Konfigurace brány Windows Firewall tak, aby umožňovala přístup k serveru SQL

• 07/22/2020
• 22 minut čtení
• • c
  • D
  • k
  • l
  • v
  • +13

Platí pro: SQL Server (vše podporované verze) – pouze Windows Azure SQL Managed Instance

Systémy brány firewall pomáhají zabránit neoprávněnému přístupu k prostředkům počítače. Pokud je brána firewall zapnutá, ale není správně nakonfigurována, mohou být pokusy o připojení k serveru SQL blokovány.

Chcete-li získat přístup k instanci serveru SQL Server prostřednictvím brány firewall, musíte nakonfigurovat bránu firewall v počítači, který je běžící SQL Server. Brána firewall je součástí systému Microsoft Windows. Můžete také nainstalovat bránu firewall od jiné společnosti. Tento článek pojednává o tom, jak konfigurovat bránu firewall systému Windows, ale základní principy platí pro ostatní programy brány firewall.

Uživatelé obeznámení se správou brány firewall systému Windows a informace o nastavení brány firewall, které používají chcete konfigurovat, můžete přejít přímo k pokročilejším článkům:

• Konfigurovat bránu Windows Firewall pro přístup k databázovému stroji
• Konfigurovat bránu Windows Firewall tak, aby umožňovala přístup ke službě Analysis Services
• Konfigurace brány firewall pro přístup k serveru sestav

Základní informace o bráně firewall

Brány firewall fungují kontrolou příchozích paketů a jejich porovnáním se sadou pravidel. Pokud paket splňuje standardy dané pravidly, pak firewall předá paket protokolu TCP / IP k dalšímu zpracování. Pokud paket nesplňuje standardy stanovené pravidly, brána firewall paket zahodí a pokud je povoleno protokolování, vytvoří záznam v souboru protokolování brány firewall.

Seznam povoleného provozu se vyplní jedním z následujících způsobů:

• Automaticky: Když zahájí komunikaci počítač s povolenou bránou firewall, vytvoří brána firewall položku v seznamu, aby byla odpověď povolena. Tato odpověď se považuje za vyžádaný provoz a není třeba nic konfigurovat.

• Ručně: Správce konfiguruje výjimky pro bránu firewall. To umožňuje přístup k určitým programům nebo portům v počítači. V tomto případě počítač přijímá nevyžádaný příchozí provoz, když jedná jako server, posluchač nebo rovnocenný partner. Toto je typ konfigurace, kterou je nutné dokončit pro připojení k serveru SQL Server.

Výběr strategie brány firewall je složitější než pouhé rozhodnutí, zda má být daný port otevřený nebo uzavřený . Při navrhování strategie brány firewall pro váš podnik nezapomeňte vzít v úvahu všechna pravidla a možnosti konfigurace, které máte k dispozici. Tento článek nekontroluje všechny možné možnosti brány firewall. Doporučujeme vám přečíst si následující dokumenty:

Průvodce implementací brány firewall systému Windows
Průvodce designem brány firewall systému Windows
Úvod do izolace serverů a domén

Výchozí nastavení brány firewall

Prvním krokem při plánování konfigurace brány firewall je zjištění aktuálního stavu brány firewall pro váš operační systém. Pokud byl operační systém upgradován z předchozí verze, mohlo být zachováno dřívější nastavení brány firewall. Nastavení brány firewall mohlo změnit také jiný správce nebo zásady skupiny ve vaší doméně.

Programy pro konfiguraci brány firewall

Nakonfigurujte nastavení brány Windows Firewall pomocí libovolné konzoly Microsoft Management Console. nebo netsh.

• Konzola Microsoft Management Console (MMC)

  Brána Windows Firewall s modulem snap-in Advanced Security MMC umožňuje konfigurovat pokročilejší nastavení brány firewall. Tento modul snap-in představuje většinu možností brány firewall snadno použitelným způsobem a představuje všechny profily brány firewall. Další informace najdete v části Používání brány Windows Firewall s modulem snap-in Advanced Security dále v tomto článku.

