enero 18, 2021

Configure el Firewall de Windows para permitir el acceso a SQL Server

  • 22/07/2020
  • 22 minutos de lectura
    • c
    • D
    • k
    • l
    • v
    • +13

Se aplica a: SQL Server (todos versiones compatibles): solo Windows Instancia administrada de Azure SQL

Los sistemas de firewall ayudan a evitar el acceso no autorizado a los recursos de la computadora. Si un firewall está encendido pero no está configurado correctamente, los intentos de conectarse a SQL Server pueden bloquearse.

Para acceder a una instancia de SQL Server a través de un firewall, debe configurar el firewall en la computadora que está ejecutando SQL Server. El firewall es un componente de Microsoft Windows. También puede instalar un firewall de otra empresa. Este artículo explica cómo configurar el firewall de Windows, pero los principios básicos se aplican a otros programas de firewall.

Nota

Este artículo proporciona una descripción general de la configuración del firewall y resume la información de interés para un administrador de SQL Server. Para obtener más información sobre el cortafuegos y para obtener información autorizada sobre el cortafuegos, consulte la documentación del cortafuegos, como la guía de implementación de seguridad del cortafuegos de Windows.

Los usuarios familiarizados con la administración del cortafuegos de Windows y saben qué configuración del cortafuegos utilizan desea configurar puede pasar directamente a los artículos más avanzados:

  • Configurar un Firewall de Windows para el acceso al motor de base de datos
  • Configurar el Firewall de Windows para permitir el acceso a Analysis Services
  • Configurar un cortafuegos para el acceso al servidor de informes

Información básica del cortafuegos

Los cortafuegos funcionan inspeccionando los paquetes entrantes y comparándolos con un conjunto de reglas. Si el paquete cumple con los estándares dictados por las reglas, el firewall pasa el paquete al protocolo TCP / IP para un procesamiento adicional. Si el paquete no cumple con los estándares especificados por las reglas, el cortafuegos descarta el paquete y, si el registro está habilitado, crea una entrada en el archivo de registro del cortafuegos.

La lista de tráfico permitido se completa de una de las siguientes formas:

  • Automáticamente: cuando una computadora con un firewall habilitado inicia la comunicación, el firewall crea una entrada en la lista para que se permita la respuesta. Esta respuesta se considera tráfico solicitado y no hay nada que deba configurarse.

  • Manualmente: un administrador configura las excepciones al firewall. Esto permite el acceso a programas o puertos específicos en su computadora. En este caso, la computadora acepta tráfico entrante no solicitado cuando actúa como servidor, oyente o par. Este es el tipo de configuración que se debe completar para conectarse a SQL Server.

Elegir una estrategia de firewall es más complejo que simplemente decidir si un puerto determinado debe estar abierto o cerrado . Al diseñar una estrategia de firewall para su empresa, asegúrese de considerar todas las reglas y opciones de configuración disponibles. Este artículo no revisa todas las posibles opciones de firewall. Le recomendamos que revise los siguientes documentos:

Guía de implementación del cortafuegos de Windows
Guía de diseño del cortafuegos de Windows
Introducción al aislamiento de servidores y dominios

Configuración predeterminada del cortafuegos

El primer paso para planificar la configuración de su firewall es determinar el estado actual del firewall para su sistema operativo. Si el sistema operativo se actualizó desde una versión anterior, es posible que se haya conservado la configuración del firewall anterior. Además, la configuración del firewall podría haber sido cambiada por otro administrador o por una política de grupo en su dominio.

Nota

Activar el firewall afectará a otros programas que acceden a este computadora, como compartir archivos e impresiones, y conexiones de escritorio remoto. Los administradores deben considerar todas las aplicaciones que se ejecutan en la computadora antes de ajustar la configuración del firewall.

Programas para configurar el firewall

Configure los ajustes del firewall de Windows con Microsoft Management Console o netsh.

