更改SQL Server端口真的安全得多吗？

SQL Server的默认端口是1433。我们的管理员告诉我，该端口必须“出于安全原因”更改。

更改端口真的安全得多吗？如果服务器位于防火墙后面，并且只允许从某个IP范围连接到它，那还不够吗？

它有助于防止可通过端口扫描网站启动的常见端口扫描。但这并不能帮助一个坚定的攻击者。正如您提到的，它只是另一层，但是在防火墙上并没有增加太多。

如果您的SQL Server直接连接到Internet（不应连接到Internet），则它可以为您提供一些保护，因为大多数通用攻击脚本仅使用默认端口号。

如果无法直接从Internet访问SQL Server，那将毫无意义。任何防火墙都必须允许连接到远程端口。只要在计算机上运行客户端软件，就可以通过NET STAT命令查看SQL Server使用的端口。此时，您已经使我的速度降低了2-3秒。

它将破坏预期使用端口1433的
应用程序。可以配置某些应用程序来处理此问题，但这必须进行部署。

我就离开。如果他们在端口1433上“入侵”您的默认实例，则说明您已经很狂热。

您可以为命名实例指定端口，但随后需要打开端口1434才能将实例解析为端口...

黑客经常扫描常用端口的IP地址，因此使用其他端口“躲在雷达下”并不少见。这只是为了避免检测，除了使用其他端口不会增加安全性。

如果只有有限的IP范围可以访问该端口，那么您已经“处于雷达之下”，因此我看不到使用其他端口的充分理由。

其实，是。再举一个例子，我所在大学的Linux实验室的管理员将SSH端口从22更改为一些晦涩的值。他报告说，该网络从每天约10,000 ping /攻击减少到每月约1或2。当然，如果您还没有遭受过这种攻击，那么在大多数情况下可能就不值得付出努力。不过，通过更改为谨慎的备用端口，您可以防止广泛的探针攻击和其他攻击。

我认为这是一个两部分的问题。

1）通用端口扫描软件可以先尝试使用通用端口，但没有特别限制它可以尝试所有端口，并且您需要假定它能够在找到开放端口时使用协议进行指纹识别。

2）发生更具侵略性的端口扫描时，您需要能够检测到它，并使用此知识进行操作（例如fail2ban等）。

您的管理员建议（1），询问他对（2）有什么想法。

默默无闻的安全根本不是安全。

编辑：然后，有人说是！就个人而言，我将继续采用我的原始观点。

更改端口将迫使他们进行扫描。当您使用带有网络分接头或SPAN的snort之类的安全工具时，服务器端口扫描之类的东西就会变得很明显。合法连接到默认端口上的SQL Server的人并不那么明显。

我同意，最好的方法不是默默无闻地保证安全。但是，在可能的情况下，更改所有应用程序的默认端口是更全面，更深入的策略的一部分，该策略包括红色团队活动，网络安全监视团队以及所有正确的安装，安装和完善的工具，那些正在使用它的人。

当您拥有所有这些东西时，系统中的入侵者会像疼痛的拇指一样突出。底线-如果有人认为可以通过检查列表中的一堆项目来提高系统的安全性，那么它们是错误的。如果他们不能以不确定的方式无法解释为什么需要更改端口，那么他们就不会扮演告诉您更改端口的角色。

当应用程序通过TCPIP连接到MS SQL时，会话的第一部分在1433年使用默认的未命名实例进行-尤其重要的是，传播命名实例正在通信的任何端口号。任何防火墙都应配置为：a）允许其进入适当的ip范围； B）任何命名实例都可以使用的固定端口号。这些应该在SQL配置管理器中固定配置。您可以使用连接字符串中的（ip地址192.168.22.55）：（端口号12345）与任何实例进行通信。如果未启用SQL浏览器服务，则1433将不会提供初始对话。如果您使用的是NT身份验证，那么将无济于事。如果您使用的是SQL认证，那么将获得少量认证。