Gennaio 18, 2021

Configura il firewall di Windows per consentire laccesso a SQL Server

  • 22/07/2020
  • 22 minuti per la lettura
    • c
    • D
    • k
    • l
    • v
    • +13

Si applica a: SQL Server (tutti versioni supportate) – Solo Windows Istanza gestita SQL di Azure

I sistemi firewall aiutano a prevenire laccesso non autorizzato alle risorse del computer. Se un firewall è attivato ma non configurato correttamente, i tentativi di connessione a SQL Server potrebbero essere bloccati.

Per accedere a unistanza di SQL Server tramite un firewall, è necessario configurare il firewall sul computer che è eseguire SQL Server. Il firewall è un componente di Microsoft Windows. Puoi anche installare un firewall di unaltra azienda. Questo articolo discute come configurare il firewall di Windows, ma i principi di base si applicano ad altri programmi firewall.

Nota

Questo articolo fornisce una panoramica della configurazione del firewall e riassume le informazioni di interesse per un amministratore di SQL Server. Per ulteriori informazioni sul firewall e per informazioni autorevoli sul firewall, vedere la documentazione del firewall, ad esempio la guida alla distribuzione della sicurezza di Windows Firewall.

Gli utenti che hanno familiarità con la gestione di Windows Firewall e sanno quali impostazioni del firewall stanno desidera configurare può passare direttamente agli articoli più avanzati:

  • Configurare un firewall Windows per laccesso al motore di database
  • Configurare il firewall Windows per consentire laccesso ad Analysis Services
  • Configurazione di un firewall per laccesso al server di report

Informazioni di base sul firewall

I firewall funzionano ispezionando i pacchetti in entrata e confrontandoli con un insieme di regole. Se il pacchetto soddisfa gli standard dettati dalle regole, il firewall passa il pacchetto al protocollo TCP / IP per unulteriore elaborazione. Se il pacchetto non soddisfa gli standard specificati dalle regole, il firewall scarta il pacchetto e, se la registrazione è abilitata, crea una voce nel file di registrazione del firewall.

Lelenco del traffico consentito viene popolato in uno dei seguenti modi:

  • Automaticamente: quando un computer con un firewall abilitato ha avviato la comunicazione, il firewall crea una voce nellelenco in modo che la risposta sia consentita. Questa risposta è considerata traffico sollecitato e non è necessario configurare nulla.

  • Manualmente: un amministratore configura le eccezioni al firewall. Ciò consente laccesso a programmi o porte specificati sul computer. In questo caso, il computer accetta traffico in entrata non richiesto quando funge da server, ascoltatore o peer. Questo è il tipo di configurazione che deve essere completato per connettersi a SQL Server.

La scelta di una strategia firewall è più complessa che decidere se una determinata porta deve essere aperta o chiusa . Quando si progetta una strategia firewall per la propria azienda, assicurarsi di considerare tutte le regole e le opzioni di configurazione disponibili. Questo articolo non esamina tutte le possibili opzioni del firewall. Si consiglia di esaminare i seguenti documenti:

Guida alla distribuzione di Windows Firewall
Guida alla progettazione di Windows Firewall
Introduzione al server e allisolamento del dominio

Impostazioni firewall predefinite

Il primo passaggio nella pianificazione della configurazione del firewall consiste nel determinare lo stato corrente del firewall per il sistema operativo. Se il sistema operativo è stato aggiornato da una versione precedente, le impostazioni del firewall precedenti potrebbero essere state preservate. Inoltre, le impostazioni del firewall potrebbero essere state modificate da un altro amministratore o da un criterio di gruppo nel tuo dominio.

Nota

Lattivazione del firewall influenzerà altri programmi che accedono a questo computer, come la condivisione di file e stampanti e le connessioni desktop remoto. Gli amministratori dovrebbero prendere in considerazione tutte le applicazioni in esecuzione sul computer prima di modificare le impostazioni del firewall.

Programmi per configurare il firewall

Configurare le impostazioni di Windows Firewall con Microsoft Management Console o netsh.

