janvier 18, 2021

Configurer le pare-feu Windows pour autoriser laccès à SQL Server

  • 22/07/2020
  • 22 minutes de lecture
    • c
    • D
    • k
    • l
    • v
    • +13

Sapplique à: SQL Server (tous versions prises en charge) – Windows uniquement Instance gérée Azure SQL

Les systèmes de pare-feu aident à empêcher tout accès non autorisé aux ressources informatiques. Si un pare-feu est activé mais nest pas correctement configuré, les tentatives de connexion à SQL Server peuvent être bloquées.

Pour accéder à une instance de SQL Server via un pare-feu, vous devez configurer le pare-feu sur lordinateur qui est exécutant SQL Server. Le pare-feu est un composant de Microsoft Windows. Vous pouvez également installer un pare-feu dune autre société. Cet article explique comment configurer le pare-feu Windows, mais les principes de base sappliquent à dautres programmes de pare-feu.

Remarque

Cet article fournit un aperçu de la configuration du pare-feu et résume les informations sur intérêt pour un administrateur SQL Server. Pour plus dinformations sur le pare-feu et pour obtenir des informations faisant autorité sur le pare-feu, consultez la documentation du pare-feu, comme le guide de déploiement de la sécurité du pare-feu Windows.

Les utilisateurs connaissent la gestion du pare-feu Windows et savent quels paramètres que vous souhaitez configurer peuvent passer directement aux articles les plus avancés:

  • Configurer un pare-feu Windows pour laccès au moteur de base de données
  • Configurer le pare-feu Windows pour autoriser laccès à Analysis Services
  • Configurer un pare-feu pour laccès au serveur de rapports

Informations de base sur le pare-feu

Les pare-feu fonctionnent en inspectant les paquets entrants et en les comparant à un ensemble de règles. Si le paquet répond aux normes dictées par les règles, le pare-feu transmet le paquet au protocole TCP / IP pour un traitement supplémentaire. Si le paquet ne répond pas aux normes spécifiées par les règles, le pare-feu rejette alors le paquet et, si la journalisation est activée, crée une entrée dans le fichier de journalisation du pare-feu.

La liste du trafic autorisé est remplie de lune des manières suivantes:

  • Automatiquement: lorsquun ordinateur avec un pare-feu activé a lancé une communication, le pare-feu crée une entrée dans la liste pour que la réponse soit autorisée. Cette réponse est considérée comme du trafic sollicité et il ny a rien à configurer.

  • Manuellement: un administrateur configure des exceptions au pare-feu. Cela permet daccéder à des programmes ou à des ports spécifiés sur votre ordinateur. Dans ce cas, lordinateur accepte le trafic entrant non sollicité lorsquil agit en tant que serveur, auditeur ou homologue. Cest le type de configuration à compléter pour se connecter à SQL Server.

Le choix dune stratégie de pare-feu est plus complexe que de simplement décider si un port donné doit être ouvert ou fermé . Lors de la conception dune stratégie de pare-feu pour votre entreprise, assurez-vous de prendre en compte toutes les règles et options de configuration disponibles. Cet article ne passe pas en revue toutes les options de pare-feu possibles. Nous vous recommandons de consulter les documents suivants:

Guide de déploiement du pare-feu Windows
Guide de conception du pare-feu Windows
Introduction à lisolation des serveurs et des domaines

Paramètres du pare-feu par défaut

La première étape de la planification de la configuration de votre pare-feu consiste à déterminer létat actuel du pare-feu de votre système dexploitation. Si le système dexploitation a été mis à niveau à partir dune version précédente, les paramètres de pare-feu antérieurs peuvent avoir été conservés. De plus, les paramètres du pare-feu peuvent avoir été modifiés par un autre administrateur ou par une stratégie de groupe de votre domaine.

Remarque

Lactivation du pare-feu affectera les autres programmes qui y accèdent ordinateur, comme le partage de fichiers et dimprimantes, et les connexions de bureau à distance. Les administrateurs doivent prendre en compte toutes les applications en cours dexécution sur lordinateur avant dajuster les paramètres du pare-feu.

Programmes pour configurer le pare-feu

Configurer les paramètres du pare-feu Windows avec lune ou lautre de Microsoft Management Console ou netsh.

