január 18, 2021

Állítsa be a Windows tűzfalat az SQL Server hozzáférés engedélyezésére

  • 07/22/2020
  • 22 perc olvasásra
    • c
    • D
    • k
    • l
    • v
    • +13

A következőre vonatkozik: SQL Server (minden támogatott verziók) – Csak Windows Azure SQL Managed példány

A tűzfalrendszerek megakadályozzák a számítógépes erőforrásokhoz való illetéktelen hozzáférést. Ha a tűzfal be van kapcsolva, de nincs megfelelően konfigurálva, akkor az SQL Server-hez való csatlakozás kísérletei blokkolva lehetnek.

Az SQL Server egy példányának tűzfalon keresztüli eléréséhez be kell állítania a tűzfalat a számítógépen, amely az SQL Server futtatása. A tűzfal a Microsoft Windows egyik összetevője. Tűzfalat telepíthet egy másik vállalattól is. Ez a cikk a Windows tűzfal konfigurálását tárgyalja, de az alapelvek más tűzfalprogramokra is érvényesek.

Megjegyzés

Ez a cikk áttekintést nyújt a tűzfal konfigurációjáról és összefoglalja a érdekli az SQL Server rendszergazdáját. A tűzfalról és a hiteles tűzfalról további információkat a tűzfal dokumentációjában talál, például a Windows tűzfal biztonsági telepítési útmutatójában.

A Windows tűzfal kezelésében jártas felhasználók és tudják, hogy melyik tűzfal beállításokat használják konfigurálni szeretné, közvetlenül a fejlettebb cikkekhez léphet:

  • Windows tűzfal beállítása az adatbázis-motor eléréséhez
  • A Windows tűzfal beállítása az elemzési szolgáltatások elérésének engedélyezéséhez
  • Tűzfal beállítása a jelentéskiszolgálóhoz való hozzáféréshez

Alapvető tűzfaladatok

A tűzfalak úgy működnek, hogy megvizsgálják a bejövő csomagokat, és összehasonlítják azokat egy szabályrendszerrel. Ha a csomag megfelel a szabályok által diktált szabványoknak, akkor a tűzfal továbbítja a csomagot a TCP / IP protokollnak további feldolgozás céljából. Ha a csomag nem felel meg a szabályok által meghatározott szabványoknak, akkor a tűzfal elveti a csomagot, és ha a naplózás engedélyezve van, létrehoz egy bejegyzést a tűzfal naplófájljában.

Az engedélyezett forgalom listája fel van töltve. a következő módszerek egyikével:

  • Automatikusan: Amikor egy tűzfalat engedélyező számítógép elindítja a kommunikációt, a tűzfal létrehoz egy bejegyzést a listában, így a válasz engedélyezett. Ez a válasz lekérdezett forgalomnak minősül, és semmit sem kell konfigurálni.

  • Manuálisan: Az adminisztrátor konfigurálja a tűzfal kivételeit. Ez hozzáférést biztosít a számítógép meghatározott programjaihoz vagy portjaihoz. Ebben az esetben a számítógép elfogadja a kéretlen bejövő forgalmat, amikor szerverként, hallgatóként vagy társként működik. Ez a típusú konfiguráció, amelyet ki kell töltenie az SQL Server-hez való csatlakozáshoz.

A tűzfal stratégia kiválasztása összetettebb, mint annak eldöntése, hogy az adott port nyitva vagy zárva legyen-e. . A vállalata tűzfalstratégiájának megtervezésekor vegye figyelembe a rendelkezésére álló összes szabályt és konfigurációs beállítást. Ez a cikk nem tekinti át az összes lehetséges tűzfalopciót. Javasoljuk, hogy olvassa el a következő dokumentumokat:

Windows tűzfal telepítési útmutató
Windows tűzfal tervezési útmutató
Bevezetés a kiszolgálók és tartományok elkülönítésébe

Alapértelmezett tűzfalbeállítások

A tűzfal konfigurálásának első lépése az operációs rendszer tűzfalának aktuális állapotának meghatározása. Ha az operációs rendszert egy korábbi verzióról frissítették, akkor előfordulhat, hogy a korábbi tűzfal beállítások megmaradtak. A tűzfal beállításait megváltoztathatta egy másik rendszergazda vagy a tartomány csoportházirendje is.

Megjegyzés

A tűzfal bekapcsolása hatással lesz az ehhez hozzáférő egyéb programokra. számítógép, például fájl- és nyomtatómegosztás, valamint távoli asztali kapcsolatok. A rendszergazdáknak a tűzfal beállításainak módosítása előtt fontolóra kell venniük a számítógépen futó összes alkalmazást.