  • Microsoft Management Console (MMC)

    Lo snap-in MMC Windows Firewall con sicurezza avanzata consente di configurare impostazioni firewall più avanzate. Questo snap-in presenta la maggior parte delle opzioni del firewall in modo facile da usare e presenta tutti i profili del firewall. Per ulteriori informazioni, vedere Utilizzo di Windows Firewall con lo snap-in di protezione avanzata più avanti in questo articolo.

  • netsh

    È possibile utilizzare lo strumento netsh.exe da un amministratore per configurare e monitorare i computer basati su Windows da un prompt dei comandi o utilizzando un file batch **.** Utilizzando lo strumento netsh, è possibile indirizzare i comandi di contesto immessi allhelper appropriato e lhelper esegue quindi il comando. Un helper è un file Dynamic Link Library (.dll) che estende la funzionalità dello strumento netsh fornendo configurazione, monitoraggio e supporto per uno o più servizi, utilità o protocolli. Tutti i sistemi operativi che supportano SQL Server dispongono di un firewall helper. Windows Server 2008 dispone anche di un helper firewall avanzato chiamato advfirewall. I dettagli sullutilizzo di netsh non sono discussi in questo articolo. Tuttavia, molte delle opzioni di configurazione descritte possono essere configurate utilizzando netsh. Ad esempio, esegui il seguente script al prompt dei comandi per aprire la porta TCP 1433:

    Un esempio simile che utilizza lhelper Windows Firewall per la sicurezza avanzata:

    Per ulteriori informazioni su netsh, vedere i seguenti collegamenti:

    • Sintassi, contesti e formattazione dei comandi di Netsh
    • Come utilizzare il contesto “netsh advfirewall firewall” invece del contesto “netsh firewall” per controllare il comportamento di Windows Firewall in Windows Server 2008 e in Windows Vista

  • Per Linux: su Linux, è necessario aprire anche le porte associate ai servizi a cui è necessario accedere. Diverse distribuzioni di Linux e diversi firewall hanno le proprie procedure. Per due esempi, consulta SQL Server su Red Hat e SQL Server su SUSE.

Porte utilizzate da SQL Server

Le seguenti tabelle possono aiutarti identificare le porte utilizzate da SQL Server.

Porte utilizzate dal motore di database

Per impostazione predefinita, le porte tipiche utilizzate da SQL Server e dai servizi del motore di database associati sono: TCP 1433, 4022 , 135, 1434, UDP 1434. La tabella seguente spiega queste porte in maggiore dettaglio. Unistanza denominata utilizza le porte dinamiche.

La tabella seguente elenca le porte utilizzate di frequente dal Motore di database.

