januar 18, 2021

Konfigurer Windows Firewall til at tillade SQL Server-adgang

  • 22/07/2020
  • 22 minutter at læse
    • c
    • D
    • k
    • l
    • v
    • +13

Gælder for: SQL Server (alle understøttede versioner) – Kun Windows Azure SQL Managed Instance

Firewall-systemer hjælper med at forhindre uautoriseret adgang til computerressourcer. Hvis en firewall er tændt, men ikke korrekt konfigureret, kan forsøg på at oprette forbindelse til SQL Server muligvis blive blokeret.

For at få adgang til en forekomst af SQL Server via en firewall skal du konfigurere firewallen på den computer, der er kører SQL Server. Firewall er en komponent i Microsoft Windows. Du kan også installere en firewall fra et andet firma. Denne artikel diskuterer, hvordan du konfigurerer Windows-firewallen, men de grundlæggende principper gælder for andre firewallprogrammer.

Bemærk

Denne artikel giver en oversigt over firewallkonfiguration og opsummerer oplysninger om interesse for en SQL Server-administrator. For mere information om firewall og for autoritative firewalloplysninger, se firewalldokumentationen, såsom Windows Firewall-sikkerhedsvejledning.

Brugere, der er fortrolige med administration af Windows Firewall, og ved, hvilke firewallindstillinger de har ønsker at konfigurere kan flytte direkte til de mere avancerede artikler:

  • Konfigurer en Windows Firewall til databasemotoradgang
  • Konfigurer Windows Firewall til at give Analyse Services adgang
  • Konfigurer en firewall til rapportserveradgang

Grundlæggende firewalloplysninger

Firewalls fungerer ved at inspicere indgående pakker og sammenligne dem med et sæt regler. Hvis pakken overholder de standarder, der er dikteret af reglerne, sender firewallen pakken til TCP / IP-protokollen til yderligere behandling. Hvis pakken ikke opfylder de standarder, der er angivet i reglerne, kasserer firewallen pakken, og hvis logning er aktiveret, opretter en post i firewalllogfilen.

Listen over tilladt trafik er udfyldt på en af følgende måder:

  • Automatisk: Når en computer med en firewall-aktiveret initieret kommunikation, opretter firewallen en post på listen, så svaret tillades. Dette svar betragtes som anmodet trafik, og der er intet, der skal konfigureres.

  • Manuelt: En administrator konfigurerer undtagelser til firewallen. Dette giver enten adgang til bestemte programmer eller porte på din computer. I dette tilfælde accepterer computeren uopfordret indgående trafik, når den fungerer som server, lytter eller peer. Dette er den type konfiguration, der skal gennemføres for at oprette forbindelse til SQL Server.

At vælge en firewallstrategi er mere kompliceret end blot at beslutte, om en given port skal være åben eller lukket . Når du designer en firewallstrategi til din virksomhed, skal du sørge for at overveje alle de tilgængelige regler og konfigurationsmuligheder. Denne artikel gennemgår ikke alle mulige firewallindstillinger. Vi anbefaler, at du gennemgår følgende dokumenter:

Windows Firewall Deployment Guide – Windows Firewall Design Guide – Introduktion til server- og domæneisolering

Standard Firewall-indstillinger

Det første trin i planlægningen af din firewall-konfiguration er at bestemme den aktuelle status for firewallen til dit operativsystem. Hvis operativsystemet blev opgraderet fra en tidligere version, er de tidligere firewallindstillinger muligvis bevaret. Firewallindstillingerne kunne også være blevet ændret af en anden administrator eller af en gruppepolitik i dit domæne.

Bemærk

Aktivering af firewallen påvirker andre programmer, der har adgang til dette computer, såsom fildeling og udskrivningsdeling, og eksterne desktopforbindelser. Administratorer bør overveje alle applikationer, der kører på computeren, før de justerer firewallindstillingerne.

Programmer til konfiguration af firewall

Konfigurer Windows Firewall-indstillinger med en af Microsoft Management Console eller netsh.

