導(dǎo)讀：安全與性能是數(shù)據(jù)庫管理員的兩塊心頭肉。而通過防火墻來保護(hù)數(shù)據(jù)庫的安全無疑是一種不錯(cuò)的選擇，當(dāng)然，SQL Server數(shù)據(jù)庫是體現(xiàn)數(shù)據(jù)庫性能的關(guān)系數(shù)據(jù)庫管理系統(tǒng)。但是有時(shí)會防火墻與SQL Server數(shù)據(jù)庫也會鬧矛盾。防火墻如果配置不當(dāng)?shù)脑挘坏荒軌蚱鸬狡鋺?yīng)有的保護(hù)作用，而且還會阻止客戶端的合法連接。為此如果想讓防火墻與SQL Server數(shù)據(jù)庫共存的話，還不是一件簡單的事情。對于這個(gè)問題，筆者有如下幾條建議。或許這些建議能夠給各位數(shù)據(jù)庫管理員在數(shù)據(jù)庫與防火墻部署的時(shí)候提供一定的幫助。

　　建議一：先部署數(shù)據(jù)庫，再部署防火墻

　　導(dǎo)致客戶端無法連接上數(shù)據(jù)庫服務(wù)器的原因有很多，而防火墻的限制無疑也是其中的一種。為了降低故障排除的復(fù)雜程度，筆者建議數(shù)據(jù)庫管理員在部署的時(shí)候，最好先把防火墻關(guān)掉。即先部署數(shù)據(jù)庫，然后再部署防火墻?；蛘哒f，在防火墻存在的情況下，如果發(fā)現(xiàn)客戶端無法正常連接到數(shù)據(jù)庫，最好先把防火墻關(guān)掉，然后再看看能夠正常連接。這主要可以幫助數(shù)據(jù)庫管理員簡單的來判斷，這個(gè)連接故障是不是因?yàn)榉阑饓Φ牟磺‘?dāng)配置所造成的。在排除防火墻配置錯(cuò)誤的時(shí)候，這個(gè)方法非常的有用。如果確實(shí)是因?yàn)榉阑饓Φ脑?，而?shù)據(jù)庫管理員還一直在數(shù)據(jù)庫管理系統(tǒng)或者客戶端那邊尋找原因，那就是白花力氣。同理，如果確實(shí)是數(shù)據(jù)庫服務(wù)器的問題而不是防火墻的配置所造成的連接故障，但是數(shù)據(jù)庫管理員卻是在尋找防火墻的麻煩，那也是自討苦吃。所以筆者建議大家，在部署數(shù)據(jù)庫的時(shí)候(不僅限于SQL Server數(shù)據(jù)庫系統(tǒng))，最好先把已經(jīng)存在的防火墻關(guān)閉掉。等到客戶端能夠正常連接到服務(wù)器后，再嘗試啟動(dòng)防火墻。

　　建議二：根據(jù)數(shù)據(jù)庫開啟的服務(wù)來開啟防火墻的端口

　　從安全上來說，數(shù)據(jù)庫服務(wù)器的端口開啟的越少越好。但是數(shù)據(jù)庫的有些服務(wù)必須要開啟某些特定的端口，否則的話某些服務(wù)就會受到影響。為此從安全與性能上綜合考慮的話，就要求數(shù)據(jù)庫管理員根據(jù)數(shù)據(jù)庫要采用的服務(wù)來開啟防火墻的端口。

　　如在SQL Server數(shù)據(jù)庫中啟用了復(fù)制功能的話，就需要在防火墻上開啟1433端口(這是數(shù)據(jù)庫默認(rèn)的給復(fù)制服務(wù)啟用的端口)。當(dāng)然數(shù)據(jù)庫管理員也可以跟網(wǎng)絡(luò)管理員商量最終所采用的端口。另外如果采用復(fù)制快照，則進(jìn)行WEB同步或者FTP訪問則要求在防后墻上打開其他需要的端口。如快照復(fù)制通過FTP實(shí)現(xiàn)的話，為了將數(shù)據(jù)文件和架構(gòu)從一個(gè)位置傳輸?shù)骄W(wǎng)絡(luò)上的另外一個(gè)位置，則需要在防火墻上開啟21端口，以允許FTP協(xié)議的數(shù)據(jù)通過這個(gè)端口。而通常情況下，為了安全起見是把這個(gè)端口關(guān)閉的。而如果在復(fù)制功能中如果需要用到HTTP或者文件和打印共享服務(wù)時(shí)，還需要打開137、138、139端口，等等。否則的話由于防火墻的阻擋這些服務(wù)將無法正常使用。