Scenario Porta
Istanza predefinita in esecuzione su TCP Porta TCP 1433 Questa è la porta più comune consentita attraverso il firewall. Si applica alle connessioni di routine allinstallazione predefinita del Motore di database oa unistanza denominata che è lunica istanza in esecuzione sul computer. (Le istanze denominate hanno considerazioni speciali. Vedere Porte dinamiche più avanti in questo articolo.)
Istanze denominate con porta predefinita La porta TCP è una porta dinamica determinata al momento dellavvio del Motore di database. Vedere la discussione di seguito nella sezione Porte dinamiche. La porta UDP 1434 potrebbe essere richiesta per il servizio SQL Server Browser quando si utilizzano istanze denominate.
Istanze denominate con porta fissa Il numero di porta configurato da lamministratore. Vedere la discussione di seguito nella sezione Porte dinamiche.
Connessione amministrativa dedicata Porta TCP 1434 per limpostazione predefinita esempio. Altre porte vengono utilizzate per le istanze denominate. Controllare il registro degli errori per il numero di porta. Per impostazione predefinita, le connessioni remote alla connessione Dedicated Administrator (DAC) non sono abilitate. Per abilitare DAC remoto, utilizzare il facet Configurazione area di superficie. Per ulteriori informazioni, vedere Configurazione dellarea di superficie.
Servizio SQL Server Browser Porta UDP 1434 Il servizio SQL Server Browser è in ascolto per le connessioni in entrata a unistanza denominata e fornisce al client il numero di porta TCP che corrisponde a tale istanza denominata. Normalmente il servizio SQL Server Browser viene avviato ogni volta che vengono utilizzate istanze denominate del Motore di database. Il servizio SQL Server Browser non deve essere avviato se il client è configurato per connettersi alla porta specifica dellistanza denominata.
Istanza con endpoint HTTP. Può essere specificato quando viene creato un endpoint HTTP. Limpostazione predefinita è la porta TCP 80 per il traffico CLEAR_PORT e 443 per il traffico SSL_PORT. Utilizzata per una connessione HTTP tramite un URL.
Istanza predefinita con endpoint HTTPS Porta TCP 443 Utilizzata per una connessione HTTPS tramite un URL. HTTPS è una connessione HTTP che utilizza Transport Layer Security (TLS), precedentemente nota come Secure Sockets Layer (SSL).
Service Broker Porta TCP 4022 . Per verificare la porta utilizzata, eseguire la seguente query:
SELECT name, protocol_desc, port, state_desc
FROM sys.tcp_endpoints
WHERE type_desc = "SERVICE_BROKER" 		Non esiste una porta predefinita per SQL ServerService Broker, ma questa è la configurazione convenzionale utilizzata negli esempi della documentazione in linea.
Mirroring del database Porta scelta dallamministratore.Per determinare la porta, eseguire la seguente query:
SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints
WHERE type_desc = "DATABASE_MIRRORING" 		Non cè porta predefinita per il mirroring del database, tuttavia gli esempi della documentazione in linea utilizzano la porta TCP 5022 o 7022. È importante evitare di interrompere un endpoint di mirroring in uso, soprattutto in modalità a protezione elevata con failover automatico. La configurazione del firewall deve evitare di rompere il quorum. Per ulteriori informazioni, vedere Specificare un indirizzo di rete del server (mirroring del database).
Replica Le connessioni di replica a SQL Server utilizzano le tipiche porte regolari del Motore di database ( Porta TCP 1433 per listanza predefinita, ecc.)
La sincronizzazione Web e laccesso FTP / UNC per listantanea di replica richiedono lapertura di porte aggiuntive sul firewall. Per trasferire i dati e lo schema iniziali da una posizione a unaltra, la replica può utilizzare FTP (porta TCP 21) o la sincronizzazione su HTTP (porta TCP 80) o Condivisione file. La condivisione di file utilizza le porte UDP 137 e 138 e la porta TCP 139 se utilizza NetBIOS. La condivisione file utilizza la porta TCP 445. 		Per la sincronizzazione su HTTP, la replica utilizza lendpoint IIS (le porte per le quali sono configurabili ma è la porta 80 per impostazione predefinita), ma il processo IIS si connette al server SQL back-end tramite il porte standard (1433 per listanza predefinita.
Durante la sincronizzazione Web tramite FTP, il trasferimento FTP avviene tra IIS e leditore di SQL Server, non tra il sottoscrittore e IIS.
Debugger Transact-SQL Porta TCP 135
Vedere Considerazioni speciali per la porta 135
Potrebbe essere necessaria anche leccezione IPsec. 		Se si utilizza Visual Studio, in Visual Studio computer host, è inoltre necessario aggiungere Devenv.exe allelenco delle eccezioni e aprire la porta TCP 135.
Se si utilizza Management Studio, sul computer host di Management Studio, è inoltre necessario aggiungere ssms.exe allelenco delle eccezioni e aprire la porta TCP 135. Per ulteriori informazioni, consulta Configurazione delle regole del firewall prima di eseguire il debugger TSQL.

Per istruzioni dettagliate sulla configurazione di Windows Firewall per Motore di database, vedere Configurazione di un firewall Windows per laccesso al Motore di database.

Porte dinamiche

Per impostazione predefinita, istanze denominate ( incluso SQL Server Express) utilizzano porte dinamiche. Ciò significa che ogni volta che il Motore di database viene avviato, identifica una porta disponibile e utilizza quel numero di porta. Se listanza denominata è lunica istanza del Motore di database installata, probabilmente utilizzerà la porta TCP 1433. Se sono installate altre istanze del Motore di database, probabilmente utilizzerà una porta TCP diversa. Poiché la porta selezionata potrebbe cambiare ogni volta che viene avviato Motore di database, è difficile configurare il firewall per consentire laccesso al numero di porta corretto. Pertanto, se viene utilizzato un firewall, si consiglia di riconfigurare il Motore di database in modo che utilizzi ogni volta lo stesso numero di porta. Questa è chiamata porta fissa o porta statica. Per ulteriori informazioni, vedere Configurazione di un server per lascolto su una porta TCP specifica (Gestione configurazione SQL Server).

