SQL Server 2005区域配置和安全工具
表面区域配置工具对安装的组件提供了特征级别的控制。它还提供了将某些服务开启或者关闭的功能。表面区域配置工具的功能是广泛的,并且值得去理解。例如,我注意到我可以将对服务器的远程访问启动或者关闭(就是说,使用TCP/IP或者命名管道),但是我不能配置IP地址或者管道。表面区域配置工具的真正目的是为本地SQL Server环境提供的减小受攻击面的一种简单方式。表面区域配置在网络上不起作用。
表面区域配置工具有一些有意思的限制。例如,SQL Server 2005不再在1434端口上进行自动侦听了。实际上,是完全不振听了。你需要打开SQL 浏览器服务,把它作为解决客户端向服务器端发送请求的中间媒介。SQL 浏览器服务只能提供名字/端口决议。往回看SQL Server 2000,它是自动侦听,让SQL Slammer慢慢延续自己的生命。现在,SQL Server是聋子,直到你允许它去听。
但是要考虑的更多。你打开了SQL 浏览器,并且你已经打开了TCP/IP。但是你的公司不允许使用随机IP地址(已经分配给你一个固定IP地址),那么你如何把这个信息应用到SQL Server上去呢?通过使用新的SQL Server安全配置管理器工具!一些在默认情况下SQL Server使用的端口和其它的一些组件。
表1列出了SQL Server2005报告的端口。你可以查看来了解应用程序打开了哪些端口。在默认情况下,这些端口是关闭的,直到你明确地打开了它们才能访问到。
表1
SQL Server使用的端口
Port SQL Server Component Using the Port
Port 1433 (UDP/TCP) SQL Server Engine
Port 1434 (UDP/TCP) SQL Server Engine
Port 2382 (UDP/TCP) SQL Server OLAP
Port 2383 (UDP/TCP) SQL Server OLAP
Port 2393 (UDP/TCP) SQL Server OLAP
Port 2394 (UDP/TCP) SQL Server OLAP
Port 2725 (UDP/TCP) SQL Server OLAP
Port 3882 (UDP/TCP) SQL Server DTS (Integration Services)
如果当SQL Server环境开启的时候启用了TCP/IP协议,那么服务器就分配了一个TCP/IP端口。你可以更改这个端口。如果命名管道协议启用了,SQL Server会特别侦听那个命名管道。这个端口,或者管道,是被某个环境用于与客户端应用程序交换数据用的。在安装过程中,TCP端口1433和管道sqlquery都分配给了默认的环境,但是那些以后都可以由服务器管理员使用SQL Server配置管理器进行修改。既然只有一个SQL Server环境可以使用端口或者管道,那么不同的端口数字和管道名就都分配给了有名字的环境。在设计中,当有名字的环境被配置使用动态端口的时候,可用的端口就在SQL Server启动的时候已经分配了。如果你愿意的话,你可以给SQL Server环境分配一个特殊的端口。
在启动的时候,SQL Server开启并且宣布UDP端口1434为它所用。SQL 浏览器读取注册表,识别计算机上所有的SQL Server环境,然后标志出他们使用的端口和命名管道。当服务器有两个或者更多个网卡的时候,SQL 浏览器在遇到SQL Server的时候返回最先激活的端口。SQL Server 2005和 SQL Browser都支持IPv6 和IPv4。当SQL Server 2005客户端请求SQL Server 资源的时候,客户端网络库就会给使用1434的服务器发送一个UDP请求。SQL Browser用请求环境所拥有的TCP/IP端口和命名管道进行响应。客户端应用程序的网络库然后就会通过使用端口或者命名管道发送请求给服务器来完成连接。
SQL Server配置管理器
SQL Server配置管理器工具提供了对SQL Server2005所使用的服务和网络协议的详细控制。其中不包括SQL Server 2000,除非是升级之后,当SQL Server 2005只是从原来的设置上面移过来的话。在设计中,升级过的协调与升级前的应用程序拥有同样的网络侦听能力。SQL Server配置管理器是一个微软管理控制台(MMC)卡入式的应用程序。它结合SQL Server 2000网络服务工具和服务工具成为一个应用程序。在SQL Server配置管理器内部,你可以明确地更改端口和IP地址,创建并摧毁服务器的别名,激活或者禁用协议,还有更多内容。从服务的角度来看,SQL Server配置管理器提供了开启和停止服务、修改登录信任书,以及接触服务的注册表设置的资格的访问方式。