Chapter 1 Securing Your Server and Network(6):為SQL Server訪問配置防火牆

標籤：des   style   blog   http   color   io   os   ar   使用   

原文出處：http://blog.csdn.net/dba_huangzj/article/details/38082123，專題檔案夾：http://blog.csdn.net/dba_huangzj/article/details/37906349

未經作者同意，不論什麼人不得以“原創”形式公布，也不得已用於商業用途，本人不負責不論什麼法律責任。

        前一篇：http://blog.csdn.net/dba_huangzj/article/details/38063823

 

前言：

 

SQL Server 的通訊基於TCP和UDPport，假設你須要從非原生機器上訪問SQL Server，須要開啟防火牆的port。而Windows Server 2008 預設防火牆是開啟的。簡單來說，就是所有port都被阻止。

 

實現：

 

能夠依照以下步驟配置Windows 防火牆：

1. 在【開始】菜單中開啟【控制台】，也能夠直接點擊網狀圖標開啟，然後選擇【系統和安全】，點擊【Windows 防火牆】，最後點擊【進階設定】，

 

 

 原文出處：http://blog.csdn.net/dba_huangzj/article/details/38082123，專題檔案夾：http://blog.csdn.net/dba_huangzj/article/details/37906349

2.右鍵【入站規則】，選擇【建立規則】，然後在【規則類型】中選擇【port】，然後在【協議和port】中輸入以下的port：

• 假設僅用SQL Server 引擎的預設執行個體，輸入1433
• 假設須要使用Analysis Services 引起的預設執行個體，輸入2383
• 假設使用Service Broker ，輸入4022

點擊【下一步】。完整的port列表能夠訪問：http://msdn.microsoft.com/zh-cn/library/cc646023%28v=SQL.110%29.aspx

 原文出處：http://blog.csdn.net/dba_huangzj/article/details/38082123，專題檔案夾：http://blog.csdn.net/dba_huangzj/article/details/37906349

3. 在【操作】項中選擇【同意串連】，點擊【下一步】：

4. 在【設定檔】項中，假設你在域中，僅保留【域】選項的勾選，另外兩個，主要用於工作站或筆記本。假設server是通過標識為【公用】的網路連接的，比方從互連網直接訪問，而且你想SQL Server能被外部發現，能夠選擇【公用】，當然，這比較危急。最後選擇【下一步】並輸入規則名。

原理：

 原文出處：http://blog.csdn.net/dba_huangzj/article/details/38082123，專題檔案夾：http://blog.csdn.net/dba_huangzj/article/details/37906349

上面描寫敘述了怎樣開啟SQL Server預設執行個體的port，比方TCP 1433。而具名執行個體使用的是動態port，每次SQL Server 服務重新啟動後port可能改變。這個port是通過SQLServer Browser 服務監聽UDP 1434port來實現client的通訊。動態port不適用於防火牆配置，由於使用動態port會強制你開啟一個“範圍”的port。

最好的方式是指定一個已經在防火牆中配置了的固定TCPport給具名執行個體，並禁用SQL Server Browser，然後關閉防火牆中的UDP 1434port。這部分會在接下來的一篇文章中介紹。

注意：從Windows Server 2008/Vista開始，預設動態port範圍已經改變，具體資訊可從這裡查看：http://support.microsoft.com/kb/929851

 

很多其它資訊：

 

為了限制特定的使用者或者機器訪問SQL Server，能夠通過防火牆的【入站規則】實現，能夠在【入站規則】中找到相應的服務，如【SQL Server】，右鍵然後點擊【屬性】，在【常規頁】勾選【僅僅同意安全連線】，

 

然後分別在【遠端使用者】和【遠端電腦】標籤中授予特定使用者或電腦訪問：

 

另外，能夠在SQL Server中用命令查詢特定port，能夠使用以下語句查看Service Broker、鏡像中的port，假設須要使用這些功能，須要開放相應的port：

SELECT  name ,         protocol_desc ,         port ,         state_desc FROM    sys.tcp_endpoints WHERE   type_desc IN ( ‘SERVICE_BROKER‘, ‘DATABASE_MIRRORING‘ );

除了圖形化操作，還能夠使用netsh.exe命令實現防火牆配置，以管理員身份執行這個命令，並用以下語句開放TCP 1433port：

netsh advfirewall firewall add rule name = "SQL Server" dir = in protocol = tcp action = allow localport = 1433,2383 profile = DOMAIN

原文出處：http://blog.csdn.net/dba_huangzj/article/details/38082123，專題檔案夾：http://blog.csdn.net/dba_huangzj/article/details/37906349

很多其它相關資訊能夠訪問：（怎樣使用"netsh 由防火牆"上下文，而不是控制 Windows Vista 和 Windows Server 2008 中的 Windows 防火牆行為"netsh 防火牆"上下文）

http://support.microsoft.com/kb/947709

下一篇：http://blog.csdn.net/dba_huangzj/article/details/38227187

Chapter 1 Securing Your Server and Network(6):為SQL Server訪問配置防火牆