tammikuu 18, 2021

Määritä Windowsin palomuuri sallimaan SQL Server Access

  • 07/22/2020
  • 22 minuuttia aikaa lukea
    • c
    • D
    • k
    • l
    • v
    • +13

Koskee: SQL Server (kaikki tuetut versiot) – vain Windows Azure SQL Managed instance

Palomuurijärjestelmät auttavat estämään luvattoman pääsyn tietokoneresursseihin. Jos palomuuri on päällä, mutta sitä ei ole määritetty oikein, yhteyden muodostaminen SQL Serveriin saattaa olla estetty.

Jos haluat käyttää SQL Server -esiintymää palomuurin kautta, sinun on määritettävä palomuuri tietokoneelle, joka on käynnissä SQL Server. Palomuuri on osa Microsoft Windowsia. Voit asentaa myös toisen yrityksen palomuurin. Tässä artikkelissa käsitellään Windowsin palomuurin määrittämistä, mutta perusperiaatteet koskevat muita palomuuriohjelmia.

Huomaa

Tässä artikkelissa on yleiskatsaus palomuurin kokoonpanoon ja yhteenveto kiinnostusta SQL Server -järjestelmänvalvojalle. Lisätietoja palomuurista ja aitoista palomuuritiedoista on palomuurin ohjeissa, kuten Windowsin palomuurin suojausasennusoppaassa.

Windows-palomuurin hallintaa tuntevat käyttäjät ja tietävät palomuuriasetukset haluat määrittää, voi siirtyä suoraan edistyneempiin artikkeleihin:

  • Määritä Windowsin palomuuri Database Engine Accessille
  • Määritä Windowsin palomuuri sallimaan analyysipalvelujen käyttö
  • Määritä palomuuri raporttipalvelimen käyttöä varten

Palomuurin perustiedot

Palomuurit toimivat tarkastelemalla saapuvia paketteja ja vertaamalla niitä tiettyihin sääntöihin. Jos paketti täyttää sääntöjen sanelemat normit, palomuuri välittää paketin TCP / IP-protokollalle lisäkäsittelyä varten. Jos paketti ei täytä sääntöjen määrittelemiä standardeja, palomuuri hylkää paketin ja, jos kirjaaminen on käytössä, luo merkinnän palomuurin lokitiedostoon.

Sallitun liikenteen luettelo täytetään jollakin seuraavista tavoista:

  • Automaattisesti: Kun tietokone, jonka palomuuri on käytössä, aloittaa tiedonsiirron, palomuuri luo luetteloon merkinnän, jotta vastaus sallitaan. Tätä vastausta pidetään haettuna liikenteenä, eikä mitään tarvitse määrittää.

  • Manuaalisesti: Järjestelmänvalvoja määrittää palomuurin poikkeukset. Tämä sallii pääsyn tiettyihin ohjelmiin tai tietokoneen portteihin. Tässä tapauksessa tietokone hyväksyy ei-toivotun saapuvan liikenteen toimiessaan palvelimena, kuuntelijana tai vertaisryhmänä. Tämän tyyppinen kokoonpano on suoritettava muodostaaksesi yhteyden SQL Serveriin.

Palomuuristrategian valitseminen on monimutkaisempaa kuin vain päättää, pitäisikö tietyn portin olla auki vai kiinni . Kun suunnittelet palomuuristrategiaa yrityksellesi, varmista, että otat huomioon kaikki käytettävissäsi olevat säännöt ja määritysvaihtoehdot. Tässä artikkelissa ei tarkastella kaikkia mahdollisia palomuurivaihtoehtoja. Suosittelemme, että luet seuraavat asiakirjat:

Windowsin palomuurin asennusopas
Windowsin palomuurin suunnitteluopas
Johdanto palvelimen ja toimialueen eristämiseen

Palomuurin oletusasetukset

Palomuurin kokoonpanon suunnittelun ensimmäinen vaihe on määrittää käyttöjärjestelmän palomuurin nykyinen tila. Jos käyttöjärjestelmä päivitettiin edellisestä versiosta, aiemmat palomuuriasetukset ovat saattaneet säilyä. Myös toinen järjestelmänvalvoja tai verkkotunnuksesi ryhmäkäytäntö on voinut muuttaa palomuuriasetuksia.

Huomaa

Palomuurin ottaminen käyttöön vaikuttaa muihin ohjelmiin, jotka käyttävät tätä. kuten tiedostojen ja tulostusten jakaminen sekä etätyöpöytäyhteydet. Järjestelmänvalvojien on otettava huomioon kaikki tietokoneessa käynnissä olevat sovellukset ennen palomuuriasetusten säätämistä.

Palomuuri määritetään ohjelmilla

Määritä Windowsin palomuurin asetukset joko Microsoft Management Consolella tai netsh.

