Sql-Server

出於安全原因,為 SQL Server 選擇哪個 TCP 埠進行偵聽?

  • October 17, 2018

我知道 MS SQL Server 的預設 TCP 埠是 1433,出於某些安全原因,最好更改它。但是我想知道為SQL Server選擇哪個埠而不是1433更好,以便正常工作並且不干預其他程序的工作?如果我選擇一個已經被另一個程序使用的埠怎麼辦?

謝謝你的時間!

這個問題可能更適合https://security.stackexchange.com/,因為它的想法和含義根本不特定於 SQL Server,它們適用於任何其他內部服務。

更改 SQL Server 實例埠通常不會增加安全性 - 這是一種“戲劇性”操作,而不是真正的安全優勢,需要將其放在清單上,以使其看起來像是在為深度安全策略做了很多工作$$ 1 $$. 如果瀏覽器服務仍然打開,任何進入的人都可以詢問 SQL 正在偵聽的埠。不同埠上的多個 SQL 實例並不少見,因此針對 SQL Server 的自動攻擊通常會掃描其他埠上的實例,如果在 1433 上沒有找到一個實例,而自動攻擊機器人一直在進行的攻擊可能需要數十秒的時間在世界上等待。

如果外部世界可以看到埠 1433,那麼這就是問題所在(您的防火牆/其他設置太開放)並且更改埠可能無法解決該問題,因為新埠也可能對世界開放。如果攻擊者在您的基礎設施內部,因此可以看到 SQL Server 偵聽埠,那麼您在其他地方就會遇到嚴重的安全問題,移動 SQL 的埠也無濟於事。

$$ 1 $$注意:我並不是要暗示深度安全是一件壞事,實際上不是。深度安全應該是所有環境的核心目標。但是,當您可以花時間做其他確實可以提高安全性的事情時,請盡量避免增加麻煩但實際上並沒有任何真正的安全優勢的安全劇院。

引用自:https://dba.stackexchange.com/questions/213810