前面大篇幅介紹了SQL Server及作業系統的安全，現在是時候介紹一下外圍主要是網路層面的安全。這部分主要包括網路功能、服務和端點。因為絕大部分的攻擊都來自於網路，所以網路層的安全控制某種意義上可以說是最外層的防禦。本文先介紹一下網路方面的配置。

網路配置

    在介紹之前先要了解一下基礎知識，包括埠和協議。這對後續防火牆的管理很有必要。

埠和協議

協議

    在網路環境下，網路中的伺服器互動時，彼此之間需要了解傳輸的資訊是什麼內容。這個工作由網路協議（protocol）來完成，SQL Server可以偵聽三種不同的協議：Shared memory（共享記憶體）、named pipes（命名管道）和TCP/IP。

    Shared Memory：僅用於在同一臺伺服器內的應用程式和資料庫引擎例項互動。由於正式環境都不建議把客戶端和資料庫安裝在同一個環境下，所以這種協議極少使用。通常僅用來排查網路連線的故障。

    Named Pipes：主要用於區域網環境。在廣域網中雖然可用但是效能會大打折扣。

    TCP/IP：除非有理由不使用，否則都應該配置SQL Server使用TCP/IP協議。因為不管從安全性還是支援的廣泛程度來說，都是其他協議無法比擬的。

埠

    埠分為兩大類：動態和靜態。埠是在作業系統中的一個互動端點，配合網路協議傳輸資訊。SQL Server使用TCP埠和UDP埠，客戶端可以通過埠與例項建立連線。

    靜態埠：埠號總是固定的，即使伺服器重啟。很多軟體都預佔了一些埠，如SQL Server（1433）、MySQL（3306）。

    動態埠：每次服務重啟時重新生成（當然有機率會使用重啟前的埠號，不過幾率估計非常低）。

    介紹完這些非常基礎的內容之後，下面從操作中再深入介紹。

配置網路協議

    正如很多SQL Server資料上都會提到，對SQL Server的管理，除非不能滿足需求，否則都應該使用SQL Server配置管理器來管理。通常情況下我們會使用下面圖中所示的部分來管理協議：

    注意如果是多例項的環境中，應該分清楚你要控制的是哪個例項。同時提醒一下，對這裡的網路協議修改，需要重啟資料庫引擎服務才能生效，這個在配置完畢之後就會彈出提醒框。

    圖上可以看到，預設情況下Named Pipes是禁用的，而其他兩個是啟用狀態。雙擊Shared Memory可以發現它並沒有可配置的內容。

    雙擊命名管道可以看到當前的管道名。

    下面重點介紹一下TCP/IP：對話方塊分為兩頁，第一頁是【協議】，包含三個部分，【保持活動狀態】（Keep Alive）、【已啟用】（Enabled）和【全部偵聽】（Listen All）

• 保持活動狀態：下面就有解釋。
• 全部偵聽：標識SQLServer例項是否要偵聽所有可用IP地址或者已配置的IP地址子集。

    第二頁是【IP地址】，可以配置例項偵聽的埠。如果使用靜態埠（建議操作），則“TCP動態埠”處應該留空。如果【協議】頁的“全部偵聽”設為【否】，則此處的每個IP地址都要手動配置埠。如果設為【是】，只需要配置IPALL部分即可。

    從SQL Server角度，可供配置的網路方面內容主要就是上面這些，下面來演示一下防火牆方面的配置。

SQL Server所需的防火牆配置

    防火牆是什麼這裡就不多說了。它的核心功能就是“放行”跟“阻止”。為了使得外部應用能夠與SQL Server通訊，需要配置防火牆放行合理的請求。在大型企業環境中，防火牆可能有好幾層，如企業外部、企業內部、一套應用（含應用程式與資料庫伺服器）中等等。同時防火牆也有軟硬之分，有專用的硬體防火牆，但是對於DBA來說，通常不需要關注過多。這裡主要指資料庫伺服器本身的防火牆。

    下面首先來看看SQLServer跟客戶端的互動流程。

客戶端與SQLServer互動

    如圖所示，當使用TCP/IP協議時，客戶端可以通過連線字串中的例項已偵聽的特定埠或例項名並使用SQL Browser服務解析例項名的方式直接與命名例項互動。如果使用的是預設例項，可以不用SQL Browser服務直接連線。

    當客戶端使用命名管道與例項通訊時，通訊總使用445埠。這個埠通常用於檔案和印表機共享。如果不計劃使用命名管道，那麼最好禁用檔案和印表機共享並在防火牆中阻止445埠降低攻擊風險。

SQL Server所需埠

    上面說了很多關於埠的問題，那麼下面來詳細介紹一下SQL Server所需的埠：

    為了讓SQL Server穩定執行，下面的埠不要隨意佔用，但是預設1433埠在很多時候應該修改，以防攻擊者攻擊，這些埠號在防火牆中通過放行和阻止來控制外部與SQL Server的互動。