今天在服务器上设置安全策略,有个奇葩的设置试了很多次,仍然不太理解,但按照以下方法是起作用的:
目标:开启防火墙,限制服务器A上的MySQL数据库只能通过B访问。
实现:
1、首先设置A上的入站规则,添加更改后远程端口可访问,然后开启防火墙(如果不先增加入站规则,则无法远程)。
2、添加A上的mysql端口入站规则,允许所有IP访问(设置控制域中的IP不起作用,查资料设置了多次不成功,所以需要后续设置安全策略)
3、gpedit.msc开启安全策略
4、设置B可访问A的mysql端口,同时设置A阻止所有IP访问mysql端口(必须两个都设置,不存在冲突也不会有优先顺序)
5、成功。
总结:必须有3项,1需设置防火墙mysql所有IP允许,2设置安全策略中指定IP可访问mysql端口,3设置阻止所有IP访问mysql端口。看似矛盾,但这3步缺一不可。
ps:
IP安全策略和防火墙的区别
可能对于服务器运维新手,可能不知道ip安全策略和防火墙的区别。因为在ip安全策略和防火墙中有很多相似的地方,甚至功能很相似。在设置的时候可能会混淆,认为要设置为防火墙也要同时设置ip安全策略等疑惑。
下面就来说说ip安全策略和防火墙的关系和区别:
ip安全策略:其实可以理解为简单版的防火墙,使用操作上没有防火墙软件那么方便,因为是简单的网络访问控制,功能上也稍逊防火墙。
防火墙:防火墙可以理解为一款具有网络过滤控制功能的软件,其他第三方的防火墙也一样道理,比如安全狗的服务器安全软件也是如此。
所以说ip安全策略和防火墙在设置没有直接的关系,互相不会影响,相互独立,当然可以既可以在ip安全策略设置也可以在防火墙中设置,但是这样没有必要,而且要求设置上要保持一致,如果ip安全策略设置为允许和防火墙设置为阻止,那么最终服务器总体而言还是阻止的。所以如果有windows防火墙就用防火墙设置即可,忽略ip安全策略。如果服务器自带windows防火墙和其他第三方防火墙软件,这里就根据实际情况使用,如果其他第三方防火墙软件功能比较齐全,操作比较方便,而且是开启自启动和常开的,就可以考虑使用第三方的防火墙软件。