Unalternativa alla configurazione di unistanza denominata per lascolto su una porta fissa consiste nel creare uneccezione nel firewall per un programma SQL Server come sqlservr.exe (per Motore di database). Può essere utile, ma il numero di porta non verrà visualizzato nella colonna Porta locale della pagina Regole in ingresso quando si utilizza lo snap-in MMC Windows Firewall con protezione avanzata. Ciò può rendere più difficile controllare quali porte sono aperte. Unaltra considerazione è che un service pack o un aggiornamento cumulativo può modificare il percorso delleseguibile di SQL Server che invaliderà la regola del firewall.

Per aggiungere uneccezione di programma al firewall utilizzando Windows Defender Firewall con sicurezza avanzata

  1. Dal menu di avvio, digita wf.msc. Premi Invio o seleziona il risultato della ricerca wf.msc per aprire Windows Defender Firewall con sicurezza avanzata.

  2. Nel riquadro di sinistra, seleziona Regole in entrata.

  3. Nel riquadro di destra, sotto Azioni, seleziona Nuova regola …. Si apre la procedura guidata Nuova regola in entrata.

  4. In Tipo di regola, seleziona Programma. Seleziona Avanti.

  5. In Programma, seleziona Questo percorso del programma. Seleziona Sfoglia per individuare listanza di SQL Server. Il programma si chiama sqlservr.exe. Normalmente si trova in:

    C:\Program Files\Microsoft SQL Server\MSSQL15.<InstanceName>\MSSQL\Binn\sqlservr.exe

    Seleziona Avanti.

  6. Attivo Azione, seleziona Consenti la connessione. Seleziona Avanti.

  7. In Profilo, includi tutti e tre i profili. Seleziona Avanti.

  8. In Nome, digita un nome per la regola. Selezionare Fine.

Per ulteriori informazioni sugli endpoint, vedere Configurazione del motore di database per lascolto su più porte TCP e viste del catalogo degli endpoint (Transact-SQL).

Porte utilizzate da Analysis Services

Per impostazione predefinita, le porte tipiche utilizzate da SQL Server Analysis Services e dai servizi associati sono: TCP 2382, 2383, 80, 443. La tabella seguente spiega queste porte in maggiore dettaglio.

La tabella seguente elenca le porte utilizzate di frequente da Analysis Services.

Funzionalità Porta
Analysis Services Porta TCP 2383 per listanza predefinita La porta standard per listanza predefinita di Analysis Services.
Servizio SQL Server Browser Porta TCP 2382 necessaria solo per unistanza denominata di Analysis Services Richieste di connessione client per unistanza denominata di Analysis Services che non specificano un numero di porta viene indirizzato alla porta 2382, la porta su cui è in ascolto SQL Server Browser. SQL Server Browser reindirizza quindi la richiesta alla porta utilizzata dallistanza denominata.
Analysis Services configurato per lutilizzo tramite IIS / HTTP
(Il servizio tabella pivot® utilizza HTTP o HTTPS) 		Porta TCP 80 Utilizzata per una connessione HTTP tramite un URL.
Analysis Services configurato per lutilizzo tramite IIS / HTTPS
(Il servizio Tabella pivot® utilizza HTTP o HTTPS) 		Porta TCP 443 Utilizzata per una connessione HTTPS tramite un URL. HTTPS è una connessione HTTP che utilizza TLS.

Se gli utenti accedono ad Analysis Services tramite IIS e Internet, è necessario aprire la porta su cui IIS è in ascolto e specificare tale porta nella stringa di connessione del client. In questo caso, nessuna porta deve essere aperta per laccesso diretto ad Analysis Services. La porta predefinita 2389 e la porta 2382 devono essere limitate insieme a tutte le altre porte non necessarie.

Per istruzioni dettagliate sulla configurazione di Windows Firewall per Analysis Services, vedere Configurare il firewall di Windows per consentire Accesso ad Analysis Services.