  • Microsoft Management Console (MMC)

    Windowsin palomuurin, jossa on Advanced Security MMC -laajennus, voit määrittää tarkempia palomuuriasetuksia. Tämä laajennus esittelee suurimman osan palomuurivaihtoehdoista helppokäyttöisellä tavalla ja esittelee kaikki palomuuriprofiilit. Lisätietoja on jäljempänä tämän artikkelin ohjeaiheessa Windowsin palomuurin käyttäminen Advanced Security Snap-in -apuohjelman kanssa.

  • netsh

    Netsh.exe-työkalua voidaan käyttää järjestelmänvalvoja määrittää ja valvoo Windows-pohjaisia tietokoneita komentokehotteella tai käyttämällä eräajotiedostoa **.** Netsh-työkalun avulla voit ohjata antamasi kontekstikomennot sopivaan auttajaan ja auttaja suorittaa komennon. Auttaja on Dynamic Link Library (.dll) -tiedosto, joka laajentaa netsh-työkalun toiminnallisuutta tarjoamalla kokoonpanoa, valvontaa ja tukea yhdelle tai useammalle palvelulle, apuohjelmalle tai protokollalle. Kaikissa käyttöjärjestelmissä, jotka tukevat SQL Serveriä, on palomuuri-apuohjelma. Windows Server 2008: ssa on myös edistynyt palomuuri-avustaja nimeltä advfirewall. Verkon käyttöä koskevia yksityiskohtia ei käsitellä tässä artikkelissa. Monet kuvatuista määritysvaihtoehdoista voidaan kuitenkin määrittää netshillä. Suorita esimerkiksi seuraava komentosarja komentokehotteessa TCP-portin 1433 avaamiseksi:

    Vastaava esimerkki Windows Firewall for Advanced Security -apulaitteen avulla:

    Lisätietoja netshistä on seuraavissa linkeissä:

    • Netsh-komentosyntaksi, kontekstit ja muotoilu
    • Kuinka käyttää ”netsh advfirewall palomuuri” -kontekstia ”netsh palomuuri” -kontekstin sijaan hallita Windowsin palomuurin käyttäytymistä Windows Server 2008: ssa ja Windows Vistassa?

  • Linux: Linuxissa sinun on myös avattava portit, jotka liittyvät palveluihin, joihin tarvitset pääsyn. Eri Linux-jakeluilla ja palomuureilla on omat menettelytavat. Kaksi esimerkkiä on artikkelissa SQL Server Red Hatissa ja SQL Server SUSE: ssa.

SQL Serverin käyttämät portit

Seuraavat taulukot voivat auttaa sinua tunnista SQL Serverin käyttämät portit.

Tietokantamoottorin käyttämät portit

Oletusarvoisesti tyypilliset SQL Serverin ja siihen liittyvien tietokantamoottoripalvelujen käyttämät portit ovat: TCP 1433, 4022 , 135, 1434, UDP 1434. Seuraava taulukko selittää nämä portit yksityiskohtaisemmin. Nimetty ilmentymä käyttää dynaamisia portteja.

Seuraavassa taulukossa luetellaan tietokantamoottorin usein käyttämät portit.