  • Microsoft Management Console (MMC)

    El complemento de Firewall de Windows con seguridad avanzada MMC le permite configurar configuraciones de firewall más avanzadas. Este complemento presenta la mayoría de las opciones de firewall de una manera fácil de usar y presenta todos los perfiles de firewall. Para obtener más información, consulte Uso del Firewall de Windows con el complemento de seguridad avanzada más adelante en este artículo.

  • netsh

    Se puede usar la herramienta netsh.exe por un administrador para configurar y monitorear equipos basados en Windows en un símbolo del sistema o usando un archivo por lotes **.** Al utilizar la herramienta netsh, puede dirigir los comandos de contexto que ingresa al ayudante apropiado, y el ayudante luego ejecuta el comando. Un asistente es un archivo de biblioteca de vínculos dinámicos (.dll) que amplía la funcionalidad de la herramienta netsh al proporcionar configuración, monitoreo y soporte para uno o más servicios, utilidades o protocolos. Todos los sistemas operativos que admiten SQL Server tienen un asistente de firewall. Windows Server 2008 también tiene un ayudante de firewall avanzado llamado advfirewall. Los detalles del uso de netsh no se tratan en este artículo. Sin embargo, muchas de las opciones de configuración descritas se pueden configurar mediante netsh. Por ejemplo, ejecute la siguiente secuencia de comandos en un símbolo del sistema para abrir el puerto TCP 1433:

    Un ejemplo similar con el asistente de Firewall de Windows para seguridad avanzada:

    Para obtener más información sobre netsh, consulte los siguientes enlaces:

    • Sintaxis, contextos y formato del comando Netsh
    • Cómo usar el contexto «netsh advfirewall firewall» en lugar del contexto «netsh firewall» para controlar el comportamiento del Firewall de Windows en Windows Server 2008 y en Windows Vista

  • Para Linux: en Linux, también necesita abrir los puertos asociados con los servicios a los que necesita acceder. Las diferentes distribuciones de Linux y los diferentes firewalls tienen sus propios procedimientos. Para ver dos ejemplos, consulte SQL Server en Red Hat y SQL Server en SUSE.

Puertos usados por SQL Server

Las siguientes tablas pueden ayudarlo identificar los puertos que utiliza SQL Server.

Puertos utilizados por el motor de base de datos

De forma predeterminada, los puertos típicos utilizados por SQL Server y los servicios del motor de base de datos asociados son: TCP 1433, 4022 , 135, 1434, UDP 1434. La siguiente tabla explica estos puertos con mayor detalle. Una instancia con nombre usa puertos dinámicos.

La siguiente tabla enumera los puertos que el motor de base de datos usa con frecuencia.

