因此,不仅应该保护您的 SQL Server 免受外部 Internet 的影响,还应该禁用“sa”帐户。禁用“sa”帐户很容易。阻止公共访问 SQL Server 的技巧 设置 SQL Server 使其无法通过 Internet 访问,但可以通过 Web 和应用程序服务器访问,这一点比较棘手。 Amazon 提供了一篇关于如何通过多个 VPC 实现这一点的文章,但我是一个简单的人,我喜欢简单的解决方案。在测试了几种场景之后,我得出了以下计划,该计划可以充分保护我的 SQL Server 实例,并且顺便节省了我的 AWS 账单。诀窍是将我的所有服务器、应用程序、Web 和 SQL Server 放在同一个可用区中,然后使用虚拟私有云 (VPC) 中的网络 ACL 锁定可用区。
一个简单的拒绝规则阻止我的 VPC 的端口 阿尔及利亚数据 即可完成此操作。同一可用区和子网中的任何服务器仍然能够访问端口 1433,因为 ACL 只保护子网免受子网外部(而不是子网内部)任何内容的影响。您会注意到,我在 DENY 规则之上有一条针对我自己 IP 的 ALLOW 规则,该规则阻止对端口 1433(SQL Server 使用的标准 TCP/IP 端口)的所有访问。这样我仍然可以从我的个人工作站管理我的 SQL Server。您可于整个子网的网络 ACL,而不是仅在保存 EC2 实例的安全组中设置入站规则。原因是安全组规则仅用于允许端口访问。
您不能将 DENY 规则放入安全组中,但可以放入网络 ACL 中。节省 AWS 账单将所有服务器置于同一可用区的另一个好处是,您无需为服务器之间的带宽付费。如果您的服务器位于不同的可用区,则您需要支付 0.01 美元/GB 的传输费用。对我来说,最近仅这部分数据传输的费用就达到了每月 250 美元。实际上,要避免实例之间的数据传输费用,需要满足两个条件:1)它们必须位于同一个可用区; 2) 他们必须通过私有IP地址而不是公共IP地址相互通信。需要注意的是,我在 EC2 Windows 实例上托管自己的 SQL Server。
- Board index
- All times are UTC
- Delete cookies
- Contact us