A tűzfal konfigurálására szolgáló programok

A Windows tűzfal beállításainak konfigurálása a Microsoft Management Console bármelyikével vagy netsh.

  • Microsoft Management Console (MMC)

    A Windows tűzfal Advanced Security MMC beépülő modullal lehetővé teszi a tűzfal fejlettebb beállításainak konfigurálását. Ez a beépülő modul a legtöbb tűzfal-opciót könnyen használható módon mutatja be, és bemutatja az összes tűzfalprofilt. További információ: A Windows tűzfal használata a Speciális biztonsági beépülő modullal a cikk későbbi szakaszában.

  • netsh

    A netsh.exe eszköz használható a rendszergazda által a Windows-alapú számítógépek konfigurálása és figyelése parancssorban vagy kötegelt fájl segítségével **.** A netsh eszköz használatával a beírt helyi parancsokat a megfelelő segítőhöz irányíthatja, majd a segítő végrehajtja a parancsot. A segítő egy Dynamic Link Library (.dll) fájl, amely kiterjeszti a netsh eszköz funkcionalitását azáltal, hogy konfigurációt, felügyeletet és támogatást nyújt egy vagy több szolgáltatáshoz, segédprogramhoz vagy protokollhoz. Minden operációs rendszer, amely támogatja az SQL Server szolgáltatást, rendelkezik tűzfalsegítővel. A Windows Server 2008 rendelkezik egy fejlett tűzfal-segítővel, advfirewall néven. A netsh használatának részleteit ez a cikk nem tárgyalja. Azonban a leírt konfigurációs lehetőségek közül sok a netsh használatával konfigurálható. Például futtassa a következő parancsfájlt a parancssorban az 1433 TCP port megnyitásához:

    Hasonló példa a Windows tűzfal az Advanced Security segédprogram használatával:

    A netsh-ről további információt az alábbi linkeken talál:

    • Netsh Parancs Szintaxis, Környezet és Formázás
    • A “netsh advfirewall tűzfal” kontextus használata a “netsh tűzfal” kontextus helyett a Windows tűzfal viselkedésének szabályozásához a Windows Server 2008 és a Windows Vista rendszerben

  • Linux esetén: Linux rendszeren meg kell nyitnia azokat a portokat is, amelyekhez hozzá kell férnie. A Linux különböző terjesztései és a különböző tűzfalak saját eljárással rendelkeznek. Két példát lásd: SQL Server a Red Hat-on és az SQL Server a SUSE-n.

Az SQL Server által használt portok

A következő táblázatok segíthetnek azonosítsa az SQL Server által használt portokat.

Az adatbázis-motor által használt portok

Alapértelmezés szerint az SQL Server és a kapcsolódó adatbázis-motor-szolgáltatások által használt tipikus portok: TCP 1433, 4022 , 135, 1434, UDP 1434. Az alábbi táblázat részletesebben ismerteti ezeket a portokat. Egy megnevezett példány dinamikus portokat használ.

Az alábbi táblázat felsorolja azokat a portokat, amelyeket az Database Engine gyakran használ.

