MSSQL端口到底怎么开才算正确，防火墙啥的要不要一起弄清楚了没

关于MSSQL端口到底怎么开才算正确，以及防火墙要不要一起弄，这确实是个让很多人头疼的问题，光在数据库里折腾半天，外面连不上；光在防火墙上开个口子，里面又没准备好，咱们就把它掰开揉碎了说清楚，核心就一句话：里应外合，两头都得照顾到。

第一部分：先把MSSQL服务器自己家里的门打开（配置SQL Server配置管理器）

你得先让MSSQL自己愿意在网络上“接客”，默认情况下，为了安全，安装完MSSQL之后，它可能只允许本地电脑（localhost）连接，外人（其他电脑）是进不来的，这个设置不在数据库管理工具（比如SSMS）里，而在一个叫 “SQL Server配置管理器” 的工具里,这是你首先要搞明白的地方。

1. 找到正确的“门”：SQL Server配置管理器 你可以在开始菜单里搜索这个名字就能找到它，打开之后，在左边树形目录里，找到“SQL Server网络配置”，点开它，下面会有一个像“MSSQLSERVER的协议”这样的项（如果你的实例是默认实例，就叫这个名；如果安装时起了名字，实例名的协议”）。

2. 启用“TCP/IP”这个协议 在右边那一栏里，你会看到好几个协议，Shared Memory”、“Named Pipes”、“TCP/IP”，你要找的就是 “TCP/IP” ，默认情况下它可能是“已禁用”状态，你右键点击它，选择“启用”，这个动作就像是告诉你家数据库：以后别人可以通过TCP/IP这种网络方式来敲门了,别只认本地人了。

3. 搞清楚它开的是哪扇“门牌号”（端口号） 光说开门还不行，得知道门牌号是多少，别人才知道敲哪扇门，双击这个已经启用的“TCP/IP”，会弹出一个属性窗口，切换到“IP地址”这个标签页，这里会看到一长串IP配置，从“IP1”、“IP2”一直到“IPAll”，你需要重点关注的是最下面的 “IPAll” 这一项。

   • TCP动态端口：如果这里有个数字，说明数据库每次启动可能会随机选个端口，这会给防火墙设置带来麻烦,建议清空它。
   • TCP端口：这才是关键！这里就是设置固定端口的地方，默认情况下，MSSQL的默认实例使用的是 1433 端口，你就在这里填上 1433 （或者任何一个你想用的、不冲突的端口号）,设置固定端口是后续防火墙配置的基础。

4. 重启服务，让设置生效 非常重要的一步！在SQL Server配置管理器左边，找到“SQL Server服务”，右键点击你的那个SQL Server实例（比如SQL Server (MSSQLSERVER)），选择“重新启动”，不重启的话,你刚才的配置是不会生效的。

至此，MSSQL服务器自己这边的“门”就已经打开了，并且挂上了“1433”号门牌。

第二部分：再把Windows防火墙这个大院的保安说通（配置Windows防火墙）

数据库自己愿意接客了，但你的服务器电脑外面还有一层“保安”——Windows防火墙，它默认是禁止所有外部连接的，所以你得告诉它：“放行通往1433号门的客人”。

1. 打开防火墙的高级设置 在开始菜单搜索“防火墙”，选择“高级安全Windows防火墙”,这样你能进行更精确的控制。

2. 新建一条入站规则 防火墙规则分“入站”（别人连你）和“出站”（你连别人），我们这里要管的是“入站”，在左边点击“入站规则”，然后在右边点击“新建规则...”。

3. 一步步设置规则

   • 规则类型：选择“端口”,然后下一步。
   • 协议和端口：选择“TCP”，并选择“特定本地端口”，在框里填入你在第一部分设置的端口号，1433,然后下一步。
   • 操作：选择“允许连接”，这等于直接给保安下指令：看到要去1433的，直接放行,然后下一步。
   • 配置文件：这里根据你的服务器环境来选，如果是在公司内网，可以勾选“域”和“专用”；如果服务器直接暴露在互联网上（比如云服务器），为了安全，“公用”最好不要勾选，或者确保有其他安全措施，通常为了测试，可以全勾上,然后下一步。
   • 名称：给这个规则起个名字，MSSQL默认端口1433访问”,方便以后管理。

完成之后，这条规则就生效了，防火墙这个“保安”现在知道了，来自外部、目标是1433端口的连接请求,是可以放行的。

正确的步骤就是：

1. 内应：用SQL Server配置管理器，启用TCP/IP协议，并设置一个固定的TCP端口（如1433），然后重启SQL Server服务。
2. 外合：在Windows防火墙的高级安全设置里，创建一条新的入站规则，允许TCP协议通过你刚才设置的那个端口（如1433）。

这两步缺一不可，只做第一步，外面的人被防火墙挡住；只做第二步，数据库自己没开门,防火墙放行了人也进不去。

额外的重要提醒：

• 安全第一：端口对外开放意味着风险，强烈建议：
  • 使用强密码的SA账户或Windows身份验证。
  • 如果可能，更改默认的1433端口到一个不常见的端口,能减少一些自动扫描的攻击。
  • 对于云服务器（如阿里云、腾讯云），除了系统防火墙，还需要在云服务商的控制台里，设置安全组规则，原理类似，也是要放行你的MSSQL端口，那个是更外一层的保安,同样需要配置。
• 检查监听状态：配置完后，可以在服务器本机上打开命令提示符，输入 netstat -an | findstr 1433（如果你的端口是1433），如果看到有类似 0.0.0:1433 或 你的IP:1433 的监听状态,说明数据库已经在正确监听端口了。

按照这个“里应外合”的思路，一步步操作,MSSQL端口的开放问题基本就能解决了。