• netsh

  Lze použít nástroj netsh.exe správcem ke konfiguraci a monitorování počítačů se systémem Windows na příkazovém řádku nebo pomocí dávkového souboru **.** Pomocí nástroje netsh můžete nasměrovat zadané kontextové příkazy na příslušného pomocníka a pomocník poté provede příkaz. Pomocný program je soubor Dynamic Link Library (.dll), který rozšiřuje funkčnost nástroje netsh tím, že poskytuje konfiguraci, monitorování a podporu jedné nebo více služeb, obslužných programů nebo protokolů. Všechny operační systémy, které podporují SQL Server, mají pomocníka brány firewall. Windows Server 2008 má také pokročilého pomocníka brány firewall s názvem advfirewall. Podrobnosti o používání netsh nejsou popsány v tomto článku. Mnoho popsaných možností konfigurace však může být konfigurováno pomocí netsh. Například na příkazovém řádku spusťte následující skript a otevřete port TCP 1433:

  Podobný příklad použití pomocné brány Windows Firewall pro pokročilé zabezpečení:

  Další informace o netsh naleznete na následujících odkazech:

  • Syntaxe příkazů Netsh, kontexty a formátování
  • Jak používat kontext „netsh advfirewall firewall“ místo kontextu „netsh firewall“ k ovládání chování brány Windows Firewall v systému Windows Server 2008 a Windows Vista

• Pro Linux: V systému Linux musíte také otevřít porty spojené se službami, ke kterým potřebujete přístup. Různé distribuce Linuxu a různé brány firewall mají své vlastní postupy. Dva příklady najdete v tématu SQL Server v Red Hat a SQL Server v SUSE.

Porty používané serverem SQL

Následující tabulky vám mohou pomoci identifikujte porty, které používá SQL Server.

Porty používané databázovým strojem

Ve výchozím nastavení jsou typické porty používané serverem SQL a přidruženými službami databázového stroje: TCP 1433, 4022 , 135, 1434, UDP 1434. Tabulka níže vysvětluje tyto porty podrobněji. Pojmenovaná instance používá dynamické porty.

V následující tabulce jsou uvedeny porty, které databázový stroj často používá.

