阻止远程访问SQLSERVER2000（可以用做Windows防火墙设置）

原文：http://blog.sina.com.cn/s/blog_48bb8eb90100pu9x.html

sqlserver2000不像sqlserver2005那样有外围配置工具,可以禁止远程访问SQLSERVER数据库,但是我们可以通过禁止远程访问sqlserver2000的端口来达到这个目的.

  sqlserver2000默认开启了1433端口(这个端口可以修改),我们可以通过专业的firewall来禁止远程访问1433端口,也可以通过IP安全策略来禁止访问1433端口. I

  下面我们就讲一下怎么通过IP安全策略设置禁用特定的端口,IP安全策略可以设置禁用和开启任何端口,我们这里以sqlserver的1433端口为例子为大家做说明:

  1.单击“开始”-“控制面板”-“管理工具”。

 2.在“管理工具”页面，选择“本地安全策略”，双击打开。

  3.在弹出的“本地安全设置”对话框中，选择“IP安全策略，在本地计算机”。

 4.在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“管理IP筛选表和筛选器操作(M)...”。

 

 5.在弹出的"管理IP筛选表和筛选器操作"操作中,选中"管理IP筛选器列表",然后点"添加"按钮:

 6.在弹出"IP筛选器列表"的对话,在名称,填写"名称":禁止访问1433端口,把"使用添加向导"去掉,然后点"添加"按钮.

7.在弹出"IP筛选器 属性"里,选择"地址"选项卡,在"源地址(S)"里选择"任何IP地址",在"目标地址(D)"里选择"我的IP地址",去掉选项:"镜像.与源地址和目标地址正好相反的数据包相匹配"(本人具体操作的时候,如果选上此"镜像.."这个选项,IP策略指定后不起作用,远程照常可以访问1433端口.去掉口远程就不能访问了,如果你没有选中这个选项,IP策略执行后远程还可以访问1433端口,那你就把这个选项选上再试一遍.举一反三吗,嘿嘿.)

8.在"协议"选项卡里,选择协议类型,我们选择"TCP"协议,设置IP协议端口,只选择"到此端口",我们填写上"1433",然后点"确定"按钮.

9.点"确定"按钮返回到"IP筛选器列表"里.你会发现"IP筛选器"里多了一天我们添加的记录,如果你需要对多个端口进行相同的操作,你可以重复第6步的操作,添加新端口.然后点"确定"按钮

10.在"管理IPS筛选器表和筛选器操作"里,选中"管理筛选器操作","把使用向导(W)"去掉,然后点"添加"按钮.

 

12,在弹出的对话框里,选中"阻止",点"应用",然后点"确定"关闭对话框.

13.在"常规"选项卡里,为我们的操作制定一个简单易懂的名字,我们填写的是"阻止",然后

点"应用"按钮 , 然后点"确定"按钮

14.我们建立的筛选器操作就出现了"筛选器操作管理"中.然后点"确定"按钮关闭"管理IP筛选器表和筛选器操作"界面

15.下面我们来建立一个IP安全策略. 右键点击空白处,在出现的对话框里选中"创建IP安全策略":

 

16.在出现"创建IP安全策略向导",直接点下一步,

17.填写IP安全策略名称,名称任意,最好简单易懂,这里我填写的是"阻止远程访问1433端口",

然后点"下一步"按钮

18.去掉"激活默认相应规则"选项,然后点下一步

19.选中"编辑属性"选项,然后点"完成"按钮

20.在弹出的对话框里,去掉使用向导,然后点"添加"按钮

21,在新规则属性选项卡里,选中刚才建立的"禁止远程1433端口"的选项.

22,在筛选器属性里,选中刚才建立的筛选器操作"阻止".

23.身份验证方法和隧道设置保持默认设置就可以了.

24.在"连接类型"里,我们选择"远程访问", 你可以根据你的需要选择是"局域网(LAN)(L)"还是"所有网络连接".然后点"应用"按钮, 然后点"确定"按钮,关闭规则属性.

25.以上是建立ip安全策略的步骤,ip安全策略建立后,必须被"指派"才能生效. 右键点击我们刚才建立的IP安全策略,选择"指派"就OK了.

26.重启电脑,ip安全策略就会生效(有人说在命令行里输入 gpupdate /force 可以强制刷新ip安全策略,我没有试过,有兴趣你可以试下.) 

如果出现"新IP安全策略已指派,但IPSEC服务不在运行状态" 这个提示,启动ipsec服务就可以了:

在命令行里输入: net startPolicyAgent 

 如果"ipsecservice"不能修改为自启动,那就建立个bat文件,在任务计划里设置开机启动就可以了