Porte utilizzate da Reporting Services

Per impostazione predefinita, le porte tipiche utilizzate da SQL Server Reporting SErvices e dai servizi associati sono: TCP 80, 443. La tabella seguente li spiega porte in modo più dettagliato.

La tabella seguente elenca le porte utilizzate di frequente da Reporting Services.

Funzionalità Porta
Reporting Services Web Services Porta TCP 80 Utilizzata per una connessione HTTP a Reporting Services tramite un URL. Si consiglia di non utilizzare la regola preconfigurata World Wide Web Services (HTTP). Per ulteriori informazioni, vedere la sezione Interazione con altre regole del firewall di seguito.
Reporting Services configurato per lutilizzo tramite HTTPS Porta TCP 443 Utilizzato per una connessione HTTPS tramite un URL. HTTPS è una connessione HTTP che utilizza TLS. Si consiglia di non utilizzare la regola preconfigurata Secure World Wide Web Services (HTTPS). Per ulteriori informazioni, consulta la sezione Interazione con altre regole del firewall di seguito.

Quando Reporting Services si connette a unistanza del Motore di database o di Analysis Services, è inoltre necessario aprire le porte appropriate per tali servizi. Per istruzioni dettagliate sulla configurazione di Windows Firewall per Reporting Services, Configurare un firewall per laccesso al server di report.

Porte utilizzate da Integration Services

La tabella seguente elenca le porte che vengono utilizzati dal servizio Integration Services.

Funzionalità Porta
Chiamate di procedura remota Microsoft (MS RPC)
Utilizzato dal runtime di Integration Services. 		Porta TCP 135
Vedere Considerazioni speciali per la porta 135 		Il servizio Integration Services utilizza DCOM sulla porta 135. Gestione controllo servizi utilizza la porta 135 per eseguire attività quali lavvio e larresto del servizio Integration Services e la trasmissione delle richieste di controllo al servizio in esecuzione. Il numero di porta non può essere modificato.
Questa porta deve essere aperta solo se ci si connette a unistanza remota del servizio Integration Services da Management Studio o da unapplicazione personalizzata.

Per istruzioni dettagliate sulla configurazione di Windows Firewall per Integration Services, vedere Integration Services Service (SSIS Service).

Porte e servizi aggiuntivi

La tabella seguente elenca le porte e i servizi da cui potrebbe dipendere SQL Server.

