让防火墙与SQL Server数据库共存

安全与性能是数据库管理员的两块心头肉。而通过防火墙来保护数据库的安全无疑是一种不错的选择。但是有时会防火墙与SQL Server数据库也会闹矛盾。防火墙如果配置不当的话，不但不能够起到其应有的保护作用，而且还会阻止客户端的合法连接。为此如果想让防火墙与SQL Server数据库共存的话，还不是一件简单的事情。对于这个问题，笔者有如下几条建议。或许这些建议能够给各位数据库管理员在数据库与防火墙部署的时候提供一定的帮助。

建议一：先部署数据库，再部署防火墙。

导致客户端无法连接上数据库服务器的原因有很多，而防火墙的限制无疑也是其中的一种。为了降低故障排除的复杂程度，笔者建议数据库管理员在部署的时候，最好先把防火墙关掉。即先部署数据库，然后再部署防火墙。或者说，在防火墙存在的情况下，如果发现客户端无法正常连接到数据库，最好先把防火墙关掉，然后再看看能够正常连接。这主要可以帮助数据库管理员简单的来判断，这个连接故障是不是因为防火墙的不恰当配置所造成的。在排除防火墙配置错误的时候，这个方法非常的有用。如果确实是因为防火墙的原因，而数据库管理员还一直在数据库管理系统或者客户端那边寻找原因，那就是白花力气。同理，如果确实是数据库服务器的问题而不是防火墙的配置所造成的连接故障，但是数据库管理员却是在寻找防火墙的麻烦，那也是自讨苦吃。所以笔者建议大家，在部署数据库的时候(不仅限于SQL Server数据库系统)，最好先把已经存在的防火墙关闭掉。等到客户端能够正常连接到服务器后，再尝试启动防火墙。

建议二：根据数据库开启的服务来开启防火墙的端口。

从安全上来说，数据库服务器的端口开启的越少越好。但是数据库的有些服务必须要开启某些特定的端口，否则的话某些服务就会受到影响。为此从安全与性能上综合考虑的话，就要求数据库管理员根据数据库要采用的服务来开启防火墙的端口。