  • Microsoft Management Console (MMC)

    Windows Firewall med MMC-snapin-modul til avanceret sikkerhed giver dig mulighed for at konfigurere mere avancerede firewallindstillinger. Denne snap-in præsenterer de fleste af firewallindstillingerne på en brugervenlig måde og præsenterer alle firewallprofiler. For mere information, se Brug af Windows Firewall med avanceret sikkerheds snap-in senere i denne artikel.

  • netsh

    Værktøjet netsh.exe kan bruges af en administrator til at konfigurere og overvåge Windows-baserede computere ved en kommandoprompt eller ved hjælp af en batchfil **.** Ved at bruge netsh-værktøjet kan du dirigere kontekstkommandoerne, du indtaster, til den relevante hjælper, og hjælperen udfører derefter kommandoen. En hjælper er en Dynamic Link Library-fil (.dll), der udvider netsh-værktøjets funktionalitet ved at levere konfiguration, overvågning og support til en eller flere tjenester, hjælpeprogrammer eller protokoller. Alle operativsystemer, der understøtter SQL Server, har en firewall-hjælper. Windows Server 2008 har også en avanceret firewall-hjælper kaldet advfirewall. Detaljerne i brugen af netsh diskuteres ikke i denne artikel. Imidlertid kan mange af de beskrevne konfigurationsindstillinger konfigureres ved hjælp af netsh. Kør f.eks. Følgende script ved en kommandoprompt for at åbne TCP-port 1433:

    Et lignende eksempel ved hjælp af Windows Firewall for Advanced Security-hjælper:

    For flere oplysninger om netsh, se følgende links:

    • Netsh Command Syntax, Contexts og Formatting
    • Sådan bruges konteksten “netsh advfirewall firewall” i stedet for “netsh firewall” -konteksten til at kontrollere Windows Firewall-opførsel i Windows Server 2008 og Windows Vista

  • For Linux: På Linux skal du også åbne de porte, der er knyttet til de tjenester, du har brug for adgang til. Forskellige distributioner af Linux og forskellige firewalls har deres egne procedurer. For to eksempler, se SQL Server på Red Hat og SQL Server på SUSE.

Porte, der bruges af SQL Server

Følgende tabeller kan hjælpe dig identificere de porte, der bruges af SQL Server.

Porte, der bruges af databasemotoren

Som standard er de typiske porte, der bruges af SQL Server og tilknyttede databasemotortjenester: TCP 1433, 4022 , 135, 1434, UDP 1434. Tabellen nedenfor forklarer disse porte mere detaljeret. En navngivet forekomst bruger dynamiske porte.

Følgende tabel viser de porte, der ofte bruges af databasemotoren.

