Я знаю, что MSSQL может иметь различные режимы входа в систему, только окна, окна + sql и т. Д. Именованные каналы, tcp / ip.
На самом деле я не уверен, что нам следует использовать. У нас есть два сервера с IIS + MSSQL, балансировкой сетевой нагрузки для IIS и зеркалированием БД для MSSQL.
Хотите защитить его, чтобы только два сервера могли получить доступ к MSSQL на каждом сервере (и, очевидно, чтобы работало зеркалирование).
В настоящее время работает только один сервер, и я думаю, что TCP / IP / именованные каналы включены, проверка подлинности Windows + sql, но с использованием брандмауэра заблокирован доступ к порту TCP.
Как лучше всего это настроить?
Наиболее безопасным способом было бы вообще не подключать серверы SQL напрямую к производственной сети, а вместо этого использовать (физически или логически) отдельную сеть баз данных. Тем не менее, как указал joeqwerty, брандмауэра должно быть вполне достаточно.
Единственное предостережение в отношении подхода брандмауэра заключается в том, что, поскольку именованные каналы используют стандартные механизмы Windows RPC и, следовательно, подключаются через порты 139 и 445, у вас могут возникнуть трудности с блокировкой этих портов без влияния на другой трафик. (Вы почти наверняка не хотите, чтобы эти порты были открыты для всех, но следите за исключениями в ваших сетях управления, если они вам нужны.)
Именованные каналы и TCP / IP - это не режимы входа в систему, а методы подключения. При этом вы можете использовать брандмауэр Windows на хост-серверах (простой) или использовать IPSEC (сложный).