Scenario Porta
Strumentazione gestione Windows
Per ulteriori informazioni su WMI, consulta Provider WMI per concetti di gestione della configurazione 		WMI viene eseguito come parte di un host di servizio condiviso con porte assegnate tramite DCOM.WMI potrebbe utilizzare la porta TCP 135.
Vedere Considerazioni speciali per la porta 135 		Gestione configurazione SQL Server utilizza WMI per elencare e gestire i servizi. Si consiglia di utilizzare il gruppo di regole preconfigurato Strumentazione gestione Windows (WMI). Per ulteriori informazioni, vedere la sezione Interazione con altre regole firewall di seguito.
Microsoft Distributed Transaction Coordinator (MS DTC) Porta TCP 135
Vedere Considerazioni speciali per la porta 135 		Se lapplicazione utilizza transazioni distribuite, potrebbe essere necessario configurare il firewall per consentire al traffico di Microsoft Distributed Transaction Coordinator (MS DTC) di fluire tra istanze MS DTC separate e tra MS DTC e gestori di risorse come SQL Server. Si consiglia di utilizzare il gruppo di regole Distributed Transaction Coordinator preconfigurato.
Quando un singolo MS DTC condiviso è configurato per lintero cluster in un gruppo di risorse separato, è necessario aggiungere sqlservr.exe come eccezione al firewall.
Il pulsante Sfoglia in Management Studio utilizza UDP per connettersi al servizio SQL Server Browser. Per ulteriori informazioni, vedere Servizio SQL Server Browser (Motore di database e SSAS). Porta UDP 1434 UDP è un protocollo senza connessione.
Il firewall ha unimpostazione (proprietà UnicastResponsesToMulticastBroadcastDisabled dellinterfaccia INetFwProfile) che controlla il comportamento del firewall rispetto alle risposte unicast a una richiesta UDP broadcast (o multicast). Ha due comportamenti:
Se limpostazione è TRUE, non sono consentite risposte unicast a una trasmissione. Lenumerazione dei servizi avrà esito negativo.
Se limpostazione è FALSE (impostazione predefinita), le risposte unicast sono consentite per 3 secondi. Il periodo di tempo non è configurabile. In una rete congestionata o ad alta latenza o per server molto caricati, il tentativo di enumerare istanze di SQL Server potrebbe restituire un elenco parziale, che potrebbe fuorviare gli utenti.
IPsec traffic Porta UDP 500 e porta UDP 4500 Se il criterio di dominio richiede che le comunicazioni di rete vengano eseguite tramite IPsec, è necessario aggiungere anche la porta UDP 4500 e la porta UDP 500 allelenco delle eccezioni. IPsec è unopzione che utilizza la Creazione guidata nuova regola in entrata nello snap-in Windows Firewall. Per ulteriori informazioni, vedere Utilizzo di Windows Firewall con snap-in di protezione avanzata di seguito.
Utilizzo dellautenticazione di Windows con domini attendibili È necessario configurare i firewall per consentire richieste di autenticazione. Per ulteriori informazioni, vedere Come configurare un firewall per domini e trust.
SQL Server e cluster di Windows Il clustering richiede porte aggiuntive non direttamente correlate a SQL Server. Per ulteriori informazioni, vedere Abilitare una rete per lutilizzo del cluster.
Spazi dei nomi URL riservati nellAPI del server HTTP (HTTP.SYS) Probabilmente la porta TCP 80, ma può essere configurata su altre porte. Per informazioni generali, vedere Configurazione di HTTP e HTTPS. Per informazioni specifiche su SQL Server sulla prenotazione di un endpoint HTTP.SYS utilizzando HttpCfg.exe, vedere Informazioni sulla prenotazione e la registrazione di URL (Gestione configurazione SSRS).

Considerazioni speciali per la porta 135

Quando si utilizza RPC con TCP / IP o con UDP / IP come trasporto, le porte in entrata vengono spesso assegnate dinamicamente ai servizi di sistema come richiesto; Vengono utilizzate porte TCP / IP e UDP / IP maggiori della porta 1024. Questi sono spesso informalmente denominati “porte RPC casuali”. In questi casi, i client RPC si basano sul mapping degli endpoint RPC per indicare loro quali porte dinamiche sono state assegnate al server. Per alcuni servizi basati su RPC, è possibile configurare una porta specifica invece di consentire a RPC di assegnarne una in modo dinamico. È inoltre possibile limitare lintervallo di porte che RPC assegna dinamicamente a un intervallo ridotto, indipendentemente dal servizio. Poiché la porta 135 viene utilizzata per molti servizi, viene spesso attaccata da utenti malintenzionati. Quando si apre la porta 135, valutare la possibilità di limitare lambito della regola del firewall.

Per ulteriori informazioni sulla porta 135, vedere i seguenti riferimenti:

  • Panoramica del servizio e requisiti della porta di rete per il sistema Windows Server
  • Risoluzione degli errori di mapping degli endpoint RPC utilizzando gli strumenti di supporto di Windows Server 2003 dal CD del prodotto
  • RPC (Remote Procedure Call)
  • Come configurare Allocazione dinamica delle porte RPC per lavorare con i firewall

Interazione con altre regole del firewall

Windows Firewall utilizza regole e gruppi di regole per stabilire la propria configurazione. Ogni regola o gruppo di regole è generalmente associato a un particolare programma o servizio e tale programma o servizio potrebbe modificare o eliminare tale regola a tua insaputa. Ad esempio, i gruppi di regole World Wide Web Services (HTTP) e World Wide Web Services (HTTPS) sono associati a IIS.Labilitazione di queste regole aprirà le porte 80 e 443 e le funzionalità di SQL Server che dipendono dalle porte 80 e 443 funzioneranno se tali regole sono abilitate. Tuttavia, gli amministratori che configurano IIS potrebbero modificare o disabilitare tali regole. Pertanto, se si utilizza la porta 80 o la porta 443 per SQL Server, è necessario creare la propria regola o il proprio gruppo di regole che mantenga la configurazione della porta desiderata indipendentemente dalle altre regole IIS.