Scenarie Port
Standardinstans, der kører over TCP TCP-port 1433 Dette er den mest almindelige port, der er tilladt gennem firewallen. Det gælder rutinemæssige forbindelser til standardinstallationen af Database Engine eller en navngiven instans, der er den eneste forekomst, der kører på computeren. (Navngivne forekomster har særlige overvejelser. Se Dynamiske porte senere i denne artikel.)
Navngivne forekomster med standardport TCP-porten er en dynamisk port bestemt på det tidspunkt, hvor databasemotoren starter. Se nedenstående diskussion i afsnittet Dynamiske porte. UDP-port 1434 kan være påkrævet til SQL Server-browsertjenesten, når du bruger navngivne forekomster.
Navngivne forekomster med fast port Portnummeret konfigureret af administratoren. Se nedenstående diskussion i afsnittet Dynamiske porte.
Dedikeret administratorforbindelse TCP-port 1434 for standard eksempel. Andre porte bruges til navngivne forekomster. Tjek fejlloggen for portnummeret. Som standard er fjernforbindelser til Dedikeret administratorforbindelse (DAC) ikke aktiveret. Brug Surface Area Configuration-facetten til at aktivere ekstern DAC. For yderligere oplysninger, se Konfiguration af overfladeareal.
SQL Server-browsertjeneste UDP-port 1434 SQL Server-browsertjenesten lytter til indgående forbindelser til en navngivet forekomst og giver klienten det TCP-portnummer, der svarer til den navngivne forekomst. Normalt startes SQL Server Browser-tjenesten, når der benyttes navngivne forekomster af databasemotoren. SQL Server-browsertjenesten behøver ikke startes, hvis klienten er konfigureret til at oprette forbindelse til den specifikke port for den navngivne forekomst.
Forekomst med HTTP-slutpunkt. Kan angives, når der oprettes et HTTP-slutpunkt. Standard er TCP-port 80 til CLEAR_PORT-trafik og 443 til SSL_PORT-trafik. Bruges til en HTTP-forbindelse via en URL.
Standardinstans med HTTPS-slutpunkt TCP-port 443 Anvendes til en HTTPS-forbindelse via en URL. HTTPS er en HTTP-forbindelse, der bruger Transport Layer Security (TLS), tidligere kendt som Secure Sockets Layer (SSL).
Service Broker TCP-port 4022 For at bekræfte den anvendte port skal du udføre følgende forespørgsel:
SELECT name, protocol_desc, port, state_desc
FROM sys.tcp_endpoints
WHERE type_desc = "SERVICE_BROKER" 		Der er ingen standardport til SQL ServerService Broker, men dette er den konventionelle konfiguration, der bruges i Books Online-eksempler.
Database Mirroring Administrator valgt port.For at bestemme porten skal du udføre følgende forespørgsel:
SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints
WHERE type_desc = "DATABASE_MIRRORING" 		Der er ingen standardport til databasespejling, men eksempler på bøger online bruger TCP-port 5022 eller 7022. Det er vigtigt at undgå at afbryde et i brug brugt spejlingsendepunkt, især i højsikkerhedstilstand med automatisk failover. Din firewall-konfiguration skal undgå at bryde kvorummet. For yderligere oplysninger, se Angiv en servernetværksadresse (Database Mirroring).
Replikering Replikeringsforbindelser til SQL Server bruger de typiske almindelige Database Engine-porte ( TCP-port 1433 til standardinstansen osv.)
Websynkronisering og FTP / UNC-adgang til replikerings-snapshot kræver, at der åbnes yderligere porte på firewallen. For at overføre startdata og skema fra et sted til et andet kan replikering bruge FTP (TCP-port 21) eller synkronisere via HTTP (TCP-port 80) eller Fildeling. Fildeling bruger UDP-port 137 og 138 og TCP-port 139, hvis den bruger NetBIOS. Fildeling bruger TCP-port 445. 		Til synkronisering via HTTP bruger replikering IIS-slutpunktet (porte, der kan konfigureres, men er port 80 som standard), men IIS-processen forbinder til backend-SQL Server via standardporte (1433 til standardinstansen.
Under websynkronisering ved hjælp af FTP foregår FTP-overførslen mellem IIS og SQL Server-udgiveren, ikke mellem abonnenten og IIS.
Transact-SQL debugger TCP-port 135
Se særlige overvejelser for Port 135
IPsec-undtagelsen kan også være påkrævet. 		Hvis du bruger Visual Studio i Visual Studio værtscomputer, skal du også tilføje Devenv.exe til undtagelseslisten og åbne TCP-port 135.
Hvis du bruger Management Studio, skal du på Management Studio-værtscomputeren også føje ssms.exe til listen Undtagelser og åbne TCP-port 135. For mere information, se Konfigurer firewallregler, før du kører TSQL-fejlfindingsprogrammet.

For trinvise instruktioner til konfiguration af Windows Firewall til databasemotoren, se Konfigurere en Windows Firewall til databasemotoradgang.

Dynamiske porte

Som standard kaldes forekomster ( inklusive SQL Server Express) bruger dynamiske porte. Det betyder, at hver gang databasemotoren starter, identificerer den en tilgængelig port og bruger det portnummer. Hvis den navngivne forekomst er den eneste forekomst af den installerede databasemotor, bruger den sandsynligvis TCP-port 1433. Hvis andre forekomster af databasemotoren er installeret, bruger den sandsynligvis en anden TCP-port. Da den valgte port muligvis ændres hver gang databasemotoren startes, er det vanskeligt at konfigurere firewallen, så den giver adgang til det korrekte portnummer. Derfor, hvis der bruges en firewall, anbefaler vi at konfigurere databasemotoren til at bruge det samme portnummer hver gang. Dette kaldes en fast port eller en statisk port. For mere information, se Konfigurer en server til at lytte på en bestemt TCP-port (SQL Server Configuration Manager).