Skenaario Portti
Oletusilmentymä, joka toimii TCP: n kautta TCP-portti 1433 Tämä on yleisin palomuurin sallima portti. Se koskee rutiiniliitäntöjä tietokantamoottorin oletusasennukseen tai nimettyä ilmentymää, joka on ainoa tietokoneessa käytettävä ilmentymä. (Nimetyillä instansseilla on erityishuomioita. Katso Dynaamiset portit myöhemmin tässä artikkelissa.)
Nimetyt esiintymät oletusportilla TCP-portti on määritetty dynaaminen portti hetkellä, kun tietokantakone käynnistyy. Katso alla oleva keskustelu osasta Dynaamiset portit. UDP-porttia 1434 saatetaan tarvita SQL Server Browser -palvelulle, kun käytät nimettyjä esiintymiä.
Nimetyt esiintymät kiinteällä portilla Portin numero, jonka on määrittänyt järjestelmänvalvoja. Katso alla oleva keskustelu osasta Dynaamiset portit.
Dedicated Admin Connection TCP-portti 1434 oletukseksi ilmentymä. Muita portteja käytetään nimettyihin ilmentymiin. Tarkista porttinumero virhelokista. Oletusarvoisesti etäyhteydet DAC: iin (Dedicated Administrator Connection) eivät ole käytössä. Ota DAC-etäkäyttötapa käyttöön pinta-alan määritysten avulla. Lisätietoja on kohdassa Pinta-alan määritykset.
SQL Server Browser service UDP-portti 1434 SQL Server Browser -palvelu kuuntelee saapuville yhteyksille nimettyyn ilmentymään ja antaa asiakkaalle TCP-porttinumeron, joka vastaa kyseistä nimettyä ilmentymää. Normaalisti SQL Server Browser -palvelu käynnistetään aina, kun käytetään tietokantamoottorin nimettyjä esiintymiä. SQL Server Browser -palvelua ei tarvitse käynnistää, jos asiakas on määritetty muodostamaan yhteys nimetyn ilmentymän tiettyyn porttiin.
HTTP-päätepisteen esiintymä. Voidaan määrittää, kun HTTP-päätepiste luodaan. Oletusarvo on TCP-portti 80 CLEAR_PORT-liikenteelle ja 443 SSL_PORT-liikenteelle. Käytetään HTTP-yhteyteen URL-osoitteen kautta.
Oletusilmentymä HTTPS-päätepisteellä TCP-portti 443 Käytetään HTTPS-yhteyteen URL-osoitteen kautta. HTTPS on HTTP-yhteys, joka käyttää TLS (Transport Layer Security) -tietoja, joka tunnettiin aiemmin nimellä Secure Sockets Layer (SSL).
Service Broker TCP-portti 4022 . Vahvista käytetty portti suorittamalla seuraava kysely:
SELECT name, protocol_desc, port, state_desc
FROM sys.tcp_endpoints
WHERE type_desc = "SERVICE_BROKER" 		SQL ServerService Broker ei ole oletusporttia, mutta tämä on tavallinen kokoonpano, jota käytetään Books Online -esimerkkeissä.
Tietokannan peilaus Järjestelmänvalvojan valitsema portti.Määritä portti suorittamalla seuraava kysely:
SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints
WHERE type_desc = "DATABASE_MIRRORING" 		Ei ole Oletusportti tietokannan peilaamiseen, mutta Books Online -esimerkit käyttävät TCP-porttia 5022 tai 7022. On tärkeää välttää käytön peilauspäätteen keskeyttämistä, etenkin korkean turvallisuuden tilassa, jossa automaattinen vikasietoisuus. Palomuurimäärityksissäsi on vältettävä koorumin rikkomista. Lisätietoja on kohdassa Palvelimen verkko-osoitteen määrittäminen (tietokannan peilaus).
Replikointi Replikointiyhteydet SQL Serveriin käyttävät tyypillisiä tavallisia Database Engine -portteja ( TCP-portti 1433 oletusinstanssille jne.)
Verkkosynkronointi ja FTP / UNC-pääsy replikointikatsaukseen edellyttävät lisäporttien avaamista palomuurissa. Jos haluat siirtää alkutiedot ja skeeman paikasta toiseen, replikointi voi käyttää FTP: tä (TCP-portti 21) tai synkronoida HTTP: n (TCP-portti 80) tai tiedostojen jakamisen avulla. Tiedostojen jakaminen käyttää UDP-portteja 137 ja 138 ja TCP-porttia 139, jos se käyttää NetBIOSia. Tiedostojen jakaminen käyttää TCP-porttia 445. 		HTTP-synkronoinnissa replikointi käyttää IIS-päätepistettä (portit, jotka ovat konfiguroitavissa, mutta oletusarvoisesti portti 80), mutta IIS-prosessi muodostaa yhteyden taustajärjestelmän SQL Serveriin vakioportit (oletusinstanssille 1433.
FTP: tä käyttävän Web-synkronoinnin aikana FTP-siirto tapahtuu IIS: n ja SQL Server -julkaisijan välillä, ei tilaajan ja IIS: n välillä.
Transact-SQL-virheenkorjaus TCP-portti 135
Katso Portin 135 erityishuomioita
IPsec-poikkeus voi myös olla tarpeen. 		Jos käytät Visual Studiota, Visual Studiossa isäntätietokone, sinun on myös lisättävä Devenv.exe Poikkeukset-luetteloon ja avattava TCP-portti 135.
Jos käytät Management Studiota, Management Studio -isäntätietokoneessa, sinun on lisättävä myös ssms.exe Poikkeukset-luetteloon ja avattava TCP-portti 135. Lisätietoja on ohjeaiheessa Palomuurisääntöjen määrittäminen ennen TSQL-virheenkorjaimen suorittamista.

Katso vaiheittaiset ohjeet Windowsin palomuurin määrittämisestä tietokantamoduulille kohdasta Windowsin palomuurin määrittäminen tietokannan moottorikäyttöä varten.

Dynaamiset portit

Oletuksena nimetyt esiintymät ( mukaan lukien SQL Server Express) käyttävät dynaamisia portteja. Tämä tarkoittaa, että aina kun tietokantamoottori käynnistyy, se tunnistaa käytettävissä olevan portin ja käyttää sitä. Jos nimetty ilmentymä on ainoa asennettu tietokantamoottori, se todennäköisesti käyttää TCP-porttia 1433. Jos muita tietokantamoottorin esiintymiä on asennettu, se todennäköisesti käyttää toista TCP-porttia. Koska valittu portti saattaa muuttua joka kerta, kun Database Engine käynnistetään, palomuuria on vaikea määrittää sallimaan pääsyn oikeaan porttinumeroon. Siksi, jos käytetään palomuuria, suosittelemme, että Database Engine määritetään uudelleen käyttämään samaa porttinumeroa joka kerta. Tätä kutsutaan kiinteäksi portiksi tai staattiseksi portiksi. Lisätietoja on ohjeaiheessa Palvelimen määrittäminen kuuntelemaan tiettyä TCP-porttia (SQL Server Configuration Manager).

