Chapter 1 Securing Your Server and Network(6):为SQL Server访问配置防火墙

翻译 2014年07月24日 11:48:27
原文出处:http://blog.csdn.net/dba_huangzj/article/details/38082123,专题目录:http://blog.csdn.net/dba_huangzj/article/details/37906349

未经作者同意,任何人不得以“原创”形式发布,也不得已用于商业用途,本人不负责任何法律责任。

        前一篇:http://blog.csdn.net/dba_huangzj/article/details/38063823

 

前言:

 

SQL Server 的通信基于TCP和UDP端口,如果你需要从非本机的机器上访问SQL Server,需要打开防火墙的端口。而Windows Server 2008 默认防火墙是开启的。简单来说,就是全部端口都被阻止。

 

实现:

 

可以按照下面步骤配置Windows 防火墙:

1. 在【开始】菜单中打开【控制面板】,也可以直接点击网络图标打开,然后选择【系统和安全】,点击【Windows 防火墙】,最后点击【高级设置】,如图:

 

image

 

 原文出处:http://blog.csdn.net/dba_huangzj/article/details/38082123,专题目录:http://blog.csdn.net/dba_huangzj/article/details/37906349

2.右键【入站规则】,选择【新建规则】,然后在【规则类型】中选择【端口】,然后在【协议和端口】中输入下面的端口:


image

  • 如果仅用SQL Server 引擎的默认实例,输入1433
  • 如果需要使用Analysis Services 引起的默认实例,输入2383
  • 如果使用Service Broker ,输入4022

image


点击【下一步】。完整的端口列表可以访问:http://msdn.microsoft.com/zh-cn/library/cc646023%28v=SQL.110%29.aspx

 原文出处:http://blog.csdn.net/dba_huangzj/article/details/38082123,专题目录:http://blog.csdn.net/dba_huangzj/article/details/37906349

3. 在【操作】项中选择【允许连接】,点击【下一步】:


image


4. 在【配置文件】项中,如果你在域中,仅保留【域】选项的勾选,另外两个,主要用于工作站或笔记本。如果服务器是通过标识为【公共】的网络连接的,比如从互联网直接访问,并且你想SQL Server能被外部发现,可以选择【公共】,当然,这比较危险。最后选择【下一步】并输入规则名。


image


原理:

 原文出处:http://blog.csdn.net/dba_huangzj/article/details/38082123,专题目录:http://blog.csdn.net/dba_huangzj/article/details/37906349

上面描述了如何打开SQL Server默认实例的端口,比如TCP 1433。而命名实例使用的是动态端口,每次SQL Server 服务重启后端口可能改变。这个端口是通过SQLServer Browser 服务监听UDP 1434端口来实现客户端的通信。动态端口不适用于防火墙配置,因为使用动态端口会强制你打开一个“范围”的端口。

最好的方式是指定一个已经在防火墙中配置了的固定TCP端口给命名实例,并禁用SQL Server Browser,然后关闭防火墙中的UDP 1434端口。这部分会在接下来的一篇文章中介绍。

注意:从Windows Server 2008/Vista开始,默认动态端口范围已经改变,详细信息可从这里查看:http://support.microsoft.com/kb/929851

 

更多信息:

 

为了限制特定的用户或者机器访问SQL Server,可以通过防火墙的【入站规则】实现,可以在【入站规则】中找到对应的服务,如【SQL Server】,右键然后点击【属性】,在【常规页】勾选【只允许安全连接】,如图:


image

 

然后分别在【远程用户】和【远程计算机】标签中授予特定用户或计算机访问:


image

 

另外,可以在SQL Server中用命令查询特定端口,可以使用下面语句查看Service Broker、镜像中的端口,如果需要使用这些功能,需要开放对应的端口:

SELECT  name , 
        protocol_desc , 
        port , 
        state_desc 
FROM    sys.tcp_endpoints 
WHERE   type_desc IN ( 'SERVICE_BROKER', 'DATABASE_MIRRORING' );


除了图形化操作,还可以使用netsh.exe命令实现防火墙配置,以管理员身份运行这个命令,并用下面语句开放TCP 1433端口:

netsh advfirewall firewall add rule name = "SQL Server" dir = in protocol = tcp action = allow localport = 1433,2383 profile = DOMAIN

原文出处:http://blog.csdn.net/dba_huangzj/article/details/38082123,专题目录:http://blog.csdn.net/dba_huangzj/article/details/37906349

更多相关信息可以访问:(如何使用"netsh 由防火墙"上下文,而不是控制 Windows Vista 和 Windows Server 2008 中的 Windows 防火墙行为"netsh 防火墙"上下文)

http://support.microsoft.com/kb/947709


下一篇:http://blog.csdn.net/dba_huangzj/article/details/38227187

相关文章推荐

SQL中char、nchar、varchar、nvarchar、text、ntext的区别

工作了三年多,第一次跑来写博客,以前工作中遇到的问题,都没有整理过,从今天起,无论是在学习中还是在工作中,都希望能够通过博客记录一下自己的笔记以及体会。 作为开发人员,要做数据库设计,是避免...

Entity Framework - 出現Cannot attach the file錯誤

這篇也是小小的紀錄文,稍微紀錄一下。 最近玩Entity Framework Code First玩得很大,而前一陣子,使用Code First的時候,要更新資料庫,卻出現Cannot atta...

Chapter 1 Securing Your Server and Network(1):选择SQL Server运行账号

SQL Server是一个Windows 服务,以某个Windows用户或系统用户权限运行在Windows操作系统上。选择合适的帐号运行SQL Server是非常重要的,本系列文章只关注安全性方面。...

Chapter 1 Securing Your Server and Network(14):限制功能——xp_cmdshell 和OPENROWSET

基于安全性原因,某些功能在安装SQL Server时就被禁用,从2008开始,所有敏感选项可以通过一个叫【外围应用配置器】的【方面】进行管理,这个功能在2005的时候以独立工具的形式出现过,在2008...

Chapter 1 Securing Your Server and Network(11):使用透明数据库加密

如果没有对数据库文件(MDF/LDF等)做权限控制,攻击者可以把这些文件复制走,然后附加到自己机器上进行分析。第一层保护就是对SQL Server文件所在的NTFS文件系统进行权限管控。如果希望进一步...

Chapter 1 Securing Your Server and Network(3):使用托管服务帐号

托管服务帐号(Managed Servcie Account)从Windows Server 2008 R2出现, 它的目的是使用于运行服务的活动目录帐号更加容易管理。...

Chapter 1 Securing Your Server and Network(2):管理服务的SIDs

像SQL Server这种运行在一个Windows 帐号的安全上下文下的服务,如果还有其他服务使用相同的Windows帐号运行,那么这些服务(非SQL Server)将可能访问一些非预期资源...

Chapter 1 Securing Your Server and Network(4):使用虚拟服务帐号

虚拟服务帐号(Virtual service account)和托管帐号一样,都是Windows Server 2008 R2引入的新特性,它是一个不需要密码管理的本地帐号,并且可以和NetworkS...

Chapter 1 Securing Your Server and Network(10):使用扩展保护避免授权中继攻击

在客户端和服务器互访过程中,授权是会一直保持,通过验证,可以接受或拒绝连接。...

Chapter 1 Securing Your Server and Network(8):停止未使用的服务

如果完全安装SQL Server,会有一些非必要的组件也会被安装上去,这些组件会影响性能,也会带来更大的安全隐患。...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:Chapter 1 Securing Your Server and Network(6):为SQL Server访问配置防火墙
举报原因:
原因补充:

(最多只允许输入30个字)