Escenario Puerto
Instancia predeterminada que se ejecuta sobre TCP Puerto TCP 1433 Este es el puerto más común permitido a través del firewall. Se aplica a las conexiones de rutina a la instalación predeterminada del Motor de base de datos, o una instancia con nombre que es la única instancia que se ejecuta en el equipo. (Las instancias con nombre tienen consideraciones especiales. Consulte Puertos dinámicos más adelante en este artículo).
Instancias con nombre con puerto predeterminado El puerto TCP es un puerto dinámico determinado en el momento en que se inicia el motor de base de datos. Vea la discusión a continuación en la sección Puertos dinámicos. El puerto UDP 1434 puede ser necesario para el servicio del navegador de SQL Server cuando se utilizan instancias con nombre.
Instancias con nombre con puerto fijo El número de puerto configurado por el administrador. Consulte la discusión a continuación en la sección Puertos dinámicos.
Conexión de administrador dedicada Puerto TCP 1434 para el valor predeterminado ejemplo. Se utilizan otros puertos para instancias con nombre. Compruebe el número de puerto en el registro de errores. De forma predeterminada, las conexiones remotas a la conexión de administrador dedicado (DAC) no están habilitadas. Para habilitar el DAC remoto, use la faceta Configuración del área de superficie. Para obtener más información, consulte Configuración del área de superficie.
Servicio de navegador de SQL Server Puerto UDP 1434 El servicio de navegador de SQL Server escucha para conexiones entrantes a una instancia con nombre y proporciona al cliente el número de puerto TCP que corresponde a esa instancia con nombre. Normalmente, el servicio del navegador de SQL Server se inicia siempre que se utilizan instancias con nombre del motor de base de datos. No es necesario iniciar el servicio del navegador de SQL Server si el cliente está configurado para conectarse al puerto específico de la instancia nombrada.
Instancia con extremo HTTP. Se puede especificar cuando se crea un punto final HTTP. El puerto predeterminado es TCP 80 para el tráfico CLEAR_PORT y 443 para el tráfico SSL_PORT. Se utiliza para una conexión HTTP a través de una URL.
Instancia predeterminada con punto final HTTPS Puerto TCP 443 Se utiliza para una conexión HTTPS a través de una URL. HTTPS es una conexión HTTP que utiliza Transport Layer Security (TLS), anteriormente conocida como Secure Sockets Layer (SSL).
Service Broker Puerto TCP 4022 . Para verificar el puerto utilizado, ejecute la siguiente consulta:
SELECT name, protocol_desc, port, state_desc
FROM sys.tcp_endpoints
WHERE type_desc = "SERVICE_BROKER" 		No hay un puerto predeterminado para SQL Server Service Broker, pero esta es la configuración convencional utilizada en los ejemplos de Libros en pantalla.
Duplicación de la base de datos Puerto elegido por el administrador.Para determinar el puerto, ejecute la siguiente consulta:
SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints
WHERE type_desc = "DATABASE_MIRRORING" 		No hay puerto predeterminado para la creación de reflejo de la base de datos, sin embargo, los ejemplos de Libros en línea utilizan el puerto TCP 5022 o 7022. Es importante evitar interrumpir un punto final de creación de reflejo en uso, especialmente en el modo de alta seguridad con conmutación por error automática. La configuración de su firewall debe evitar romper el quórum. Para obtener más información, consulte Especificar una dirección de red del servidor (creación de reflejo de la base de datos).
Replicación Las conexiones de replicación a SQL Server utilizan los puertos habituales del motor de base de datos ( Puerto TCP 1433 para la instancia predeterminada, etc.)
La sincronización web y el acceso FTP / UNC para la instantánea de replicación requieren que se abran puertos adicionales en el firewall. Para transferir los datos y el esquema iniciales de una ubicación a otra, la replicación puede usar FTP (puerto TCP 21) o sincronizar a través de HTTP (puerto TCP 80) o compartir archivos. El uso compartido de archivos usa los puertos UDP 137 y 138, y el puerto TCP 139 si usa NetBIOS. El uso compartido de archivos usa el puerto TCP 445. 		Para la sincronización a través de HTTP, la replicación usa el punto final de IIS (puertos para los cuales son configurables pero es el puerto 80 de manera predeterminada), pero el proceso de IIS se conecta al servidor SQL Server a través del puertos estándar (1433 para la instancia predeterminada.
Durante la sincronización web mediante FTP, la transferencia FTP se realiza entre IIS y el editor de SQL Server, no entre el suscriptor e IIS.
Depurador de Transact-SQL Puerto TCP 135
Consulte Consideraciones especiales para el puerto 135
La excepción IPsec también puede ser necesaria. 		Si usa Visual Studio, en Visual Studio computadora host, también debe agregar Devenv.exe a la lista de Excepciones y abrir el puerto TCP 135.
Si usa Management Studio, en la computadora host de Management Studio, también debe agregar ssms.exe a la lista de Excepciones y abrir el puerto TCP 135. Para obtener más información, consulte Configurar reglas de firewall antes de ejecutar el depurador de TSQL.

Para obtener instrucciones paso a paso para configurar el Firewall de Windows para el motor de base de datos, consulte Configurar un Firewall de Windows para el acceso al motor de base de datos.