  • Microsoft Management Console (MMC)

    Le composant logiciel enfichable Pare-feu Windows avec sécurité avancée MMC vous permet de configurer des paramètres de pare-feu plus avancés. Ce composant logiciel enfichable présente la plupart des options de pare-feu de manière simple à utiliser et présente tous les profils de pare-feu. Pour plus dinformations, consultez Utilisation du pare-feu Windows avec le composant logiciel enfichable de sécurité avancé plus loin dans cet article.

  • netsh

    Loutil netsh.exe peut être utilisé par un administrateur pour configurer et surveiller les ordinateurs Windows à une invite de commande ou à laide dun fichier de commandes **.** En utilisant loutil netsh, vous pouvez diriger les commandes contextuelles que vous entrez vers lassistant approprié, et lassistant exécute ensuite la commande. Un assistant est un fichier Dynamic Link Library (.dll) qui étend les fonctionnalités de loutil netsh en fournissant la configuration, la surveillance et la prise en charge dun ou plusieurs services, utilitaires ou protocoles. Tous les systèmes dexploitation prenant en charge SQL Server disposent dun assistant de pare-feu. Windows Server 2008 dispose également dun assistant de pare-feu avancé appelé advfirewall. Les détails de lutilisation de netsh ne sont pas traités dans cet article. Cependant, la plupart des options de configuration décrites peuvent être configurées à laide de netsh. Par exemple, exécutez le script suivant à une invite de commande pour ouvrir le port TCP 1433:

    Un exemple similaire utilisant le pare-feu Windows pour lassistant de sécurité avancée:

    Pour plus dinformations sur netsh, consultez les liens suivants:

    • Syntaxe, contextes et formatage des commandes Netsh
    • Comment utiliser le contexte « netsh advfirewall firewall » au lieu du contexte « netsh firewall » pour contrôler le comportement du pare-feu Windows dans Windows Server 2008 et Windows Vista

  • Pour Linux: Sous Linux, vous devez également ouvrir les ports associés aux services auxquels vous devez accéder. Différentes distributions de Linux et différents pare-feu ont leurs propres procédures. Pour deux exemples, consultez SQL Server sur Red Hat et SQL Server sur SUSE.

Ports utilisés par SQL Server

Les tableaux suivants peuvent vous aider identifier les ports utilisés par SQL Server.

Ports utilisés par le moteur de base de données

Par défaut, les ports typiques utilisés par SQL Server et les services de moteur de base de données associés sont: TCP 1433, 4022 , 135, 1434, UDP 1434. Le tableau ci-dessous explique ces ports plus en détail. Une instance nommée utilise des ports dynamiques.

Le tableau suivant répertorie les ports fréquemment utilisés par le moteur de base de données.