forgatókönyv port
Alapértelmezett példány fut a TCP felett 1433 TCP port Ez a tűzfal által engedélyezett leggyakoribb port. Ez vonatkozik a Database Engine alapértelmezett telepítésének szokásos kapcsolataira, vagy egy megnevezett példányra, amely az egyetlen példány fut a számítógépen. (A megnevezett példányoknak külön szempontjai vannak. Lásd a Dinamikus portokat a cikk későbbi részében.)
Alapértelmezett porttal elnevezett példányok A TCP port egy dinamikus port az adatbázis-motor indításakor. Lásd az alábbi vitát a Dinamikus portok szakaszban. Elnevezett példányok használata esetén szükség lehet az 1434 UDP-portra az SQL Server böngésző szolgáltatáshoz.
Megnevezett példányok fix porttal A port által konfigurált a rendszergazda. Lásd az alábbi vitát a Dinamikus portok szakaszban.
Dedikált rendszergazdai kapcsolat Az 1434 TCP port példa. Más portokat használunk a megnevezett példányokhoz. Ellenőrizze a portszám hibanaplóját. Alapértelmezés szerint a Dedicated Administrator Connection (DAC) távoli kapcsolata nincs engedélyezve. A távoli DAC engedélyezéséhez használja a Felületi terület konfigurálása elemet. További információ: Felületi konfiguráció.
SQL Server böngésző szolgáltatás 1434-es UDP port Az SQL Server böngésző szolgáltatás hallgat nevesített példányhoz bejövő kapcsolatokhoz, és megadja az ügyfélnek a TCP-port számát, amely megfelel annak a megnevezett példánynak. Normál esetben az SQL Server Browser szolgáltatás elindul, amikor az adatbázis-motor megnevezett példányait használják. Az SQL Server böngésző szolgáltatást nem kell elindítani, ha az ügyfél úgy van konfigurálva, hogy csatlakozzon a megnevezett példány adott portjához.
HTTP-végponttal rendelkező példány. Megadható HTTP-végpont létrehozásakor. Az alapértelmezett TCP-port 80 a CLEAR_PORT forgalomhoz és 443 az SSL_PORT forgalomhoz. URL-en keresztüli HTTP-kapcsolathoz használható.
Alapértelmezett példány HTTPS végponttal 443 TCP port HTTPS-kapcsolathoz URL-en keresztül. A HTTPS egy HTTP kapcsolat, amely a Transport Layer Security (TLS) szolgáltatást használja, korábban SSL néven.
Service Broker 4022 TCP port . A használt port ellenőrzéséhez hajtsa végre a következő lekérdezést:
SELECT name, protocol_desc, port, state_desc
FROM sys.tcp_endpoints
WHERE type_desc = "SERVICE_BROKER" 		Nincs alapértelmezett port az SQL ServerService Broker számára, de ez a Books Online példákban használt hagyományos konfiguráció.
Adatbázis tükrözés A rendszergazda által kiválasztott port.A port meghatározásához hajtsa végre a következő lekérdezést:
SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints
WHERE type_desc = "DATABASE_MIRRORING" 		Nincs alapértelmezett port az adatbázis-tükrözéshez, azonban a Books Online példák az 5022 vagy 7022 TCP portot használják. Fontos elkerülni a használat közbeni tükrözés végpontjának megszakítását, különösen magas biztonsági üzemmódban, automatikus feladatátvétellel. A tűzfal konfigurációjának kerülnie kell a határozatképesség megsértését. További információ: Kiszolgáló hálózati címének megadása (adatbázis-tükrözés).
Replikáció Az SQL Server replikációs kapcsolatai a szokásos szokásos Database Engine portokat használják ( Az 1433 TCP-port az alapértelmezett példányhoz stb.)
A webes szinkronizálás és az FTP / UNC-hozzáférés a replikációs pillanatképhez további portok megnyitását igényli a tűzfalon. A kezdeti adatok és sémák egyik helyről a másikra történő átviteléhez a replikáció használhatja az FTP-t (21. TCP-port), vagy szinkronizálhatja a HTTP-t (80-as TCP-port) vagy a fájlmegosztást. A fájlmegosztás az UDP 137 és 138 portot, valamint a 139 TCP portot használja, ha NetBIOS-t használ. A fájlmegosztás a 445 TCP portot használja. 		A HTTP-n keresztüli szinkronizáláshoz a replikáció az IIS-végpontot használja (amelyek konfigurálhatóak, de alapértelmezés szerint a 80-as portok), de az IIS-folyamat a háttér-SQL Server-hez csatlakozik a szabványos portok (1433 az alapértelmezett példány.
Az FTP-vel történő webszinkronizálás során az FTP-átvitel az IIS és az SQL Server kiadó között történik, nem az előfizető és az IIS között.
Transact-SQL hibakereső 135 TCP-port – Lásd a 135-ös port speciális szempontjait

Lehetséges, hogy szükséges az IPsec-kivétel is.

Visual Studio használata esetén a Visual Studio-on gazdagépet, hozzá kell adnia a Devenv.exe fájlt a Kivételek listához, és meg kell nyitnia a TCP 135. portot.
Ha a Management Studio programot használja, akkor a Management Studio gazdagépen is hozzá kell adnia az ssms.exe fájlt a Kivételek listához, és meg kell nyitnia a TCP portot. 135. További információ: A tűzfalszabályok konfigurálása a TSQL hibakereső futtatása előtt.

A Windows tűzfal konfigurálásához az adatbázis-motorhoz lépésről lépésre lásd: A Windows tűzfal beállítása az adatbázis-hozzáféréshez.

Dinamikus portok

Alapértelmezés szerint megnevezett példányok ( beleértve az SQL Server Express-t is) dinamikus portokat használ. Ez azt jelenti, hogy minden alkalommal, amikor az Database Engine elindul, azonosítja a rendelkezésre álló portot, és ezt a portszámot használja. Ha a megnevezett példány az egyetlen telepített Database Engine példány, akkor valószínűleg az 1433 TCP portot fogja használni. Ha a Database Engine más példányai is telepítve vannak, akkor valószínűleg egy másik TCP portot fog használni. Mivel a kiválasztott port minden alkalommal megváltozhat, amikor az Database Engine elindul, nehéz a tűzfalat úgy konfigurálni, hogy lehetővé tegye a helyes portszám elérését. Ezért, ha tűzfalat használunk, javasoljuk, hogy állítsa be újra az adatbázis-motort, hogy mindig ugyanazt a portszámot használja. Ezt hívjuk fix vagy statikus portnak. További információ: Kiszolgáló konfigurálása hallgatásra egy adott TCP-porton (SQL Server Configuration Manager).