Windows Firewall con protezione avanzata Lo snap-in MMC consente tutto il traffico che corrisponde a qualsiasi regola di autorizzazione applicabile. Quindi, se sono presenti due regole che si applicano entrambe alla porta 80 (con parametri diversi), sarà consentito il traffico che corrisponde a entrambe le regole. Quindi, se una regola consente il traffico sulla porta 80 dalla sottorete locale e una regola consente il traffico da qualsiasi indirizzo, leffetto netto è che tutto il traffico verso la porta 80 è consentito indipendentemente dalla sorgente. Per gestire in modo efficace laccesso a SQL Server, gli amministratori dovrebbero rivedere periodicamente tutte le regole del firewall abilitate sul server.

Panoramica dei profili del firewall

I profili del firewall vengono utilizzati dai sistemi operativi per identificare e ricordare ciascuna delle reti a cui si connettono per quanto riguarda connettività, connessioni e categoria.

Esistono tre tipi di percorsi di rete in Windows Firewall con protezione avanzata:

  • Dominio: Windows può autenticare laccesso al controller di dominio per il dominio a cui fa parte il computer.
  • Pubblico: a parte le reti di dominio, tutte le reti sono inizialmente classificate come pubbliche. Le reti che rappresentano connessioni dirette a Internet o che si trovano in luoghi pubblici, come aeroporti e bar, dovrebbero essere lasciate pubbliche.
  • Privata: una rete identificata da un utente o unapplicazione come privata. Solo le reti affidabili dovrebbero essere identificate come reti private. Gli utenti probabilmente vorranno identificare le reti domestiche o di piccole imprese come private.

Lamministratore può creare un profilo per ogni tipo di percorso di rete, con ogni profilo contenente criteri firewall diversi. Viene applicato un solo profilo alla volta. Lordine del profilo viene applicato come segue:

  1. Se tutte le interfacce sono autenticate nel controller di dominio per il dominio di cui il computer è membro, viene applicato il profilo di dominio.
  2. Se tutte le interfacce sono autenticate al controller di dominio o sono connesse a reti classificate come percorsi di rete privata, viene applicato il profilo privato.
  3. In caso contrario, viene applicato il profilo pubblico.

Utilizzare lo snap-in MMC Windows Firewall con protezione avanzata per visualizzare e configurare tutti i profili del firewall. Lelemento Windows Firewall nel Pannello di controllo configura solo il profilo corrente.

Impostazioni firewall aggiuntive utilizzando lelemento Windows Firewall nel Pannello di controllo

Le eccezioni aggiunte al firewall possono limitare lapertura di la porta alle connessioni in entrata da computer specifici o dalla sottorete locale. Questa restrizione dellambito dellapertura della porta può ridurre la quantità di esposizione del computer a utenti malintenzionati ed è consigliata.

Nota

Utilizzando lelemento Windows Firewall in Controllo Il pannello configura solo il profilo firewall corrente.

Per modificare lambito di uneccezione firewall utilizzando lelemento Windows Firewall nel Pannello di controllo

  1. Nel Elemento Windows Firewall nel Pannello di controllo, seleziona un programma o una porta nella scheda Eccezioni, quindi fai clic su Proprietà o Modifica.

  2. Nella finestra di dialogo Modifica un programma o Modifica una porta, fai clic su Cambia ambito.

  3. Scegli una delle seguenti opzioni:

    • Qualsiasi computer (compresi quelli su Internet): non consigliato . Ciò consentirà a qualsiasi computer che può indirizzare il tuo computer di connettersi al programma o alla porta specificati. Questa impostazione potrebbe essere necessaria per consentire la presentazione delle informazioni a utenti anonimi su Internet, ma aumenta lesposizione a utenti malintenzionati. La tua esposizione può essere ulteriormente aumentata se abiliti questa impostazione e consenti anche lattraversamento NAT (Network Address Translation), come lopzione Consenti attraversamento edge.

