다음을 통해 공유


SharePoint 환경에 맞게 SQL Server 강화(SharePoint Foundation 2010)

 

적용 대상: SharePoint Foundation 2010

마지막으로 수정된 항목: 2016-11-30

이 문서에서는 Microsoft SharePoint 2010 제품 환경에 맞게 Microsoft SQL Server를 강화하는 방법에 대해 설명합니다.

이 문서의 내용

  • 강화 권장 사항 요약

  • 기본 포트 이외의 포트에서 수신 대기하도록 SQL Server 인스턴스 구성

  • 기본 SQL Server 수신 대기 포트 차단

  • 수동으로 할당된 포트를 열도록 Windows 방화벽 구성

  • SQL 클라이언트 별칭 구성

  • SQL 클라이언트 별칭 테스트

강화 권장 사항 요약

안전한 서버 팜 환경을 위해 다음을 수행하는 것이 좋습니다.

  • UDP 포트 1434를 차단합니다.

  • SQL Server의 명명된 인스턴스가 TCP 포트 1433 또는 UDP 포트 1434가 아닌 비표준 포트에서 수신 대기하도록 구성합니다.

  • 추가적인 보안을 위해 TCP 포트 1433을 차단하고 기본 인스턴스가 사용하는 포트를 다른 포트로 다시 할당합니다.

  • 서버 팜의 모든 응용 프로그램 서버 및 프런트 엔드 웹 서버에서 SQL Server 클라이언트 별칭을 구성합니다. TCP 포트 1433 또는 UDP 포트 1434를 차단하고 나면 SQL Server를 실행 중인 컴퓨터와 통신하는 모든 컴퓨터에 SQL Server 클라이언트 별칭이 필요합니다.

이러한 권장 사항에 대한 자세한 내용은 보안 강화 계획(SharePoint Foundation 2010)을 참조하십시오.

기본 포트 이외의 포트에서 수신 대기하도록 SQL Server 인스턴스 구성

SQL Server 구성 관리자를 사용하여 SQL Server 인스턴스에서 사용하는 TCP 포트를 변경합니다.

  1. SQL Server를 실행하는 컴퓨터에서 SQL Server 구성 관리자를 엽니다.

  2. 왼쪽 창에서 SQL Server 네트워크 구성을 확장합니다.

  3. 구성할 인스턴스의 해당 항목을 클릭합니다. 기본 인스턴스는 MSSQLSERVER에 대한 프로토콜로 나열됩니다. 명명된 인스턴스는 명명된_인스턴스에 대한 프로토콜로 표시됩니다.

  4. 오른쪽 창에서 TCP/IP를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

  5. IP 주소 탭을 클릭합니다. SQL Server를 실행 중인 컴퓨터에 할당된 모든 IP 주소에 해당하는 항목이 이 탭에 있습니다. 기본적으로 SQL Server는 컴퓨터에 할당된 모든 IP 주소에서 수신 대기합니다.

  6. 기본 인스턴스가 수신 대기하는 포트를 전역으로 변경하려면 다음 단계를 따릅니다.

    1. IPAll을 제외한 모든 IP 주소에 대해 TCP 동적 포트TCP 포트의 값을 모두 지웁니다.

    2. IPAll에 대해서는 TCP 동적 포트 값을 지우고 TCP 포트 필드에 SQL Server 인스턴스가 수신 대기하도록 할 포트(예: 40000)를 입력합니다.

  7. 명명된 인스턴스가 수신 대기하는 포트를 전역으로 변경하려면 다음 단계를 수행합니다.

    1. IPAll을 포함하는 모든 IP 주소에 대해 TCP 동적 포트 값을 모두 지웁니다. 이 필드의 값이 0이면 SQL Server가 IP 주소로 TCP 포트를 사용하는 것입니다. 이 값이 비어 있으면 SQL Server에서 IP 주소로 동적 TCP 포트를 사용하지 않는 것입니다.

    2. IPAll을 제외한 모든 IP 주소에 대해 TCP 포트 값을 모두 지웁니다.

    3. IPAll에 대해서는 TCP 동적 포트 값을 지우고 TCP 포트 필드에 SQL Server 인스턴스가 수신 대기하도록 할 포트(예: 40000)를 입력합니다.

  8. 확인을 클릭하면 SQL Server 서비스를 다시 시작해야 변경 내용이 적용된다는 메시지가 표시됩니다. 메시지가 나타나면 확인을 클릭합니다.

  9. SQL Server 구성 관리자를 닫습니다.

  10. SQL Server 서비스를 다시 시작하고 SQL Server를 실행 중인 컴퓨터가 앞서 선택한 포트에서 수신 대기하는지 확인합니다. 이렇게 하려면 SQL Server 서비스를 다시 시작한 후에 이벤트 뷰어 로그를 확인하면 됩니다. 다음 이벤트와 비슷한 정보 이벤트가 있는지 살펴봅니다.