A megnevezett példány konfigurálásának rögzített porton történő meghallgatásának alternatívája, ha kivételt hoz létre a tűzfalban. SQL Server programhoz, például sqlservr.exe (az Adatbázis-motorhoz). Ez kényelmes lehet, de a portszám nem jelenik meg a Bejövő szabályok oldal Helyi port oszlopában, ha a Windows tűzfal és az Advanced Security MMC beépülő modult használja. Ez megnehezítheti a nyitott portok ellenőrzését. További szempont, hogy egy szervizcsomag vagy kumulatív frissítés megváltoztathatja az SQL Server futtatható fájl elérési útját, ami érvényteleníti a tűzfalszabályt.

Programkivétel hozzáadása a tűzfalhoz a Windows Defender tűzfala speciális biztonsággal használatával

  1. A Start menübe írja be a wf.msc parancsot. Nyomja meg az Enter billentyűt, vagy válassza a wf.msc keresési eredményt a Windows Defender Speciális biztonságú tűzfal megnyitásához.

  2. A bal oldali ablaktáblán válassza a Bejövő szabályok parancsot.

  3. A jobb oldali ablaktáblában a Műveletek részben válassza az Új szabály … lehetőséget. Megnyílik az Új bejövő szabályok varázsló.

  4. A Szabálytípusban válassza a Program lehetőséget. Válassza a Tovább lehetőséget.

  5. A Programban válassza ezt a programútvonalat. Válassza a Tallózás lehetőséget az SQL Server példányának megkereséséhez. A program neve sqlservr.exe. Általában a következő helyen található:

    C:\Program Files\Microsoft SQL Server\MSSQL15.<InstanceName>\MSSQL\Binn\sqlservr.exe

    Válassza a Tovább lehetőséget.

  6. Be Művelet, válassza a Kapcsolat engedélyezése lehetőséget. Válassza a Tovább lehetőséget.

  7. A Profilban adja meg mindhárom profilt. Válassza a Tovább lehetőséget.

  8. A Név mezőbe írja be a szabály nevét. Válassza a Befejezés lehetőséget.

A végpontokkal kapcsolatos további információkért lásd: Az adatbázis-motor konfigurálása több TCP-port és végpont-katalógus nézeten történő hallgatásra (Transact-SQL).

Az elemzési szolgáltatások által használt portok

Alapértelmezés szerint az SQL Server Analysis Services és a kapcsolódó szolgáltatások által használt tipikus portok a következők: TCP 2382, 2383, 80, 443. Az alábbi táblázat részletesebben ismerteti ezeket a portokat.

Az alábbi táblázat felsorolja azokat a portokat, amelyeket az Analysis Services gyakran használ.

Feature Port
Analysis Services TCP port 2383 az alapértelmezett példányhoz Az Analysis Services alapértelmezett példányának szabványos portja.
SQL Server böngésző szolgáltatás A 2382-es TCP-port csak egy Analysis Services nevű példányhoz szükséges Ügyfélkapcsolati kérelmek az Analysis Services megnevezett példányához a portszám a 2382-es portra irányul, arra a portra, amelyen az SQL Server Browser figyel. Ezután az SQL Server Browser átirányítja a kérelmet a megnevezett példány által használt portra.
Az IIS / HTTP használatával konfigurált elemzési szolgáltatások (A PivotTable® szolgáltatás HTTP vagy HTTPS) 80 TCP-port HTTP-kapcsolathoz URL-en keresztül.
Az IIS-en keresztül történő használatra konfigurált elemzési szolgáltatások HTTPS
(A PivotTable® szolgáltatás HTTP vagy HTTPS protokollt használ) 		443 TCP-port HTTPS-kapcsolathoz URL-en keresztül. A HTTPS egy HTTP kapcsolat, amely TLS-t használ.

Ha a felhasználók az Az IIS és az Internet használatával meg kell nyitnia azt a portot, amelyen az IIS figyel, és meg kell adnia azt a portot az ügyfélkapcsolati karakterláncban. Ebben az esetben egyetlen portnak sem kell nyitva lennie az Analysis Services közvetlen eléréséhez. Az alapértelmezett 2389-es és a 2382-es portot minden más, nem szükséges porttal együtt kell korlátozni.

A Windows tűzfal az elemzési szolgáltatásokhoz konfigurálásához lásd a Windows tűzfal engedélyezésének konfigurálása című részt. Elemzési szolgáltatások elérése.

