问下，有硬件防火墙的WEB服务器仅开放80端口，并且设置了禁止主机访问外网的策略，能不能防止拿站？

不知道你的防火墙是型号的。 血到教训告诉你。一个80端口足可以黑了你的站。SQL注入也是通过WEB的80端口进行的。他一旦上传了木马。**了admin 权限。FTP的权限。就可以对你的服务器进行提权。。

所以要问你硬件防火墙。还有策略是怎么做的。

例如我公司用的netscreen 我用的VIP做的策略。。映射端口80 。同时的策略是禁止外网写入到服务器的。因为公司没有留言。BBS等互动的。所以可以这么做。 如果FTP。我会用到***客户端进行。这样就没问题了。

我同学的CISCO 用了其他的策略。限定访问的数据和端口。

建议：

在企业应用中，服务器网络环境一般都是不允许访问外网的，可以从微软官方网站根据自己的系统类型Windows 2008 R2 Enterprise下载补丁包，而且微软一般过一段时间会出一个补丁包合集，可以下载之后，根据提示安装即可。

很多人在开发过程中都会用多数据库(这里仅讨论MSSQL),也都会在服务器上装MSSQL,在你装上MSSQL后,机器上的1433端口就被激活了如果你的服务器是在内网,也许不用过多的关注,如果你的服务器是直接对外的,有一个外网访问IP,在你数据库开启SQL Server认证的时候,你可能就会留意一个问题了,你的数据库是可以被远程连接管理的

有的人说可以只开启window认证,关闭SQL Server认证,就不怕这个问题了,但是我们不能忽略一点,数据库通常都是伴随着程序一起使用的,而程序连接数据库大部分都是用的SQL Server认证的,关闭SQL Server认证,无疑就是让程序无法使用了,所以最好的方法就是对外不允许远程连接,对内是可以连接的

针对上述现象,我大致做了一个图文配置的描述,希望能帮忙到各位需要帮忙的人

以下数据库默认为 MSSQL2008R2

1首先找到你的SQL Server 配置管理器点击左边的MSSQLSERVER的协议,在右边找到TCP/IP如下图所示,如果你是x86的系统,看到的可能会有区别

2点击TCP/IP协议,在协议一栏中,找到 全部侦听,修改为否

3点击IP地址,将IP地址为127001(IPV4)或::1(IPV6)的已启用修改为是,其它的IP地址的已启用修改为否

4IPAll的配置不变

经过上述配置,我想应该能解决了

   但我没有经过其它的详细测试,可能会有其它的不足存在,如有其它问题,欢迎通过留言反馈,我会及时跟进~