Scénář	Port
Výchozí instance běžící přes TCP	TCP port 1433	Toto je nejběžnější port povolený přes bránu firewall. Platí pro rutinní připojení k výchozí instalaci Database Engine nebo pojmenované instanci, která je jedinou instancí spuštěnou v počítači. (Pojmenované instance mají speciální úvahy. Viz Dynamické porty dále v tomto článku.)
Pojmenované instance s výchozím portem	TCP port je dynamický port určený v době spuštění Database Engine.	Viz diskuse níže v části Dynamické porty. Port UDP 1434 může být vyžadován pro službu prohlížeče serveru SQL, když používáte pojmenované instance.
Pojmenované instance s pevným portem	Číslo portu nakonfigurované správce.	Viz diskuse níže v části Dynamické porty.
Vyhrazené připojení správce	TCP port 1434 pro výchozí instance. Pro pojmenované instance se používají jiné porty. Zkontrolujte v protokolu chyb číslo portu.	Ve výchozím nastavení nejsou povolena vzdálená připojení k připojení DAC (Dedicated Administrator Connection). Chcete-li povolit vzdálený DAC, použijte fazetu Konfigurace povrchové oblasti. Další informace najdete v části Konfigurace povrchové oblasti.
Služba Prohlížeč serveru SQL	Port UDP 1434	Služba Prohlížeč serveru SQL naslouchá pro příchozí připojení k pojmenované instanci a poskytuje klientovi číslo portu TCP, které odpovídá dané pojmenované instanci. Normálně se služba Prohlížeč serveru SQL spustí, kdykoli se použijí pojmenované instance databázového stroje. Služba Prohlížeč serveru SQL nemusí být spuštěna, pokud je klient nakonfigurován pro připojení ke konkrétnímu portu pojmenované instance.
Instance s koncovým bodem HTTP.	Lze zadat při vytvoření koncového bodu HTTP. Výchozí hodnota je port TCP 80 pro provoz CLEAR_PORT a 443 pro provoz SSL_PORT.	Používá se pro připojení HTTP prostřednictvím adresy URL.
Výchozí instance s koncovým bodem HTTPS	TCP port 443	Používá se pro připojení HTTPS prostřednictvím adresy URL. HTTPS je připojení HTTP, které používá Transport Layer Security (TLS), dříve známé jako Secure Sockets Layer (SSL).
Service Broker	TCP port 4022 . Chcete-li ověřit použitý port, proveďte následující dotaz: SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = "SERVICE_BROKER"	Neexistuje žádný výchozí port pro SQL ServerService Broker, ale toto je obvyklá konfigurace používaná v příkladech Books Online.
Zrcadlení databáze	Port zvolený správcem.Chcete-li určit port, proveďte následující dotaz: SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = "DATABASE_MIRRORING"	Neexistuje žádný výchozí port pro zrcadlení databáze, nicméně příklady Books Online používají port TCP 5022 nebo 7022. Je důležité vyhnout se přerušení používaného koncového bodu zrcadlení, zejména v režimu vysoké bezpečnosti s automatickým převzetím služeb při selhání. Vaše konfigurace brány firewall musí zabránit porušení kvora. Další informace najdete v části Zadání síťové adresy serveru (zrcadlení databáze).
Replikace	Replikační připojení k serveru SQL Server používají typické běžné porty databázového stroje ( Port TCP 1433 pro výchozí instanci atd.) Synchronizace webu a přístup FTP / UNC pro snímek replikace vyžadují otevření dalších portů na bráně firewall. K přenosu počátečních dat a schémat z jednoho umístění do druhého může replikace použít FTP (port TCP 21) nebo synchronizaci přes HTTP (port TCP 80) nebo sdílení souborů. Sdílení souborů používá porty UDP 137 a 138 a port TCP 139, pokud používá NetBIOS. Sdílení souborů používá port TCP 445.	Pro synchronizaci přes HTTP používá replikace koncový bod IIS (porty, které jsou konfigurovatelné, ale ve výchozím nastavení je port 80), ale proces IIS se připojuje k back-endovému serveru SQL prostřednictvím standardní porty (1433 pro výchozí instanci. Během synchronizace webu pomocí FTP je přenos FTP mezi IIS a vydavatelem serveru SQL Server, nikoli mezi předplatitelem a IIS.
Debugger Transact-SQL	TCP port 135 Viz Zvláštní upozornění pro Port 135 Může být také požadována výjimka IPsec.	Pokud používáte Visual Studio, na Visual Studio hostitelský počítač, musíte také přidat Devenv.exe do seznamu Výjimky a otevřít port TCP 135. Pokud používáte Management Studio, musíte v hostitelském počítači Management Studio také přidat ssms.exe do seznamu Výjimky a otevřít port TCP 135. Další informace najdete v části Konfigurace pravidel brány firewall před spuštěním TSQL Debugger.

Podrobné pokyny ke konfiguraci brány Windows Firewall pro databázový stroj najdete v části Konfigurace brány Windows Firewall pro přístup k databázovému stroji.

Dynamické porty

Ve výchozím nastavení jsou pojmenované instance ( včetně SQL Server Express) používají dynamické porty. To znamená, že při každém spuštění Database Engine identifikuje dostupný port a použije toto číslo portu. Pokud je pojmenovaná instance jedinou instancí nainstalovaného databázového stroje, pravděpodobně použije port TCP 1433. Pokud jsou nainstalovány další instance databázového stroje, bude pravděpodobně používat jiný port TCP. Protože vybraný port se může změnit při každém spuštění Database Engine, je obtížné nakonfigurovat bránu firewall tak, aby umožňovala přístup ke správnému číslu portu. Pokud se tedy používá brána firewall, doporučujeme překonfigurovat Database Engine tak, aby pokaždé používalo stejné číslo portu. Toto se nazývá pevný port nebo statický port. Další informace najdete v části Konfigurace serveru pro naslouchání na konkrétním portu TCP (SQL Server Configuration Manager).