Scénario Port
Instance par défaut exécutée sur TCP port TCP 1433 Il sagit du port le plus couramment autorisé à travers le pare-feu. Il sapplique aux connexions de routine à linstallation par défaut du moteur de base de données ou à une instance nommée qui est la seule instance exécutée sur lordinateur. (Les instances nommées ont des considérations spéciales. Voir Ports dynamiques plus loin dans cet article.)
Instances nommées avec port par défaut Le port TCP est un port dynamique déterminé au démarrage du moteur de base de données. Voir la discussion ci-dessous dans la section Ports dynamiques. Le port UDP 1434 peut être requis pour le service SQL Server Browser lorsque vous utilisez des instances nommées.
Instances nommées avec port fixe Le numéro de port configuré par ladministrateur. Voir la discussion ci-dessous dans la section Ports dynamiques.
Connexion dadministration dédiée Port TCP 1434 par défaut exemple. Dautres ports sont utilisés pour les instances nommées. Vérifiez le journal des erreurs pour le numéro de port. Par défaut, les connexions à distance à la connexion administrateur dédié (DAC) ne sont pas activées. Pour activer le DAC distant, utilisez la facette Configuration de la surface. Pour plus dinformations, consultez Configuration de la surface.
Service SQL Server Browser Port UDP 1434 Le service SQL Server Browser écoute pour les connexions entrantes à une instance nommée et fournit au client le numéro de port TCP qui correspond à cette instance nommée. Normalement, le service SQL Server Browser est démarré chaque fois que des instances nommées du moteur de base de données sont utilisées. Le service SQL Server Browser na pas besoin dêtre démarré si le client est configuré pour se connecter au port spécifique de linstance nommée.
Instance avec point de terminaison HTTP. Peut être spécifié lors de la création dun point de terminaison HTTP. La valeur par défaut est le port TCP 80 pour le trafic CLEAR_PORT et 443 pour le trafic SSL_PORT. Utilisé pour une connexion HTTP via une URL.
Instance par défaut avec point de terminaison HTTPS Port TCP 443 Utilisé pour une connexion HTTPS via une URL. HTTPS est une connexion HTTP qui utilise Transport Layer Security (TLS), anciennement appelé Secure Sockets Layer (SSL).
Service Broker Port TCP 4022 . Pour vérifier le port utilisé, exécutez la requête suivante:
SELECT name, protocol_desc, port, state_desc
FROM sys.tcp_endpoints
WHERE type_desc = "SERVICE_BROKER" 		Il ny a pas de port par défaut pour SQL ServerService Broker, mais il sagit de la configuration conventionnelle utilisée dans les exemples de la documentation en ligne.
Database Mirroring Port choisi par ladministrateur.Pour déterminer le port, exécutez la requête suivante:
SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints
WHERE type_desc = "DATABASE_MIRRORING" 		Il ny a pas port par défaut pour la mise en miroir de bases de données cependant, les exemples de la documentation en ligne utilisent le port TCP 5022 ou 7022. Il est important déviter dinterrompre un point de terminaison de mise en miroir en cours dutilisation, en particulier en mode haute sécurité avec basculement automatique. Votre configuration de pare-feu doit éviter de rompre le quorum. Pour plus dinformations, consultez Spécifier une adresse réseau de serveur (mise en miroir de base de données).
Réplication Les connexions de réplication à SQL Server utilisent les ports classiques du moteur de base de données ( Port TCP 1433 pour linstance par défaut, etc.)
La synchronisation Web et laccès FTP / UNC pour linstantané de réplication nécessitent louverture de ports supplémentaires sur le pare-feu. Pour transférer les données et le schéma initiaux dun emplacement à un autre, la réplication peut utiliser FTP (port TCP 21), ou synchroniser via HTTP (port TCP 80) ou le partage de fichiers. Le partage de fichiers utilise les ports UDP 137 et 138 et le port TCP 139 sil utilise NetBIOS. Le partage de fichiers utilise le port TCP 445. 		Pour la synchronisation via HTTP, la réplication utilise le point de terminaison IIS (les ports pour lesquels sont configurables mais le port 80 par défaut), mais le processus IIS se connecte au serveur SQL principal via le ports standard (1433 pour linstance par défaut.
Lors de la synchronisation Web via FTP, le transfert FTP seffectue entre IIS et léditeur SQL Server, et non entre labonné et IIS.
Débogueur Transact-SQL Port TCP 135
Voir Considérations spéciales pour le port 135
Lexception IPsec peut également être requise. 		Si vous utilisez Visual Studio, sur Visual Studio ordinateur hôte, vous devez également ajouter Devenv.exe à la liste des exceptions et ouvrir le port TCP 135.
Si vous utilisez Management Studio, sur lordinateur hôte de Management Studio, vous devez également ajouter ssms.exe à la liste des exceptions et ouvrir le port TCP 135. Pour plus dinformations, consultez Configurer les règles de pare-feu avant dexécuter le débogueur TSQL.

Pour obtenir des instructions pas à pas pour configurer le pare-feu Windows pour le moteur de base de données, consultez Configurer un pare-feu Windows pour laccès au moteur de base de données.

Ports dynamiques

Par défaut, les instances nommées ( y compris SQL Server Express) utilisent des ports dynamiques. Cela signifie que chaque fois que le moteur de base de données démarre, il identifie un port disponible et utilise ce numéro de port. Si linstance nommée est la seule instance du moteur de base de données installée, elle utilisera probablement le port TCP 1433. Si dautres instances du moteur de base de données sont installées, elle utilisera probablement un port TCP différent. Étant donné que le port sélectionné peut changer à chaque démarrage du moteur de base de données, il est difficile de configurer le pare-feu pour permettre laccès au numéro de port correct. Par conséquent, si un pare-feu est utilisé, nous vous recommandons de reconfigurer le moteur de base de données pour utiliser le même numéro de port à chaque fois. Cest ce quon appelle un port fixe ou un port statique. Pour plus dinformations, consultez Configurer un serveur pour écouter sur un port TCP spécifique (SQL Server Configuration Manager).

