2.6 服务器安全

作者: Eric L. Brown 出处:机械工业出版社华章公司 　2007-10-12 18:07　   砖    好    评论  条 　进入论坛

阅读提示：《SQL Server 2005中文版精粹》第二章主要介绍了SQL Server 2005的安全性，本节讲了SQL Server 2005服务器安全。

2.6   服务器安全

到现在为止，本章主要讲解组件级别安全而不是整体安全。的确，从眼下利益出发，SQL Server 2005的安全拓扑是很复杂的。在这方面，我们使用更全局化的服务器安全观点，来讨论可信赖计算。我们不讨论Windows级别的安全问题，如果那样我们需要一本完全不同的书来讨论它。本节讨论如何处理每天都要做的安全问题。这里有两个相关工具：SQL Server Surface Area Configuration工具和SQL Server Configuration Manager。第三个工具是SQL Browser Service，当使用新的SQL Server Express Edition时，用它来对已命名的实例端口决议。

SAC工具为已安装组件提供功能级控制。它还有打开或关闭特定服务的功能。SAC的功能是很显著的，值得学习。比如，可以为服务器实例打开或关闭远程访问（这是因为使用了TCP/IP或命名管道），但却不能配置IP地址或管道。从功能上看，SAC工具是非常优秀的。它说明功能可以安装，并可以简便地打开或关闭。SAC有一些有趣的交互。比如，SQL Server不再自动监听1434端口。事实上，它根本就不监听。必须打开SQL Browser Service，它扮演中间人角色，解析客户端到服务器端的连接请求。在SQL Server 2000中，SQL Server自动监听给SQL Slammer提供了生存空间。现在，如果不允许SQL Server去监听，它就成了一个聋子。

之所以这样做是有所考虑的，你已经打开了SQL Browser，也打开了TCP/IP连接，但公司并不允许随机分配IP（已经给你分配了IP地址），那么怎样将这个信息提供给SQL Server呢？答案是通过使用新的SQL Server安全设置管理器（Security Configuration Manager）工具！SQL Server和它的其他组件默认使用了大量的端口。表2-5显示了为SQL Server 2005发布的端口。可以查看http://www.iana.org/assignments/来学习应用程序打开了哪些端口号。默认情况下，这些端口都是关闭的并且不可用，除非明确启用它们。

表2-5   SQL Server使用的端口

回书目   上一节   下一节