A Reporting Services által használt portok

Alapértelmezés szerint az SQL Server Reporting SErvices és a kapcsolódó szolgáltatások által használt tipikus portok a következők: TCP 80, 443. Az alábbi táblázat ezeket magyarázza portok részletesebben.

Az alábbi táblázat felsorolja azokat a portokat, amelyeket a Reporting Services gyakran használ.

Funkció Port
Jelentési szolgáltatások webszolgáltatásai 80 TCP-port HTTP-kapcsolathoz használják a Reporting Services szolgáltatáshoz URL-en keresztül. Javasoljuk, hogy ne használja az előre konfigurált World Wide Web Services (HTTP) szabályt. További információkért lásd az Interakció más tűzfalszabályokkal című részt.
A HTTPS-en keresztül konfigurált jelentéskészítési szolgáltatások 443 TCP-port HTTPS-kapcsolathoz URL-en keresztül. A HTTPS egy HTTP kapcsolat, amely TLS-t használ. Javasoljuk, hogy ne használja az előre konfigurált Secure World Wide Web Services (HTTPS) szabályt. További információkért lásd az Interakció más tűzfalszabályokkal című részt.

Amikor A Reporting Services csatlakozik az Database Engine vagy az Analysis Services egy példányához, és meg kell nyitnia a megfelelő portokat is ezekhez a szolgáltatásokhoz. A Windows tűzfal jelentéskészítési szolgáltatások konfigurálásához lépésről lépésre: Tűzfal beállítása a jelentéskiszolgálóhoz való hozzáféréshez.

Az integrációs szolgáltatások által használt portok

Az alábbi táblázat felsorolja azokat a portokat, amelyek az Integration Services szolgáltatás használja.

Feature Port
Microsoft távoli eljáráshívások (MS RPC)
Az Integration Services futásideje használja. 		135 TCP-port

Lásd a 135-ös port speciális szempontjai

Az Integration Services szolgáltatás DCOM-ot használ a 135-ös porton. A Service Control Manager a 135-ös portot használja olyan feladatok végrehajtására, mint például az Integration Services szolgáltatás elindítása és leállítása, valamint a vezérlési kérelmek továbbítása a futó szolgáltatásnak. A portszám nem módosítható.
Ennek a portnak csak akkor kell nyitva lennie, ha az Integration Services szolgáltatás távoli példányához csatlakozik a Management Studio vagy egy egyéni alkalmazás segítségével.

A Windows tűzfal integrációs szolgáltatások konfigurálásához lépésről lépésre lásd: Integrációs szolgáltatások szolgáltatás (SSIS szolgáltatás).

További portok és szolgáltatások

Az alábbi táblázat azokat a portokat és szolgáltatásokat sorolja fel, amelyektől az SQL Server függhet.