Une alternative à la configuration dune instance nommée pour écouter sur un port fixe consiste à créer une exception dans le pare-feu pour un programme SQL Server tel que sqlservr.exe (pour le moteur de base de données). Cela peut être pratique, mais le numéro de port napparaîtra pas dans la colonne Port local de la page Règles de trafic entrant lorsque vous utilisez le pare-feu Windows avec le composant logiciel enfichable MMC de sécurité avancée. Cela peut rendre plus difficile laudit des ports ouverts. Une autre considération est quun service pack ou une mise à jour cumulative peut modifier le chemin daccès à lexécutable SQL Server, ce qui invalidera la règle de pare-feu.

Pour ajouter une exception de programme au pare-feu à laide du pare-feu Windows Defender avec sécurité avancée

  1. Dans le menu Démarrer, saisissez wf.msc. Appuyez sur Entrée ou sélectionnez le résultat de la recherche wf.msc pour ouvrir le pare-feu Windows Defender avec sécurité avancée.

  2. Dans le volet gauche, sélectionnez Règles entrantes.

  3. Dans le volet droit, sous Actions, sélectionnez Nouvelle règle …. Lassistant Nouvelle règle entrante souvre.

  4. Dans le type de règle, sélectionnez Programme. Sélectionnez Suivant.

  5. Dans le programme, sélectionnez Ce chemin daccès au programme. Sélectionnez Parcourir pour localiser votre instance de SQL Server. Le programme sappelle sqlservr.exe. Il se trouve normalement à:

    C:\Program Files\Microsoft SQL Server\MSSQL15.<InstanceName>\MSSQL\Binn\sqlservr.exe

    Sélectionnez Suivant.

  6. Activé Action, sélectionnez Autoriser la connexion. Sélectionnez Suivant.

  7. Dans le profil, incluez les trois profils. Sélectionnez Suivant.

  8. Dans le champ Nom, saisissez un nom pour la règle. Sélectionnez Terminer.

Pour plus dinformations sur les points de terminaison, consultez Configurer le moteur de base de données pour écouter sur plusieurs ports TCP et vues de catalogue de points de terminaison (Transact-SQL).

Ports utilisés par Analysis Services

Par défaut, les ports typiques utilisés par SQL Server Analysis Services et les services associés sont: TCP 2382, 2383, 80, 443. Le tableau ci-dessous explique ces ports plus en détail.

Le tableau suivant répertorie les ports fréquemment utilisés par Analysis Services.

Fonctionnalité Port
Analysis Services Port TCP 2383 pour linstance par défaut Le port standard pour linstance par défaut dAnalysis Services.
Service SQL Server Browser Port TCP 2382 nécessaire uniquement pour une instance nommée Analysis Services Demandes de connexion client pour une instance nommée dAnalysis Services qui ne spécifient pas un numéro de port est dirigé vers le port 2382, le port sur lequel SQL Server Browser écoute. SQL Server Browser redirige ensuite la demande vers le port utilisé par linstance nommée.
Analysis Services configuré pour une utilisation via IIS / HTTP
(Le service PivotTable® utilise HTTP ou HTTPS) 		Port TCP 80 Utilisé pour une connexion HTTP via une URL.
Analysis Services configuré pour une utilisation via IIS / HTTPS
(Le service PivotTable® utilise HTTP ou HTTPS) 		Port TCP 443 Utilisé pour une connexion HTTPS via une URL. HTTPS est une connexion HTTP qui utilise TLS.

Si les utilisateurs accèdent à Analysis Services via IIS et Internet, vous devez ouvrir le port sur lequel IIS écoute et spécifier ce port dans la chaîne de connexion client. Dans ce cas, aucun port ne doit être ouvert pour un accès direct à Analysis Services. Le port par défaut 2389 et le port 2382 doivent être limités avec tous les autres ports non requis.

