建議公布廠商名稱, 以拯救芸芸眾生, 避免大家往後踩雷...

開 1433 去 Internet 用? 就算在內網, 也不應該把 port 1433 直接給 Client 端連線, 中間至少要經過一台 Application Server 或 Middleware Server 來處理....

現在企業連內網都危機重重了, 大家都在喊: 內網即威脅; SQL 還敢這樣開? 這是個完全沒資安概念的軟體架構設計, 還以為是學生在學校寫作業嗎?...這廠商蠢到極點了...

目前唯一能解的:
請在所有手機上安裝 VPN, 啟動 VPN 之後進內網再連線...

手機通常不會直接操作資料庫,
而是透過API去操作資料庫...

正常是需要寫一個api來處理，不要讓app能直接去動到資料庫。
廠商要求開放1433port就是想要直接能連結資料庫處理。這樣的風險太大。

公司用了一套erp系統，這幾天才知道之前有請廠商開發app，要直接從手機可以拋資料到SQL的資料庫

我猜你們應該連ERP系統不會改吧?
才委外廠商開發APP
但問題是廠商只會做APP又不會改你們的ERP做API介面
一般來說ERP系統的API要自己做，再由廠商串接手機~
或者ERP及APP都是由廠商來做整合...

好方法就是
內部使用 1433 port
對外換個 port (例如：2266)

如此一來
1.app 的程式只要加個 port (1433連不到就改連 2266)
2.ERP 程式不用改(或加 API)
3.你只要弄個 port mapping (1433<->2266)

皆大歡喜

選我正解

幾個重點趕緊提醒一下，希望還來得及

1. 無論如何，把ERP主機要接到貴公司Fortigate上，並另設一個網段
2. 所有內網連到ERP主機，一定要先經過防毒與IPS先檢核
3. 一定不可以將主機直接Mapping對外，轉service port也不行

以上其他建議請參照raytracy大大之解答
不要怪ERP系統商，因為他們多半只管系統，資安不是他們強項

   開1433 哈哈，就是給人家打，大門都了，沒人打才怪
   將API 改port , 在主機或forti 開轉port 就好了 ，問題是 API 廠商會改嗎？
 開VPN 是一定要的，有forti 開VPN 不難吧
  隨便在windows 架個SSR Server VPN 不就搞定了
    開IIS 被打只是剛好吧

這廠商是不是除了開1433 Port之外，還要在APP裡，綁上sa的密碼，對不對？

防火牆設WAN來源IP只能連1433就可以。
沒固定IP就只能VPN。
直接開放1433就等於開放大家來連。