Puertos dinámicos

De forma predeterminada, instancias con nombre ( incluido SQL Server Express) utilizan puertos dinámicos. Eso significa que cada vez que se inicia el motor de base de datos, identifica un puerto disponible y usa ese número de puerto. Si la instancia nombrada es la única instancia instalada del Motor de base de datos, probablemente usará el puerto TCP 1433. Si se instalan otras instancias del Motor de base de datos, probablemente usará un puerto TCP diferente. Debido a que el puerto seleccionado puede cambiar cada vez que se inicia el motor de base de datos, es difícil configurar el firewall para permitir el acceso al número de puerto correcto. Por lo tanto, si se usa un firewall, recomendamos volver a configurar el motor de base de datos para usar el mismo número de puerto cada vez. A esto se le llama puerto fijo o puerto estático. Para obtener más información, consulte Configurar un servidor para escuchar en un puerto TCP específico (Administrador de configuración de SQL Server).

Una alternativa a configurar una instancia con nombre para escuchar en un puerto fijo es crear una excepción en el firewall para un programa de SQL Server como sqlservr.exe (para el motor de base de datos). Esto puede resultar conveniente, pero el número de puerto no aparecerá en la columna Puerto local de la página Reglas de entrada cuando utilice el complemento de MMC Firewall de Windows con seguridad avanzada. Esto puede dificultar la auditoría de los puertos abiertos. Otra consideración es que un paquete de servicio o una actualización acumulativa puede cambiar la ruta al ejecutable de SQL Server, lo que invalidará la regla del firewall.

Para agregar una excepción de programa al firewall usando Windows Defender Firewall con seguridad avanzada

  1. Desde el menú de inicio, escriba wf.msc. Presione Entrar o seleccione el resultado de búsqueda wf.msc para abrir el Firewall de Windows Defender con seguridad avanzada.

  2. En el panel izquierdo, seleccione Reglas de entrada.

  3. En el panel derecho, en Acciones, seleccione Nueva regla …. Se abre el Asistente para nueva regla de entrada.

  4. En Tipo de regla, seleccione Programa. Seleccione Siguiente.

  5. En Programa, seleccione Esta ruta de programa. Seleccione Examinar para localizar su instancia de SQL Server. El programa se llama sqlservr.exe. Normalmente se encuentra en:

    C:\Program Files\Microsoft SQL Server\MSSQL15.<InstanceName>\MSSQL\Binn\sqlservr.exe

    Seleccione Siguiente.

  6. Activado Acción, seleccione Permitir la conexión. Seleccione Siguiente.

  7. En Perfil, incluya los tres perfiles. Seleccione Siguiente.

  8. En Nombre, escriba un nombre para la regla. Seleccione Finalizar.

Para obtener más información sobre los puntos finales, consulte Configurar el motor de base de datos para escuchar en varios puertos TCP y vistas de catálogo de puntos finales (Transact-SQL).

Puertos utilizados por Analysis Services

De forma predeterminada, los puertos típicos utilizados por SQL Server Analysis Services y los servicios asociados son: TCP 2382, 2383, 80, 443. La siguiente tabla explica estos puertos en mayor detalle.

La siguiente tabla enumera los puertos que Analysis Services utiliza con frecuencia.

Característica Puerto
Analysis Services Puerto TCP 2383 para la instancia predeterminada El puerto estándar para la instancia predeterminada de Analysis Services.
Servicio de navegador de SQL Server El puerto TCP 2382 solo se necesita para una instancia con nombre de Analysis Services Solicitudes de conexión de cliente para una instancia con nombre de Analysis Services que no especifican un número de puerto se dirige al puerto 2382, el puerto en el que escucha el navegador SQL Server. Luego, el navegador SQL Server redirige la solicitud al puerto que usa la instancia nombrada.
Analysis Services configurado para su uso a través de IIS / HTTP
(El servicio PivotTable® usa HTTP o HTTPS) 		Puerto TCP 80 Se utiliza para una conexión HTTP a través de una URL.
Analysis Services configurado para su uso a través de IIS / HTTPS
(El servicio PivotTable® utiliza HTTP o HTTPS) 		Puerto TCP 443 Se utiliza para una conexión HTTPS a través de una URL. HTTPS es una conexión HTTP que usa TLS.

