SQL Server 2000的安全配置

核心提示： 5、使用协议加密 sql server(WINDOWS平台上强大的数据库平台) 2000使用的Tabular Data Stream协议来进行网络数据交换，如果不加密的话，SQL Server 2000的安全配置(3)，所有的网络传输都是明文的，包括密码、数据库内容等等，更主要的还是要加强内部的安全控制和管理员的安全

　　5、使用协议加密

　　sql server(WINDOWS平台上强大的数据库平台) 2000使用的Tabular Data Stream协议来进行网络数据交换，如果不加密的话，所有的网络传输都是明文的，包括密码、数据库内容等等，这是一个很大的安全威胁。能被人在网络中截获到他们需要的东西，包括数据库帐号和密码。所以，在条件容许情况下，最好使用SSL来加密协议，当然，你需要一个证书来支持。

　　6、不要让人随便探测到你的TCP/IP端口

　　默认情况下，sql server(WINDOWS平台上强大的数据库平台)使用1433端口监听，很多人都说sql server(WINDOWS平台上强大的数据库平台)配置的时候要把这个端口改变，这样别人就不能很容易地知道使用的什么端口了。可惜，通过微软未公开的1434端口的UDP探测可以很容易知道sql server(WINDOWS平台上强大的数据库平台)使用的什么TCP/IP端口了（请参考《深入探索sql server(WINDOWS平台上强大的数据库平台)网络连接的安全问题》）。

　　不过微软还是考虑到了这个问题，毕竟公开而且开放的端口会引起不必要的麻烦。在实例属性中选择TCP/IP协议的属性。选择隐藏 sql server(WINDOWS平台上强大的数据库平台) 实例。如果隐藏了 sql server(WINDOWS平台上强大的数据库平台) 实例，则将禁止对试图枚举网络上现有的 sql server(WINDOWS平台上强大的数据库平台) 实例的客户端所发出的广播作出响应。这样，别人就不能用1434来探测你的TCP/IP端口了（除非用Port Scan）。

　　7、修改TCP/IP使用的端口

　　请在上一步配置的基础上，更改原默认的1433端口。在实例属性中选择网络配置中的TCP/IP协议的属性，将TCP/IP使用的默认端口变为其他端口。

　　8、拒绝来自1434端口的探测

　　由于1434端口探测没有限制，能够被别人探测到一些数据库信息，而且还可能遭到DOS攻击让数据库服务器的CPU负荷增大，所以对Windows 2000操作系统来说，在IPSec过滤拒绝掉1434端口的UDP通讯，可以尽可能地隐藏你的sql server(WINDOWS平台上强大的数据库平台)。

　　9、对网络连接进行IP限制

　　sql server(WINDOWS平台上强大的数据库平台) 2000数据库系统本身没有提供网络连接的安全解决办法，但是Windows 2000提供了这样的安全机制。使用操作系统自己的IPSec可以实现IP数据包的安全性。请对IP连接进行限制，只保证自己的IP能够访问，也拒绝其他IP进行的端口连接，把来自网络上的安全威胁进行有效的控制。 　　

　　关于IPSec的使用请参看：http://www.microsoft.com/china/technet/security/ipsecloc.asp

　　上面主要介绍的一些sql server(WINDOWS平台上强大的数据库平台)的安全配置，经过以上的配置，可以让sql server(WINDOWS平台上强大的数据库平台)本身具备足够的安全防范能力。当然，更主要的还是要加强内部的安全控制和管理员的安全培训，而且安全性问题是一个长期的解决过程，还需要以后进行更多的安全维护。