Alternativou ke konfiguraci pojmenované instance pro naslouchání na pevném portu je vytvoření výjimky v bráně firewall. pro program SQL Server, jako je sqlservr.exe (pro Database Engine). To může být pohodlné, ale číslo portu se nezobrazí ve sloupci Místní port na stránce Příchozí pravidla, když používáte modul Windows Firewall s modulem snap-in Advanced Security MMC. To může ztěžovat audit, které porty jsou otevřené. Další úvaha spočívá v tom, že aktualizace Service Pack nebo kumulativní aktualizace mohou změnit cestu ke spustitelnému souboru serveru SQL Server, což zneplatní pravidlo brány firewall.

Přidání výjimky programu do brány firewall pomocí brány Windows Defender Firewall s pokročilým zabezpečením

1. V nabídce Start zadejte wf.msc. Stisknutím klávesy Enter nebo výběrem výsledku hledání wf.msc otevřete bránu Windows Defender Firewall s pokročilým zabezpečením.

2. V levém podokně vyberte Příchozí pravidla.

3. V pravém podokně v části Akce vyberte Nové pravidlo …. Otevře se Průvodce novým příchozím pravidlem.

4. U typu pravidla vyberte Program. Vyberte Další.

5. V programu vyberte možnost Tato cesta k programu. Vyberte Procházet a vyhledejte instanci serveru SQL Server. Program se jmenuje sqlservr.exe. Obvykle se nachází na adrese:

   C:\Program Files\Microsoft SQL Server\MSSQL15.<InstanceName>\MSSQL\Binn\sqlservr.exe

   Vyberte Další.

6. Zapnuto Akce, vyberte Povolit připojení. Vyberte Další.

7. V profilu zahrňte všechny tři profily. Vyberte Další.

8. Do pole Název zadejte název pravidla. Vyberte Dokončit.

Další informace o koncových bodech najdete v části Konfigurace databázového stroje pro poslech na více portech TCP a zobrazení katalogu koncových bodů (Transact-SQL).

Porty používané službou Analysis Services

Ve výchozím nastavení jsou typické porty používané službou SQL Server Analysis Services a přidruženými službami: TCP 2382, 2383, 80, 443. Tabulka níže vysvětluje tyto porty podrobněji.

V následující tabulce jsou uvedeny porty, které Analysis Services často používají.

Funkce	Port
Analysis Services	TCP port 2383 pro výchozí instanci	Standardní port pro výchozí instanci služby Analysis Services.
Služba prohlížeče serveru SQL	TCP port 2382 je potřeba pouze pro pojmenovanou instanci služby Analysis Services	Žádosti o připojení klienta pro pojmenovanou instanci služby Analysis Services, které neurčují číslo portu je směrováno na port 2382, port, na kterém poslouchá prohlížeč SQL Server. Prohlížeč serveru SQL poté přesměruje požadavek na port, který používá pojmenovaná instance.
Analytické služby nakonfigurované pro použití prostřednictvím IIS / HTTP (Služba PivotTable® používá HTTP nebo HTTPS)	TCP port 80	Používá se pro připojení HTTP prostřednictvím adresy URL.
Analysis Services nakonfigurované pro použití prostřednictvím služby IIS / HTTPS (Služba PivotTable® používá HTTP nebo HTTPS)	TCP port 443	Používá se pro připojení HTTPS prostřednictvím adresy URL. HTTPS je připojení HTTP, které používá TLS.

Pokud uživatelé přistupují ke službě Analysis Services prostřednictvím IIS a Internet, musíte otevřít port, na kterém IIS poslouchá, a zadat tento port v připojovacím řetězci klienta. V tomto případě nemusí být pro přímý přístup ke službě Analysis Services otevřeny žádné porty. Výchozí port 2389 a port 2382 by měly být omezeny společně se všemi ostatními porty, které nejsou vyžadovány.

Podrobné pokyny ke konfiguraci brány Windows Firewall pro službu Analysis Services najdete v části Konfigurace brány Windows Firewall pro povolení Přístup ke službě Analysis Services.