forgatókönyv port
Windows Management Instrumentation
A WMI-vel kapcsolatos további információkért lásd: WMI-szolgáltató a konfigurációkezelési koncepciókhoz 		A WMI a megosztott szolgáltatás gazdagép, a DCOM-on keresztül hozzárendelt portokkal.Lehet, hogy a WMI a TCP 135. portot használja.
Lásd a 135-ös port speciális szempontjai 		Az SQL Server Configuration Manager a WMI-t használja a szolgáltatások felsorolásához és kezeléséhez. Javasoljuk az előre konfigurált Windows Management Instrumentation (WMI) szabálycsoport használatát. További információért lásd az Interakció más tűzfalszabályokkal című részt.
Microsoft elosztott tranzakció-koordinátor (MS DTC) 135 TCP-port
Lásd Különleges szempontok a 135-ös portra 		Ha az alkalmazás elosztott tranzakciókat használ, akkor lehet, hogy be kell állítania a tűzfalat, hogy a Microsoft elosztott tranzakció-koordinátor (MS DTC) forgalma különálló MS DTC-példányok és az MS DTC között áramolhasson. és erőforrás-kezelők, például az SQL Server. Javasoljuk, hogy használja az előre konfigurált Elosztott Tranzakció Koordinátor szabálycsoportot.
Ha egyetlen megosztott MS DTC van konfigurálva az egész fürthöz egy külön erőforráscsoportban, kivételként hozzá kell adnia az sqlservr.exe fájlt a tűzfalhoz.
A Management Studio böngésző gombja az UDP használatával csatlakozik az SQL Server böngésző szolgáltatáshoz. További információ: SQL Server Browser Service (Database Engine és SSAS). 1434-es UDP-port Az UDP kapcsolat nélküli protokoll.
A tűzfal rendelkezik egy beállítással (UnicastResponsesToMulticastBroadcastDisabled Property INetFwProfile Interface), amely ellenőrzi a tűzfal viselkedését a sugárzott (vagy multicast) UDP kérésre adott unicast válaszok vonatkozásában. Kétféle viselkedése van:
Ha a beállítás IGAZ, akkor egy közvetítésre egyáltalán nem lehet válaszolni. A szolgáltatások felsorolása nem fog sikerülni.
Ha a beállítás HAMIS (alapértelmezett), akkor az egyedi küldéses válaszok 3 másodpercig engedélyezettek. Az időtartam nem konfigurálható. Túlterhelt vagy nagy késéssel rendelkező hálózatban, vagy erősen megterhelt szerverek esetén az SQL Server példányainak felsorolása megpróbálhat részleges listát adni, ami félrevezetheti a felhasználókat.
IPsec forgalom UDP 500-as és 4500-as UDP-port Ha a tartományi házirend megköveteli, hogy a hálózati kommunikáció az IPsec-en keresztül történjen, akkor a 4500-as UDP-portot és az 500-as UDP-portot is hozzá kell adnia a kivétellistához. Az IPsec a Windows tűzfal beépülő modul Új bejövő szabály varázslójának használata. További információkért lásd: A Windows tűzfal használata a Speciális biztonsági beépülő modullal alább.
A Windows hitelesítés használata megbízható tartományokkal A tűzfalakat konfigurálni kell az engedélyezéshez. hitelesítési kérelmek. További információ: Tűzfal beállítása tartományokhoz és megbízhatóságokhoz.
SQL Server és Windows fürtözés A fürtözéshez további olyan portokra van szükség, amelyek nem kapcsolódnak közvetlenül az SQL Server szerverhez. További információ: Hálózat engedélyezése fürthasználathoz.
Az URL névterek fenntartva a HTTP Server API-ban (HTTP.SYS) Valószínűleg a TCP 80-as port, de más portokhoz konfigurálható. Általános információkért lásd: A HTTP és HTTPS konfigurálása. Az SQL Server-specifikus információkat a HTTP.SYS végpont HttpCfg.exe használatával történő lefoglalásáról lásd: Az URL-foglalások és regisztráció (SSRS Configuration Manager).

A 135-ös port speciális szempontjai

Ha RPC-t használ TCP / IP vagy UDP / IP, mint szállítás, a bejövő portokat dinamikusan hozzárendelik a rendszer szolgáltatásaihoz szükség szerint; Az 1024-es portnál nagyobb TCP / IP és UDP / IP portokat használunk. Ezeket informálisan gyakran “véletlenszerű RPC portoknak” nevezik. Ezekben az esetekben az RPC-ügyfelek az RPC végpont-leképezőre támaszkodva mondják meg nekik, hogy mely dinamikus portokat rendelték hozzá a kiszolgálóhoz. Egyes RPC-alapú szolgáltatások esetén konfigurálhat egy adott portot, ahelyett, hogy az RPC-t dinamikusan rendelné hozzá. Korlátozhatja az RPC dinamikusan egy kis tartományhoz rendelt portok tartományát is, a szolgáltatástól függetlenül. Mivel a 135-ös portot számos szolgáltatáshoz használják, gyakran rosszindulatú felhasználók támadják meg. A 135-ös port megnyitásakor fontolja meg a tűzfalszabály hatókörének korlátozását.

A 135-ös porttal kapcsolatos további információkért tekintse meg a következő hivatkozásokat:

  • A szolgáltatás áttekintése és a hálózati port követelményei a Windows Server rendszer
  • RPC Endpoint Mapper hibák elhárítása a termék CD-jén található Windows Server 2003 támogatási eszközök használatával
  • Távoli eljáráshívás (RPC)
  • Konfigurálás Az RPC dinamikus portkiosztása a tűzfalak használatához

Interakció más tűzfalszabályokkal

A Windows tűzfal szabályokat és szabálycsoportokat használ a konfigurációjának létrehozásához. Minden szabály vagy szabálycsoport általában társul egy adott programhoz vagy szolgáltatáshoz, és ez a program vagy szolgáltatás az Ön tudta nélkül módosíthatja vagy törölheti a szabályt. Például a World Wide Web Services (HTTP) és a World Wide Web Services (HTTPS) szabálycsoportok az IIS-hez vannak társítva.E szabályok engedélyezésével megnyílik a 80-as és a 443-as port, és az SQL Server 80-as és 443-as porttól függõ szolgáltatásai mûködnek, ha ezek a szabályok engedélyezve vannak. Az IIS-t konfiguráló rendszergazdák azonban módosíthatják vagy letilthatják ezeket a szabályokat. Ezért ha a 80-as vagy a 443-as portot használja az SQL Server számára, akkor létre kell hoznia egy saját szabályt vagy szabálycsoportot, amely a többi IIS-szabálytól függetlenül fenntartja a kívánt portkonfigurációt.

