SQL漏洞評估中的“VA2065-服務器級防火牆規則”怎么辦？

Question

通過 SQL 漏洞評估和警告之一是“VA2065 - 服務器級防火牆規則應該被跟蹤並保持在最低限度”。

然后是紅色的防火牆規則列表，旁邊有 IP 個地址（通常只有一個數字，但有時是一個范圍）。

我試圖理解這些規則和這個評估。 我認為這些是我們允許訪問服務器的 IP 地址。 例如，當我從 SSMS 訪問有問題的服務器上的數據庫時，我偶爾會收到一個錯誤，提示我必須將 IP 添加到防火牆規則中才能繼續。 所以我說是的。 我看到一些規則的名稱類似於“ClientIPAddress_2019-05-21_01:24:15”，這可能是由此產生的結果。

我還看到一些奇怪的規則，例如“AllowAllWindowsAzureIps”，其 IP 范圍為 0.0.0.0 到 0.0.0.0。 這是怎么回事？ 我的猜測是允許任何 Azure 進程訪問服務器，但我不知道。

假設我的分析是正確的，而且所有的規則都沒有問題，那么什么是需要補救的呢？ 將當前規則設置為基准並在創建新規則時發出警報？ 或者禁止任何自動規則創建？

任何指導將不勝感激。

“允許所有 WindowsAzureIps”

Answer 1

我並不是說這是正確的答案，但由於已經超過 2 年而且沒有人回答，我會試一試。

這就是我們處理/修復此問題的方式。 您要么將規則添加到基線（說它應該在這里），要么刪除規則（說它不應該在這里）。 將此掃描視為存在這些規則的提醒，並在不需要時將其清除。 您所有的 ClientIp 規則。 基線是預期的。

如果你把它想象成一個有參加者名單的聚會，它可能會有所幫助。 你的派對名單上有 2 位客人：瑪莎（你媽媽）和傑夫（你媽媽的特別朋友）。 如果你 go 進入你的聚會並看到那里有 3 個人，你知道有些事情不對，但它是對的，因為你忘記了你告訴薩曼莎（你的表妹）她可以來。 因此，您將她添加到列表中。 現在您的派對顧問一切正常，因為名單上有 3 個名字並且有 3 個人在派對中。

但是后來你回來了，現在聚會上有 4 個人。 查德（薩曼莎的男朋友）出現了。 您的派對管理員知道 Chad 必須撥打 go，因為他不在名單上。 他參加派對是因為 Samantha 讓他進來了。但這不是 Samantha 的派對，她不應該那樣做。

幸好我們有這份名單，它告訴我們誰真正應該參加派對，否則我們將無法單獨與薩曼莎共度時光。