Si los usuarios acceden a Analysis Services a través de IIS e Internet, debe abrir el puerto en el que IIS está escuchando y especificar ese puerto en la cadena de conexión del cliente. En este caso, no es necesario abrir ningún puerto para el acceso directo a Analysis Services. El puerto predeterminado 2389 y el puerto 2382 deben restringirse junto con todos los demás puertos que no son necesarios.

Para obtener instrucciones paso a paso para configurar el Firewall de Windows para Analysis Services, consulte Configurar el Firewall de Windows para permitir Acceso a Analysis Services.

Puertos usados por Reporting Services

Por defecto, los puertos típicos usados por SQL Server Reporting SErvices y servicios asociados son: TCP 80, 443. La siguiente tabla explica estos puertos en mayor detalle.

La siguiente tabla enumera los puertos que Reporting Services utiliza con frecuencia.

Característica Puerto
Servicios web de Reporting Services Puerto TCP 80 Se utiliza para una conexión HTTP a Reporting Services a través de una URL. Le recomendamos que no utilice la regla preconfigurada World Wide Web Services (HTTP). Para obtener más información, consulte la sección Interacción con otras reglas de firewall a continuación.
Reporting Services configurado para su uso a través de HTTPS TCP puerto 443 Se utiliza para una conexión HTTPS a través de una URL. HTTPS es una conexión HTTP que usa TLS. Le recomendamos que no utilice la regla preconfigurada Secure World Wide Web Services (HTTPS). Para obtener más información, consulte la sección Interacción con otras reglas de firewall a continuación.

Cuándo Reporting Services se conecta a una instancia de Motor de base de datos o Analysis Services, también debe abrir los puertos adecuados para esos servicios. Para obtener instrucciones paso a paso para configurar el Firewall de Windows para Reporting Services, configure un Firewall para el acceso al servidor de informes.

Puertos utilizados por Integration Services

La siguiente tabla enumera los puertos que son utilizados por el servicio Integration Services.

Característica Puerto
Llamadas a procedimientos remotos de Microsoft (MS RPC)
Usado por el tiempo de ejecución de Integration Services. 		Puerto TCP 135
Consulte Consideraciones especiales para el puerto 135 		El servicio de Integration Services usa DCOM en el puerto 135. El Administrador de control de servicios usa el puerto 135 para realizar tareas como iniciar y detener el servicio de Integration Services y transmitir solicitudes de control al servicio en ejecución. El número de puerto no se puede cambiar.
Este puerto solo debe estar abierto si se conecta a una instancia remota del servicio de Integration Services desde Management Studio o una aplicación personalizada.

Para obtener instrucciones paso a paso para configurar el Firewall de Windows para Integration Services, consulte Integration Services Service (SSIS Service).

Puertos y servicios adicionales

La siguiente tabla enumera los puertos y servicios de los que podría depender SQL Server.

