Подключение к SQL Server через Интернет

Использование системы брандмауэров с компонентом SQL Server Database Engine

Во многих компаниях для изоляции сетей от неавторизованного доступа через Интернет используются системы брандмауэров. Брандмауэр можно использовать для ограничения доступа к сети путем направления к ней только запросов с определенными адресами TCP/IP в локальной сети. Запросы других сетевых адресов блокируются брандмауэром. Можно разрешить интернет-приложениям доступ к экземпляру SQL Server Database Engine в локальной сети путем настройки брандмауэра на перенаправление сетевых запросов, в которых указан сетевой адрес экземпляра компонента Database Engine.

Для работы с брандмауэром экземпляр компонента Database Engine должен прослушивать сетевой адрес, для перенаправления на который настроен брандмауэр. Сетевой адрес TCP/IP для компонента SQL Server Database Engine состоит из двух частей: IP-адрес, назначенный одной или нескольким сетевым картам компьютера, и адрес порта TCP, назначенный данному экземпляру SQL Server. В установленных по умолчанию экземплярах компонент Database Engine используется по умолчанию порт TCP 1433. Именованные экземпляры динамически назначают себе неиспользуемый номер порта TCP при первом запуске экземпляра. Именованный экземпляр может также динамически менять свой адрес порта TCP при дальнейшей загрузке, если исходный номер порта TCP используется другим приложением. SQL Server динамически меняет порт TCP на неиспользуемый только в случаях, если текущий прослушиваемый порт был выбран динамически; если статически назначенный порт используется другим приложением, SQL Server отображает ошибку и продолжает прослушивание других портов. Однако маловероятно, что другое приложение будет использовать порт 1433, так как это известный зарегистрированный адрес для компонента SQL Server Database Engine.

При использовании именованного экземпляра компонента Database Engine с брандмауэром следует использовать диспетчер конфигурации SQL Server для настройки прослушивания именованным экземпляром особого порта TCP. Необходимо подобрать порт TCP, не используемый другим приложением, запущенным на том же компьютере или кластере. Список известных портов, зарегистрированных для использования в разнообразных приложениях, находится на веб-узле Internet Assigned Numbers Authority по адресу http://www.iana.org.

Сетевому администратору следует настроить брандмауэр на перенаправление сообщений на SQL Server для IP-адреса и TCP-порта, прослушиваемых экземпляром компонента Database Engine (либо порт TCP 1433 для экземпляра по умолчанию, либо вручную настроенный порт для именованного экземпляра). Кроме того, так как в Microsoft SQL Server используется порт UDP 1434 для установления вспомогательных соединений с приложениями, сетевому администратору следует настроить брандмауэр на перенаправление запросов на порт UDP 1434 на тот же IP-адрес. Дополнительные сведения о порте UDP 1434 см. в разделе Служба браузера SQL Server.

Например, предположим, что на компьютере запущен один экземпляр по умолчанию и два именованных экземпляра SQL Server Database Engine. Компьютер настроен таким образом, что сетевой адрес, прослушиваемый всеми тремя экземплярами, является одним и тем же IP-адресом. Экземпляр по умолчанию прослушивает порт TCP 1433, а другие именованные экземпляры могут прослушивать порты TCP соответственно 1434 и 1954. Сетевому администратору следует после этого настроить брандмауэр на перенаправление сетевых запросов для порта UDP 1434 и портов TCP 1433, 1434, 1954 на данный IP-адрес.

Дополнительные сведения о параметрах брандмауэра Windows и описание TCP-портов, влияющих на компонент Database Engine, службы Analysis Services, Reporting Services и Integration Services, см. в разделе Настройка Брандмауэра Windows для разрешения доступа к SQL Server.

См. также

Задания

Основные понятия