Pour obtenir des instructions étape par étape pour configurer le pare-feu Windows pour Analysis Services, voir Configurer le pare-feu Windows pour autoriser Accès à Analysis Services.

Ports utilisés par Reporting Services

Par défaut, les ports typiques utilisés par SQL Server Reporting SErvices et les services associés sont: TCP 80, 443. Le tableau ci-dessous explique ces ports plus en détail.

Le tableau suivant répertorie les ports fréquemment utilisés par Reporting Services.

Fonctionnalité Port
Services Web Reporting Services Port TCP 80 Utilisé pour une connexion HTTP à Reporting Services via une URL. Nous vous recommandons de ne pas utiliser la règle préconfigurée World Wide Web Services (HTTP). Pour plus dinformations, consultez la section Interaction avec dautres règles de pare-feu ci-dessous.
Reporting Services configurés pour une utilisation via HTTPS Port TCP 443 Utilisé pour une connexion HTTPS via une URL. HTTPS est une connexion HTTP qui utilise TLS. Nous vous recommandons de ne pas utiliser la règle préconfigurée Secure World Wide Web Services (HTTPS). Pour plus dinformations, consultez la section Interaction avec dautres règles de pare-feu ci-dessous.

Quand Reporting Services se connecte à une instance du moteur de base de données ou Analysis Services, vous devez également ouvrir les ports appropriés pour ces services. Pour obtenir des instructions détaillées sur la configuration du pare-feu Windows pour Reporting Services, configurez un pare-feu pour laccès au serveur de rapports.

Ports utilisés par Integration Services

Le tableau suivant répertorie les ports qui sont utilisés par le service Integration Services.

Fonctionnalité Port
Appels de procédure distante Microsoft (MS RPC)
Utilisé par le runtime Integration Services. 		Port TCP 135
Voir Considérations spéciales pour le port 135 		Le service Integration Services utilise DCOM sur le port 135. Le gestionnaire de contrôle des services utilise le port 135 pour effectuer des tâches telles que le démarrage et larrêt du service Integration Services et la transmission des demandes de contrôle au service en cours dexécution. Le numéro de port ne peut pas être modifié.
Ce port ne doit être ouvert que si vous vous connectez à une instance distante du service Integration Services depuis Management Studio ou une application personnalisée.

Pour obtenir des instructions détaillées sur la configuration du pare-feu Windows pour Integration Services, voir Integration Services Service (service SSIS).

Ports et services supplémentaires

Le tableau suivant répertorie les ports et services dont SQL Server peut dépendre.

