什么是防火墙的部署方式

1.透明模式

透明模式也可叫作桥模式。最简单的网络由客户端和服务器组成，客户端和服务器处于同一网段。为了安全方面的考虑，在客户端和服务器之间增加了防火墙设备，对经过的流量进行安全控制。

正常的客户端请求通过防火墙送达服务器，服务器将响应返回给客户端，用户不会感觉到中间设备的存在。工作在桥模式下的防火墙没有IP地址，当对网络进行扩容时无需对网络地址进行重新规划，但牺牲了路由、VPN等功能。

2.网关模式

网关模式适用于内外网不在同一网段的情况，防火墙设置网关地址实现路由器的功能，为不同网段进行路由转发。网关模式相比桥模式具备更高的安全性，在进行访问控制的同时实现了安全隔离，具备了一定的私密性。

3.NAT模式

NAT(Network Address Translation)地址翻译技术由防火墙对内部网络的IP地址进行地址翻译，使用防火墙的IP地址替换内部网络的源地址向外部网络发送数据当外部网络的响应数据流量返回到防火墙后，防火墙再将目的地址替换为内部网络的源地址。

NAT模式能够实现外部网络不能直接看到内部网络的IP地址，进一步增强了对内部网络的安全防护。同时，在NAT模式的网络中，内部网络可以使用私网地址，可以解决IP地址数量受限的问题。

安全与性能是数据库管理员的两块心头肉 而通过防火墙来保护数据库的安全无疑是一种不错的选择 但是有时会防火墙与SQL Server数据库也会闹矛盾 防火墙如果配置不当的话 不但不能够起到其应有的保护作用 而且还会阻止客户端的合法连接 为此如果想让防火墙与SQL Server数据库共存的话 还不是一件简单的事情 对于这个问题 笔者有如下几条建议 或许这些建议能够给各位数据库管理员在数据库与防火墙部署的时候提供一定的帮助

　 　建议一 先部署数据库 再部署防火墙

导致客户端无法连接上数据库服务器的原因有很多 而防火墙的限制无疑也是其中的一种 为了降低故障排除的复杂程度 笔者建议数据库管理员在部署的时候 最好先把防火墙关掉 即先部署数据库 然后再部署防火墙 或者说 在防火墙存在的情况下 如果发现客户端无法正常连接到数据库 最好先把防火墙关掉 然后再看看能够正常连接 这主要可以帮助数据库管理员简单的来判断 这个连接故障是不是因为防火墙的不恰当配置所造成的 在排除防火墙配置错误的时候 这个方法非常的有用 如果确实是因为防火墙的原因 而数据库管理员还一直在数据库管理系统或者客户端那边寻找原因 那就是白花力气 同理 如果确实是数据库服务器的问题而不是防火墙的配置所造成的连接故障 但是数据库管理员却是在寻找防火墙的麻烦 那也是自讨苦吃 所以笔者建议大家 在部署数据库的时候(不仅限于SQL Server数据库系统) 最好先把已经存在的防火墙关闭掉 等到客户端能够正常连接到服务器后 再尝试启动防火墙

　 　建议二 根据数据库开启的服务来开启防火墙的端口

从安全上来说 数据库服务器的端口开启的越少越好 但是数据库的有些服务必须要开启某些特定的端口 否则的话某些服务就会受到影响 为此从安全与性能上综合考虑的话 就要求数据库管理员根据数据库要采用的服务来开启防火墙的端口

如在SQL Server数据库中启用了复制功能的话 就需要在防火墙上开启 端口(这是数据库默认的给复制服务启用的端口) 当然数据库管理员也可以跟网络管理员商量最终所采用的端口 另外如果采用复制快照 则进行WEB同步或者FTP访问则要求在防后墙上打开其他需要的端口 如快照复制通过FTP实现的话 为了将数据文件和架构从一个位置传输到网络上的另外一个位置 则需要在防火墙上开启 端口 以允许FTP协议的数据通过这个端口 而通常情况下 为了安全起见是把这个端口关闭的 而如果在复制功能中如果需要用到HTTP或者文件和打印共享服务时 还需要打开 端口 等等 否则的话由于防火墙的阻挡这些服务将无法正常使用

另外SQL Server数据库中有些服务的话是没有指定端口的 数据库管理员可以根据实际需要 来确定所需要采用的端口 如数据库的镜像服务 其没有指定所需要采用的端口 而是要求数据库管理员来选择端口 此时数据库管理员就可以根据服务器端口的实际采用情况来设置到底开启哪个端口为好 在配置的时候 如果数据库服务器中还部署有其他英勇的话 就需要避免与其他服务端口的冲突

SQL Server数据库的相关服务有很多 如还有报表服务 Browser服务(用于侦听指向命名实例的传入连接 并为客户端提供与此命名实例对应的TCP端口号)等等 若数据库管理员以为客户端的连接故障是由于防火墙所引起的 那么数据库管理员就需要查看微软的官方文档 看看对应服务所需要开启的端口在防火墙中是否已经打开

建议三 管理好动态端口

以上这些服务的端口基本上是静态的 只需要在防火墙上把这些端口打开即可 没有多大的难度 而其管理的难点是有些服务采用的是动态的端口 这会给数据库服务器上防火墙的配置带来一定的麻烦 因为端口不固定 所以有时候防火墙就无法适从了

