今天在服務器上設置安全策略,有個奇葩的設置試了很多次,仍然不太理解,但按照以下方法是起作用的:
目標:開啓防火牆,限制服務器A上的MySQL數據庫只能通過B訪問。
實現:
1、首先設置A上的入站規則,添加更改後遠程端口可訪問,然後開啓防火牆(如果不先增加入站規則,則無法遠程)。
2、添加A上的mysql端口入站規則,允許所有IP訪問(設置控制域中的IP不起作用,查資料設置了多次不成功,所以需要後續設置安全策略)
3、gpedit.msc開啓安全策略
4、設置B可訪問A的mysql端口,同時設置A阻止所有IP訪問mysql端口(必須兩個都設置,不存在衝突也不會有優先順序)
5、成功。
總結:必須有3項,1需設置防火牆mysql所有IP允許,2設置安全策略中指定IP可訪問mysql端口,3設置阻止所有IP訪問mysql端口。看似矛盾,但這3步缺一不可。
ps:
IP安全策略和防火牆的區別
可能對於服務器運維新手,可能不知道ip安全策略和防火牆的區別。因爲在ip安全策略和防火牆中有很多相似的地方,甚至功能很相似。在設置的時候可能會混淆,認爲要設置爲防火牆也要同時設置ip安全策略等疑惑。
下面就來說說ip安全策略和防火牆的關係和區別:
ip安全策略:其實可以理解爲簡單版的防火牆,使用操作上沒有防火牆軟件那麼方便,因爲是簡單的網絡訪問控制,功能上也稍遜防火牆。
防火牆:防火牆可以理解爲一款具有網絡過濾控制功能的軟件,其他第三方的防火牆也一樣道理,比如安全狗的服務器安全軟件也是如此。
所以說ip安全策略和防火牆在設置沒有直接的關係,互相不會影響,相互獨立,當然可以既可以在ip安全策略設置也可以在防火牆中設置,但是這樣沒有必要,而且要求設置上要保持一致,如果ip安全策略設置爲允許和防火牆設置爲阻止,那麼最終服務器總體而言還是阻止的。所以如果有windows防火牆就用防火牆設置即可,忽略ip安全策略。如果服務器自帶windows防火牆和其他第三方防火牆軟件,這裏就根據實際情況使用,如果其他第三方防火牆軟件功能比較齊全,操作比較方便,而且是開啓自啓動和常開的,就可以考慮使用第三方的防火牆軟件。