SQL漏洞评估中的“VA2065-服务器级防火墙规则”怎么办？

Question

通过 SQL 漏洞评估和警告之一是“VA2065 - 服务器级防火墙规则应该被跟踪并保持在最低限度”。

然后是红色的防火墙规则列表，旁边有 IP 个地址（通常只有一个数字，但有时是一个范围）。

我试图理解这些规则和这个评估。 我认为这些是我们允许访问服务器的 IP 地址。 例如，当我从 SSMS 访问有问题的服务器上的数据库时，我偶尔会收到一个错误，提示我必须将 IP 添加到防火墙规则中才能继续。 所以我说是的。 我看到一些规则的名称类似于“ClientIPAddress_2019-05-21_01:24:15”，这可能是由此产生的结果。

我还看到一些奇怪的规则，例如“AllowAllWindowsAzureIps”，其 IP 范围为 0.0.0.0 到 0.0.0.0。 这是怎么回事？ 我的猜测是允许任何 Azure 进程访问服务器，但我不知道。

假设我的分析是正确的，而且所有的规则都没有问题，那么什么是需要补救的呢？ 将当前规则设置为基准并在创建新规则时发出警报？ 或者禁止任何自动规则创建？

任何指导将不胜感激。

“允许所有 WindowsAzureIps”

Answer 1

我并不是说这是正确的答案，但由于已经超过 2 年而且没有人回答，我会试一试。

这就是我们处理/修复此问题的方式。 您要么将规则添加到基线（说它应该在这里），要么删除规则（说它不应该在这里）。 将此扫描视为存在这些规则的提醒，并在不需要时将其清除。 您所有的 ClientIp 规则。 基线是预期的。

如果你把它想象成一个有参加者名单的聚会，它可能会有所帮助。 你的派对名单上有 2 位客人：玛莎（你妈妈）和杰夫（你妈妈的特别朋友）。 如果你 go 进入你的聚会并看到那里有 3 个人，你知道有些事情不对，但它是对的，因为你忘记了你告诉萨曼莎（你的表妹）她可以来。 因此，您将她添加到列表中。 现在您的派对顾问一切正常，因为名单上有 3 个名字并且有 3 个人在派对中。

但是后来你回来了，现在聚会上有 4 个人。 查德（萨曼莎的男朋友）出现了。 您的派对管理员知道 Chad 必须拨打 go，因为他不在名单上。 他参加派对是因为 Samantha 让他进来了。但这不是 Samantha 的派对，她不应该那样做。

幸好我们有这份名单，它告诉我们谁真正应该参加派对，否则我们将无法单独与萨曼莎共度时光。