Scénario Port
Windows Management Instrumentation
Pour plus dinformations sur WMI, voir Fournisseur WMI pour les concepts de gestion de la configuration 		WMI sexécute dans le cadre de un hôte de service partagé avec des ports attribués via DCOM.WMI utilise peut-être le port TCP 135.
Voir Considérations spéciales pour le port 135 		SQL Server Configuration Manager utilise WMI pour répertorier et gérer les services. Nous vous recommandons dutiliser le groupe de règles préconfiguré Windows Management Instrumentation (WMI). Pour plus dinformations, consultez la section Interaction avec dautres règles de pare-feu ci-dessous.
Microsoft Distributed Transaction Coordinator (MS DTC) Port TCP 135
Voir Considérations spéciales pour le port 135 		Si votre application utilise des transactions distribuées, vous devrez peut-être configurer le pare-feu pour permettre au trafic Microsoft Distributed Transaction Coordinator (MS DTC) de circuler entre des instances MS DTC distinctes et entre le MS DTC et des gestionnaires de ressources tels que SQL Server. Nous vous recommandons dutiliser le groupe de règles préconfiguré Distributed Transaction Coordinator.
Lorsquun seul MS DTC partagé est configuré pour lensemble du cluster dans un groupe de ressources distinct, vous devez ajouter sqlservr.exe comme exception au pare-feu.
Le bouton Parcourir dans Management Studio utilise UDP pour se connecter au service SQL Server Browser. Pour plus dinformations, consultez Service SQL Server Browser (moteur de base de données et SSAS). Port UDP 1434 UDP est un protocole sans connexion.
Le pare-feu a un paramètre (UnicastResponsesToMulticastBroadcastDisabled Property de linterface INetFwProfile) qui contrôle le comportement du pare-feu en ce qui concerne les réponses unicast à une demande UDP de diffusion (ou de multidiffusion). Il a deux comportements:
Si le paramètre est TRUE, aucune réponse unicast à une diffusion nest autorisée du tout. Lénumération des services échouera.
Si le paramètre est FALSE (par défaut), les réponses monodiffusion sont autorisées pendant 3 secondes. La durée nest pas configurable. Dans un réseau encombré ou à latence élevée, ou pour des serveurs fortement chargés, les tentatives dénumération des instances de SQL Server peuvent renvoyer une liste partielle, ce qui peut induire les utilisateurs en erreur.
Trafic IPsec Port UDP 500 et port UDP 4500 Si la stratégie de domaine exige que les communications réseau soient effectuées via IPsec, vous devez également ajouter le port UDP 4500 et le port UDP 500 à la liste dexceptions. IPsec est une option utilisant lAssistant Nouvelle règle entrante dans le composant logiciel enfichable Pare-feu Windows. Pour plus dinformations, voir Utilisation du pare-feu Windows avec le composant logiciel enfichable de sécurité avancée ci-dessous.
Utilisation de lauthentification Windows avec des domaines de confiance Les pare-feu doivent être configurés pour autoriser demandes dauthentification. Pour plus dinformations, consultez Comment configurer un pare-feu pour les domaines et les approbations.
Clustering SQL Server et Windows Le clustering nécessite des ports supplémentaires qui ne sont pas directement liés à SQL Server. Pour plus dinformations, voir Activer un réseau pour une utilisation en cluster.
espaces de noms dURL réservés dans lAPI du serveur HTTP (HTTP.SYS) Probablement le port TCP 80, mais peut être configuré sur dautres ports. Pour des informations générales, consultez Configuration de HTTP et HTTPS. Pour des informations spécifiques à SQL Server sur la réservation dun point de terminaison HTTP.SYS à laide de HttpCfg.exe, consultez À propos des réservations et de lenregistrement dURL (Gestionnaire de configuration SSRS).

Considérations spéciales pour le port 135

Lorsque vous utilisez RPC avec TCP / IP ou avec UDP / IP comme transport, les ports entrants sont fréquemment affectés dynamiquement aux services système selon les besoins; Les ports TCP / IP et UDP / IP qui sont plus grands que le port 1024 sont utilisés. Ceux-ci sont souvent appelés de manière informelle «ports RPC aléatoires». Dans ces cas, les clients RPC sappuient sur le mappeur de point de terminaison RPC pour leur indiquer les ports dynamiques attribués au serveur. Pour certains services basés sur RPC, vous pouvez configurer un port spécifique au lieu de laisser RPC en attribuer un dynamiquement. Vous pouvez également restreindre la plage de ports que RPC attribue dynamiquement à une petite plage, quel que soit le service. Le port 135 étant utilisé pour de nombreux services, il est fréquemment attaqué par des utilisateurs malveillants. Lors de louverture du port 135, envisagez de restreindre la portée de la règle de pare-feu.

Pour plus dinformations sur le port 135, consultez les références suivantes:

  • Présentation du service et exigences du port réseau pour le système Windows Server
  • Dépannage des erreurs RPC Endpoint Mapper à laide des outils de support Windows Server 2003 à partir du CD du produit
  • Appel de procédure à distance (RPC)
  • Comment configurer Allocation de port dynamique RPC pour travailler avec les pare-feu

Interaction avec dautres règles de pare-feu

Le pare-feu Windows utilise des règles et des groupes de règles pour établir sa configuration. Chaque règle ou groupe de règles est généralement associé à un programme ou service particulier, et ce programme ou service peut modifier ou supprimer cette règle à votre insu. Par exemple, les groupes de règles World Wide Web Services (HTTP) et World Wide Web Services (HTTPS) sont associés à IIS.Lactivation de ces règles ouvrira les ports 80 et 443, et les fonctionnalités SQL Server qui dépendent des ports 80 et 443 fonctionneront si ces règles sont activées. Cependant, les administrateurs configurant IIS peuvent modifier ou désactiver ces règles. Par conséquent, si vous utilisez le port 80 ou le port 443 pour SQL Server, vous devez créer votre propre règle ou groupe de règles qui conserve la configuration de port souhaitée indépendamment des autres règles IIS.

