仅允许从特定 IP 地址进行远程访问

为此，我使用 Windows 防火墙和 Powershell。当然，除非您想获得 ScaleArc 之类的东西来充当反向代理。您的选择实际上将仅限于利用其中一种技术的东西。防火墙/IPSec 或反向代理。

这是我用来验证此环境中存在规则的端口并添加它的脚本大纲。指定 -RemoteAddress 以限制对某些 IP 的访问：

New-NetFirewallRule Docs

-RemoteAddress<String[]>
Specifies that network packets with matching IP addresses match this rule. 
This parameter value is the second end point of an IPsec rule and specifies the computers that are subject to the requirements of this rule. 
This parameter value is an IPv4 or IPv6 address, hostname, subnet, range, or the following keyword: Any. 
The acceptable formats for this parameter are: 
-- Single IPv4 Address: 1.2.3.4 
-- Single IPv6 Address: fe80::1 
-- IPv4 Subnet (by network bit count): 1.2.3.4/24 
-- IPv6 Subnet (by network bit count): fe80::1/48 
-- IPv4 Subnet (by network mask): 1.2.3.4/255.255.255.0 
-- IPv4 Range: 1.2.3.4 through 1.2.3.7 
-- IPv6 Range: fe80::1 through fe80::9 
Note: Querying for rules with this parameter can only be performed using filter objects. See the Get-NetFirewallAddressFilter cmdlet for more information

.

Powershell脚本：

##Internal SQL Endpoint for AGs to communicate together. Needed on all nodes.
$LocalPortNumber = '5122'
$PortDisplayName = 'SQL-AG-Endpoint'
$Protocol = 'TCP'
$PortCheck = Get-NetFirewallPortFilter | where {$_.LocalPort -eq $LocalPortNumber}
if ($PortCheck){  ##Check if exists))
write-host "Port $($LocalPortNumber) for $($PortDisplayName) already found. Not adding Firewall Entry" #-ForegroundColor DarkGreen
}
ELSE
{
write-host "Port $($LocalPortNumber) is not found. Adding now" 
New-NetFirewallRule -DisplayName "$($PortDisplayName)" -Direction Inbound –LocalPort $($LocalPortNumber) -Protocol $($Protocol) -Action Allow
}

Windows 防火墙允许开箱即用地按 IP 地址进行过滤，只是在“新建规则”向导中没有为您提供选择。您必须先创建规则，然后编辑其属性：

您可以通过您的网络和路由/交换基础设施来控制它。每当我遇到类似情况时，我们的网络团队都会将访问 SQL 所在子网的权限限制为某些子网。例如，您希望您的内部开发人员能够访问开发系统，但不能访问生产系统。您不仅可以通过 Windows ID 或 SQL 用户来限制这一点，还可以为 SQL 所在的子网打开路由/隧道，来往/来自开发人员所在的子网。因此，您不仅可以控制 Windows/ SQL 帐户，但也按子网/网络。