Netzwerkzugriff über TCP- Endpunkte einschränken
Die erste Barriere, die beim Zugriff auf den SQL- Server über das Netz zu überwinden ist, ist der TCP- Endpunkt. Seine Konfiguration erfolgt über den Configuration- Manager in der Abteilung Server Netzwerkkonfiguration.
TCP- Endpunkte können aktiviert oder deaktiviert werden. Bezüglich des SQL- Servers wirken sie ähnlich wie eine Firewall. Indem die Kommunikation mit dem Server über den Endpunkt eingeschränkt, und bei Bedarf durch Deaktivierung des Endpunktes gekappt wird, kontrolliert man sie.
Ein Endpunkt hat die Zustände started, stopped und disabled. Das Verhalten des Endpunktes in den jeweiligen Zuständen definiert folgende Tabelle:
| started | Wartet auf Verbindungsanforderungen, und baut Verbindungen auf. |
|---|---|
|
stopped |
Wartet auf Verbindungsanforderungen, lehnt aber Verbindungen mit einer Fehlermeldung ab. |
| disabled | Endpunkt ist abgeschaltet, Port nicht aktiv. |
Im Con figuration- Manager wird der Zustand eines Endpunktes über die beiden Eigenschaften Aktiv und Aktiviert eingestellt. Folgende Kreuztabelle stellt die Zusammenhänge dar:
|
|
Started | Stopped | Disabled |
|---|---|---|---|
| Aktiv | True | False | ? |
| Aktiviert | True | True | False |
Der Standardport für einen TCP- Endpunkt ist 1433. In der Firewall des Servers muss eine Regel für den eingehenden Verkehr definiert werden, die diesen Port öffnet.
Im Configuration Manager kann der Port für alle Netzwerkschnittstellen (= IP- Adressen) eine Servers als TCP- Endpunkte geöffnet werden. Jedoch sollte die bewusste Aktivierung einzelner Schnittstellen als Endpunkte bevorzugt werden, da so die Angriffsfläche auf den Server minimiert wird.
Weiter besteht die Möglichkeit einer dynamischen Port- Vergabe. Um diese zu nutzen, ist im Configuration Manager unter der Abteilung SQL-Server Dienste der Sql- Server- B rowser zu aktikvieren.
Die Parameter Aktiv und Aktiviert (deutsche Version) beeinflussen den
Endpunkte von SQL Server Azure
Azure- Portal
Azure ist die Cloud- Plattform von Microsoft. Hier werden Dienste über das Internet bereitgestellt wie SQL Server for Azure, Blob Store etc..
Anstelle der Endpunkte eines lokal installierten Servers ist bei SQL Server for Azure die Firewall der VM zu konfigurieren, auf der der SQL- Server in der Cloud läuft.
-- Auflisten aller Firewallregeln select * from sys.firewall_rules order by Name