A Windows tűzfal speciális biztonsággal Az MMC beépülő modul lehetővé teszi minden forgalmat, amely megfelel az alkalmazandó engedélyezési szabályoknak. Tehát, ha két szabály van, amelyek mind a 80-as portra vonatkoznak (különböző paraméterekkel), akkor bármelyik szabálynak megfelelő forgalom megengedett. Tehát, ha egy szabály megengedi a 80-as porton keresztüli forgalmat a helyi alhálózattól, és egy szabály engedélyezi a forgalmat bármilyen címből, az nettó hatás, hogy a 80-as portra irányuló összes forgalom megengedett a forrástól függetlenül. Az SQL Server hozzáférés hatékony kezeléséhez az adminisztrátoroknak rendszeresen felül kell vizsgálniuk a kiszolgálón engedélyezett összes tűzfalszabályt.

A tűzfalprofilok áttekintése

A tűzfalprofilokat az operációs rendszerek használják az azonosításra és az emlékezésre. mindegyik hálózat, amelyhez csatlakoznak, a csatlakozás, a kapcsolatok és a kategória tekintetében.

A Windows tűzfalban három hálózati helytípus van Speciális biztonsággal:

  • Tartomány: A Windows hitelesítheti annak a tartománynak a tartományvezérlőhöz való hozzáférését, amelyhez a számítógép csatlakozik.
  • Nyilvános: A tartományi hálózatokon kívül az összes hálózatot eredetileg nyilvánosnak minősítik. Azokat a hálózatokat, amelyek közvetlen internetkapcsolatot képviselnek, vagy nyilvános helyeken vannak, például repülőtereken és kávézókban, nyilvánosnak kell hagyni.
  • Privát: Olyan hálózat, amelyet a felhasználó vagy az alkalmazás privátként azonosít. Csak a megbízható hálózatokat lehet magánhálózatokként azonosítani. A felhasználók valószínűleg az otthoni vagy a kisvállalkozói hálózatokat privátként akarják azonosítani.

Az adminisztrátor minden hálózati helytípushoz létrehozhat egy profilt, amelyek mindegyikéhez különféle tűzfalszabályok tartoznak. Egyszerre csak egy profilt alkalmaznak. A profil sorrendje a következőképpen kerül alkalmazásra:

  1. Ha minden interfész hitelesítésre kerül annak a tartományvezérlőnek, amelynek a tartománynak a számítógép tagja, akkor a tartományi profilt alkalmazzák.
  2. Ha az összes interfész vagy a tartományvezérlőhöz van hitelesítve, vagy olyan hálózatokhoz csatlakozik, amelyek privát hálózati helyekként vannak besorolva, akkor a privát profil kerül alkalmazásra.
  3. Ellenkező esetben a nyilvános profil kerül alkalmazásra.

Az összes tűzfalprofil megtekintéséhez és konfigurálásához használja a Windows tűzfalat az Advanced Security MMC beépülő modullal. A Vezérlőpult Windows tűzfal elemei csak az aktuális profilt konfigurálják.

További tűzfalbeállítások a Vezérlőpult Windows tűzfal elemének használatával

A tűzfalhoz adott kivételek korlátozhatják a a port az adott számítógépekről vagy a helyi alhálózatról érkező kapcsolatokhoz. A portnyitás hatókörének ez a korlátozása csökkentheti a számítógép kitettségét a rosszindulatú felhasználók számára, ezért ajánlott.

Megjegyzés

A Windows tűzfal elem használata a Vezérlőben A panel csak az aktuális tűzfalprofilt konfigurálja.

A tűzfal kivételének hatókörének megváltoztatása a Vezérlőpult Windows tűzfal elemével

  1. A A Vezérlőpult Windows tűzfal elemével jelöljön ki egy programot vagy portot a Kivételek lapon, majd kattintson a Tulajdonságok vagy a Szerkesztés gombra.

  2. A Program szerkesztése vagy Port szerkesztése párbeszédpanelen kattintson a kattintson a Hatókör módosítása gombra.

  3. Válasszon az alábbi lehetőségek közül:

    • Bármely számítógép (beleértve az interneten találhatóakat is): Nem ajánlott . Ez lehetővé teszi, hogy bármely számítógép, amely meg tudja címezni a számítógépét, csatlakozzon a megadott programhoz vagy porthoz. Erre a beállításra azért lehet szükség, hogy lehetővé tegye az információk névtelen felhasználók számára történő bemutatását az interneten, de növeli a rosszindulatú felhasználóknak való kitettségét. Az expozíció tovább növelhető, ha engedélyezi ezt a beállítást, és engedélyezi a hálózati címfordítás (NAT) bejárását is, például az Engedélyezi az élek bejárását lehetőséget.