Porty používané službou Reporting Services

Ve výchozím nastavení jsou typické porty používané službou SQL Server Reporting SErvices a přidruženými službami: TCP 80, 443. Níže uvedená tabulka vysvětluje tyto porty podrobněji.

V následující tabulce jsou uvedeny porty, které služba Reporting Services často používá.

Funkce	Port
Webové služby Reporting Services	TCP port 80	Používá se pro připojení HTTP k Reporting Services prostřednictvím adresy URL. Doporučujeme nepoužívat předkonfigurované pravidlo World Wide Web Services (HTTP). Další informace najdete níže v části Interakce s jinými pravidly brány firewall.
Reporting Services nakonfigurované pro použití prostřednictvím protokolu HTTPS	TCP port 443	Používá se pro připojení HTTPS prostřednictvím adresy URL. HTTPS je připojení HTTP, které používá TLS. Doporučujeme nepoužívat předkonfigurované pravidlo Zabezpečené služby WWW (HTTPS). Další informace najdete níže v části Interakce s jinými pravidly brány firewall.

Když Reporting Services se připojuje k instanci Database Engine nebo Analysis Services, musíte také otevřít příslušné porty pro tyto služby. Podrobné pokyny ke konfiguraci brány Windows Firewall pro Reporting Services najdete v části Konfigurace brány firewall pro přístup k serveru sestav.

Porty používané službou Integration Services

V následující tabulce jsou uvedeny porty, které jsou používány službou Integration Services.

Funkce	Port
Vzdálená volání procedur Microsoftu (MS RPC) Používá modul runtime Integration Services.	TCP port 135 Viz Zvláštní upozornění pro port 135	Služba Integration Services používá DCOM na portu 135. Správce služeb používá port 135 k provádění úkolů, jako je spuštění a zastavení služby Integration Services a přenos požadavků na řízení do spuštěné služby. Číslo portu nelze změnit. Tento port je nutné otevřít pouze v případě, že se připojujete ke vzdálené instanci služby Integration Services z Management Studio nebo vlastní aplikace.

Podrobné pokyny ke konfiguraci brány Windows Firewall pro službu Integration Services naleznete v části Služba Integration Services (SSIS Service).

Další porty a služby

V následující tabulce jsou uvedeny porty a služby, na kterých může SQL Server záviset.