Et alternativ til at konfigurere en navngivet instans til at lytte på en fast port er at oprette en undtagelse i firewall. til et SQL Server-program såsom sqlservr.exe (til databasemotoren). Dette kan være praktisk, men portnummeret vises ikke i kolonnen Lokal port på siden Indgående regler, når du bruger Windows Firewall med MMC-snapin-modul til avanceret sikkerhed. Dette kan gøre det vanskeligere at kontrollere, hvilke porte der er åbne. En anden overvejelse er, at en servicepakke eller kumulativ opdatering kan ændre stien til SQL Server-eksekverbarheden, hvilket vil ugyldiggøre firewallreglen.

At tilføje en programundtagelse til firewallen ved hjælp af Windows Defender Firewall med avanceret sikkerhed

  1. Skriv wf.msc fra startmenuen. Tryk på Enter, eller vælg søgeresultatet wf.msc for at åbne Windows Defender Firewall med avanceret sikkerhed.

  2. I den venstre rude skal du vælge Indgående regler.

  3. I højre rude, under Handlinger, skal du vælge Ny regel …. Guiden Ny indgående regel åbnes.

  4. Vælg Regel på Regeltype. Vælg Næste.

  5. På programmet skal du vælge denne programsti. Vælg Gennemse for at finde din forekomst af SQL Server. Programmet hedder sqlservr.exe. Det er normalt placeret på:

    C:\Program Files\Microsoft SQL Server\MSSQL15.<InstanceName>\MSSQL\Binn\sqlservr.exe

    Vælg Næste.

  6. Til Handling, vælg Tillad forbindelsen. Vælg Næste.

  7. På profilen skal du inkludere alle tre profiler. Vælg Næste.

  8. Skriv et navn til reglen på Navn. Vælg Afslut.

For mere information om slutpunkter, se Konfigurer databasemotoren til at lytte til flere TCP-porte og slutpunkter katalogvisninger (Transact-SQL).

Porte, der bruges af analysetjenester

Som standard er de typiske porte, der bruges af SQL Server Analysis Services og tilknyttede tjenester: TCP 2382, 2383, 80, 443. Tabellen nedenfor forklarer disse porte mere detaljeret.

Følgende tabel viser de porte, der ofte bruges af Analysis Services.

Feature Port
Analysis Services TCP-port 2383 for standardinstansen Standardporten til standardinstansen for Analysis Services.
SQL Server-browsertjeneste TCP-port 2382 kræves kun for en analyse-tjeneste, der hedder forekomst Klientforbindelsesanmodninger for en navngivet forekomst af analysetjenester, der ikke specificerer et portnummer ledes til port 2382, den port som SQL Server Browser lytter til. SQL Server-browser omdirigerer derefter anmodningen til den port, som den navngivne forekomst bruger.
Analysetjenester konfigureret til brug gennem IIS / HTTP
(PivotTable®-tjenesten bruger HTTP eller HTTPS) 		TCP-port 80 Bruges til en HTTP-forbindelse via en URL.
Analysetjenester konfigureret til brug gennem IIS / HTTPS
(PivotTable®-tjenesten bruger HTTP eller HTTPS) 		TCP-port 443 Anvendes til en HTTPS-forbindelse via en URL. HTTPS er en HTTP-forbindelse, der bruger TLS.

Hvis brugerne får adgang til analysetjenester gennem IIS og Internettet, skal du åbne den port, som IIS lytter til, og angive den port i klientforbindelsesstrengen. I dette tilfælde skal ingen porte være åbne for direkte adgang til Analysis Services. Standardport 2389 og port 2382 skal begrænses sammen med alle andre porte, der ikke er påkrævet.