Vaihtoehto nimetyn ilmentymän määrittämiselle kuuntelemaan kiinteää porttia on luoda poikkeus palomuuriin. SQL Server -ohjelmalle, kuten sqlservr.exe (tietokantamoduulille). Tämä voi olla kätevää, mutta portin numero ei näy Saapuvat säännöt -sivun Paikallinen portti -sarakkeessa, kun käytät Windowsin palomuuria, jossa on Advanced Security MMC -laajennus. Tämä voi vaikeuttaa avoimien porttien tarkastamista. Toinen huomio on, että Service Pack tai kumulatiivinen päivitys voi muuttaa polun SQL Server-suoritettavaan tiedostoon, mikä mitätöi palomuurisäännön.

Ohjelmapoikkeuksen lisääminen palomuuriin käyttämällä Windows Defender Firewall with Advanced Security -ohjelmaa

  1. Kirjoita Käynnistä-valikkoon wf.msc. Paina Enter-näppäintä tai valitse hakutulos wf.msc avataksesi Windows Defender Firewall with Advanced Security.

  2. Valitse vasemmasta ruudusta Saapuvat säännöt.

  3. Valitse oikean ruudun Toiminnot-kohdasta Uusi sääntö … Uusi ohjattu saapuvan säännön ohjattu toiminto avautuu.

  4. Valitse Sääntötyypissä Ohjelma. Valitse Seuraava.

  5. Valitse Ohjelmassa tämä ohjelmapolku. Valitse Selaa löytääksesi SQL Server -esiintymän. Ohjelma on nimeltään sqlservr.exe. Se sijaitsee tavallisesti osoitteessa:

    C:\Program Files\Microsoft SQL Server\MSSQL15.<InstanceName>\MSSQL\Binn\sqlservr.exe

    Valitse Seuraava.

  6. Käytössä Toimi, valitse Salli yhteys. Valitse Seuraava.

  7. Lisää Profiiliin kaikki kolme profiilia. Valitse Seuraava.

  8. Kirjoita Nimi-kohtaan sääntöön nimi. Valitse Valmis.

Lisätietoja päätepisteistä on ohjeaiheessa Tietokannan moottorin määrittäminen kuuntelemaan useita TCP-portteja ja päätepisteiden luettelonäkymiä (Transact-SQL).

Analyysipalvelujen käyttämät portit

Oletusarvoisesti tyypilliset SQL Server Analysis Services -palvelujen ja niihin liittyvien palveluiden käyttämät portit ovat: TCP 2382, 2383, 80, 443. Seuraavassa taulukossa selitetään nämä portit yksityiskohtaisemmin.

Seuraavassa taulukossa on lueteltu portit, joita Analysis Services käyttää usein.

Ominaisuus Portti
Analysointipalvelut TCP-portti 2383 oletusilmentymälle Analyysipalvelujen oletustapauksen vakioportti.
SQL Server Browser -palvelu TCP-portti 2382 tarvitaan vain Analysis Services -nimiselle ilmentymälle Asiakasyhteyspyynnöt nimetyille analyysipalvelujen ilmentymille, jotka eivät määritä porttinumero ohjataan porttiin 2382, porttiin, jota SQL Server Browser kuuntelee. SQL Server Browser ohjaa pyynnön sitten porttiin, jota nimetty ilmentymä käyttää.
Analysointipalvelut, jotka on määritetty käytettäväksi IIS: n / HTTP: n kautta (PivotTable®-palvelu käyttää HTTP: tä tai HTTPS) TCP-portti 80 Käytetään HTTP-yhteyteen URL-osoitteen kautta.
Analysointipalvelut määritetty käytettäväksi IIS: n kautta / HTTPS
(PivotTable®-palvelu käyttää HTTP: tä tai HTTPS: ää) 		TCP-portti 443 Käytetään HTTPS-yhteyteen URL-osoitteen kautta. HTTPS on HTTP-yhteys, joka käyttää TLS: ää.

Jos käyttäjät käyttävät analyysipalveluja kautta IIS ja Internet, sinun on avattava portti, jota IIS kuuntelee, ja määritettävä portti asiakkaan yhteysmerkkijonossa. Tässä tapauksessa yhtään porttia ei tarvitse olla avoinna suoraa pääsyä analyysipalveluihin varten. Oletusportit 2389 ja portit 2382 on rajoitettava yhdessä kaikkien muiden porttien kanssa, joita ei vaadita.

Katso vaiheittaiset ohjeet Windowsin palomuurin määrittämiseksi analyysipalveluille kohdasta Windowsin palomuurin määrittäminen sallimaan Analyysipalvelujen käyttö.