Scénář	Port
Windows Management Instrumentation Další informace o WMI najdete v části Poskytovatel WMI pro koncepty správy konfigurace	WMI běží jako součást hostitel sdílené služby s porty přiřazenými prostřednictvím DCOM.WMI možná používá port TCP 135. Viz Zvláštní upozornění pro port 135	Správce konfigurace serveru SQL používá WMI k výpisu a správě služeb. Doporučujeme použít předkonfigurovanou skupinu pravidel Windows Management Instrumentation (WMI). Další informace najdete níže v části Interakce s jinými pravidly brány firewall.
Koordinátor distribuovaných transakcí společnosti Microsoft (MS DTC)	TCP port 135 Viz Zvláštní upozornění pro port 135	Pokud vaše aplikace používá distribuované transakce, možná budete muset nakonfigurovat bránu firewall tak, aby umožňovala tok provozu Microsoft Distributed Transaction Coordinator (MS DTC) mezi samostatnými instancemi MS DTC a mezi MS DTC a správci zdrojů, jako je SQL Server. Doporučujeme použít předem nakonfigurovanou skupinu pravidel Distributed Transaction Coordinator. Když je nakonfigurován jeden sdílený MS DTC pro celý klastr v samostatné skupině prostředků, měli byste přidat jako výjimku do brány firewall sqlservr.exe.
Tlačítko procházení v Management Studio používá UDP k připojení ke službě prohlížení serveru SQL. Další informace najdete v článku Služba prohlížení serveru SQL (Database Engine a SSAS).	Port UDP 1434	UDP je protokol bez připojení. Brána firewall má nastavení (UnicastResponsesToMulticastBroadcastDisabled Property) rozhraní INetFwProfile), které řídí chování brány firewall s ohledem na odpovědi jednosměrového vysílání na požadavek UDP vysílání (nebo vícesměrového vysílání). Má dvě chování: Pokud je nastavení TRUE, nejsou vůbec povoleny žádné jednosměrové odpovědi na vysílání. Výčet služeb selže. Pokud je nastavení FALSE (výchozí), jsou jednosměrné odpovědi povoleny po dobu 3 sekund. Délka času není konfigurovatelná. V přetížené síti nebo síti s vysokou latencí nebo na silně zatížených serverech se pokusí výčet instancí serveru SQL Server vrátit částečný seznam, který by mohl uživatele uvést v omyl.
IPsec provoz	UDP port 500 a UDP port 4500	Pokud zásady domény vyžadují, aby se síťová komunikace prováděla prostřednictvím protokolu IPsec, musíte do seznamu výjimek přidat také UDP port 4500 a UDP port 500. IPsec je možnost pomocí Průvodce novým příchozím pravidlem v modulu snap-in Brána firewall systému Windows. Další informace najdete v části Používání brány Windows Firewall s rozšířeným zabezpečovacím modulem zabezpečení níže.
Použití ověřování systému Windows s důvěryhodnými doménami	Brány firewall je třeba nakonfigurovat tak, aby požadavky na ověřování.	Další informace najdete v části Konfigurace brány firewall pro domény a vztahy důvěryhodnosti.
SQL Server a Windows Clustering	Clustering vyžaduje další porty, které přímo nesouvisejí s SQL Serverem.	Další informace najdete v tématu Povolení sítě pro použití clusteru.
Obory názvů URL vyhrazeny v rozhraní HTTP Server API (HTTP.SYS)	Pravděpodobně port TCP 80, ale lze jej nakonfigurovat na jiné porty. Obecné informace najdete v části Konfigurace HTTP a HTTPS.	Specifické informace pro SQL Server o rezervaci koncového bodu HTTP.SYS pomocí HttpCfg.exe najdete v části O rezervacích a registraci URL (SSRS Configuration Manager).

Zvláštní úvahy pro port 135

Když používáte RPC s TCP / IP nebo s přenosem UDP / IP jsou příchozí porty často dynamicky přiřazovány systémovým službám podle potřeby; Používají se porty TCP / IP a UDP / IP, které jsou větší než port 1024. Často se neformálně označují jako „náhodné porty RPC“. V těchto případech se klienti RPC spoléhají na mapovač koncových bodů RPC, aby jim řekli, které dynamické porty byly serveru přiřazeny. U některých služeb založených na RPC můžete nakonfigurovat konkrétní port namísto toho, aby vám RPC přiděloval dynamicky. Můžete také omezit rozsah portů, které RPC dynamicky přiřadí malému rozsahu, bez ohledu na službu. Protože port 135 se používá pro mnoho služeb, je často napadán uživateli se zlými úmysly. Při otevírání portu 135 zvažte omezení rozsahu pravidla brány firewall.

Další informace o portu 135 najdete v následujících odkazech:

• Přehled služby a požadavky na síťový port pro systém Windows Server
• Odstraňování chyb RPC Endpoint Mapper pomocí nástrojů podpory Windows Server 2003 z CD produktu
• Vzdálené volání procedur (RPC)
• Jak konfigurovat Dynamické přidělování portů RPC pro práci s branami firewall

Interakce s jinými pravidly brány firewall

Brána Windows Firewall používá ke stanovení své konfigurace pravidla a skupiny pravidel. Každé pravidlo nebo skupina pravidel je obecně spojena s konkrétním programem nebo službou a tento program nebo služba může toto pravidlo upravit nebo odstranit bez vašeho vědomí. Například skupiny pravidel World Wide Web Services (HTTP) a World Wide Web Services (HTTPS) jsou přidruženy ke službě IIS.Povolením těchto pravidel se otevřou porty 80 a 443 a funkce serveru SQL Server, které závisí na portech 80 a 443, budou fungovat, pokud jsou tato pravidla povolena. Správci konfigurující IIS však mohou tato pravidla upravit nebo zakázat. Proto pokud používáte port 80 nebo port 443 pro SQL Server, měli byste vytvořit vlastní pravidlo nebo skupinu pravidel, která udržuje požadovanou konfiguraci portu nezávisle na ostatních pravidlech IIS.

