如何在Debian上配置SQL Server的防火墙规则

在Debian上配置SQL Server防火墙规则的步骤

1. 前提条件：安装并启用SQL Server

确保已在Debian系统上安装SQL Server，并完成基本配置（如设置SA密码）。若未安装，可通过以下命令完成安装：

sudo apt update
sudo apt install -y mssql-server
sudo /opt/mssql/bin/mssql-conf setup  # 按提示设置SA密码

2. 配置SQL Server允许远程连接

要让防火墙规则生效，需先确保SQL Server本身允许远程连接：

• 启用TCP/IP协议：使用mssql-conf工具开启TCP/IP协议并设置端口（默认1433）：

  sudo mssql-conf set network.tcpip_enabled true
  sudo mssql-conf set network.tcp_port 1433
  sudo systemctl restart mssql-server  # 重启服务使配置生效
  

• 允许远程访问：通过SQL Server Management Studio (SSMS) 或sqlcmd执行以下命令，启用远程连接功能：

  EXEC sp_configure 'remote access', 1;
  RECONFIGURE;
  

3. 使用UFW（推荐）配置防火墙规则

UFW（Uncomplicated Firewall）是Debian默认的防火墙管理工具，操作简单：

• 安装UFW（若未安装）：

  sudo apt install -y ufw
  

• 启用UFW：

  sudo ufw enable
  

• 允许SQL Server端口（1433/tcp）：

  sudo ufw allow 1433/tcp
  

• 验证规则：

  sudo ufw status  # 应显示“1433/tcp ALLOW”
  

4. 使用iptables配置防火墙规则（备选）

若需更细粒度的控制，可使用iptables：

• 安装iptables（若未安装）：

  sudo apt install -y iptables
  

• 添加允许1433端口的规则：

  sudo iptables -A INPUT -p tcp --dport 1433 -j ACCEPT
  

• 保存规则（确保重启后生效）：

  sudo iptables-save | sudo tee /etc/iptables/rules.v4  # Debian 9及以上
  

• 设置开机自启（可选）： 创建自启动脚本/etc/network/if-pre-up.d/iptables，内容如下：

  #!/bin/sh
  /sbin/iptables-restore < /etc/iptables/rules.v4
  sudo chmod +x /etc/network/if-pre-up.d/iptables
  

5. 验证配置

从远程机器使用SQL Server客户端（如SSMS）测试连接：

• 连接信息：
  • 服务器名称：Debian服务器的IP地址（如192.168.1.100）
  • 身份验证：SQL Server身份验证
  • 登录名：SA（或其他SQL用户）
  • 密码：安装时设置的SA密码
• 若能成功连接，说明防火墙规则配置正确。

注意事项

• 限制IP范围：为提高安全性，建议仅允许特定IP地址访问1433端口（如公司IP），可使用sudo ufw allow from <IP地址> to any port 1433/tcp（UFW）或iptables的-s参数实现。
• 多实例支持：若SQL Server运行在非默认实例（如命名实例），需确认实例使用的端口，并在防火墙中开放对应端口。
• 定期更新：保持SQL Server和系统更新，修复安全漏洞。