九八云安全此文主要向大家讲述的是正确限制访问SQL Server 客户端的IP地址的实际操作步骤,在实际操作中我们只想使某个IP的计算机才能连接到SQL Server数据库的服务器,不允许其他客户端连接,怎么办呢?
解决方法
可以直接在防火墙中做限制,只允许与指定的IP地址建立1433的通讯。当然,从更为安全的角度来考虑,应该把1433端口改成其他的端口。
其他解决方法1(限从指定IP接入的SQL Server 客户端)
如果使用SQL Server 2005,还可以通过端点限制的方法来实现,此方法要求一块专门的网卡,所有可以连接SQL Server 客户端均通过此网卡接入(假设此网卡的IP是192.168.1.1):
1.在“SQL Server 配置管理器”的“SQL Server 2005网络配置中”,禁止除TCP/IP之外的所有协议;
2.使用如下的T-SQL禁止默认的TCP端点
- ALTERENDPOINT[TSQLDefaultTCP]
- STATE=STOPPED
3.使用如下的T-SQL建立新的TCP端点和授权
- USEmaster
- GO
建立一个新的端点
- CREATEENDPOINT[TSQLUserTCP]
- STATE=STARTED
- ASTCP(
- LISTENER_PORT=1433,
LISTENER_IP=(192.168.1.1)–侦听的网络地址
- )
- FORTSQL()
- GO
授予所有登录(或者指定登录)使用此端点的连接权限
- GRANTCONNECTONENDPOINT::[TSQLUserTCP]
- TO[public]
完成上述配置之后,只有通过网络地址配置为192.168.1.1的网卡接入的SQL Server 客户端才能访问SQL Server;另外,如果只授予指定登录对端点的连接权限,则只有指定的登录才能接入SQL Server实例。
其他解决方法2(限指定IP的客户端接入)
当SQL Server 2005升级到SP2或者更高的版本的时候,还可以通过新增的触发器来实现控制。
执行下面的T-SQL后,将使除IP地址为192.168.1.1之外的客户端连接失败。
- USEmaster
- GO
- CREATETRIGGERtr_LoginCheck
- ONALLSERVER
- FORLOGON
- AS
- IFEVENTDATA().value('(/EVENT_INSTANCE/ClientHost)[1]','varchar(15)')<>'192.168.1.1'
- ROLLBACKTRAN
- GO
以上的相关内容就是对限制访问SQL Server 客户端IP地址的介绍,望你能有所收获。
【编辑推荐】
- SQL Server identity列,美中不足之处
- SQL Server DateTime数据类型的另类解读
- SQL Server 2000的安全策略的正确打造
- SQL Server 数据导入的实际行为规范描述
- MS SQL Server问题与其正确解答方案
