表面区域配置工具对安装的组件提供了特征级别的控制。它还提供了将某些服务开启或者关闭的功能。表面区域配置工具的功能是广泛的,并且值得去理解。例如,我注重到我可以将对服务器的远程访问启动或者关闭(就是说,使用TCP/IP或者命名管道),但是我不能配置IP地址或者管道。表面区域配置工具的真正目的是为本地SQL Server环境提供的减小受攻击面的一种简单方式。表面区域配置在网络上不起作用。
表面区域配置工具有一些有意思的限制。例如,SQL Server 2005不再在1434端口上进行自动侦听了。实际上,是完全不振听了。你需要打开SQL 浏览器服务,把它作为解决客户端向服务器端发送请求的中间媒介。SQL 浏览器服务只能提供名字/端口决议。往回看SQL Server 2000,它是自动侦听,让SQL Slammer慢慢延续自己的生命。现在,SQL Server是聋子,直到你答应它去听。
但是要考虑的更多。你打开了SQL 浏览器,并且你已经打开了TCP/IP。但是你的公司不答应使用随机IP地址(已经分配给你一个固定IP地址),那么你如何把这个信息应用到SQL Server上去呢?通过使用新的SQL Server安全配置治理器工具!一些在默认情况下SQL Server使用的端口和其它的一些组件。
表1列出了SQL Server2005报告的端口。你可以查看http://www.iana.org/assignments/port-numbers来了解应用程序打开了哪些端口。在默认情况下,这些端口是关闭的,直到你明确地打开了它们才能访问到。
表1
SQL Server使用的端口
| Port | SQL Server Component Using the Port |
| Port 1433 (UDP/TCP) | SQL Server Engine |
| Port 1434 (UDP/TCP) | SQL Server Engine |
| Port 2382 (UDP/TCP) | SQL Server OLAP |
| Port 2383 (UDP/TCP) | SQL Server OLAP |
| Port 2393 (UDP/TCP) | SQL Server OLAP |
| Port 2394 (UDP/TCP) | SQL Server OLAP |
| Port 2725 (UDP/TCP) | SQL Server OLAP |
| Port 3882 (UDP/TCP) | SQL Server DTS (Integration Services) |
假如当SQL Server环境开启的时候启用了TCP/IP协议,那么服务器就分配了一个TCP/IP端口。你可以更改这个端口。假如命名管道协议启用了,SQL Server会非凡侦听那个命名管道。这个端口,或者管道,是被某个环境用于与客户端应用程序交换数据用的。在安装过程中,TCP端口1433和管道sqlquery都分配给了默认的环境,但是那些以后都可以由服务器治理员使用SQL Server配置治理器进行修改。既然只有一个SQL Server环境可以使用端口或者管道,那么不同的端口数字和管道名就都分配给了有名字的环境。在设计中,当有名字的环境被配置使用动态端口的时候,可用的端口就在SQL Server启动的时候已经分配了。假如你愿意的话,你可以给SQL Server环境分配一个非凡的端口。
在启动的时候,SQL Server开启并且公布UDP端口1434为它所用。SQL 浏览器读取注册表,识别计算机上所有的SQL Server环境,然后标志出他们使用的端口和命名管道。当服务器有两个或者更多个网卡的时候,SQL 浏览器在碰到SQL Server的时候返回最先激活的端口。SQL Server 2005和 SQL Browser都支持IPv6 和IPv4。当SQL Server 2005客户端请求SQL Server 资源的时候,客户端网络库就会给使用1434的服务器发送一个UDP请求。SQL Browser用请求环境所拥有的TCP/IP端口和命名管道进行响应。客户端应用程序的网络库然后就会通过使用端口或者命名管道发送请求给服务器来完成连接。
评论加载中…
 |