    이벤트 유형: 정보

    이벤트 원본: MSSQL$MSSQLSERVER

    이벤트 범주: (2)

    이벤트 ID: 26022

    날짜: 2008-03-06

    시간: 13:46:11

    사용자: N/A

    컴퓨터: 컴퓨터_이름

    설명:

    서버가 [ 'any' <ipv4>50000]에서 수신 대기합니다.

기본 SQL Server 수신 대기 포트 차단

고급 보안이 포함된 Windows 방화벽은 인바운드 규칙 및 아웃바운드 규칙을 사용하여 들어오고 나가는 네트워크 트래픽을 보호합니다. Windows 방화벽은 들어오는 원하지 않는 네트워크 트래픽을 모두 기본적으로 차단하므로 기본 SQL Server 수신 대기 포트를 명시적으로 차단할 필요가 없습니다. 자세한 내용은 고급 보안이 설정된 Windows 방화벽(https://go.microsoft.com/fwlink/?linkid=214109&clcid=0x412) 및 SQL Server 액세스를 허용하도록 Windows 방화벽 구성(https://go.microsoft.com/fwlink/?linkid=210584&clcid=0x412)을 참조하십시오.

수동으로 할당된 포트를 열도록 Windows 방화벽 구성

  1. 제어판에서 시스템 및 보안을 엽니다.

  2. Windows 방화벽을 클릭한 다음 고급 설정을 클릭하여 고급 보안이 설정된 Windows 방화벽 대화 상자를 엽니다.

  3. 탐색 창에서 인바운드 규칙을 클릭하여 동작 창에 사용 가능한 옵션을 표시합니다.

  4. 새 규칙을 클릭하여 새 인바운드 규칙 마법사를 엽니다.

  5. 마법사를 사용하여 기본 포트 이외의 포트에서 수신 대기하도록 SQL Server 인스턴스 구성에서 정의한 포트에 대한 액세스를 허용하는 데 필요한 단계를 완료합니다.

참고

Windows 방화벽을 구성하여 SQL Server를 실행하는 컴퓨터와의 통신을 보호하도록 IPsec(인터넷 프로토콜 보안)를 구성할 수 있습니다. 이렇게 하려면 고급 보안이 포함된 Windows 방화벽 대화 상자의 탐색 창에서 연결 보안 규칙을 선택합니다.

SQL Server 별칭 구성

SQL Server를 실행 중인 컴퓨터에서 UDP 포트 1434 또는 TCP 포트 1433을 차단하는 경우에는 서버 팜의 다른 모든 컴퓨터에 SQL Server 클라이언트 별칭을 만들어야 합니다. SQL Server 클라이언트 구성 요소를 사용하여 SQL Server에 연결되는 컴퓨터에 대한 SQL Server 클라이언트 별칭을 만들 수 있습니다.

  1. 대상 컴퓨터에서 SQL Server 설치 프로그램을 실행하고 다음과 같은 클라이언트 구성 요소를 설치하도록 선택합니다.

    1. 연결 구성 요소

    2. 관리 도구

  2. SQL Server 구성 관리자를 엽니다.

  3. 왼쪽 창에서 SQL Native Client 구성을 클릭합니다.

  4. 오른쪽 창에서 별칭을 마우스 오른쪽 단추로 클릭하고 새 별칭을 선택합니다.

  5. 별칭 대화 상자에 별칭 이름과 데이터베이스 인스턴스의 포트 번호를 차례로 입력합니다. 예를 들어 SharePoint*_별칭*을 입력합니다.

  6. 포트 번호 필드에 데이터베이스 인스턴스의 포트 번호(예: 40000)를 입력하고 프로토콜이 TCP/IP로 설정되어 있는지 확인합니다.

  7. 서버 필드에 SQL Server를 실행 중인 컴퓨터의 이름을 입력합니다.

  8. 적용을 클릭한 다음 확인을 클릭합니다.

SQL Server 클라이언트 별칭 테스트

SQL Server 클라이언트 구성 요소를 설치하면 사용 가능한 Microsoft SQL Server Management Studio를 사용하여 SQL Server를 실행 중인 컴퓨터에 대한 연결을 테스트합니다.

  1. SQL Server Management Studio를 엽니다.

  2. 서버 이름을 입력하라는 메시지가 표시되면 앞서 만든 별칭 이름을 입력한 다음 연결을 클릭합니다. 제대로 연결되는 경우 SQL Server Management Studio에 원격 데이터베이스에 해당하는 개체가 채워집니다.

    참고

    SQL Server Management Studio 내에서 추가 데이터베이스 인스턴스에 대한 연결을 확인하려면 연결을 클릭하고 데이터베이스 엔진을 선택합니다.