    • Csak a hálózatom (alhálózat) : Ez biztonságosabb beállítás, mint bármely számítógép. Csak a hálózat helyi alhálózatán lévő számítógépek csatlakozhatnak a programhoz vagy a porthoz.

    • Egyéni lista: Csak azok a számítógépek csatlakozhatnak, amelyek rendelkeznek a felsorolt IP-címmel. Ez biztonságosabb beállítás lehet, mint csak a Saját hálózat (alhálózat), azonban a DHCP-t használó ügyfélszámítógépek időnként megváltoztathatják IP-címüket. Ekkor a tervezett számítógép nem lesz képes csatlakozni. Egy másik számítógép, amelyet nem szándékozott engedélyezni, elfogadhatja a felsorolt IP-címet, majd képes csatlakozni. Az Egyéni lista opció megfelelő lehet más szerverek felsorolásához, amelyek rögzített IP-cím használatára vannak beállítva; azonban az IP-címeket egy betolakodó meghamisíthatja. A tűzfalszabályok korlátozása csak olyan erős, mint a hálózati infrastruktúra.

A Windows tűzfal használata Speciális biztonsági beépülő modullal

További speciális tűzfalbeállítások konfigurálhatók a Windows tűzfal Advanced Security MMC beépülő modullal. A beépülő modul tartalmaz egy varázslót, és további beállításokat tár fel, amelyek nem érhetők el a Vezérlőpult Windows tűzfal elemében. Ezek a beállítások a következőket tartalmazzák:

  • Titkosítási beállítások
  • Szolgáltatási korlátozások
  • A számítógépek kapcsolatainak korlátozása név szerint
  • A kapcsolatok korlátozása a következőkre: meghatározott felhasználók vagy profilok
  • Edge bejárás, amely lehetővé teszi a forgalom számára a hálózati címfordító (NAT) útválasztók megkerülését
  • Kimenő szabályok konfigurálása
  • Biztonsági szabályok konfigurálása
  • IPsec szükséges a bejövő kapcsolatokhoz

Új tűzfalszabály létrehozása az Új szabály varázsló segítségével

  1. A Start menüben válassza a Futtatás parancsot, írja be a WF.msc parancsot , majd válassza az OK lehetőséget.
  2. A Speciális biztonságú Windows tűzfal bal oldali ablaktábláján kattintson a jobb gombbal a Bejövő szabályok elemre, majd válassza az Új szabály lehetőséget.
  3. Töltse ki az Új bejövő szabályt Varázsló a kívánt beállításokkal.

A tűzfal beállításainak elhárítása

A következő eszközök és technikák hasznosak lehetnek a tűzfalproblémák elhárításához:

  • A tényleges portállapot minden szabály egyesülése a kikötővel kapcsolatos. Amikor megpróbálja blokkolni a hozzáférést egy porton keresztül, hasznos lehet áttekinteni a portszámot idéző összes szabályt. Ehhez használja a Windows tűzfalat az Advanced Security MMC beépülő modullal, és rendezze a bejövő és a kimenő szabályokat portszám szerint.

  • Tekintse át a számítógépen aktív portokat a melyik SQL Server fut. Ez a felülvizsgálati folyamat magában foglalja annak ellenőrzését, hogy mely TCP / IP portok hallgatnak, valamint a portok állapotát is.

    A netstat parancssori segédprogram segítségével ellenőrizheti, hogy mely portok figyelnek. Az aktív TCP kapcsolatok megjelenítése mellett a netstat segédprogram különféle IP statisztikákat és információkat is megjelenít.

    A TCP / IP portok hallgatásának felsorolása

    1. Nyissa meg a Parancssor ablakot.

    2. A parancssorba írja be a netstat -n -a parancsot.

      A -n kapcsoló arra utasítja a netstat, hogy számszerűen jelenítse meg a címet. és az aktív TCP kapcsolatok portszámát. Az -a kapcsoló utasítja a netstat-ot, hogy jelenítse meg azokat a TCP és UDP portokat, amelyeken a számítógép hallgat.

  • A PortQry segédprogram segítségével jelentést lehet készíteni. a TCP / IP portok állapota hallgat, nem hallgat vagy szűrt. (Szűrt állapot esetén a port lehet, hogy nem hallgat; ez az állapot azt jelzi, hogy a segédprogram nem kapott választ a porttól.) A PortQry segédprogram letölthető a Microsoft letöltőközpontjából.

Lásd még:

A szolgáltatás áttekintése és a hálózati port követelményei a Windows Server rendszer számára
Hogyan: Konfigurálja a tűzfal beállításait (Azure SQL Database)

admin
0

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük

Archívum

Legutóbbi bejegyzések