Raportointipalvelujen käyttämät portit

Oletusarvoisesti tyypilliset SQL Server Reporting SErvice -palvelujen ja niihin liittyvien palveluiden käyttämät portit ovat: TCP 80, 443. Seuraavassa taulukossa selitetään nämä portteja tarkemmin.

Seuraavassa taulukossa luetellaan portit, joita Reporting Services käyttää usein.

Ominaisuus Portti
Raportointipalvelujen verkkopalvelut TCP-portti 80 Käytetään HTTP-yhteyteen Raportointipalveluihin URL-osoitteen kautta. Suosittelemme, ettet käytä ennalta määritettyä sääntöä World Wide Web Services (HTTP). Lisätietoja on alla olevassa vuorovaikutuksessa muiden palomuurisääntöjen kanssa.
Raportointipalvelut, jotka on määritetty käytettäväksi HTTPS: n kautta TCP-portti 443 Käytetään HTTPS-yhteyteen URL-osoitteen kautta. HTTPS on HTTP-yhteys, joka käyttää TLS: ää. Suosittelemme, ettet käytä ennalta määritettyä sääntöä Secure World Wide Web Services (HTTPS). Lisätietoja on alla olevassa vuorovaikutuksessa muiden palomuurisääntöjen kanssa.

Kun Reporting Services muodostaa yhteyden tietokantamoottorin tai analyysipalvelun ilmentymään, sinun on myös avattava kyseisille palveluille sopivat portit. Jos haluat askel askeleelta ohjeet Windowsin palomuurin määrittämiseen raportointipalveluille, määritä palomuuri raporttipalvelimen käyttöä varten.

Integration Servicesin käyttämät portit

Seuraavassa taulukossa luetellaan portit, jotka käytetään Integration Services -palvelussa.

Ominaisuus Portti
Microsoftin etäproseduurikutsu (MS RPC)
Integrointipalvelujen ajonaikainen käyttö. 		TCP-portti 135
Katso Portin 135 erityishuomiot 		Integraatiopalvelut-palvelu käyttää DCOM-porttia 135. Palvelunhallinnan hallinta käyttää porttia 135 suorittamaan tehtäviä, kuten Integraatiopalvelun palvelun käynnistäminen ja pysäyttäminen sekä ohjauspyyntöjen lähettäminen käynnissä olevalle palvelulle. Porttinumeroa ei voi muuttaa.
Tämän portin on oltava auki vain, jos muodostat yhteyden Integration Services -palvelun etäkäyttöön Management Studiosta tai mukautetusta sovelluksesta.

Vaiheittaiset ohjeet Windowsin palomuurin määrittämiseen integraatiopalveluille, katso Integration Services Service (SSIS-palvelu).

Lisäportit ja -palvelut

Seuraava taulukko sisältää portit ja palvelut, joista SQL Server saattaa olla riippuvainen.