Brána Windows Firewall s pokročilým zabezpečením Modul snap-in MMC umožňuje jakýkoli provoz, který odpovídá jakémukoli příslušnému pravidlu povolení. Takže pokud existují dvě pravidla, která obě platí pro port 80 (s různými parametry), bude povolen provoz, který odpovídá jednomu z pravidel. Takže pokud jedno pravidlo povoluje přenos přes port 80 z místní podsítě a jedno pravidlo umožňuje přenos z libovolné adresy, výsledkem sítě je, že veškerý přenos na port 80 je povolen bez ohledu na zdroj. K efektivní správě přístupu na SQL Server by administrátoři měli pravidelně kontrolovat všechna pravidla brány firewall povolená na serveru.

Přehled profilů brány firewall

Profily brány firewall používají operační systémy k identifikaci a zapamatování si každá ze sítí, ke kterým se připojují, s ohledem na možnosti připojení, připojení a kategorii.

V bráně Windows Firewall s pokročilým zabezpečením existují tři typy umístění sítě:

• Doména: Windows může ověřit přístup k řadiči domény pro doménu, ke které je počítač připojen.
• Veřejné: Kromě doménových sítí jsou všechny sítě zpočátku kategorizovány jako veřejné. Sítě, které představují přímé připojení k internetu nebo jsou na veřejných místech, jako jsou letiště a kavárny, by měly být ponechány veřejné.
• Soukromé: Síť identifikovaná uživatelem nebo aplikací jako soukromá. Pouze důvěryhodné sítě by měly být identifikovány jako soukromé sítě. Uživatelé pravděpodobně budou chtít identifikovat domácí nebo malé podnikové sítě jako soukromé.

Správce může vytvořit profil pro každý typ umístění v síti, přičemž každý profil obsahuje různé zásady brány firewall. Vždy je použit pouze jeden profil. Pořadí profilů se použije následovně:

1. Pokud jsou všechna rozhraní ověřena řadičem domény pro doménu, jejíž je počítač členem, použije se profil domény.
2. Pokud jsou všechna rozhraní ověřena na řadiči domény nebo jsou připojena k sítím klasifikovaným jako umístění soukromé sítě, použije se soukromý profil.
3. Jinak se použije veřejný profil.

Pomocí modulu Windows Firewall s modulem snap-in Advanced Security MMC můžete zobrazit a konfigurovat všechny profily brány firewall. Položka Brána firewall systému Windows v Ovládacích panelech konfiguruje pouze aktuální profil.

Další nastavení brány firewall Použití položky brány Windows Firewall v Ovládacích panelech

Výjimky, které přidáte do brány firewall, mohou omezit otevírání port pro příchozí připojení ze specifických počítačů nebo místní podsítě. Toto omezení rozsahu otevření portu může snížit, kolik je váš počítač vystaven uživatelům se zlými úmysly, a je doporučeno.

Změna rozsahu výjimky brány firewall pomocí položky Brána firewall systému Windows v Ovládacích panelech

1. V Položka Brána firewall systému Windows v Ovládacích panelech vyberte program nebo port na kartě Výjimky a poté klikněte na Vlastnosti nebo Upravit.

2. V dialogovém okně Upravit program nebo Upravit port klikněte na Změnit rozsah.

3. Vyberte jednu z následujících možností:

   • Libovolný počítač (včetně počítačů v Internetu): Nedoporučuje se . To umožní každému počítači, který může váš počítač adresovat, připojit se k určenému programu nebo portu. Toto nastavení může být nutné, aby bylo možné informace předávat anonymním uživatelům na internetu, ale zvyšuje vaši expozici uživatelům se zlými úmysly. Vaše expozice může být dále zvýšena, pokud povolíte toto nastavení a také povolíte procházení síťových adres (NAT), například možnost Povolit procházení hran.

