共計 2104 個字符,預(yù)計需要花費 6 分鐘才能閱讀完成。
本篇文章為大家展示了數(shù)據(jù)庫與防火墻該怎么樣部署,內(nèi)容簡明扼要并且容易理解,絕對能使你眼前一亮,通過這篇文章的詳細(xì)介紹希望你能有所收獲。
安全與性能是數(shù)據(jù)庫管理員的兩塊心頭肉。而通過防火墻來保護數(shù)據(jù)庫的安全無疑是一種不錯的選擇,當(dāng)然,SQLServer 數(shù)據(jù)庫是體現(xiàn)數(shù)據(jù)庫性能的關(guān)系數(shù)據(jù)庫管理系統(tǒng)。下面丸趣 TV 小編來講解下數(shù)據(jù)庫與防火墻怎么樣部署?
數(shù)據(jù)庫與防火墻怎么樣部署
建議一:先部署數(shù)據(jù)庫,再部署防火墻
導(dǎo)致客戶端無法連接上數(shù)據(jù)庫服務(wù)器的原因有很多,而防火墻的限制無疑也是其中的一種。為了降低故障排除的復(fù)雜程度,筆者建議數(shù)據(jù)庫管理員在部署的時候,最好先把防火墻關(guān)掉。即先部署數(shù)據(jù)庫,然后再部署防火墻。或者說,在防火墻存在的情況下,假如發(fā)現(xiàn)客戶端無法正常連接到數(shù)據(jù)庫,最好先把防火墻關(guān)掉,然后再看看能夠正常連接。這主要可以幫助數(shù)據(jù)庫管理員簡單的來判斷,這個連接故障是不是因為防火墻的不恰當(dāng)配置所造成的。在排除防火墻配置錯誤的時候,這個方法非常的有用。假如確實是因為防火墻的原因,而數(shù)據(jù)庫管理員還一直在數(shù)據(jù)庫管理系統(tǒng)或者客戶端那邊尋找原因,那就是白花力氣。同理,假如確實是數(shù)據(jù)庫服務(wù)器的問題而不是防火墻的配置所造成的連接故障,但是數(shù)據(jù)庫管理員卻是在尋找防火墻的麻煩,那也是自討苦吃。所以筆者建議大家,在部署數(shù)據(jù)庫的時候(不僅限于 SQLServer 數(shù)據(jù)庫系統(tǒng)),最好先把已經(jīng)存在的防火墻關(guān)閉掉。等到客戶端能夠正常連接到服務(wù)器后,再嘗試啟動防火墻。
建議二:根據(jù)數(shù)據(jù)庫開啟的服務(wù)來開啟防火墻的端口
從安全上來說,數(shù)據(jù)庫服務(wù)器的端口開啟的越少越好。但是數(shù)據(jù)庫的有些服務(wù)必須要開啟某些特定的端口,否則的話某些服務(wù)就會受到影響。為此從安全與性能上綜合考慮的話,就要求數(shù)據(jù)庫管理員根據(jù)數(shù)據(jù)庫要采用的服務(wù)來開啟防火墻的端口。
如在 SQLServer 數(shù)據(jù)庫中啟用了復(fù)制功能的話,就需要在防火墻上開啟 1433 端口(這是數(shù)據(jù)庫默認(rèn)的給復(fù)制服務(wù)啟用的端口)。當(dāng)然數(shù)據(jù)庫管理員也可以跟網(wǎng)絡(luò)管理員商量最終所采用的端口。另外假如采用復(fù)制快照,則進行 WEB 同步或者 FTP 訪問則要求在防后墻上打開其他需要的端口。如快照復(fù)制通過 FTP 實現(xiàn)的話,為了將數(shù)據(jù)文件和架構(gòu)從一個位置傳輸?shù)骄W(wǎng)絡(luò)上的另外一個位置,則需要在防火墻上開啟 21 端口,以允許 FTP 協(xié)議的數(shù)據(jù)通過這個端口。而通常情況下,為了安全起見是把這個端口關(guān)閉的。而假如在復(fù)制功能中假如需要用到 HTTP 或者文件和打印共享服務(wù)時,還需要打開 137、138、139 端口,等等。否則的話由于防火墻的阻擋這些服務(wù)將無法正常使用。