For trinvise instruktioner til konfiguration af Windows Firewall til Analysis Services, se Konfigurer Windows Firewall til at tillade Adgang til analysetjenester.

Porte, der bruges af rapporteringstjenester

Som standard er de typiske porte, der bruges af SQL Server Reporting SE-tjenester og tilknyttede tjenester: TCP 80, 443. Tabellen nedenfor forklarer disse porte mere detaljeret.

Følgende tabel viser de porte, der ofte bruges af Reporting Services.

Funktion Port
Reporting Services Web Services TCP-port 80 Anvendes til en HTTP-forbindelse til Reporting Services via en URL. Vi anbefaler, at du ikke bruger den forudkonfigurerede regel World Wide Web Services (HTTP). For yderligere information, se afsnittet Interaktion med andre firewallregler nedenfor.
Rapporteringstjenester konfigureret til brug gennem HTTPS TCP-port 443 Bruges til en HTTPS-forbindelse via en URL. HTTPS er en HTTP-forbindelse, der bruger TLS. Vi anbefaler, at du ikke bruger den forudkonfigurerede regel Secure World Wide Web Services (HTTPS). Se afsnittet Interaktion med andre firewallregler nedenfor for mere information.

Når Reporting Services opretter forbindelse til en forekomst af Database Engine eller Analysis Services, du skal også åbne de relevante porte til disse tjenester. For trinvise instruktioner til konfiguration af Windows Firewall til Reporting Services skal du konfigurere en Firewall til rapportserveradgang.

Porte, der bruges af integrationstjenester

Følgende tabel viser de porte, der bruges af Integration Services-tjenesten.

Feature Port
Microsoft fjernprocedurkald (MS RPC)
Brugt af Integration Services runtime. 		TCP-port 135
Se særlige overvejelser for Port 135 		Integration Services-tjenesten bruger DCOM på port 135. Service Control Manager bruger port 135 til at udføre opgaver såsom at starte og stoppe Integration Services-tjenesten og sende kontrolanmodninger til den kørende tjeneste. Portnummeret kan ikke ændres.
Denne port skal kun være åben, hvis du opretter forbindelse til en ekstern instans af Integration Services-tjenesten fra Management Studio eller en brugerdefineret applikation.

For trinvise instruktioner til konfiguration af Windows Firewall for Integration Services, se Integration Services Service (SSIS Service).

Yderligere porte og tjenester

Følgende tabel viser porte og tjenester, som SQL Server muligvis er afhængige af.

