Sql-Server

在兩台伺服器之間保護 MSSQL

  • November 4, 2010

我知道 MSSQL 可以有各種登錄模式,windows only,windows + sql 等命名管道,tcp/ip。

真的,我不確定我們應該使用什麼。我們有兩台伺服器,每台都有 IIS + MSSQL,IIS 的網路負載平衡和 MSSQL 的數據庫鏡像。

想要保護它,以便只有兩台伺服器可以訪問每台伺服器上的 MSSQL(顯然,鏡像工作)。

目前只有一台伺服器正在生產中,我認為 TCP/IP/命名管道已打開,Windows + sql 身份驗證但使用防火牆,阻止了對 TCP 埠的訪問。

設置它的最佳方法是什麼?

命名管道和 TCP/IP 不是登錄模式,它們是連接方法。話雖如此,您可以在主機伺服器上使用 Windows 防火牆(簡單)或使用 IPSEC(複雜)。

最安全的方法是根本不將 SQL 伺服器直接連接到生產網路,而是使用(物理上或邏輯上)獨立的數據庫網路。也就是說,正如 joeqwerty 所指出的,防火牆應該就足夠了。

對防火牆方法的一個警告是,由於命名管道使用標準的 Windows RPC 機制,因此通過埠 139 和 445 進行連接,您可能難以在不影響其他流量的情況下阻止這些埠。(您幾乎肯定不希望這些埠對任何人開放,但如果需要,請留意管理網路上的排除項。)

引用自:https://serverfault.com/questions/197955