1433端口的安全性
1433端口不是很安全,往往很容易被黑客攻陷,因此,更改SQL Server 默认的1433端口是很有必要的。网上存在很多抓1433端口肉鸡的动画。而他们利用的往往是sa弱口令,因此要注意把sa密码设置得复杂一些,而且在conn等数据库链接文件中不要使用sa用户进行数据库连接。
另外1433端口,如果仅仅是本机web链接本机数据库,那么没必要开1433,它是远程链接使用的。
设置安全策略:“控制面板”——〉“管理工具”——〉“本地安全策略”选择IP安全策略—创建IP安全策略—建立名称—默认下一步中国_网管联盟OK 建立新的策略完成选择你新建的策略 –属性然后填加下一步中国网管联盟选择WIN2000默认值(Kerberos V5协议) 继续下一步选择是选择所有IP通讯继续下一步完成选中“所有 IP 通讯”——〉点“编辑”按钮,打开“IP筛选器列表”——〉继续点“编辑”按钮,打开“筛选器 属性”www_bitscn_com完成上面配置后在你刚配置的策略有键指派验证安全策略指派“控制面板”——〉“网络和拨号连接”——〉选中本机使用的网卡,比如“本地连接”——〉双击打开“属性”——〉选中“Internet 协议(TCP/IP)”,打开其“属性”——〉“高级”看到“高级 TCP/IP 设置”——〉选中“选项”标签——〉选中“IP 安全机制”——〉打开其“属性”中国网管论坛——〉“使用此 IP 安全策略”的下拉框中选中是否就是刚才设置的“SQL 1433”配置完成后重新启动机器。方法二:局域网内找一个机器(非本机),在dos控制台下,输入telnet EP服务器IP 1433如果安全策略应用成功的话,应该不能够连接,会出现如下的话:正在连接到xxxxxxx无法打开到主机的连接 在端口 1433 : 连接失败。
解决方案步骤:
一、看ping服务器IP能否ping通。
这个实际上是看和远程sql server 2000服务器的物理连接是否存在。如果不行,请检查网络,查看配置,当然得确保远程sql server 2000服务器的IP拼写正确。
二、在Dos或命令行下输入telnet服务器IP端口,看能否连通。
如telnet 202114100100 1433
通常端口值是1433,因为1433是sql server 2000的对于Tcp/IP的默认侦听端口。如果有问题,通常这一步会出问题,提示是“……无法打开连接,连接失败”。
如果这一步有问题,应该检查以下选项。
1 检查远程服务器是否启动了sql server 2000服务。如果没有,则启动。
2 检查服务器端有没启用Tcp/IP协议,因为远程连接(通过因特网)需要靠这个协议。检查方法是,在服务器上:
打开开始菜单->程序->Microsoft SQL Server->服务器网络实用工具,看启用的协议里是否有tcp/ip协议,如果没有,则启用它。
3 检查服务器的tcp/ip端口是否配置为1433端口。仍然在服务器网络实用工具里查看启用协议里面的tcp/ip的属性,确保默认端口为1433,并且隐藏服务器复选框没有勾上。
事实上,如果默认端口被修改,也是可以的,但是在客户端做telnet测试时,写服务器端口号时必须与服务器配置的端口号保持一致。
如果隐藏服务器复选框被勾选,则意味着客户端无法通过枚举服务器来看到这台服务器,起到了保护的作用,但不影响连接,但是Tcp/ip协议的默认端口将被隐式修改为2433,在客户端连接时必须作相应的改变。
4 如果服务器端操作系统打过sp2补丁,则要对windows防火墙作一定的配置,要对它开放1433端口,通常在测试时可以直接关掉windows防火墙(其他的防火墙也关掉最好)。
5 检查服务器是否在1433端口侦听。如果服务器没有在tcp连接的1433端口侦听,则是连接不上的。
检查方法是在服务器的dos或命令行下面输入 netstat -a -n 或者是netstat -an,在结果列表里看是否有类似 tcp 127001 1433 listening 的项。如果没有,则通常需要给sql server 2000打上至少sp3的补丁。
其实在服务器端启动查询分析器,输入 select @@version 执行后可以看到版本号,版本号在802039以下的都需要打补丁。
如果以上都没问题,这时再做telnet 服务器ip 1433 测试,将会看到屏幕一闪之后光标在左上角不停闪动。恭喜,马上可以开始在企业管理器或查询分析器连接了。
三、检查客户端设置。
程序->Microsoft SQL Server-> 客户端网络使用工具。像在服务器网络实用工具里一样,确保客户端tcp/ip协议启用,并且默认端口为1433(或其他端口,与服务器端保持一致就行)。
四、在企业管理器里或查询分析器连接测试。
企业管理器->右键SQlserver组->新建sqlserver注册->下一步->写入远程IP->下一步-> 选Sqlserver登陆->下一步->写入登陆名与密码(sa,password)->下一步->下一步->完成
查询分析器->文件->连接->写入远程IP->写入登录名和密码(sa,password)->确定
通常建议在查询分析器里做,因为默认情况下,通过企业管理器注册另外一台SQL Server的超时设置是4秒,而查询分析器是15秒。
修改默认连接超时的方法:
1、企业管理器->工具->选项->在弹出的”SQL Server企业管理器属性”窗口中,点击”高级”选项卡->连接设置->在 登录超时(秒) 后面的框里输入一个较大的数字
2、查询分析器->工具->选项->连接->在 登录超时(秒) 后面的框里输入一个较大的数字
通常就可以连通了,如果提示错误,则进入下一步。
五、错误产生的原因通常是由于SQL Server使用了”仅 Windows”的身份验证方式,因此用户无法使用SQL Server的登录帐户(如 sa )进行连接。解决方法如下所示:
1、在服务器端使用企业管理器,并且选择”使用 Windows 身份验证”连接上 SQL Server。
2、展开”SQL Server组”,鼠标右键点击SQL Server服务器的名称,选择”属性”,再选择”安全性”选项卡。
3、在”身份验证”下,选择”SQL Server和 Windows “。
4、重新启动SQL Server服务。(在dos或命令行下面net stop mssqlserver停止服务,net startmssqlserver启动服务,也是一种快捷的方法)。
注:在连接本地服务器时,通常使用的是命名管道协议(在服务器网络实用工具里可以看到启用的协议有这个)默认端口是445,因此在本地能连通是不能说明什么问题的,连接远程服务器是完全不同的协议。
0条评论