Scenarie Port
Windows Management Instrumentation
For mere information om WMI, se WMI-udbyder til konfigurationsstyringskoncepter 		WMI kører som en del af en delt servicehost med porte tildelt via DCOM.WMI bruger muligvis TCP-port 135.
Se særlige overvejelser for port 135 		SQL Server Configuration Manager bruger WMI til at liste og administrere tjenester. Vi anbefaler, at du bruger den forudkonfigurerede regelgruppe Windows Management Instrumentation (WMI). For yderligere information, se afsnittet Interaktion med andre firewallregler nedenfor.
Microsoft Distributed Transaction Coordinator (MS DTC) TCP-port 135
Se Særlige overvejelser for havn 135 		Hvis din applikation bruger distribuerede transaktioner, er du muligvis nødt til at konfigurere firewallen, så Microsoft DTC-trafik (Distribueret Transaktionskoordinator) kan strømme mellem separate MS DTC-forekomster og mellem MS DTC og ressourceforvaltere såsom SQL Server. Vi anbefaler, at du bruger den forudkonfigurerede regelgruppe for distribueret transaktionskoordinator.
Når en enkelt delt MS DTC er konfigureret til hele klyngen i en separat ressourcegruppe, skal du tilføje sqlservr.exe som en undtagelse til firewallen.
Gennemse-knappen i Management Studio bruger UDP til at oprette forbindelse til SQL Server-browsertjenesten. For mere information, se SQL Server Browser Service (Database Engine and SSAS). UDP-port 1434 UDP er en forbindelsesfri protokol.
Firewall har en indstilling (UnicastResponsesToMulticastBroadcastDisabled Property af INetFwProfile Interface), der styrer firewallens opførsel med hensyn til unicast-svar på en UDP-anmodning (eller multicast) UDP. Det har to adfærdsmåder:
Hvis indstillingen er SAND, er der overhovedet ikke nogen unicast-svar på en udsendelse. Optælling af tjenester mislykkes.
Hvis indstillingen er FALSK (standard), er unicast-svar tilladt i 3 sekunder. Tiden kan ikke konfigureres. I et overbelastet eller højt latenstidsnetværk eller for stærkt belastede servere forsøger at opregne forekomster af SQL Server muligvis returnere en delvis liste, der kan vildlede brugerne.
IPsec-trafik UDP-port 500 og UDP-port 4500 Hvis domænepolitikken kræver, at netværkskommunikation skal udføres via IPsec, skal du også tilføje UDP-port 4500 og UDP-port 500 til undtagelseslisten. IPsec er en mulighed ved hjælp af guiden Ny indgående regel i Windows Firewall-snapin-modulet. Se Brug af Windows Firewall med avanceret sikkerheds-snap-in nedenfor for at få flere oplysninger.
Brug af Windows-godkendelse med pålidelige domæner Firewalls skal konfigureres til at tillade godkendelsesanmodninger. For mere information, se Sådan konfigureres en firewall til domæner og tillid.
SQL Server og Windows Clustering Klyngedannelse kræver yderligere porte, der ikke er direkte relateret til SQL Server. For mere information, se Aktivér et netværk til klyngebrug.
URL-navneområder er reserveret i HTTP Server API (HTTP.SYS) Sandsynligvis TCP-port 80, men kan konfigureres til andre porte. For generel information, se Konfiguration af HTTP og HTTPS. For SQL Server-specifikke oplysninger om reservation af et HTTP.SYS-slutpunkt ved hjælp af HttpCfg.exe, se Om URL-reservationer og registrering (SSRS Configuration Manager).

Særlige overvejelser for port 135

Når du bruger RPC med TCP / IP eller med UDP / IP som transport tildeles indgående porte ofte dynamisk til systemtjenester efter behov; TCP / IP- og UDP / IP-porte, der er større end port 1024, anvendes. Disse omtales ofte uformelt som “tilfældige RPC-porte”. I disse tilfælde er RPC-klienter afhængige af RPC-slutpunktsmapperen for at fortælle dem, hvilke dynamiske porte der er tildelt serveren. For nogle RPC-baserede tjenester kan du konfigurere en bestemt port i stedet for at lade RPC tildele en dynamisk. Du kan også begrænse rækkevidden af porte, som RPC dynamisk tildeler til et lille område, uanset tjenesten. Da port 135 bruges til mange tjenester, bliver den ofte angrebet af ondsindede brugere. Når du åbner port 135, skal du overveje at begrænse rækkevidden af firewallreglen.

For flere oplysninger om port 135, se følgende referencer:

  • Serviceoversigt og netværksportkrav til Windows Server-systemet
  • Fejlfinding af RPC Endpoint Mapper-fejl ved hjælp af Windows Server 2003 Support Tools fra produkt-cden
  • RPC (Remote procedure call)
  • Sådan konfigureres RPC dynamisk portallokering til at arbejde med firewalls

Interaktion med andre firewallregler

Windows Firewall bruger regler og regelgrupper til at etablere sin konfiguration. Hver regel eller regelgruppe er generelt forbundet med et bestemt program eller en bestemt tjeneste, og det program eller den tjeneste kan ændre eller slette denne regel uden din viden. For eksempel er regelgrupperne World Wide Web Services (HTTP) og World Wide Web Services (HTTPS) tilknyttet IIS.Aktivering af disse regler åbner port 80 og 443, og SQL Server-funktioner, der afhænger af port 80 og 443, fungerer, hvis disse regler er aktiveret. Administratorer, der konfigurerer IIS, kan dog ændre eller deaktivere disse regler. Derfor, hvis du bruger port 80 eller port 443 til SQL Server, skal du oprette din egen regel eller regelgruppe, der opretholder din ønskede portkonfiguration uafhængigt af de andre IIS-regler.