   • Pouze moje síť (podsíť) : Toto je bezpečnější nastavení než jakýkoli počítač. K programu nebo portu se mohou připojit pouze počítače v místní podsíti vaší sítě.

   • Vlastní seznam: Připojit se mohou pouze počítače, které mají uvedené adresy IP. Toto může být bezpečnější nastavení než pouze Moje síť (podsíť), ale klientské počítače používající DHCP mohou příležitostně změnit svou IP adresu. Zamýšlený počítač se pak nebude moci připojit. Jiný počítač, který jste neměli v úmyslu autorizovat, může přijmout uvedenou adresu IP a poté se může připojit. Možnost Vlastní seznam může být vhodná pro výpis dalších serverů, které jsou nakonfigurovány pro použití pevné adresy IP; IP adresy by však mohl narušit podvodník. Omezení pravidel brány firewall je pouze tak silné jako vaše síťová infrastruktura.

Použití brány Windows Firewall s rozšířeným zabezpečením Snap-in

Další pokročilá nastavení brány firewall lze konfigurovat pomocí Brána firewall systému Windows s modulem snap-in Advanced Security MMC. Modul snap-in obsahuje průvodce pravidly a zpřístupňuje další nastavení, která nejsou k dispozici v položce Brána firewall systému Windows v Ovládacích panelech. Tato nastavení zahrnují následující:

• Nastavení šifrování
• Omezení služeb
• Omezení připojení pro počítače podle názvu
• Omezení připojení k konkrétní uživatelé nebo profily
• Procházení hran umožňující přenos obejít směrovače překladu síťových adres (NAT)
• Konfigurace odchozích pravidel
• Konfigurace bezpečnostních pravidel
• Požadování protokolu IPsec pro příchozí připojení

Chcete-li vytvořit nové pravidlo brány firewall pomocí průvodce Nové pravidlo

1. V nabídce Start vyberte příkaz Spustit, zadejte WF.msc a potom vyberte OK.
2. V bráně Windows Firewall s pokročilým zabezpečením klikněte v levém podokně pravým tlačítkem na Příchozí pravidla a poté vyberte Nové pravidlo.
3. Vyplňte nové příchozí pravidlo Průvodce pomocí požadovaného nastavení.

Odstraňování problémů s nastavením brány firewall

Při řešení problémů s bránou firewall mohou být užitečné následující nástroje a techniky:

• Efektivním stavem portu je sjednocení všech pravidel související s přístavem. Při pokusu o zablokování přístupu přes port může být užitečné zkontrolovat všechna pravidla, která citují číslo portu. Chcete-li to provést, použijte bránu Windows Firewall s modulem snap-in Advanced Security MMC a seřaďte příchozí a odchozí pravidla podle čísla portu.

• Zkontrolujte porty, které jsou aktivní v počítači na na kterém běží SQL Server. Tento proces kontroly zahrnuje ověření, které porty TCP / IP naslouchají, a také ověření stavu portů.

  Chcete-li ověřit, které porty naslouchají, použijte obslužný program příkazového řádku netstat. Kromě zobrazení aktivních připojení TCP zobrazuje obslužný program netstat celou řadu statistik a informací o IP.

  Chcete-li zobrazit seznam portů TCP / IP, které poslouchají

  1. Otevřete okno příkazového řádku.

  2. Na příkazovém řádku zadejte netstat -n -a.

     Přepínač -n dá příkazu netstat numerické zobrazení adresy a číslo portu aktivního připojení TCP. Přepínač -a dává příkazu netstat zobrazit porty TCP a UDP, na kterých počítač poslouchá.

• Pomocí nástroje PortQry lze hlásit stav portů TCP / IP jako poslech, neposlech nebo filtrování. (S filtrovaným stavem port může nebo nemusí poslouchat; tento stav označuje, že obslužný program neobdržel odpověď z portu.) Obslužný program PortQry je k dispozici ke stažení na webu Microsoft Download Center.

Viz také

Přehled služeb a požadavky na síťový port pro systém Windows Server
Jak: Konfigurace nastavení brány firewall (Azure SQL Database)