Skenaario Portti
Windows Management Instrumentation
Lisätietoja WMI: stä on kohdassa WMI Provider for Configuration Management Concepts 		WMI toimii osana jaetun palvelun isäntä, jonka portit on määritetty DCOM: n kautta.WMI saattaa käyttää TCP-porttia 135.
Katso Port 135: n erityishuomioita 		SQL Server Configuration Manager käyttää WMI: tä palvelujen luettelointiin ja hallintaan. Suosittelemme, että käytät ennalta määritettyä sääntöryhmää Windows Management Instrumentation (WMI). Lisätietoja on alla olevassa vuorovaikutuksessa muiden palomuurisääntöjen kanssa.
Microsoft Distributed Transaction Coordinator (MS DTC) TCP-portti 135
Katso Erityishuomioita portille 135 		Jos sovelluksesi käyttää hajautettuja tapahtumia, sinun on ehkä määritettävä palomuuri sallimaan Microsoft Distributed Transaction Coordinator (MS DTC) -liikenteen kulkevan erillisten MS DTC -esiintymien ja MS DTC: n välillä ja resurssienhallinta, kuten SQL Server. Suosittelemme, että käytät ennalta määritettyä hajautetun tapahtumakoordinaattorin sääntöryhmää.
Kun yksi jaettu MS-vikakoodi on määritetty koko klusterille erillisessä resurssiryhmässä, sinun on lisättävä sqlservr.exe poikkeuksena palomuuriin.
Management Studion selauspainike käyttää UDP: tä yhteyden muodostamiseen SQL Server -selainpalveluun. Lisätietoja on ohjeaiheessa SQL Server Browser Service (Database Engine and SSAS). UDP-portti 1434 UDP on yhteyseton protokolla.
Palomuurilla on asetus (UnicastResponsesToMulticastBroadcastDisabled Property INetFwProfile Interface), joka ohjaa palomuurin käyttäytymistä yleislähetys (tai monilähetys) UDP-pyynnön yksilähetysvastausten suhteen. Sillä on kaksi käyttäytymistapaa:
Jos asetus on TOSI, lähetykseen ei lähetetä lainkaan lähetyslähetyksiä. Palvelujen laskeminen epäonnistuu.
Jos asetus on EPÄTOSI (oletus), lähetysvastaukset ovat sallittuja 3 sekunnin ajan. Ajan pituutta ei voida määrittää. Ruuhkaisessa tai viivästyneessä verkossa tai erittäin kuormitetuissa palvelimissa yrittää luetella SQL Server -esiintymiä saattaa palauttaa osittaisen luettelon, mikä saattaa johtaa käyttäjiä harhaan.
IPsec-liikenne UDP-portti 500 ja UDP-portti 4500 Jos verkkotunnuskäytäntö edellyttää verkkoviestinnän suorittamista IPsecin kautta, sinun on myös lisättävä UDP-portti 4500 ja UDP-portti 500 poikkeusluetteloon. IPsec on vaihtoehto, joka käyttää Windowsin palomuurin laajennuksen ohjattua uuden saapuvan säännön ohjattua toimintoa. Lisätietoja on alla olevassa ohjeaiheessa Windowsin palomuurin käyttäminen Advanced Security Snap-in -ohjelmalla.
Windowsin todennuksen käyttäminen luotettujen verkkotunnusten kanssa Palomuurit on määritettävä sallimaan todennuspyynnöt. Lisätietoja on ohjeaiheessa Palomuurin määrittäminen toimialueille ja luotettavuuksille.
SQL Server ja Windows Clustering Ryhmittely vaatii lisäportteja, jotka eivät liity suoraan SQL Serveriin. Lisätietoja on ohjeaiheessa Verkon ottaminen käyttöön klusterin käyttöä varten.
Varatut URL-nimitilat HTTP-palvelimen sovellusliittymässä (HTTP.SYS) Todennäköisesti TCP-portti 80, mutta se voidaan määrittää muille porteille. Yleisiä tietoja on ohjeaiheessa HTTP: n ja HTTPS: n määrittäminen. Katso SQL Server -kohtaiset tiedot HTTP.SYS-päätepisteen varaamisesta HttpCfg.exe-ohjeaiheesta kohdasta Tietoja URL-varauksista ja rekisteröinnistä (SSRS Configuration Manager).

Erityishuomiot portille 135

Kun käytät RPC: tä TCP / IP tai kun UDP / IP on siirto, saapuvat portit osoitetaan usein dynaamisesti järjestelmäpalveluille tarpeen mukaan; Käytetään TCP / IP- ja UDP / IP-portteja, jotka ovat suurempia kuin portti 1024. Näitä kutsutaan usein epävirallisesti ”satunnaisiksi RPC-porteiksi”. Näissä tapauksissa RPC-asiakkaat luottavat RPC-päätepistekartoittajaan kertomaan heille, mitkä dynaamiset portit on määritetty palvelimelle. Joillekin RPC-pohjaisille palveluille voit määrittää tietyn portin sen sijaan, että annat RPC: n määrätä yhden dynaamisesti. Voit myös rajoittaa niiden porttien aluetta, jotka RPC määrittää dynaamisesti pienelle alueelle palvelusta riippumatta. Koska porttia 135 käytetään monissa palveluissa, haitalliset käyttäjät hyökkäävät usein siihen. Kun avaat portin 135, harkitse palomuurisäännön soveltamisalan rajoittamista.

Lisätietoja portista 135 on seuraavissa viitteissä:

  • Palvelun yleiskatsaus ja verkkoportin vaatimukset Windows Server -järjestelmä
  • RPC Endpoint Mapper -virheiden vianmääritys tuotteen CD-levyllä olevien Windows Server 2003 -tukityökalujen avulla
  • Etämenettelypuhelu (RPC)
  • Määritä Dynaaminen RPC-porttien allokointi palomuurien kanssa työskentelemiseksi

Vuorovaikutus muiden palomuurisääntöjen kanssa

Windowsin palomuuri käyttää sääntöjä ja sääntöryhmiä määritysten muodostamiseen. Jokainen sääntö tai sääntöryhmä liittyy yleensä tiettyyn ohjelmaan tai palveluun, ja kyseinen ohjelma tai palvelu saattaa muokata tai poistaa sääntöä ilman sinun tietosi. Esimerkiksi sääntöryhmät World Wide Web Services (HTTP) ja World Wide Web Services (HTTPS) liitetään IIS: ään.Näiden sääntöjen käyttöönotto avaa portit 80 ja 443, ja SQL Server -ominaisuudet, jotka riippuvat porteista 80 ja 443, toimivat, jos nuo säännöt ovat käytössä. IIS-asetuksia määrittävät järjestelmänvalvojat voivat kuitenkin muokata tai poistaa näitä sääntöjä. Siksi, jos käytät porttia 80 tai porttia 443 SQL Serverille, sinun on luotava oma sääntö tai sääntöryhmä, joka ylläpitää haluttua porttimääritystä muista IIS-säännöistä riippumatta.