Le pare-feu Windows avec sécurité avancée Le composant logiciel enfichable MMC autorise tout trafic correspondant à toute règle dautorisation applicable. Donc, sil y a deux règles qui sappliquent toutes deux au port 80 (avec des paramètres différents), le trafic qui correspond à lune ou lautre règle sera autorisé. Ainsi, si une règle autorise le trafic sur le port 80 à partir du sous-réseau local et une règle autorise le trafic à partir de nimporte quelle adresse, leffet net est que tout le trafic vers le port 80 est autorisé quelle que soit la source. Pour gérer efficacement laccès à SQL Server, les administrateurs doivent examiner périodiquement toutes les règles de pare-feu activées sur le serveur.

Présentation des profils de pare-feu

Les profils de pare-feu sont utilisés par les systèmes dexploitation pour identifier et se souvenir chacun des réseaux auxquels ils se connectent en ce qui concerne la connectivité, les connexions et la catégorie.

Il existe trois types demplacement réseau dans le pare-feu Windows avec sécurité avancée:

  • Domaine: Windows peut authentifier laccès au contrôleur de domaine pour le domaine auquel lordinateur est joint.
  • Public: à lexception des réseaux de domaine, tous les réseaux sont initialement classés comme publics. Les réseaux qui représentent des connexions directes à Internet ou qui se trouvent dans des lieux publics, tels que les aéroports et les cafés, doivent être laissés publics.
  • Privé: un réseau identifié par un utilisateur ou une application comme privé. Seuls les réseaux de confiance doivent être identifiés comme des réseaux privés. Les utilisateurs voudront probablement identifier les réseaux domestiques ou de petite entreprise comme privés.

Ladministrateur peut créer un profil pour chaque type demplacement réseau, chaque profil contenant des politiques de pare-feu différentes. Un seul profil est appliqué à la fois. Lordre des profils est appliqué comme suit:

  1. Si toutes les interfaces sont authentifiées auprès du contrôleur de domaine pour le domaine dont lordinateur est membre, le profil de domaine est appliqué.
  2. Si toutes les interfaces sont authentifiées auprès du contrôleur de domaine ou sont connectées à des réseaux classés comme emplacements de réseau privé, le profil privé est appliqué.
  3. Sinon, le profil public est appliqué.

Utilisez le composant logiciel enfichable Pare-feu Windows avec sécurité avancée MMC pour afficher et configurer tous les profils de pare-feu. Lélément Pare-feu Windows dans le Panneau de configuration ne configure que le profil actuel.

Paramètres de pare-feu supplémentaires Utilisation de lélément Pare-feu Windows dans le Panneau de configuration

Les exceptions que vous ajoutez au pare-feu peuvent restreindre louverture de le port vers les connexions entrantes dordinateurs spécifiques ou du sous-réseau local. Cette restriction de la portée de louverture du port peut réduire le degré dexposition de votre ordinateur aux utilisateurs malveillants, et est recommandée.

Remarque

Utilisation de lélément Pare-feu Windows dans Control Panel configure uniquement le profil de pare-feu actuel.

Pour modifier la portée dune exception de pare-feu à laide de lélément Pare-feu Windows dans le Panneau de configuration

  1. Dans le Élément Pare-feu Windows dans le Panneau de configuration, sélectionnez un programme ou un port dans l’onglet Exceptions, puis cliquez sur Propriétés ou Modifier.

  2. Dans la boîte de dialogue Modifier un programme ou Modifier un port, cliquez sur Modifier létendue.

  3. Choisissez lune des options suivantes:

    • Tout ordinateur (y compris ceux sur Internet): non recommandé . Cela permettra à tout ordinateur pouvant adresser votre ordinateur de se connecter au programme ou au port spécifié. Ce paramètre peut être nécessaire pour permettre aux informations dêtre présentées à des utilisateurs anonymes sur Internet, mais augmente votre exposition aux utilisateurs malveillants. Votre exposition peut être encore augmentée si vous activez ce paramètre et autorisez également la traversée de la traduction dadresses réseau (NAT), comme loption Autoriser la traversée des bords.

