生产环境不建议长期开放 MSSQL 公网端口 1433,端口暴露后极易遭遇端口扫描、暴力破解、注入攻击,存在拖库、篡改核心财务数据风险。标准安全规范:业务服务器通过 VPC 内网地址连接数据库,内网传输不消耗公网流量、延迟更低;如需外部临时调试,仅添加固定办公 IP 至防火墙白名单,调试结束立刻关闭公网入口。数据库层面禁用 sa 默认超级管理员,创建细分权限业务账号,区分查询、写入、运维管理权限;修改默认 1433 端口,开启登录失败日志审计,连续多次密码错误自动拦截 IP。搭配服务器安全组限制访问来源,多层拦截外部非法访问,杜绝数据泄露隐患。