Windowsin palomuuri, jossa on edistynyt suojaus MMC-laajennus sallii kaiken liikenteen, joka vastaa mitä tahansa sovellettavaa sallimissääntöä. Joten jos on kaksi sääntöä, jotka molemmat koskevat porttia 80 (eri parametreilla), kumpaakin sääntöä vastaava liikenne on sallittua. Joten jos yksi sääntö sallii liikenteen portin 80 kautta paikallisesta aliverkosta ja yksi sääntö sallii liikenteen mistä tahansa osoitteesta, nettovaikutuksena on, että kaikki liikenne porttiin 80 on sallittua lähteestä riippumatta. Jotta SQL Server -palvelua voidaan hallita tehokkaasti, järjestelmänvalvojien on tarkistettava säännöllisesti kaikki palvelimella sallitut palomuurisäännöt.

Palomuuriprofiilien yleiskatsaus

Käyttöjärjestelmät käyttävät palomuuriprofiileja tunnistamaan ja muistamaan kukin verkkoista, joihin he yhdistävät, yhteyden, yhteyden ja luokan suhteen.

Windowsin palomuurissa on kolme verkon sijaintityyppiä, joissa on lisäsuojaus:

  • Toimialue: Windows voi todentaa pääsyn sen toimialueen ohjaimeen, johon tietokone on liitetty.
  • Julkinen: Kaikki verkot luokitellaan alun perin julkisiksi lukuun ottamatta verkkotunnusverkkoja. Verkot, jotka edustavat suoraa yhteyttä Internetiin tai ovat julkisissa paikoissa, kuten lentokentät ja kahvilat, tulisi jättää julkisiksi.
  • Yksityinen: Verkko, jonka käyttäjä tai sovellus on tunnistanut yksityiseksi. Vain luotetut verkot tulisi tunnistaa yksityisiksi verkoiksi. Käyttäjät haluavat todennäköisesti tunnistaa koti- tai pienyritysverkot yksityisiksi.

Järjestelmänvalvoja voi luoda profiilin kullekin verkon sijaintityypille, ja jokaisessa profiilissa on erilaiset palomuurikäytännöt. Vain yhtä profiilia käytetään milloin tahansa. Profiilijärjestystä sovelletaan seuraavasti:

  1. Jos kaikki käyttöliittymät todennetaan sen toimialueen ohjaimelle, jonka toimialueelle tietokone kuuluu, toimialueprofiilia käytetään.
  2. Jos kaikki liitännät on joko todennettu toimialueen ohjaimelle tai kytketty verkkoihin, jotka on luokiteltu yksityisiksi verkkoasemiksi, käytetään yksityistä profiilia.
  3. Muussa tapauksessa käytetään julkista profiilia. ol>

    Voit tarkastella ja määrittää kaikki palomuuriprofiilit Windowsin palomuurin ja Advanced Security MMC -laajennuksen avulla. Ohjauspaneelin Windowsin palomuuri -kohde määrittää vain nykyisen profiilin.

    Palomuurin lisäasetukset Ohjauspaneelin Windowsin palomuurikohdan käyttäminen

    Palomuuriin lisäämäsi poikkeukset voivat rajoittaa palomuurin avaamista. portti saapuviin yhteyksiin tietyiltä tietokoneilta tai paikallisesta aliverkosta. Tämä portin avaamisen laajuuden rajoitus voi vähentää sitä, kuinka paljon tietokoneesi altistuu haitallisille käyttäjille, ja sitä suositellaan.

    Huomaa

    Windowsin palomuurin käyttäminen Controlissa Paneeli määrittää vain nykyisen palomuuriprofiilin.

    Palomuuri-poikkeuksen laajuuden muuttaminen ohjauspaneelin Windowsin palomuuri -kohdan avulla

    1. Windows-palomuurin kohde Ohjauspaneelissa, valitse ohjelma tai portti Poikkeukset-välilehdessä ja napsauta sitten Ominaisuudet tai Muokkaa.

    2. Muokkaa ohjelmaa tai Muokkaa porttia -valintaikkunassa napsauta Muuta laajuutta.

    3. Valitse jokin seuraavista vaihtoehdoista:

      • Mikä tahansa tietokone (mukaan lukien Internetissä olevat): Ei suositella . Tämä sallii minkä tahansa tietokoneen, joka voi osoittaa tietokoneellesi, muodostaa yhteyden määritettyyn ohjelmaan tai porttiin. Tämä asetus voi olla tarpeen, jotta tietoja voidaan antaa nimettömille käyttäjille Internetissä, mutta se lisää altistumistasi haitallisille käyttäjille. Valotusta voidaan lisätä, jos otat tämän asetuksen käyttöön ja sallit myös verkko-osoitekäännöksen (NAT) liikkumisen, kuten Salli reunan kulku -vaihtoehto.

