SQL Server端口指南：1433端口上的数据库访问

SQL 客户端连接到服务器侦听器，协商协议设置，使用 SQL 身份验证、Windows 身份验证、Entra ID 或其他受支持的方法进行身份验证，然后发送查询、事务和元数据请求。

该端口仅确认可以到达侦听器。真正的数据库访问还取决于多层的登录状态、数据库权限、加密设置、实例配置、连接字符串、DNS 和防火墙规则。

默认 SQL Server 实例通常侦听 TCP 1433。命名实例可以使用动态端口，除非您配置静态端口。 SQL Server Browser 可以帮助客户端发现命名实例，但许多生产环境更喜欢静态端口，以获得更清晰的防火墙策略。

如果您的连接字符串使用服务器、端口语法，请验证确切的端口。如果它使用实例名称，请检查 SQL Server 配置管理器、错误日志或服务器设置以查看实例实际侦听的端口。

仅从应用程序服务器、管理工作站、迁移工具、报告服务或需要数据库连接的可信网络开放 SQL 访问。除非有非常具体的管理和监控要求，否则应避免公共访问。

对于云数据库，首选私有端点、VPC 或 VNet 对等互连、VPN、堡垒路径、服务网络或提供商本机防火墙白名单，而不是允许整个互联网达到 1433。

在允许 TCP 1433 之前，请确认实例正在侦听预期的接口和端口、加密策略已知、登录范围已确定、最低权限数据库角色已就位且备份可靠。

端口检查器可以确认网络可达性，但不能证明数据库是安全的。使用 sqlcmd、SQL Server Management Studio、Azure Data Studio、应用程序运行状况检查和服务器日志测试真实连接字符串。

在 Windows Server 上，为 SQL Server 实例启用 TCP/IP，根据需要设置静态端口，重新启动服务，并在 Windows Defender 防火墙中仅允许来自受信任来源的入站 TCP 1433。

在 Linux SQL Server 部署中，确认 mssql-server 侦听预期端口并在firewalld、ufw、nftables、iptables 或云安全组中允许该端口。将管理访问与应用程序访问分开。

对于托管 SQL 服务，请使用提供商防火墙规则、专用端点和身份控制。不要假设打开云数据库端点相当于暴露单个虚拟机端口；提供商级别的访问政策也很重要。

首先根据数据库主机名和 TCP 1433 进行外部或内部端口检查，具体取决于客户端的运行位置。如果端口已打开，请使用 sqlcmd、SSMS、Azure Data Studio 或应用程序连接字符串测试实际连接。

如果需要 TLS，请验证客户端的证书信任和加密设置。然后检查服务器日志中是否存在登录失败、防火墙拒绝、数据库级权限错误和连接超时模式。

如果端口 1433 关闭，SQL Server 可能未运行，TCP/IP 可能被禁用，实例可能使用不同的端口，或者主机、云或网络防火墙可能会阻止路径。命名实例经常会失败，因为实际的动态端口与客户端期望的不同。

如果端口打开但登录失败，请检查身份验证模式、用户名格式、密码状态、禁用登录、数据库用户映射、权限、加密要求和服务器错误日志。如果查询已连接但速度很慢，请查看锁、索引、CPU、内存、I/O 和查询计划。

尽可能让 SQL Server 远离公共 Internet。限制来源、要求加密、修补引擎、禁用未使用的登录、使用最低权限角色、轮换凭据以及审核失败的登录和特权操作。

备份数据库、测试恢复、监控慢速查询和复制运行状况，并将管理访问与应用程序访问分开。数据库端口是通往敏感数据的直接路径，因此网络可达性必须与强大的身份和数据控制相结合。