Я видел След на LAN, рекламируемый на платах NIC PCI путь назад, когда Ethernet 100 МБ был довольно новым в рабочем столе. Тогда, карты интегральной сети еще не были стандартными (но становящийся так). Тем не менее WoL для неинтегрированных компонентов является функцией поддержки BIOS. Это должно сохранить достаточно, включают периферийную шину, независимо от того, что Вы используете и должны позволить устройствам на той шине выпускать события пробуждения. Это может быть сделано, но я не уверен, как общая поддержка BIOS в эти дни.
Вы имеете установку в основном худший вариант развития событий и по-видимому полны решимости придерживаться его.
Помещение сервера, публично доступного из Интернета, просто напрашивается на неприятности, как Вы узнали. Правильное решение состоит в том, чтобы установить VPN и использование это. Мне любопытно, почему Вы не хотите. Это добавляет одноэтапное к процессу соединения с сервером и обеспечивает главный уровень безопасности к среде, поскольку люди не могут получить доступ к Вашему SQL Server непосредственно.
В то время как намного легче, просто получают доступ к Вашим серверам из общедоступного Интернета, в котором намного более опасно только сохранить себя шаг VPNing.
И кто должен сказать, что другой ошибки как эта, которые позволяют Тюрьме SQL уничтожить SQL Server по всей сети, не произойдет снова с Вашим SQL Server в опасности.
В ответе на Ваш вопрос нет нет никакого способа сказать SQL Server игнорировать эти запросы на установление соединения, поскольку они - законные запросы на установление соединения.
Так как Вы устранили вероятные "лучшие" решения в своем вопросе, одно предложение, которое я мог придумать, будет состоять в том, чтобы выходить на сервер с основанным на Linux брандмауэром и использовать некоторый метод для входа этих отказов к месту, где fail2ban мог взять их и затем заблокировать их в брандмауэре. Это в основном автоматизировало бы процесс, который Вы делаете вручную теперь. Я не уверен точно, как у Вас был бы свой журнал SQL-сервера этими отказами так, чтобы fail2ban мог использовать их все же.
Другая опция состояла бы в том, чтобы посмотреть на системы, любят Фырканье, которое могло обнаружить нападение и соглашение с ним.
Каково использование сервера? Я полагаю, что Вы соединяетесь с ним для чего-то, управляя им или использования его? Другие серверы и/или пользователи также соединяются с ним, где они расположены и что они делают с ним?
Обычно никогда не помещайте серверы приложений, незащищенные в Интернете как этот.
Как Kevin говорит, в худшем случае случай, выходите на него с чем-то интеллектуальным - как Microsoft ISA или TMG, возможно, поскольку это - приложение Microsoft для начала. Но что-либо, что может обнаружить и обработать нападения автоматически, сделает...
... иначе - установление стандартного зашифрованного канала является определенно лучшим способом пойти. У Вас должен быть туннель точка-точка между SQL Server и Вашей внутренней сетью - я не вижу, как, делая его правильный путь добавил бы любые головные боли. Получить удаленный доступ, в то время как на дороге, Вы соединяетесь со своей сетью с помощью любой VPN, подходит Вам лучшее, и затем пробегитесь через туннель. Все платформы ОС имеют эти встроенные вещи.
Если у Вас действительно действительно должен быть он стоящий посреди Интернета, но только необходимо соединиться с ним, по крайней мере, настроить ipsec, чтобы иметь его только принятие трафика от определенных машин в определенном домене окон.
Вы говорите, что добавление дополнительного сервиса защиты от угроз увеличило бы Ваши затраты Колорадо, но оно не имеет к. Вы могли выполнить те сервисы на ту же машину, если бы она имеет достаточно umpf, который не использовал бы дополнительного пространства стойки. Вы могли даже выполнить те сервисы в VMs, в то время как тихая попытка быть перед основной ОС с точки зрения пользователей (и зомби) соединяющийся в - поместила SQL на локально-единственную обязанность и передает порт 1433 с открытого интерфейса (интерфейсов) на детектор проникновения (быть, сервис на основной хост или в VM), и имейте его соединения передачи до основных сервисов, как это считает целесообразным.
Сколько адресов должно соединиться с Вашим сервером, и насколько динамичный они? Разве поддержание некоторое время не перечислило бы также быть более эффективным, чем использование только черного списка? Unemerating польза намного более практичен, чем перечисление плохого. Клиент каждый соединяется от двух мест с фиксированным адресом?, позвольте те адреса конкретно. Клиент 2 подключения от ISP, который раздает динамические адреса?, позвольте им пул IP ISP через и позвольте своего рода автоматизированному черному списку (fail2ban или такой), попытка ловит плохие хосты, которые находятся также в том диапазоне.
Даже при том, что Вам нужен доступ, когда "на дороге" Вы не испытываете необходимость в доступе от каждого IP-адреса там. И если это - просто Вы (Вы не заявили размер и характер своей базы пользователей), который должен соединить это открыто, своего рода пробивающее порт решение работало бы? Хотя, после того как Вы начинаете говорить в том направлении надлежащая VPN это, вероятно, столь же легкий установить.
Обе этих опции, очевидно, добавляют дополнительную сложность, таким образом, необходимо было бы помешать затем опасности решить, имеет ли что-нибудь как они смысл. Но IMO, опасность очень высока - на следующий нулевой день использование, мог поразить Вас, прежде чем это поразит новости, таким образом, Вы не имели бы никакого предупреждения и должны будете просто полагаться на Ваши резервные копии и MS, выпускающий текущие исправления очень очень быстро - настолько делающий, ничто не было бы эффективным решением в моей книге. Я знаю, что Вы не хотите слышать его, но я - один из людей, которые пели бы "VPN, VPN, VPN" в этом виде ситуации...
Denny прав... НО если Вы полны решимости вперед любить, это пытается настроить IPSEC и только позволяет зашифрованные соединения IPSEC на TCP/1433.