1433端口的安全性

1433端口不是很安全，往往很容易被黑客攻陷，因此，更改SQL Server 默认的1433端口是很有必要的。网上存在很多抓1433端口肉鸡的动画。而他们利用的往往是sa弱口令，因此要注意把sa密码设置得复杂一些，而且在conn等数据库链接文件中不要使用sa用户进行数据库连接。

另外1433端口，如果仅仅是本机web链接本机数据库，那么没必要开1433，它是远程链接使用的。

设置安全策略：“控制面板”——〉“管理工具”——〉“本地安全策略”选择IP安全策略—创建IP安全策略—建立名称—默认下一步中国_网管联盟OK 建立新的策略完成选择你新建的策略 –属性然后填加下一步中国网管联盟选择WIN2000默认值（Kerberos V5协议） 继续下一步选择是选择所有IP通讯继续下一步完成选中“所有 IP 通讯”——〉点“编辑”按钮，打开“IP筛选器列表”——〉继续点“编辑”按钮，打开“筛选器 属性”www_bitscn_com完成上面配置后在你刚配置的策略有键指派验证安全策略指派“控制面板”——〉“网络和拨号连接”——〉选中本机使用的网卡，比如“本地连接”——〉双击打开“属性”——〉选中“Internet 协议(TCP/IP)”，打开其“属性”——〉“高级”看到“高级 TCP/IP 设置”——〉选中“选项”标签——〉选中“IP 安全机制”——〉打开其“属性”中国网管论坛——〉“使用此 IP 安全策略”的下拉框中选中是否就是刚才设置的“SQL 1433”配置完成后重新启动机器。方法二：局域网内找一个机器（非本机），在dos控制台下，输入telnet EP服务器IP 1433如果安全策略应用成功的话，应该不能够连接，会出现如下的话：正在连接到xxxxxxx无法打开到主机的连接 在端口 1433 : 连接失败。

解决方案步骤：

一、看ping服务器IP能否ping通。

这个实际上是看和远程sql server 2000服务器的物理连接是否存在。如果不行，请检查网络，查看配置，当然得确保远程sql server 2000服务器的IP拼写正确。

二、在Dos或命令行下输入telnet服务器IP端口，看能否连通。

如telnet 202114100100 1433

通常端口值是1433，因为1433是sql server 2000的对于Tcp/IP的默认侦听端口。如果有问题，通常这一步会出问题，提示是“……无法打开连接,连接失败”。

如果这一步有问题，应该检查以下选项。

1 检查远程服务器是否启动了sql server 2000服务。如果没有，则启动。

2 检查服务器端有没启用Tcp/IP协议，因为远程连接（通过因特网）需要靠这个协议。检查方法是，在服务器上：

打开开始菜单->程序->Microsoft SQL Server->服务器网络实用工具，看启用的协议里是否有tcp/ip协议，如果没有，则启用它。

3 检查服务器的tcp/ip端口是否配置为1433端口。仍然在服务器网络实用工具里查看启用协议里面的tcp/ip的属性，确保默认端口为1433，并且隐藏服务器复选框没有勾上。

事实上，如果默认端口被修改，也是可以的，但是在客户端做telnet测试时，写服务器端口号时必须与服务器配置的端口号保持一致。

如果隐藏服务器复选框被勾选，则意味着客户端无法通过枚举服务器来看到这台服务器，起到了保护的作用，但不影响连接，但是Tcp/ip协议的默认端口将被隐式修改为2433，在客户端连接时必须作相应的改变。

4 如果服务器端操作系统打过sp2补丁，则要对windows防火墙作一定的配置，要对它开放1433端口，通常在测试时可以直接关掉windows防火墙（其他的防火墙也关掉最好）。

5 检查服务器是否在1433端口侦听。如果服务器没有在tcp连接的1433端口侦听，则是连接不上的。

检查方法是在服务器的dos或命令行下面输入 netstat -a -n 或者是netstat -an，在结果列表里看是否有类似 tcp 127001 1433 listening 的项。如果没有，则通常需要给sql server 2000打上至少sp3的补丁。

其实在服务器端启动查询分析器，输入 select @@version 执行后可以看到版本号，版本号在802039以下的都需要打补丁。

如果以上都没问题，这时再做telnet 服务器ip 1433 测试，将会看到屏幕一闪之后光标在左上角不停闪动。恭喜，马上可以开始在企业管理器或查询分析器连接了。

三、检查客户端设置。

程序->Microsoft SQL Server-> 客户端网络使用工具。像在服务器网络实用工具里一样，确保客户端tcp/ip协议启用，并且默认端口为1433（或其他端口，与服务器端保持一致就行）。

四、在企业管理器里或查询分析器连接测试。

企业管理器->右键SQlserver组->新建sqlserver注册->下一步->写入远程IP->下一步-> 选Sqlserver登陆->下一步->写入登陆名与密码（sa,password）->下一步->下一步->完成

查询分析器->文件->连接->写入远程IP->写入登录名和密码（sa,password）->确定

通常建议在查询分析器里做，因为默认情况下，通过企业管理器注册另外一台SQL Server的超时设置是4秒，而查询分析器是15秒。

修改默认连接超时的方法：

1、企业管理器->工具->选项->在弹出的”SQL Server企业管理器属性”窗口中，点击”高级”选项卡->连接设置->在 登录超时（秒） 后面的框里输入一个较大的数字

2、查询分析器->工具->选项->连接->在 登录超时（秒） 后面的框里输入一个较大的数字

通常就可以连通了，如果提示错误，则进入下一步。

五、错误产生的原因通常是由于SQL Server使用了”仅 Windows”的身份验证方式，因此用户无法使用SQL Server的登录帐户（如 sa ）进行连接。解决方法如下所示：

　1、在服务器端使用企业管理器，并且选择”使用 Windows 身份验证”连接上 SQL Server。

　2、展开”SQL Server组”，鼠标右键点击SQL Server服务器的名称，选择”属性”，再选择”安全性”选项卡。

　3、在”身份验证”下，选择”SQL Server和 Windows “。

　4、重新启动SQL Server服务。（在dos或命令行下面net stop mssqlserver停止服务，net startmssqlserver启动服务，也是一种快捷的方法）。

注：在连接本地服务器时，通常使用的是命名管道协议（在服务器网络实用工具里可以看到启用的协议有这个）默认端口是445，因此在本地能连通是不能说明什么问题的，连接远程服务器是完全不同的协议。