    • Mon réseau (sous-réseau) uniquement : Il sagit dun paramètre plus sécurisé que nimporte quel ordinateur. Seuls les ordinateurs du sous-réseau local de votre réseau peuvent se connecter au programme ou au port.

    • Liste personnalisée: seuls les ordinateurs qui ont les adresses IP répertoriées peuvent se connecter. Cela peut être un paramètre plus sécurisé que Mon réseau (sous-réseau) uniquement, cependant, les ordinateurs clients utilisant DHCP peuvent occasionnellement changer leur adresse IP. Ensuite, lordinateur prévu ne pourra pas se connecter. Un autre ordinateur, que vous naviez pas lintention dautoriser, peut accepter ladresse IP indiquée et ensuite pouvoir se connecter. Loption Liste personnalisée peut être appropriée pour répertorier dautres serveurs configurés pour utiliser une adresse IP fixe; cependant, les adresses IP peuvent être usurpées par un intrus. La restriction des règles de pare-feu nest aussi forte que votre infrastructure réseau.

Utilisation du pare-feu Windows avec le composant logiciel enfichable de sécurité avancée

Des paramètres de pare-feu avancés supplémentaires peuvent être configurés en utilisant le Pare-feu Windows avec composant logiciel enfichable MMC de sécurité avancée. Le composant logiciel enfichable comprend un assistant de règle et expose des paramètres supplémentaires qui ne sont pas disponibles dans lélément Pare-feu Windows du Panneau de configuration. Ces paramètres sont les suivants:

  • Paramètres de chiffrement
  • Restrictions des services
  • Restriction des connexions pour les ordinateurs par nom
  • Restriction des connexions à utilisateurs ou profils spécifiques
  • Traversée des bords permettant au trafic de contourner les routeurs de traduction dadresses réseau (NAT)
  • Configuration des règles sortantes
  • Configuration des règles de sécurité
  • Exiger IPsec pour les connexions entrantes

Pour créer une nouvelle règle de pare-feu à laide de lassistant Nouvelle règle

  1. Dans le menu Démarrer, sélectionnez Exécuter, tapez WF.msc , puis sélectionnez OK.
  2. Dans le Pare-feu Windows avec sécurité avancée, dans le volet gauche, cliquez avec le bouton droit sur Règles entrantes, puis sélectionnez Nouvelle règle.
  3. Terminez la nouvelle règle entrante Assistant utilisant les paramètres souhaités.

Dépannage des paramètres du pare-feu

Les outils et techniques suivants peuvent être utiles pour résoudre les problèmes de pare-feu:

  • Le statut effectif du port est lunion de tous les rul es liés au port. Lorsque vous essayez de bloquer laccès via un port, il peut être utile de revoir toutes les règles qui citent le numéro de port. Pour ce faire, utilisez le composant logiciel enfichable Pare-feu Windows avec sécurité avancée MMC et triez les règles entrantes et sortantes par numéro de port.

  • Vérifiez les ports actifs sur l’ordinateur sur quel SQL Server est en cours d’exécution. Ce processus dexamen comprend la vérification des ports TCP / IP qui écoutent et également la vérification de létat des ports.

    Pour vérifier quels ports écoutent, utilisez lutilitaire de ligne de commande netstat. En plus dafficher les connexions TCP actives, lutilitaire netstat affiche également une variété de statistiques et dinformations IP.

    Pour répertorier les ports TCP / IP qui écoutent

    1. Ouvrez la fenêtre dinvite de commandes.

    2. À linvite de commande, tapez netstat -n -a.

      Le commutateur -n indique à netstat dafficher ladresse numériquement et numéro de port des connexions TCP actives. Le commutateur -a indique à netstat dafficher les ports TCP et UDP sur lesquels lordinateur écoute.

  • Lutilitaire PortQry peut être utilisé pour signaler létat des ports TCP / IP en écoute, non en écoute ou filtré. (Avec un statut filtré, le port peut ou non être à lécoute; cet état indique que lutilitaire na pas reçu de réponse du port.) Lutilitaire PortQry est disponible pour téléchargement à partir du Centre de téléchargement Microsoft.

Voir aussi

Présentation du service et exigences de port réseau pour le système Windows Server
Procédure: configurer les paramètres du pare-feu (Azure SQL Database)

admin
0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Archives

Articles récents