數(shù)據(jù)庫與防火墻怎么樣部署
另外 SQLServer 數(shù)據(jù)庫中有些服務(wù)的話是沒有指定端口的。數(shù)據(jù)庫管理員可以根據(jù)實際需要,來確定所需要采用的端口。如數(shù)據(jù)庫的鏡像服務(wù),其沒有指定所需要采用的端口,而是要求數(shù)據(jù)庫管理員來選擇端口。此時數(shù)據(jù)庫管理員就可以根據(jù)服務(wù)器端口的實際采用情況來設(shè)置到底開啟哪個端口為好。在配置的時候,假如數(shù)據(jù)庫服務(wù)器中還部署有其他英勇的話,就需要避免與其他服務(wù)端口的沖突。
SQLServer 數(shù)據(jù)庫的相關(guān)服務(wù)有很多,如還有報表服務(wù)、Browser 服務(wù) (用于偵聽指向命名實例的傳入連接,并為客戶端提供與此命名實例對應(yīng)的 TCP 端口號) 等等。若數(shù)據(jù)庫管理員以為客戶端的連接故障是由于防火墻所引起的,那么數(shù)據(jù)庫管理員就需要查看微軟的官方文檔,看看對應(yīng)服務(wù)所需要開啟的端口在防火墻中是否已經(jīng)打開。
建議三:管理好動態(tài)端口
以上這些服務(wù)的端口基本上是靜態(tài)的,只需要在防火墻上把這些端口打開即可,沒有多大的難度。而其管理的難點是有些服務(wù)采用的是動態(tài)的端口,這會給數(shù)據(jù)庫服務(wù)器上防火墻的配置帶來一定的麻煩。因為端口不固定,所以有時候防火墻就無法適從了。
如通常情況下,數(shù)據(jù)庫中有一個叫做命名實例的服務(wù),這個服務(wù)采用的就是動態(tài)端口。也就是說,每次啟動數(shù)據(jù)庫服務(wù)器的時候,數(shù)據(jù)庫引擎都將確定一個服務(wù)器沒有使用的端口作為自己的端口。即每次采用的端口都不一致。默認(rèn)情況下,SQLServer 數(shù)據(jù)庫引擎采用的 TCP 端口號為 1433。但是假如在這臺數(shù)據(jù)庫服務(wù)器上還部署有其他的數(shù)據(jù)庫引擎,如 Oracle 數(shù)據(jù)庫系統(tǒng)或者 MySQL 數(shù)據(jù)庫系統(tǒng),則可能這個 1433 端口已經(jīng)被他們所采用了。則此時 SQLServer 數(shù)據(jù)庫系統(tǒng)引擎將無法使用這個端口。此時數(shù)據(jù)庫引擎就會另外選擇一個可用的端口。可見由于數(shù)據(jù)庫引擎或者數(shù)據(jù)庫服務(wù)器在每次啟動的時候所采用的端口都可能不同,為此很難在防火墻上啟用對正確端口的訪問(防火墻不會跟數(shù)據(jù)庫引擎互動)。也就是說,防火墻不會去偵測數(shù)據(jù)庫引擎到底啟用哪些端口。所以假如在數(shù)據(jù)庫服務(wù)器上配置了防火墻,則在數(shù)據(jù)庫部署的時候,假如某些服務(wù)采用了動態(tài)端口,則數(shù)據(jù)庫管理員需要把他們配置為固定端口或者靜態(tài)端口,以保證數(shù)據(jù)庫引擎每次都采用同一的端口號。
在 SQLServer 數(shù)據(jù)庫中把動態(tài)端口設(shè)置為固定端口,其難度不是很大。只是假如啟用的服務(wù)比較多的話,工作量可不算小。
上述內(nèi)容就是數(shù)據(jù)庫與防火墻該怎么樣部署,你們學(xué)到知識或技能了嗎?如果還想學(xué)到更多技能或者豐富自己的知識儲備,歡迎關(guān)注丸趣 TV 行業(yè)資訊頻道。