　　另外SQL Server數(shù)據(jù)庫中有些服務(wù)的話是沒有指定端口的。數(shù)據(jù)庫管理員可以根據(jù)實(shí)際需要，來確定所需要采用的端口。如數(shù)據(jù)庫的鏡像服務(wù)，其沒有指定所需要采用的端口，而是要求數(shù)據(jù)庫管理員來選擇端口。此時(shí)數(shù)據(jù)庫管理員就可以根據(jù)服務(wù)器端口的實(shí)際采用情況來設(shè)置到底開啟哪個(gè)端口為好。在配置的時(shí)候，如果數(shù)據(jù)庫服務(wù)器中還部署有其他英勇的話，就需要避免與其他服務(wù)端口的沖突。

　　SQL Server數(shù)據(jù)庫的相關(guān)服務(wù)有很多，如還有報(bào)表服務(wù)、Browser服務(wù)(用于偵聽指向命名實(shí)例的傳入連接，并為客戶端提供與此命名實(shí)例對應(yīng)的TCP端口號)等等。若數(shù)據(jù)庫管理員以為客戶端的連接故障是由于防火墻所引起的，那么數(shù)據(jù)庫管理員就需要查看微軟的官方文檔，看看對應(yīng)服務(wù)所需要開啟的端口在防火墻中是否已經(jīng)打開。

　　建議三：管理好動(dòng)態(tài)端口

　　以上這些服務(wù)的端口基本上是靜態(tài)的，只需要在防火墻上把這些端口打開即可，沒有多大的難度。而其管理的難點(diǎn)是有些服務(wù)采用的是動(dòng)態(tài)的端口，這會給數(shù)據(jù)庫服務(wù)器上防火墻的配置帶來一定的麻煩。因?yàn)槎丝诓还潭?，所以有時(shí)候防火墻就無法適從了。

　　如通常情況下，數(shù)據(jù)庫中有一個(gè)叫做命名實(shí)例的服務(wù)，這個(gè)服務(wù)采用的就是動(dòng)態(tài)端口。也就是說，每次啟動(dòng)數(shù)據(jù)庫服務(wù)器的時(shí)候，數(shù)據(jù)庫引擎都將確定一個(gè)服務(wù)器沒有使用的端口作為自己的端口。即每次采用的端口都不一致。默認(rèn)情況下，SQL Server數(shù)據(jù)庫引擎采用的TCP端口號為1433。但是如果在這臺數(shù)據(jù)庫服務(wù)器上還部署有其他的數(shù)據(jù)庫引擎，如Oracle數(shù)據(jù)庫系統(tǒng)或者M(jìn)ySQL數(shù)據(jù)庫系統(tǒng)，則可能這個(gè)1433端口已經(jīng)被他們所采用了。則此時(shí)SQL Server數(shù)據(jù)庫系統(tǒng)引擎將無法使用這個(gè)端口。此時(shí)數(shù)據(jù)庫引擎就會另外選擇一個(gè)可用的端口?？梢娪捎跀?shù)據(jù)庫引擎或者數(shù)據(jù)庫服務(wù)器在每次啟動(dòng)的時(shí)候所采用的端口都可能不同，為此很難在防火墻上啟用對正確端口的訪問(防火墻不會跟數(shù)據(jù)庫引擎互動(dòng))。也就是說，防火墻不會去偵測數(shù)據(jù)庫引擎到底啟用哪些端口。所以如果在數(shù)據(jù)庫服務(wù)器上配置了防火墻，則在數(shù)據(jù)庫部署的時(shí)候，如果某些服務(wù)采用了動(dòng)態(tài)端口，則數(shù)據(jù)庫管理員需要把他們配置為固定端口或者靜態(tài)端口，以保證數(shù)據(jù)庫引擎每次都采用同一的端口號。

　　在SQL Server數(shù)據(jù)庫中把動(dòng)態(tài)端口設(shè)置為固定端口，其難度不是很大。只是如果啟用的服務(wù)比較多的話，工作量可不算小。

下面筆者就談?wù)勅绾瓮ㄟ^企業(yè)管理器來設(shè)置固定端口。

　　第一步：打開TCP/IP屬性對話框。在數(shù)據(jù)庫配置管理中，打開網(wǎng)絡(luò)配置選項(xiàng)，然后單擊要配置的服務(wù)器實(shí)例。此時(shí)在右面窗口中會顯示相關(guān)的內(nèi)容。管理員需要找到TCP/IP這項(xiàng)內(nèi)容，并雙擊它，以打開TCP/IP屬性對話框。