Escenario Puerto
Instrumental de administración de Windows
Para obtener más información sobre WMI, consulte Proveedor de WMI para conceptos de administración de configuración 		WMI se ejecuta como parte de un host de servicio compartido con puertos asignados a través de DCOM.Es posible que WMI esté usando el puerto TCP 135.
Consulte Consideraciones especiales para el puerto 135 		El Administrador de configuración de SQL Server usa WMI para enumerar y administrar servicios. Le recomendamos que utilice el grupo de reglas preconfigurado Instrumental de administración de Windows (WMI). Para obtener más información, consulte la sección Interacción con otras reglas de firewall a continuación.
Coordinador de transacciones distribuidas de Microsoft (MS DTC) Puerto TCP 135
Consulte Consideraciones especiales para el puerto 135 		Si su aplicación utiliza transacciones distribuidas, es posible que deba configurar el firewall para permitir que el tráfico del Coordinador de transacciones distribuidas de Microsoft (MS DTC) fluya entre instancias de MS DTC separadas y entre MS DTC y administradores de recursos como SQL Server. Le recomendamos que utilice el grupo de reglas del Coordinador de transacciones distribuidas preconfigurado.
Cuando se configura un único MS DTC compartido para todo el clúster en un grupo de recursos separado, debe agregar sqlservr.exe como una excepción al firewall.
El botón de exploración en Management Studio usa UDP para conectarse al servicio de navegador de SQL Server. Para obtener más información, consulte Servicio de navegador de SQL Server (motor de base de datos y SSAS). UDP puerto 1434 UDP es un protocolo sin conexión.
El firewall tiene una configuración (UnicastResponsesToMulticastBroadcastDisabled Property de la interfaz INetFwProfile) que controla el comportamiento del cortafuegos con respecto a las respuestas de unidifusión a una solicitud UDP de difusión (o multidifusión). Tiene dos comportamientos:
Si la configuración es TRUE, no se permiten respuestas de unidifusión a una transmisión. La enumeración de servicios fallará.
Si la configuración es FALSE (predeterminado), se permiten respuestas de unidifusión durante 3 segundos. El tiempo no se puede configurar. En una red congestionada o de alta latencia, o para servidores muy cargados, los intentos de enumerar instancias de SQL Server pueden devolver una lista parcial, lo que podría confundir a los usuarios.
Tráfico IPsec Puerto UDP 500 y puerto UDP 4500 Si la política de dominio requiere que las comunicaciones de red se realicen a través de IPsec, también debe agregar el puerto UDP 4500 y el puerto UDP 500 a la lista de excepciones. IPsec es una opción que utiliza el Asistente para nueva regla de entrada en el complemento Firewall de Windows. Para obtener más información, consulte Uso del Firewall de Windows con el complemento de seguridad avanzada a continuación.
Uso de la autenticación de Windows con dominios de confianza Los firewalls deben configurarse para permitir solicitudes de autenticación. Para obtener más información, consulte Cómo configurar un firewall para dominios y confianzas.
SQL Server y agrupación en clústeres de Windows La agrupación en clústeres requiere puertos adicionales que no están directamente relacionados con SQL Server. Para obtener más información, consulte Habilitar una red para el uso de clústeres.
Espacios de nombres URL reservados en la API del servidor HTTP (HTTP.SYS) Probablemente el puerto TCP 80, pero se puede configurar para otros puertos. Para obtener información general, consulte Configuración de HTTP y HTTPS. Para obtener información específica de SQL Server sobre cómo reservar un extremo HTTP.SYS mediante HttpCfg.exe, consulte Acerca de las reservas y el registro de URL (Administrador de configuración de SSRS).

Consideraciones especiales para el puerto 135

Cuando usa RPC con TCP / IP o con UDP / IP como transporte, los puertos entrantes con frecuencia se asignan dinámicamente a los servicios del sistema según sea necesario; Se utilizan puertos TCP / IP y UDP / IP mayores que el puerto 1024. Estos se denominan con frecuencia informalmente «puertos RPC aleatorios». En estos casos, los clientes RPC confían en el asignador de puntos finales RPC para indicarles qué puertos dinámicos se asignaron al servidor. Para algunos servicios basados en RPC, puede configurar un puerto específico en lugar de permitir que RPC asigne uno dinámicamente. También puede restringir el rango de puertos que RPC asigna dinámicamente a un rango pequeño, independientemente del servicio. Dado que el puerto 135 se utiliza para muchos servicios, con frecuencia es atacado por usuarios malintencionados. Al abrir el puerto 135, considere restringir el alcance de la regla de firewall.

Para obtener más información sobre el puerto 135, consulte las siguientes referencias:

  • Descripción general del servicio y requisitos del puerto de red para el sistema Windows Server
  • Solución de errores de RPC Endpoint Mapper utilizando las herramientas de soporte de Windows Server 2003 del CD del producto
  • Llamada a procedimiento remoto (RPC)
  • Cómo configurar Asignación dinámica de puertos RPC para trabajar con firewalls

Interacción con otras reglas de firewall

El Firewall de Windows usa reglas y grupos de reglas para establecer su configuración. Cada regla o grupo de reglas generalmente está asociado con un programa o servicio en particular, y ese programa o servicio podría modificar o eliminar esa regla sin su conocimiento. Por ejemplo, los grupos de reglas World Wide Web Services (HTTP) y World Wide Web Services (HTTPS) están asociados con IIS.Habilitar esas reglas abrirá los puertos 80 y 443, y las características de SQL Server que dependen de los puertos 80 y 443 funcionarán si esas reglas están habilitadas. Sin embargo, los administradores que configuran IIS pueden modificar o deshabilitar esas reglas. Por lo tanto, si está utilizando el puerto 80 o el puerto 443 para SQL Server, debe crear su propia regla o grupo de reglas que mantenga la configuración de puerto deseada independientemente de las otras reglas de IIS.