      • Vain Oma verkko (aliverkko) : Tämä on turvallisempi asetus kuin mikään tietokone. Vain verkon paikallisen aliverkon tietokoneet voivat muodostaa yhteyden ohjelmaan tai porttiin.

      • Mukautettu luettelo: Vain tietokoneet, joilla on luetellut IP-osoitteet, voivat muodostaa yhteyden. Tämä voi olla turvallisempi asetus kuin vain Oma verkko (aliverkko), mutta DHCP: tä käyttävät asiakastietokoneet voivat toisinaan muuttaa IP-osoitettaan. Tällöin aiottu tietokone ei pysty muodostamaan yhteyttä. Toinen tietokone, jota et ollut tarkoittanut valtuuttaa, saattaa hyväksyä luettelossa olevan IP-osoitteen ja pystyä sitten muodostamaan yhteyden. Mukautettu luettelo -vaihtoehto saattaa olla sopiva muiden palvelinten luettelointiin, jotka on määritetty käyttämään kiinteää IP-osoitetta. tunkeilija saattaa kuitenkin väärentää IP-osoitteita. Palomuurisääntöjen rajoittaminen on vain yhtä vahvaa kuin verkkoinfrastruktuurisi.

    Windowsin palomuurin käyttäminen Advanced Security Snap-in -sovelluksella

    Palomuurin lisäasetuksia voidaan määrittää käyttämällä Windowsin palomuuri, jossa on Advanced Security MMC -laajennus. Lisäosa sisältää ohjatun säännön ohjatun toiminnon ja paljastaa lisäasetukset, jotka eivät ole käytettävissä Ohjauspaneelin Windowsin palomuuri -kohdassa. Näitä asetuksia ovat seuraavat:

    • Salausasetukset
    • Palvelurajoitukset
    • Tietokoneiden yhteyksien rajoittaminen nimen mukaan
    • Yhteyksien rajoittaminen tietyt käyttäjät tai profiilit
    • Reunojen kulku, jolloin liikenne voi ohittaa verkko-osoitekäännöksen (NAT) reitittimet
    • Lähtevien sääntöjen määrittäminen
    • Suojaussääntöjen määrittäminen
    • IPsec vaaditaan saapuville yhteyksille

    Uuden palomuurisäännön luominen ohjatun uuden säännön avulla

    1. Valitse Käynnistä-valikosta Suorita, kirjoita WF.msc ja valitse sitten OK.
    2. Napsauta hiiren kakkospainikkeella vasemmanpuoleisessa ruudussa Windowsin palomuurin lisäasetuksia ja napsauta sitten Uusi sääntö.
    3. Suorita uusi saapuva sääntö Ohjattu toiminto haluamillasi asetuksilla.

    Palomuuriasetusten vianmääritys

    Seuraavat työkalut ja tekniikat voivat olla hyödyllisiä palomuuriongelmien vianmäärityksessä:

    • Portin todellinen tila on kaikkien sääntöjen liitto satamaan. Kun yrität estää pääsyä portin kautta, voi olla hyödyllistä tarkistaa kaikki säännöt, joissa mainitaan portin numero. Voit tehdä tämän käyttämällä Windowsin palomuuria, jossa on Advanced Security MMC -laajennus ja lajittele saapuvat ja lähtevät säännöt porttinumeron mukaan.

    • Tarkista tietokoneen aktiiviset portit mikä SQL Server on käynnissä. Tämä tarkistusprosessi sisältää sen, että tarkistetaan, mitkä TCP / IP-portit kuuntelevat, ja myös porttien tilan.

      Voit tarkistaa kuuntelemasi portit käyttämällä komentoriviä netstat. Aktiivisten TCP-yhteyksien lisäksi netstat-apuohjelma näyttää myös erilaisia IP-tilastoja ja tietoja.

      Luettelemaan, mitkä TCP / IP-portit kuuntelevat

      1. Avaa komentokehote-ikkuna.

      2. Kirjoita komentokehotteeseen netstat -n -a.

        -n -kytkin kehottaa netstatia näyttämään osoitteen numeerisesti. ja aktiivisten TCP-yhteyksien porttinumero. -Kytkin kehottaa netstatia näyttämään TCP- ja UDP-portit, joita tietokone kuuntelee.

    • PortQry-apuohjelmaa voidaan käyttää raportointiin TCP / IP-porttien tila kuunneltavana, ei kuunteluna tai suodatettuna. (Suodatetun tilan ollessa kyseessä portti ei välttämättä kuuntele; tämä tila osoittaa, että apuohjelma ei saanut vastausta portilta.) PortQry-apuohjelma on ladattavissa Microsoftin latauskeskuksesta.

    Katso myös

    Palvelun yleiskatsaus ja verkkoporttivaatimukset Windows Server -järjestelmälle
    Kuinka: Palomuuri-asetusten määrittäminen (Azure SQL-tietokanta)

admin
0

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

Arkistot

Viimeisimmät artikkelit