　　第二步：設(shè)置可用的端口號。在TCP/IP屬性對話框中，找到TCP端口頁簽。在這個(gè)頁簽中就是當(dāng)前SQL Server數(shù)據(jù)庫所采用的端口號。數(shù)據(jù)庫管理員需要在這個(gè)地方把需要采用的端口信息加入到這個(gè)頁簽中。那么操作系統(tǒng)在分配端口的時(shí)候，會把這個(gè)端口信息預(yù)留給數(shù)據(jù)庫系統(tǒng)。注意數(shù)據(jù)庫管理員手工數(shù)據(jù)的端口最好能夠采取后面一些的端口號，如此的話發(fā)生端口沖突的幾率就會少許多。

　　第三步：關(guān)聯(lián)相關(guān)的服務(wù)。設(shè)置好端口后，此時(shí)還沒有關(guān)聯(lián)到具體的服務(wù)。數(shù)據(jù)庫管理員還必須把新設(shè)置的端口與數(shù)據(jù)庫的服務(wù)關(guān)聯(lián)起來。此時(shí)就需要單擊SQL Server服務(wù)。找到相關(guān)的服務(wù)后選擇重新啟動(dòng)。當(dāng)數(shù)據(jù)庫引擎重新啟動(dòng)時(shí)，就會將新的端口給這個(gè)服務(wù)所使用。以后每次數(shù)據(jù)庫引擎重新啟動(dòng)之后，這個(gè)服務(wù)都將采用這個(gè)端口。為此在防護(hù)墻上只需要把這個(gè)端口打開即可。

　　所以說對于動(dòng)態(tài)端口來說，防火墻配置有一定的難度。此時(shí)最理想的方式就是把數(shù)據(jù)庫服務(wù)所采用的動(dòng)態(tài)端口改為靜態(tài)端口或者固定端口。上面筆者介紹得就是把數(shù)據(jù)庫服務(wù)的動(dòng)態(tài)端口改為靜態(tài)端口的基本步驟。各位數(shù)據(jù)庫管理員可以嘗試?yán)眠@種方法試試看。

　　建議四：出現(xiàn)連接故障時(shí)的排錯(cuò)步驟

　　如果在數(shù)據(jù)庫服務(wù)器上部署了防火墻，此時(shí)如果客戶端發(fā)生無法連接到服務(wù)器的現(xiàn)象，那么此時(shí)最佳的排錯(cuò)步驟是什么呢?如何才能夠在最短時(shí)間內(nèi)找到問題的原因呢?為此，筆者有如下這個(gè)建議。

　　首先，數(shù)據(jù)庫管理員必須先保證服務(wù)器與客戶端之間網(wǎng)絡(luò)的連通性。數(shù)據(jù)庫管理員可以利用ping命令或者求助網(wǎng)絡(luò)管理員，來判斷服務(wù)器與客戶端之間的連接是否有問題。有則改之，沒有的話則進(jìn)行下面一個(gè)步驟。

　　第二，把防火墻先禁用掉。如果服務(wù)器與客戶端之間的網(wǎng)絡(luò)連通沒有問題，那么此時(shí)數(shù)據(jù)庫管理員就需要判斷是防火墻的問題還是數(shù)據(jù)庫服務(wù)器本身的問題。要判斷這個(gè)故障的起點(diǎn)，最簡單的方法就是把防火墻禁用掉。如果防火墻禁用后，客戶端訪問服務(wù)器正常了，那么就說明是防火墻在作怪;而過此時(shí)故障還依舊，那么就是數(shù)據(jù)庫本身的問題了。不過此時(shí)也先不要急著把防火墻啟用起來。等到故障修復(fù)后再重新啟用防火墻為好。這么處理就是讓數(shù)據(jù)庫環(huán)境盡量的簡單，以加速排錯(cuò)的過程。

　　第三，如果是防火墻的問難，那么就先查看SQL Server數(shù)據(jù)庫所需要采用的端口，并在防火墻中全部打開。因?yàn)橛行┓?wù)的話可能需要很多個(gè)端口;而某些服務(wù)又會引用其他的服務(wù)，而這被引用的服務(wù)也需要新的端口。為此及時(shí)是數(shù)據(jù)庫專家也很難一下子說清楚某個(gè)服務(wù)到底需要哪些端口。為此就把用到的端口先一一打開，然后再逐漸的關(guān)閉。從而可以確定某個(gè)服務(wù)需要引用哪些服務(wù)、采用哪些端口。

以上四個(gè)建議都能很好的保證讓防火墻與SQL Server數(shù)據(jù)庫共存，也實(shí)現(xiàn)了安全與性能共存的良好狀態(tài)，很高興與大家分享這些經(jīng)驗(yàn)技巧，希望能夠幫助到大家。

【編輯推薦】

1. 巧招解決SQL Server數(shù)據(jù)庫權(quán)限沖突
2. 保護(hù)SQL Server數(shù)據(jù)庫的十大絕招
3. 在防火墻上開放Oracle服務(wù)端口的方法