El Firewall de Windows con seguridad avanzada El complemento MMC permite cualquier tráfico que coincida con cualquier regla de autorización aplicable. Entonces, si hay dos reglas que se aplican al puerto 80 (con parámetros diferentes), se permitirá el tráfico que coincida con cualquiera de las reglas. Entonces, si una regla permite el tráfico a través del puerto 80 desde la subred local y una regla permite el tráfico desde cualquier dirección, el efecto neto es que todo el tráfico al puerto 80 está permitido independientemente de la fuente. Para administrar eficazmente el acceso a SQL Server, los administradores deben revisar periódicamente todas las reglas de firewall habilitadas en el servidor.

Descripción general de los perfiles de firewall

Los sistemas operativos utilizan los perfiles de firewall para identificar y recordar cada una de las redes a las que se conectan con respecto a la conectividad, las conexiones y la categoría.

Hay tres tipos de ubicación de red en el Firewall de Windows con seguridad avanzada:

  • Dominio: Windows puede autenticar el acceso al controlador de dominio para el dominio al que está unida la computadora.
  • Pública: excepto las redes de dominio, todas las redes se clasifican inicialmente como públicas. Las redes que representan conexiones directas a Internet o que se encuentran en lugares públicos, como aeropuertos y cafeterías, deben dejarse públicas.
  • Privada: una red identificada por un usuario o una aplicación como privada. Solo las redes confiables deben identificarse como redes privadas. Es probable que los usuarios deseen identificar las redes domésticas o de pequeñas empresas como privadas.

El administrador puede crear un perfil para cada tipo de ubicación de red, y cada perfil contiene diferentes políticas de firewall. Solo se aplica un perfil a la vez. El orden de los perfiles se aplica de la siguiente manera:

  1. Si todas las interfaces están autenticadas en el controlador de dominio para el dominio del cual la computadora es miembro, se aplica el perfil de dominio.
  2. Si todas las interfaces están autenticadas para el controlador de dominio o están conectadas a redes que están clasificadas como ubicaciones de red privada, se aplica el perfil privado.
  3. De lo contrario, se aplica el perfil público.

Utilice el complemento MMC Firewall de Windows con seguridad avanzada para ver y configurar todos los perfiles de firewall. El elemento Firewall de Windows en el Panel de control solo configura el perfil actual.

Configuración adicional del firewall mediante el elemento Firewall de Windows en el Panel de control

Las excepciones que agregue al firewall pueden restringir la apertura de el puerto para conexiones entrantes de computadoras específicas o la subred local. Esta restricción del alcance de la apertura del puerto puede reducir la exposición de su computadora a usuarios malintencionados y se recomienda.

Nota

Uso del elemento Firewall de Windows en Control El panel solo configura el perfil de firewall actual.

Para cambiar el alcance de una excepción de firewall usando el elemento Firewall de Windows en el Panel de control

  1. En el Firewall de Windows en el Panel de control, seleccione un programa o puerto en la pestaña Excepciones y luego haga clic en Propiedades o Editar.

  2. En el cuadro de diálogo Editar un programa o Editar un puerto, haga clic en Cambiar alcance.

  3. Elija una de las siguientes opciones:

    • Cualquier computadora (incluidas las de Internet): no recomendado . Esto permitirá que cualquier computadora que pueda direccionar su computadora se conecte al programa o puerto especificado. Esta configuración puede ser necesaria para permitir que se presente información a usuarios anónimos en Internet, pero aumenta su exposición a usuarios malintencionados. Su exposición puede aumentar aún más si habilita esta configuración y también permite el cruce de traducción de direcciones de red (NAT), como la opción Permitir cruce de borde.

