引言
复制是一项重要而功能强大的技术,用于在整个企业内分布数据和存储过程。通过
Microsoft® SQL Server®
中的复制技术可以复制数据,将数据的副本移至不同位置,并可使数据自动同步,从而使得所有副本都具有相同的数据值。复制可以在同一服务器的不同数据库之间进行,也可以在由
LAN、WAN 或 Internet 连接的不同的服务器之间进行。
只要将 SQL Server 与 Microsoft Proxy Server
相结合,您就可在 Internet
上复制数据,且不会危及数据库的安全。通过
Internet
执行复制的步骤包括:配置网络拓扑、理解安全方法、配置
Proxy Server、以及为复制配置 SQL Server 7.0 版。
配置网络拓扑
配置网络拓扑是定义 SQL Server 与 Proxy Server
如何在一起工作的第一步。如下图所示,Proxy Server
直接连接 Internet 与运行 SQL Server 7.0
的标识为发布服务器的内部服务器。运行 SQL Server
的内部服务器被同时配置为发布服务器和分发服务器。第二个服务器即订阅服务器,也运行
SQL Server 7.0,并可通过 Internet
访问;它被配置为请求订阅服务器。
代理服务器的软件要求为:
- Microsoft Windows NT®® 4.0
版,带 Service Pack 4
- Windows NT 4.0 Option Pack
- Microsoft Internet 信息服务 (IIS)
4.0 版
- Proxy Server 2.0 版
运行 SQL Server 的服务器的软件要求为:
- Windows NT Server 4.0,带 Service
Pack 4
- Microsoft Internet Explorer 4.01
版,带 Service Pack 1
- SQL Server 7.0
代理服务器被配置为多宿主服务器,以防止未经授权的
Internet
用户访问内部网络资源。多宿主服务器有两个网络接口卡
(NIC),它们可提供连接同类网络的安全手段。第一个
NIC 被称为外部代理接口,它将 Internet
用户与内部网络隔离开。内部网络可通过称为内部代理接口的第二个
NIC 访问代理服务器。当内部用户获得由 Proxy Server
授予的权限后,就可在内部代理接口和外部代理接口之间建立连接。
Proxy Server
控制着内部网络上的哪些服务或哪些用户可进行连接、或绑定到代理服务器上的某个端口。Internet
上的任何用户或服务器要想访问内部网络上的数据或资源,首先必须建立此连接。
要与代理服务建立连接,Internet
用户应利用外部代理接口进入代理服务器,并连接到某个端口。建立与代理服务器上某个端口的连接后,用户只能访问代理服务器上用户对其拥有访问权限的那些服务,例如文件目录。而不能访问内部网络上的任何服务或资源。
要访问内部网络上的资源,拥有适当权限的内部用户或服务必须通过外部代理接口连接到某个端口。在绑定过程中,代理服务器将验证用户身份,如果有足够的权限,就会建立连接。
这一特殊的 Internet 配置不会影响 SQL Server
的基本安全属性。内部网络上拥有相应权限的用户可以访问运行
SQL Server 的服务器上的数据。不过,要访问 SQL Server
和任何发布信息,Internet 用户必须首先知道其 IP
地址,并连接到代理服务器的适当端口,然后提供有效的
SQL Server 登录帐户。
不要指定运行 SQL Server
的服务器或代理服务器内部子网的默认网关。外部接口的默认网关必须指向各自路由器的
IP 地址。
安全概述
安全考虑是设计和实现分布式应用的一个重要部分。由于复制可将一个服务器上数据的更改应用到该网络上许多其它服务器,因此理解网络安全的层次是非常重要的。
所要复制数据的不集中的特点增加了管理或限制访问该数据的复杂程度。SQL
Server
复制使用一种组合的安全机制来保护数据和应用程序中的业务逻辑。
考虑安全要求的一种方法是,将这些要求视为不同的访问层。在添加后续层之前,每个较低的层必须能正常工作。每个后续层都依赖于前面层的正常操作。以下为需要配置的三个安全层:
- Windows NT 用户帐户
- Proxy Server 安全
- SQL Server 复制帐户安全
必须当前面插图中的三个服务器建立相互连接之后,复制才会进行。首先,发布服务器/分发服务器必须与代理服务器建立网络连接。其次,订阅服务器必须与发布服务器/分发服务器建立
SQL Server
连接;最后,订阅服务器必须与代理服务器上 FTP
服务建立网络连接
|