Windows Firewall med avanceret sikkerhed MMC snap-in tillader enhver trafik, der matcher enhver gældende tilladelsesregel. Så hvis der er to regler, der begge gælder for port 80 (med forskellige parametre), er trafik, der matcher en af reglerne, tilladt. Så hvis en regel tillader trafik over port 80 fra lokalt undernet, og en regel tillader trafik fra enhver adresse, er nettoeffekten, at al trafik til port 80 er tilladt uanset kilde. For effektivt at administrere adgang til SQL Server skal administratorer regelmæssigt gennemgå alle firewallregler aktiveret på serveren.

Oversigt over Firewall-profiler

Firewall-profiler bruges af operativsystemerne til at identificere og huske hvert af de netværk, som de opretter forbindelse til med hensyn til tilslutning, forbindelser og kategori.

Der er tre netværksplaceringstyper i Windows Firewall med avanceret sikkerhed:

  • Domæne: Windows kan godkende adgang til domænecontrolleren for det domæne, som computeren er tilsluttet.
  • Offentlig: Bortset fra domænenetværk kategoriseres alle netværk oprindeligt som offentlige. Netværk, der repræsenterer direkte forbindelser til Internettet eller er på offentlige steder, såsom lufthavne og caféer, skal være offentlige.
  • Privat: Et netværk identificeret af en bruger eller applikation som privat. Kun pålidelige netværk skal identificeres som private netværk. Brugere vil sandsynligvis identificere hjemmenetværk eller små virksomhedsnetværk som private.

Administratoren kan oprette en profil for hver netværksplaceringstype, hvor hver profil indeholder forskellige firewallpolitikker. Der anvendes kun én profil til enhver tid. Profilordren anvendes som følger:

  1. Hvis alle grænseflader er godkendt til domænecontrolleren for det domæne, som computeren er medlem af, anvendes domæneprofilen.
  2. Hvis alle grænseflader enten er godkendt til domænecontrolleren eller er forbundet til netværk, der er klassificeret som private netværksplaceringer, anvendes den private profil.
  3. Ellers anvendes den offentlige profil.

Brug Windows Firewall med MMC-snapin-modul til avanceret sikkerhed til at få vist og konfigurere alle firewallprofiler. Windows Firewall-elementet i Kontrolpanel konfigurerer kun den aktuelle profil.

Yderligere Firewall-indstillinger Brug af Windows Firewall-elementet i Kontrolpanel

Undtagelser, du tilføjer til firewallen, kan begrænse åbningen af porten til indgående forbindelser fra bestemte computere eller det lokale undernet. Denne begrænsning af rækkevidden af portåbningen kan reducere, hvor meget din computer udsættes for ondsindede brugere, og anbefales.

Bemærk

Brug af Windows Firewall-elementet i Control Panel konfigurerer kun den aktuelle firewallprofil.

Sådan ændres omfanget af en firewallundtagelse ved hjælp af elementet Windows Firewall i Kontrolpanel

  1. I Windows Firewall-element i Kontrolpanel, vælg et program eller en port på fanen Undtagelser, og klik derefter på Egenskaber eller Rediger.

  2. I dialogboksen Rediger et program eller Rediger en port, klik på Skift rækkevidde.

  3. Vælg en af følgende muligheder:

    • Enhver computer (inklusive dem på Internettet): Ikke anbefalet . Dette gør det muligt for enhver computer, der kan adressere din computer, at oprette forbindelse til det angivne program eller port. Denne indstilling kan være nødvendig for at tillade, at oplysninger præsenteres for anonyme brugere på internettet, men øger din eksponering for ondsindede brugere. Din eksponering kan øges yderligere, hvis du aktiverer denne indstilling og også tillader NAT-traversering (Network Address Translation), såsom indstillingen Tillad kantovergange.