如通常情况下 数据库中有一个叫做命名实例的服务 这个服务采用的就是动态端口 也就是说 每次启动数据库服务器的时候 数据库引擎都将确定一个服务器没有使用的端口作为自己的端口 即每次采用的端口都不一致 默认情况下 SQL Server数据库引擎采用的TCP端口号为 但是如果在这台数据库服务器上还部署有其他的数据库引擎 如Oracle数据库系统或者MySQL数据库系统 则可能这个 端口已经被他们所采用了 则此时SQL Server数据库系统引擎将无法使用这个端口 此时数据库引擎就会另外选择一个可用的端口 可见由于数据库引擎或者数据库服务器在每次启动的时候所采用的端口都可能不同 为此很难在防火墙上启用对正确端口的访问(防火墙不会跟数据库引擎互动) 也就是说 防火墙不会去侦测数据库引擎到底启用哪些端口 所以如果在数据库服务器上配置了防火墙 则在数据库部署的时候 如果某些服务采用了动态端口 则数据库管理员需要把他们配置为固定端口或者静态端口 以保证数据库引擎每次都采用同一的端口号

在SQL Server数据库中把动态端口设置为固定端口 其难度不是很大 只是如果启用的服务比较多的话 工作量可不算小 下面笔者就谈谈如何通过企业管理器来设置固定端口

第一步 打开TCP/IP属性对话框 在数据库配置管理中 打开网络配置选项 然后单击要配置的服务器实例 此时在右面窗口中会显示相关的内容 管理员需要找到TCP/IP这项内容 并双击它 以打开TCP/IP属性对话框

第二步 设置可用的端口号 在TCP/IP属性对话框中 找到TCP端口页签 在这个页签中就是当前SQL Server数据库所采用的端口号 数据库管理员需要在这个地方把需要采用的端口信息加入到这个页签中 那么 *** 作系统在分配端口的时候 会把这个端口信息预留给数据库系统 注意数据库管理员手工数据的端口最好能够采取后面一些的端口号 如此的话发生端口冲突的几率就会少许多

第三步 关联相关的服务 设置好端口后 此时还没有关联到具体的服务 数据库管理员还必须把新设置的端口与数据库的服务关联起来 此时就需要单击SQL Server服务 找到相关的服务后选择重新启动 当数据库引擎重新启动时 就会将新的端口给这个服务所使用 以后每次数据库引擎重新启动之后 这个服务都将采用这个端口 为此在防护墙上只需要把这个端口打开即可

所以说对于动态端口来说 防火墙配置有一定的难度 此时最理想的方式就是把数据库服务所采用的动态端口改为静态端口或者固定端口 上面笔者介绍得就是把数据库服务的动态端口改为静态端口的基本步骤 各位数据库管理员可以尝试利用这种方法试试看

建议四 出现连接故障时的排错步骤

如果在数据库服务器上部署了防火墙 此时如果客户端发生无法连接到服务器的现象 那么此时最佳的排错步骤是什么呢?如何才能够在最短时间内找到问题的原因呢?为此 笔者有如下这个建议

首先 数据库管理员必须先保证服务器与客户端之间网络的连通性 数据库管理员可以利用ping命令或者求助网络管理员 来判断服务器与客户端之间的连接是否有问题 有则改之 没有的话则进行下面一个步骤

第二 把防火墙先禁用掉 如果服务器与客户端之间的网络连通没有问题 那么此时数据库管理员就需要判断是防火墙的问题还是数据库服务器本身的问题 要判断这个故障的起点 最简单的方法就是把防火墙禁用掉 如果防火墙禁用后 客户端访问服务器正常了 那么就说明是防火墙在作怪而过此时故障还依旧 那么就是数据库本身的问题了 不过此时也先不要急着把防火墙启用起来 等到故障修复后再重新启用防火墙为好 这么处理就是让数据库环境尽量的简单 以加速排错的过程

lishixinzhi/Article/program/SQLServer/201311/22481

数据库防火墙的特点以及比较核心的功能有下面这几点：

1、

屏蔽直接访问数据库的通道

数据库防火墙部署介于数据库服务器和应用服务器之间，屏蔽直接访问的通道，防止数据库隐通道对数据库的攻击。

2、

二次认证

基于独创的连接六元组授权单位，应用程序对数据库的访问，必须经过数据库防火墙和数据库自身两层身份认证。

3、

攻击保护

实时检测用户对数据库进行的SQL注入和缓冲区溢出攻击。并报警或者阻止攻击行为，同时详细的审计下攻击 *** 作发生的时间、来源IP、登录数据库的用户名、攻击代码等详细信息。

4、

安全审计

系统能够审计对数据库服务器的访问情况。包括用户名、程序名、IP地址、请求的数据库、连接建立的时间、连接断开的时间、通信量大小、执行结果等等信息。并提供灵活的回放日志查询分析功能，并可以生存报表。

5、

防止外部黑客攻击威胁

黑客利用Web应用漏洞，进行SQL注入或以Web应用服务器为跳板，利用数据库自身漏洞攻击和侵入。通过限定更新和删除影响行、限定无Where的更新和删除 *** 作、限定drop、truncate等高危 *** 作避免大规模损失。

---