配置 Azure SQL Server 防火墙 - 是否允许所有 IP 连接红旗?
Pip*_*ine 3 firewall azure azure-sql-database azure-sql-server
我刚刚创建了我的第一个 Azure SQL Server 和数据库,现在正在尝试配置防火墙,以便我的 Web 应用程序可以连接并更改服务器上的单个数据库。
我看到您可以通过允许以下规则来允许所有客户端连接:
然而,这是不好的做法吗?我看到我的客户端 IP 地址列在 Azure 门户中我是否可以澄清我现在应该只允许该单个 IP 地址访问,然后当我将我的 Web 应用程序发布到 Azure 时,我将获得一个 IP 地址Web 应用程序存在并且仅限制对其的访问(假设人们只能通过我的前端应用程序进行数据库更改)。
谢谢
是的,这是不好的做法。他们还必须通过其他层(例如,服务器登录),但这打开了前门,允许任何人在闲暇时挑选它。
如果您有一台 Web 服务器在某个服务器上托管您的 Web 应用程序(您必须是),请将该服务器的 IP 地址(也可能是您自己的 IP 地址,用于开发/管理目的)列入白名单,但允许所有 IP 不被认为是好的做法,不。
您可能真的希望允许这种情况的一种特殊情况是,如果您将桌面应用程序分发给必须连接到后端的未知客户端。在这一点上它变得非常诱人,但即便如此,推荐的做法(或至少,我推荐的做法)是使用一个 Web 服务,该服务将在应用程序启动时接受应用程序注册,通过该服务临时注册客户端 IP ,然后有一个后台服务器(想想 WebJobs),它会刷新防火墙规则,比如每晚左右(或者对于更复杂的设置,接受超时的注册并使用连续的 WebJob 轮询超时和刷新/必要时撤销)