    • Solo mi red (subred) : Esta es una configuración más segura que cualquier computadora. Solo las computadoras de la subred local de su red pueden conectarse al programa o al puerto.

    • Lista personalizada: solo las computadoras que tienen las direcciones IP enumeradas pueden conectarse. Esta puede ser una configuración más segura que Mi red (subred) solamente; sin embargo, los equipos cliente que utilizan DHCP pueden cambiar ocasionalmente su dirección IP. Entonces la computadora deseada no podrá conectarse. Otra computadora, que no tenía la intención de autorizar, podría aceptar la dirección IP indicada y luego poder conectarse. La opción Lista personalizada puede ser apropiada para listar otros servidores que están configurados para usar una dirección IP fija; sin embargo, las direcciones IP pueden ser falsificadas por un intruso. Las reglas de firewall restrictivas son tan sólidas como la infraestructura de su red.

Uso del Firewall de Windows con el complemento de seguridad avanzada

Se pueden configurar configuraciones de firewall avanzadas adicionales usando el Firewall de Windows con complemento MMC de seguridad avanzada. El complemento incluye un asistente de reglas y expone configuraciones adicionales que no están disponibles en el elemento Firewall de Windows en el Panel de control. Estas configuraciones incluyen lo siguiente:

  • Configuración de cifrado
  • Restricciones de servicios
  • Restringir conexiones para computadoras por nombre
  • Restringir conexiones a usuarios o perfiles específicos
  • Cruce de bordes que permite que el tráfico eluda los enrutadores de traducción de direcciones de red (NAT)
  • Configuración de reglas de salida
  • Configuración de reglas de seguridad
  • Requerir IPsec para las conexiones entrantes

Para crear una nueva regla de firewall usando el asistente de Nueva Regla

  1. En el menú Inicio, seleccione Ejecutar, escriba WF.msc y luego seleccione Aceptar.
  2. En el Firewall de Windows con seguridad avanzada, en el panel izquierdo, haga clic con el botón derecho en Reglas de entrada y luego seleccione Nueva regla.
  3. Complete la Nueva regla de entrada Asistente utilizando la configuración que desee.

Solución de problemas de la configuración del firewall

Las siguientes herramientas y técnicas pueden ser útiles para solucionar problemas del firewall:

  • El estado del puerto efectivo es la unión de todos los rul es relacionado con el puerto. Al intentar bloquear el acceso a través de un puerto, puede resultar útil revisar todas las reglas que citan el número de puerto. Para hacer esto, use el complemento MMC Firewall de Windows con seguridad avanzada y ordene las reglas de entrada y salida por número de puerto.

  • Revise los puertos que están activos en la computadora en qué SQL Server está ejecutando. Este proceso de revisión incluye verificar qué puertos TCP / IP están escuchando y también verificar el estado de los puertos.

    Para verificar qué puertos están escuchando, use la utilidad de línea de comandos netstat. Además de mostrar las conexiones TCP activas, la utilidad netstat también muestra una variedad de estadísticas e información de IP.

    Para enumerar qué puertos TCP / IP están escuchando

    1. Abra la ventana del símbolo del sistema.

    2. En el símbolo del sistema, escriba netstat -n -a.

      El interruptor -n indica a netstat que muestre numéricamente la dirección y número de puerto de conexiones TCP activas. El conmutador -a le indica a netstat que muestre los puertos TCP y UDP en los que la computadora está escuchando.

  • La utilidad PortQry se puede usar para informar el estado de los puertos TCP / IP como escuchando, no escuchando o filtrado. (Con un estado filtrado, el puerto puede estar escuchando o no; este estado indica que la utilidad no recibió una respuesta del puerto). La utilidad PortQry está disponible para descargar desde el Centro de descarga de Microsoft.

Consulte también

Descripción general del servicio y requisitos de puerto de red para el sistema Windows Server
Cómo: configurar los parámetros del firewall (Azure SQL Database)

admin
0

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Archivos

Entradas recientes