    • Solo la mia rete (subnet) : Questa è unimpostazione più sicura rispetto a Qualsiasi computer. Solo i computer sulla sottorete locale della rete possono connettersi al programma o alla porta.

    • Elenco personalizzato: solo i computer che hanno gli indirizzi IP elencati possono connettersi. Questa può essere unimpostazione più sicura rispetto alla sola La mia rete (subnet), tuttavia, i computer client che utilizzano DHCP possono modificare occasionalmente il proprio indirizzo IP. Quindi il computer previsto non sarà in grado di connettersi. Un altro computer, che non avevi intenzione di autorizzare, potrebbe accettare lindirizzo IP elencato e quindi essere in grado di connettersi. Lopzione Elenco personalizzato potrebbe essere appropriata per elencare altri server configurati per utilizzare un indirizzo IP fisso; tuttavia, gli indirizzi IP potrebbero essere falsificati da un intruso. La limitazione delle regole del firewall è forte quanto la tua infrastruttura di rete.

Utilizzo di Windows Firewall con snap-in di sicurezza avanzata

È possibile configurare ulteriori impostazioni avanzate del firewall utilizzando il Windows Firewall con snap-in MMC di sicurezza avanzata. Lo snap-in include una procedura guidata per le regole ed espone impostazioni aggiuntive che non sono disponibili nellelemento Windows Firewall nel Pannello di controllo. Queste impostazioni includono quanto segue:

  • Impostazioni di crittografia
  • Limitazioni dei servizi
  • Limitazione delle connessioni per i computer in base al nome
  • Limitazione delle connessioni a utenti o profili specifici
  • Edge traversal che consente al traffico di aggirare i router NAT (Network Address Translation)
  • Configurazione delle regole in uscita
  • Configurazione delle regole di sicurezza
  • Richiesta di IPsec per le connessioni in entrata

Per creare una nuova regola del firewall utilizzando la procedura guidata Nuova regola

  1. Nel menu Start, seleziona Esegui, digita WF.msc , quindi seleziona OK.
  2. In Windows Firewall con sicurezza avanzata, nel riquadro di sinistra, fai clic con il pulsante destro del mouse su Regole in ingresso, quindi seleziona Nuova regola.
  3. Completa la nuova regola in ingresso Procedura guidata utilizzando le impostazioni desiderate.

Risoluzione dei problemi relativi alle impostazioni del firewall

I seguenti strumenti e tecniche possono essere utili per la risoluzione dei problemi del firewall:

  • Lo stato della porta effettiva è lunione di tutte le regole es relative al porto. Quando si tenta di bloccare laccesso tramite una porta, può essere utile rivedere tutte le regole che citano il numero di porta. A tale scopo, utilizzare lo snap-in MMC Windows Firewall con protezione avanzata e ordinare le regole in entrata e in uscita in base al numero di porta.

  • Rivedere le porte attive sul computer su quale SQL Server è in esecuzione. Questo processo di revisione include la verifica delle porte TCP / IP in ascolto e anche la verifica dello stato delle porte.

    Per verificare quali porte sono in ascolto, utilizzare lutilità della riga di comando netstat. Oltre a visualizzare le connessioni TCP attive, lutilità netstat mostra anche una varietà di statistiche e informazioni IP.

    Per elencare quali porte TCP / IP sono in ascolto

    1. Apri la finestra del prompt dei comandi.

    2. Al prompt dei comandi, digita netstat -n -a.

      Lopzione -n indica a netstat di visualizzare numericamente lindirizzo e il numero di porta delle connessioni TCP attive. Lopzione -a indica a netstat di visualizzare le porte TCP e UDP su cui il computer è in ascolto.

  • Lutilità PortQry può essere utilizzata per segnalare lo stato delle porte TCP / IP come in ascolto, non in ascolto o filtrate. (Con uno stato filtrato, la porta potrebbe o non potrebbe essere in ascolto; questo stato indica che lutilità non ha ricevuto una risposta dalla porta.) Lutilità PortQry è disponibile per il download dallArea download Microsoft.

Vedere anche

Panoramica del servizio e requisiti della porta di rete per il sistema Windows Server
Procedura: configurare le impostazioni del firewall (database SQL di Azure)

admin
0

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Archivi

Articoli recenti