Sql-Server
在兩台伺服器之間保護 MSSQL
我知道 MSSQL 可以有各種登錄模式,windows only,windows + sql 等命名管道,tcp/ip。
真的,我不確定我們應該使用什麼。我們有兩台伺服器,每台都有 IIS + MSSQL,IIS 的網路負載平衡和 MSSQL 的數據庫鏡像。
想要保護它,以便只有兩台伺服器可以訪問每台伺服器上的 MSSQL(顯然,鏡像工作)。
目前只有一台伺服器正在生產中,我認為 TCP/IP/命名管道已打開,Windows + sql 身份驗證但使用防火牆,阻止了對 TCP 埠的訪問。
設置它的最佳方法是什麼?
命名管道和 TCP/IP 不是登錄模式,它們是連接方法。話雖如此,您可以在主機伺服器上使用 Windows 防火牆(簡單)或使用 IPSEC(複雜)。
最安全的方法是根本不將 SQL 伺服器直接連接到生產網路,而是使用(物理上或邏輯上)獨立的數據庫網路。也就是說,正如 joeqwerty 所指出的,防火牆應該就足夠了。
對防火牆方法的一個警告是,由於命名管道使用標準的 Windows RPC 機制,因此通過埠 139 和 445 進行連接,您可能難以在不影響其他流量的情況下阻止這些埠。(您幾乎肯定不希望這些埠對任何人開放,但如果需要,請留意管理網路上的排除項。)