    • Kun mit netværk (subnet) : Dette er en mere sikker indstilling end nogen computer. Kun computere på det lokale undernet på dit netværk kan oprette forbindelse til programmet eller porten.

    • Tilpasset liste: Kun computere, der har de anførte IP-adresser, kan oprette forbindelse. Dette kan være en mere sikker indstilling end mit netværk (subnet), men klientcomputere, der bruger DHCP, kan lejlighedsvis ændre deres IP-adresse. Derefter kan den tilsigtede computer ikke oprette forbindelse. En anden computer, som du ikke havde til hensigt at godkende, accepterer muligvis den anførte IP-adresse og kan derefter oprette forbindelse. Indstillingen Brugerdefineret liste kan være passende til notering af andre servere, der er konfigureret til at bruge en fast IP-adresse; IP-adresser kan imidlertid være falske af en ubuden gæst. Begrænsning af firewallregler er kun så stærke som din netværksinfrastruktur.

Brug af Windows Firewall med avanceret sikkerheds snap-in

Yderligere avancerede firewallindstillinger kan konfigureres ved hjælp af Windows Firewall med MMC-snapin-modul til avanceret sikkerhed. Snap-in inkluderer en regelguide og afslører yderligere indstillinger, der ikke er tilgængelige i Windows Firewall-elementet i Kontrolpanel. Disse indstillinger inkluderer følgende:

  • Krypteringsindstillinger
  • Tjenestebegrænsninger
  • Begrænsning af forbindelser til computere ved navn
  • Begrænsning af forbindelser til specifikke brugere eller profiler
  • Edge traversal tillader trafik at omgå NATR-routere (Network Address Translation)
  • Konfiguration af udgående regler
  • Konfiguration af sikkerhedsregler
  • Kræver IPsec til indgående forbindelser

For at oprette en ny firewallregel ved hjælp af guiden Ny regel

  1. Vælg Start i menuen Start, skriv WF.msc , og vælg derefter OK.
  2. I Windows Firewall med avanceret sikkerhed skal du højreklikke på indgående regler i venstre rude og derefter vælge Ny regel.
  3. Fuldfør den nye indgående regel Guiden ved hjælp af de ønskede indstillinger.

Fejlfinding af firewallindstillinger

Følgende værktøjer og teknikker kan være nyttige til fejlfinding af firewallproblemer:

  • Den effektive havnestatus er foreningen af alle rul er relateret til havnen. Når du forsøger at blokere adgang gennem en port, kan det være nyttigt at gennemgå alle de regler, der citerer portnummeret. For at gøre dette skal du bruge Windows Firewall med MMC-snapin-modul til avanceret sikkerhed og sortere indgående og udgående regler efter portnummer.

  • Gennemgå de porte, der er aktive på computeren på hvilken SQL Server kører. Denne gennemgangsproces inkluderer kontrol af, hvilke TCP / IP-porte der lytter, og også verifikation af porternes status.

    Brug netstat-kommandolinjeprogrammet til at kontrollere, hvilke porte der lytter. Ud over at vise aktive TCP-forbindelser viser netstat-hjælpeprogrammet også en række IP-statistikker og information.

    For at liste hvilke TCP / IP-porte, der lytter

    1. Åbn vinduet Kommandoprompt.

    2. Skriv netstat -n -a ved kommandoprompten.

      -n-kontakten instruerer netstat om numerisk at vise adressen og portnummer på aktive TCP-forbindelser. Omskifteren -a instruerer netstat om at vise TCP- og UDP-porte, som computeren lytter til.

  • PortQry-værktøjet kan bruges til at rapportere status for TCP / IP-porte som at lytte, ikke lytte eller filtreres. (Med en filtreret status lytter havnen muligvis eller ikke; denne status indikerer, at hjælpeprogrammet ikke modtog svar fra porten.) PortQry-værktøjet kan downloades fra Microsoft Download Center.

Se også

Serviceoversigt og netværksportkrav til Windows Server-systemet
Sådan gør du: Konfigurer firewallindstillinger (Azure SQL Database)

admin
0

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *

Arkiver

Seneste indlæg