Windows Server数据库服务器安全加固
Windows Server数据库服务器安全加固(限制mysql端口,仅允许指定IP访问)
企业数据库服务器存储核心业务数据,面临公网非法访问、端口扫描等安全风险。MySQL 默认端口(3306)若暴露于公网,易成为黑客攻击入口。通过防火墙配置限制数据库端口仅允许指定 IP 访问,是防止数据泄露、强化数据库安全的关键措施。
本案例基于 Windows 系统,演示 MySQL 数据库服务器的安全加固流程:
数据库安装与初始化:从官网下载 MySQL 安装包,选择 “FULL” 模式安装服务端与客户端,设置强密码完成初始化,通过命令行客户端验证安装成功。
防火墙规则配置:
允许指定 IP 访问:创建自定义入站规则,指定 TCP 3306 端口,远程 IP 允许内网段(如 192.168.2.0/24),确保仅授权设备(如宿主机)可连接数据库。
禁止公网访问:再次创建自定义规则,针对 TCP 3306 端口,远程 IP 选择 “Internet”,操作设为 “阻止连接”,阻断公网对数据库的访问请求。
效果验证:通过 Navicat 等工具测试指定 IP 的连接可用性,确认规则生效后,公网 IP 尝试连接时应被拒绝,实现数据库端口的安全隔离。
4.3.1 安装mysql数据库
(1)打开MySQL官网,下载mysql安装包。
(2)双击MySQL安装包启动安装程序。
(3)进入安装选项,选择“FULL”模式,同时安装服务端和客户端。
(4)后续步骤默认即可,中途需要涉资密码,请使用强密码,应用配置完成后点击Finish。
(5)测试访问MySQL,点击开始键,找到“mysql 8.0 command line client”,输入预先设置好的密码登录数据库。
4.3.2 创建SQL Server端口入站规则(仅允许本地及指定ip访问)
(1)新建防火墙入站规则,允许指定IP访问数据库,规则类型选择自定义。
(2)第二步中“程序”选项默认即可。
(3)设置端口和协议,本地端口为3306,远程端口不限制,协议选择TCP协议。
(4)设置作用域,本地IP地址保持默认,远程IP地址点击添加,输入192.168.2.0/24,添加一个24位地址段,因为本次实验使用的是VMware虚拟环境,安装MySQL数据库的虚拟机网络使用的是nat模式,所以定义远程IP需要允许nat模式对应的虚拟网卡的网络地址段。
(5)后续步骤默认即可,输入规则名称后点击完成。
(6)测试连接,将本地宿主机作为被允许的主机,打开Navicat,输入MySQL数据库的登录信息测试登录。
4.3.3 禁止公网访问mysql端口
(1)再次新建入站规则,选择自定义模式,程序和服务默认设置。
(2)协议类型选择TCP,特定本地端口输入3306。
(3)在作用域页面,本地IP地址保持默认,远程IP选择下列IP地址,点击添加
(4)在远程IP地址范围中选择Internet。
(5)操作选项选择阻止连接。
(6)后续步骤默认即可,输入规则名称后点击完成。
