
gepard1980,

Через веб-сервисы (SOAP и т.п). Где-то у Вас должен быть веб-сервер, которому доверяете прямое соединения с сиквелом.
VPN в Вашей конфигурации, насколько я понимаю, невозможен.
3 июл 17, 14:54    [20609236]     Ответить | Цитировать Сообщить модератору
 Re: Доступ к SQL Server из интернета  [new]
gepard1980
Member

Откуда: Ярославль
Сообщений: 240
Владислав Колосов, веб-сервис есть, но нужно API писать тогда. Хочу доступ дать, чтобы самому ничего не писать, а PHP-приложение само данные получало.
3 июл 17, 15:00    [20609279]     Ответить | Цитировать Сообщить модератору
 Re: Доступ к SQL Server из интернета  [new]
Руслан Дамирович
Member

Откуда: Резиновая нерезиновая
Сообщений: 940
gepard1980
Владислав Колосов, веб-сервис есть, но нужно API писать тогда. Хочу доступ дать, чтобы самому ничего не писать, а PHP-приложение само данные получало.

Вам шашечки или ехать? Если ничего не писать - открывай 1433 порт.
3 июл 17, 15:05    [20609304]     Ответить | Цитировать Сообщить модератору
 Re: Доступ к SQL Server из интернета  [new]
Владислав Колосов
Member

Откуда:
Сообщений: 7407
gepard1980,

если безопасность волнует, то надо создавать слой приложений работы с сервером. Порт если откроете, его сразу начнут китайцы брутфорсить. Попробуйте наложить на файрволе сервера ограничения на IP клиента.
3 июл 17, 15:07    [20609311]     Ответить | Цитировать Сообщить модератору
 Re: Доступ к SQL Server из интернета  [new]
gepard1980
Member

Откуда: Ярославль
Сообщений: 240
Владислав Колосов, правильно ли я понимаю, что если открою порт 1433 и в фаерволе настрою доступ с одного IP, то все равно будут пакетами бомбить порт (DDOS)?
3 июл 17, 15:32    [20609453]     Ответить | Цитировать Сообщить модератору
 Re: Доступ к SQL Server из интернета  [new]
TaPaK
Member

Откуда: Kiev
Сообщений: 6794
gepard1980
Владислав Колосов, правильно ли я понимаю, что если открою порт 1433 и в фаерволе настрою доступ с одного IP, то все равно будут пакетами бомбить порт (DDOS)?
стучать в дверь это точно не запретит
3 июл 17, 15:34    [20609459]     Ответить | Цитировать Сообщить модератору
 Re: Доступ к SQL Server из интернета  [new]
s_ustinov
Member

Откуда: Munchen, DE
Сообщений: 2171
gepard1980
Есть машина c MS SQL Server 2008R2. Работает в сети, размещенной в Azure. Требуется дать доступ к базам для PHP-приложения, которое находится на обычном Jino-хостинге. Открывать порт 1433 наружу как я понял это самоубийство. Подскажите как лучше сделать.

На AWS, насколько помню, можно ограничить доступ не на уровне операционки, а на уровне настроек соединения с сетью. И вот там то и надо прописать IP вашего сервера, которому разрешен доступ, а всем остальным - запретить.
В ажуре, думаю, примерно так же.
3 июл 17, 15:41    [20609493]     Ответить | Цитировать Сообщить модератору
 Re: Доступ к SQL Server из интернета  [new]
gepard1980
Member

Откуда: Ярославль
Сообщений: 240
s_ustinov, спасибо за наводку! Нашел, что в Azure есть Network Security Groups, как раз оно. https://docs.microsoft.com/en-us/azure/virtual-machines/windows/classic/setup-endpoints
3 июл 17, 16:38    [20609770]     Ответить | Цитировать Сообщить модератору
 Re: Доступ к SQL Server из интернета  [new]
Владислав Колосов
Member

Откуда:
Сообщений: 7407
gepard1980,

Вы неправильно понимаете принципы DoS. DoS наступает в случае, если все доступные подключения исчерпаны. У вас же разрешены подключения только для белого списка. Риск есть других техник, но он будет в любом таком случае, независимо от принятых мер.
3 июл 17, 18:40    [20610252]     Ответить | Цитировать Сообщить модератору
 Re: Доступ к SQL Server из интернета  [new]
s_ustinov
Member

Откуда: Munchen, DE
Сообщений: 2171
Владислав Колосов
gepard1980,

Вы неправильно понимаете принципы DoS. DoS наступает в случае, если все доступные подключения исчерпаны. У вас же разрешены подключения только для белого списка. Риск есть других техник, но он будет в любом таком случае, независимо от принятых мер.

Есть разница - идет защита на уровне ОС или на уровне сетевого оборудования.
Если настраивать на уровне Network Security Groups, то пакеты с левых машин просто не будут доходить до виртуальной машины с виндой. Безопасность такой настройки существенно выше, чем использовать файрвол винды.
3 июл 17, 19:26    [20610362]     Ответить | Цитировать Сообщить модератору
 Re: Доступ к SQL Server из интернета  [new]
SQL2008
Member

Откуда: Москва
Сообщений: 4101
gepard1980
Есть машина c MS SQL Server 2008R2. Работает в сети, размещенной в Azure. Требуется дать доступ к базам для PHP-приложения, которое находится на обычном Jino-хостинге. Открывать порт 1433 наружу как я понял это самоубийство. Подскажите как лучше сделать.

1. Пропишите разрешение на соедиение только с сервером с Jino.
2. Выберите нестандартный порт. У нас, например, ни один SQL не работает по 1433, все переназначены.
3. Отключите login sa совсем! Сделайте сисадминовский аккаунт с именем, типа 823764G98AG72YWER, к нему аналогичный пароль.
4. Настройте, наконец, SSL-соединение, хоть с самоподписанным сертификатом. Если конечно ваш софт это позволяет.
4 июл 17, 10:38    [20611364]     Ответить | Цитировать Сообщить модератору
 Re: Доступ к SQL Server из интернета  [new]
Владислав Колосов
Member

Откуда:
Сообщений: 7407
SQL2008,

на Ажуре можно выбрать иной порт?
4 июл 17, 11:32    [20611561]     Ответить | Цитировать Сообщить модератору
 Re: Доступ к SQL Server из интернета  [new]
gepard1980
Member

Откуда: Ярославль
Сообщений: 240
Решается на уровне Azure. В свойствах виртуальной машины, где MS SQL Server крутится, открыл вкладку 'Точки доступа'. Добавил порт SQL. Далее настроил ACL: открыл двум внешним IP доступ к машине, также машинам из внутренней сети Azure, остальным доступ закрыл. Скриншот прикрепил.

К сообщению приложен файл. Размер - 17Kb
4 июл 17, 11:57    [20611660]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить