數(shù)據(jù)庫(kù)與防火墻該怎么樣部署

本篇文章為大家展示了數(shù)據(jù)庫(kù)與防火墻該怎么樣部署，內(nèi)容簡(jiǎn)明扼要并且容易理解，絕對(duì)能使你眼前一亮，通過(guò)這篇文章的詳細(xì)介紹希望你能有所收獲。

　　安全與性能是數(shù)據(jù)庫(kù)管理員的兩塊心頭肉。而通過(guò)防火墻來(lái)保護(hù)數(shù)據(jù)庫(kù)的安全無(wú)疑是一種不錯(cuò)的選擇，當(dāng)然，SQLServer數(shù)據(jù)庫(kù)是體現(xiàn)數(shù)據(jù)庫(kù)性能的關(guān)系數(shù)據(jù)庫(kù)管理系統(tǒng)。下面小編來(lái)講解下數(shù)據(jù)庫(kù)與防火墻怎么樣部署?

數(shù)據(jù)庫(kù)與防火墻怎么樣部署

建議一：先部署數(shù)據(jù)庫(kù)，再部署防火墻

　　導(dǎo)致客戶端無(wú)法連接上數(shù)據(jù)庫(kù)服務(wù)器的原因有很多，而防火墻的限制無(wú)疑也是其中的一種。為了降低故障排除的復(fù)雜程度，筆者建議數(shù)據(jù)庫(kù)管理員在部署的時(shí)候，最好先把防火墻關(guān)掉。即先部署數(shù)據(jù)庫(kù)，然后再部署防火墻。或者說(shuō)，在防火墻存在的情況下，假如發(fā)現(xiàn)客戶端無(wú)法正常連接到數(shù)據(jù)庫(kù)，最好先把防火墻關(guān)掉，然后再看看能夠正常連接。這主要可以幫助數(shù)據(jù)庫(kù)管理員簡(jiǎn)單的來(lái)判斷，這個(gè)連接故障是不是因?yàn)榉阑饓Φ牟磺‘?dāng)配置所造成的。在排除防火墻配置錯(cuò)誤的時(shí)候，這個(gè)方法非常的有用。假如確實(shí)是因?yàn)榉阑饓Φ脑颍鴶?shù)據(jù)庫(kù)管理員還一直在數(shù)據(jù)庫(kù)管理系統(tǒng)或者客戶端那邊尋找原因，那就是白花力氣。同理，假如確實(shí)是數(shù)據(jù)庫(kù)服務(wù)器的問(wèn)題而不是防火墻的配置所造成的連接故障，但是數(shù)據(jù)庫(kù)管理員卻是在尋找防火墻的麻煩，那也是自討苦吃。所以筆者建議大家，在部署數(shù)據(jù)庫(kù)的時(shí)候(不僅限于SQLServer數(shù)據(jù)庫(kù)系統(tǒng))，最好先把已經(jīng)存在的防火墻關(guān)閉掉。等到客戶端能夠正常連接到服務(wù)器后，再嘗試啟動(dòng)防火墻。

建議二：根據(jù)數(shù)據(jù)庫(kù)開(kāi)啟的服務(wù)來(lái)開(kāi)啟防火墻的端口

　　從安全上來(lái)說(shuō)，數(shù)據(jù)庫(kù)服務(wù)器的端口開(kāi)啟的越少越好。但是數(shù)據(jù)庫(kù)的有些服務(wù)必須要開(kāi)啟某些特定的端口，否則的話某些服務(wù)就會(huì)受到影響。為此從安全與性能上綜合考慮的話，就要求數(shù)據(jù)庫(kù)管理員根據(jù)數(shù)據(jù)庫(kù)要采用的服務(wù)來(lái)開(kāi)啟防火墻的端口。

　　如在SQLServer數(shù)據(jù)庫(kù)中啟用了復(fù)制功能的話，就需要在防火墻上開(kāi)啟1433端口(這是數(shù)據(jù)庫(kù)默認(rèn)的給復(fù)制服務(wù)啟用的端口)。當(dāng)然數(shù)據(jù)庫(kù)管理員也可以跟網(wǎng)絡(luò)管理員商量最終所采用的端口。另外假如采用復(fù)制快照，則進(jìn)行WEB同步或者FTP訪問(wèn)則要求在防后墻上打開(kāi)其他需要的端口。如快照復(fù)制通過(guò)FTP實(shí)現(xiàn)的話，為了將數(shù)據(jù)文件和架構(gòu)從一個(gè)位置傳輸?shù)骄W(wǎng)絡(luò)上的另外一個(gè)位置，則需要在防火墻上開(kāi)啟21端口，以允許FTP協(xié)議的數(shù)據(jù)通過(guò)這個(gè)端口。而通常情況下，為了安全起見(jiàn)是把這個(gè)端口關(guān)閉的。而假如在復(fù)制功能中假如需要用到HTTP或者文件和打印共享服務(wù)時(shí)，還需要打開(kāi)137、138、139端口，等等。否則的話由于防火墻的阻擋這些服務(wù)將無(wú)法正常使用。

數(shù)據(jù)庫(kù)與防火墻怎么樣部署

　　另外SQLServer數(shù)據(jù)庫(kù)中有些服務(wù)的話是沒(méi)有指定端口的。數(shù)據(jù)庫(kù)管理員可以根據(jù)實(shí)際需要，來(lái)確定所需要采用的端口。如數(shù)據(jù)庫(kù)的鏡像服務(wù)，其沒(méi)有指定所需要采用的端口，而是要求數(shù)據(jù)庫(kù)管理員來(lái)選擇端口。此時(shí)數(shù)據(jù)庫(kù)管理員就可以根據(jù)服務(wù)器端口的實(shí)際采用情況來(lái)設(shè)置到底開(kāi)啟哪個(gè)端口為好。在配置的時(shí)候，假如數(shù)據(jù)庫(kù)服務(wù)器中還部署有其他英勇的話，就需要避免與其他服務(wù)端口的沖突。

　　SQLServer數(shù)據(jù)庫(kù)的相關(guān)服務(wù)有很多，如還有報(bào)表服務(wù)、Browser服務(wù)(用于偵聽(tīng)指向命名實(shí)例的傳入連接，并為客戶端提供與此命名實(shí)例對(duì)應(yīng)的TCP端口號(hào))等等。若數(shù)據(jù)庫(kù)管理員以為客戶端的連接故障是由于防火墻所引起的，那么數(shù)據(jù)庫(kù)管理員就需要查看微軟的官方文檔，看看對(duì)應(yīng)服務(wù)所需要開(kāi)啟的端口在防火墻中是否已經(jīng)打開(kāi)。

建議三：管理好動(dòng)態(tài)端口

　　以上這些服務(wù)的端口基本上是靜態(tài)的，只需要在防火墻上把這些端口打開(kāi)即可，沒(méi)有多大的難度。而其管理的難點(diǎn)是有些服務(wù)采用的是動(dòng)態(tài)的端口，這會(huì)給數(shù)據(jù)庫(kù)服務(wù)器上防火墻的配置帶來(lái)一定的麻煩。因?yàn)槎丝诓还潭?，所以有時(shí)候防火墻就無(wú)法適從了。

　　如通常情況下，數(shù)據(jù)庫(kù)中有一個(gè)叫做命名實(shí)例的服務(wù)，這個(gè)服務(wù)采用的就是動(dòng)態(tài)端口。也就是說(shuō)，每次啟動(dòng)數(shù)據(jù)庫(kù)服務(wù)器的時(shí)候，數(shù)據(jù)庫(kù)引擎都將確定一個(gè)服務(wù)器沒(méi)有使用的端口作為自己的端口。即每次采用的端口都不一致。默認(rèn)情況下，SQLServer數(shù)據(jù)庫(kù)引擎采用的TCP端口號(hào)為1433。但是假如在這臺(tái)數(shù)據(jù)庫(kù)服務(wù)器上還部署有其他的數(shù)據(jù)庫(kù)引擎，如Oracle數(shù)據(jù)庫(kù)系統(tǒng)或者MySQL數(shù)據(jù)庫(kù)系統(tǒng)，則可能這個(gè)1433端口已經(jīng)被他們所采用了。則此時(shí)SQLServer數(shù)據(jù)庫(kù)系統(tǒng)引擎將無(wú)法使用這個(gè)端口。此時(shí)數(shù)據(jù)庫(kù)引擎就會(huì)另外選擇一個(gè)可用的端口?？梢?jiàn)由于數(shù)據(jù)庫(kù)引擎或者數(shù)據(jù)庫(kù)服務(wù)器在每次啟動(dòng)的時(shí)候所采用的端口都可能不同，為此很難在防火墻上啟用對(duì)正確端口的訪問(wèn)(防火墻不會(huì)跟數(shù)據(jù)庫(kù)引擎互動(dòng))。也就是說(shuō)，防火墻不會(huì)去偵測(cè)數(shù)據(jù)庫(kù)引擎到底啟用哪些端口。所以假如在數(shù)據(jù)庫(kù)服務(wù)器上配置了防火墻，則在數(shù)據(jù)庫(kù)部署的時(shí)候，假如某些服務(wù)采用了動(dòng)態(tài)端口，則數(shù)據(jù)庫(kù)管理員需要把他們配置為固定端口或者靜態(tài)端口，以保證數(shù)據(jù)庫(kù)引擎每次都采用同一的端口號(hào)。

　　在SQLServer數(shù)據(jù)庫(kù)中把動(dòng)態(tài)端口設(shè)置為固定端口，其難度不是很大。只是假如啟用的服務(wù)比較多的話，工作量可不算小。

上述內(nèi)容就是數(shù)據(jù)庫(kù)與防火墻該怎么樣部署，你們學(xué)到知識(shí)或技能了嗎？如果還想學(xué)到更多技能或者豐富自己的知識(shí)儲(chǔ)備，歡迎關(guān)注億速云行業(yè)資訊頻道。