問題が発生し、その処理方法がわかりませんでした。Windows 2008 R2サーバー上にSQLサーバーがあります。このSQL Server 2005は、インターネット上の他の場所にある別のSQL ServerからDBサブスクリプションを受信するために使用されています。ファイアウォールを介してSQLサーバーのポートを開いていますが、スコープでは、他のSQLサーバーのIPを入力しています。そうすることで、他のSQL Server(ファイアウォールルールのスコープにリストされているIP)からの要求でない限り、そのポートを介した接続要求がSQL Serverに到達しないことを望みました。しかし、ログを見ると、何百もの「login failed user sa」エントリがあります(そして、それらは1秒ごとに来ています)。一部のハッカーがユーザーのパスワードを推測するためにブルートフォースを試みているようです。しかし問題は、ファイアウォールスコープにリストされているIPアドレスからではないのに、Windowsがこれらの要求をSQL Serverに到達させているのはなぜですか?このSQL Serverを保護する正しい方法は何ですか。他のSQL ServerのIP以外のIPは、このSQLサーバーに接続する必要はありません。
編集-詳細情報:
別のマシンからsqlサーバーポートでtelnetを実行しました。Telnetは、ファイアウォールスコープで具体的に言及されているマシンから実行された場合を除き、失敗します。したがって、ファイアウォールがSQLサーバーポートを正常にブロックしているようです。しかし、なぜSQL Serverログに異なるIPアドレスからのユーザー "sa"への失敗したログイン要求が表示されるのですか?ハッカーがポート80経由でマシンに侵入し、SQLサーバーに接続しようとしている可能性はありますか?ポート80と443は誰でも利用できます。SQLサーバーポートを除いて、他のすべてのポートは閉じられています(特定のIPに対してのみ開かれています)。訪問者をSQLサーバーに導く可能性のあるポート80のWebサーバー上で実行されているものはありません。実際、Webサーバーにはindex.html(SQLに接続されていない純粋なHTML)ファイルが1つだけあります。これは、将来使用するためにセットアップされたテストサーバーにすぎません。SQL Serverでのみデータをテストします。
編集:
ファイアウォール接続を有効にして、ドロップ接続と成功接続の両方を含めました。現在、すべてをトレースしています。次に、SQL Serverログに移動し、中国のさまざまなIPアドレスからの失敗したログイン試行を確認します。ただし、ファイアウォールログにこれらのIPアドレスのエントリはありません。これはどのようにして可能ですか?ファイアウォールを完全にバイパスしてSQLサーバーにアクセスできますか?ファイアウォールのポートが開いていて、そこから入る可能性がある場合、ファイアウォールのログにそのIPアドレスのエントリが表示されます。私は完全に途方に暮れています。