SQLServerアクセスを許可するようにWindowsファイアウォールを構成する
- 07/22/2020
- 22分で読む
-
-
c -
D -
k -
l -
v -
+13
-
適用対象:
SQL Server(すべてサポートされているバージョン)-Windowsのみ AzureSQLマネージドインスタンス
ファイアウォールシステムは、コンピューターリソースへの不正アクセスを防止するのに役立ちます。ファイアウォールがオンになっているが正しく構成されていない場合、SQLServerへの接続の試行がブロックされる可能性があります。
ファイアウォールを介してSQLServerのインスタンスにアクセスするには、ファイアウォールを構成しているコンピューターでファイアウォールを構成する必要があります。 SQLServerを実行しています。ファイアウォールはMicrosoftWindowsのコンポーネントです。他社のファイアウォールをインストールすることもできます。この記事では、Windowsファイアウォールの構成方法について説明しますが、基本原則は他のファイアウォールプログラムにも適用されます。
注
この記事では、ファイアウォール構成の概要と、 SQLServer管理者の関心。ファイアウォールの詳細と信頼できるファイアウォール情報については、Windowsファイアウォールセキュリティ導入ガイドなどのファイアウォールドキュメントを参照してください。
Windowsファイアウォールの管理に精通しているユーザーと、ファイアウォール設定を知っているユーザー構成したい場合は、より高度な記事に直接移動できます。
- データベースエンジンアクセス用にWindowsファイアウォールを構成する
- AnalysisServicesアクセスを許可するようにWindowsファイアウォールを構成する
- レポートサーバーアクセス用のファイアウォールの構成
基本的なファイアウォール情報
ファイアウォールは、着信パケットを検査し、それらを一連のルールと比較することで機能します。パケットがルールで定められた基準を満たしている場合、ファイアウォールは追加の処理のためにパケットをTCP / IPプロトコルに渡します。パケットがルールで指定された基準を満たしていない場合、ファイアウォールはパケットを破棄し、ロギングが有効になっている場合は、ファイアウォールのロギングファイルにエントリを作成します。
許可されたトラフィックのリストが入力されます。次のいずれかの方法で:
-
自動的に:ファイアウォールが有効になっているコンピューターが通信を開始すると、ファイアウォールはリストにエントリを作成して、応答を許可します。この応答は送信請求トラフィックと見なされ、構成する必要のあるものはありません。
-
手動:管理者がファイアウォールの例外を構成します。これにより、コンピュータ上の指定されたプログラムまたはポートにアクセスできます。この場合、コンピューターは、サーバー、リスナー、またはピアとして機能するときに、一方的な着信トラフィックを受け入れます。これは、SQLServerに接続するために完了する必要のある構成の種類です。
ファイアウォール戦略の選択は、特定のポートを開くか閉じるかを決定するよりも複雑です。 。企業のファイアウォール戦略を設計するときは、利用可能なすべてのルールと構成オプションを考慮してください。この記事では、考えられるすべてのファイアウォールオプションについて説明しているわけではありません。次のドキュメントを確認することをお勧めします。
Windowsファイアウォール導入ガイド
Windowsファイアウォール設計ガイド
サーバーとドメインの分離の概要
デフォルトのファイアウォール設定
ファイアウォール構成を計画する最初のステップは、オペレーティングシステムのファイアウォールの現在のステータスを確認することです。オペレーティングシステムが以前のバージョンからアップグレードされた場合、以前のファイアウォール設定が保持されている可能性があります。また、ファイアウォールの設定は、別の管理者またはドメインのグループポリシーによって変更された可能性があります。
注
ファイアウォールをオンにすると、これにアクセスする他のプログラムに影響します。ファイルや印刷の共有などのコンピューター、およびリモートデスクトップ接続。管理者は、ファイアウォール設定を調整する前に、コンピューターで実行されているすべてのアプリケーションを検討する必要があります。
ファイアウォールを構成するプログラム
いずれかのMicrosoft管理コンソールを使用してWindowsファイアウォール設定を構成します。またはnetsh。
-
Microsoft管理コンソール(MMC)
高度なセキュリティを備えたWindowsファイアウォールMMCスナップインを使用すると、より高度なファイアウォール設定を構成できます。このスナップインは、ほとんどのファイアウォールオプションを使いやすい方法で表示し、すべてのファイアウォールプロファイルを表示します。詳細については、この記事で後述する「高度なセキュリティスナップインを使用したWindowsファイアウォールの使用」を参照してください。
-
netsh
netsh.exeツールを使用できます。管理者が、コマンドプロンプトまたはバッチファイル**を使用してWindowsベースのコンピューターを構成および監視します。** netshツールを使用すると、入力したコンテキストコマンドを適切なヘルパーに送信でき、ヘルパーがコマンドを実行します。ヘルパーは、1つ以上のサービス、ユーティリティ、またはプロトコルの構成、監視、およびサポートを提供することにより、netshツールの機能を拡張するダイナミックリンクライブラリ(.dll)ファイルです。 SQL Serverをサポートするすべてのオペレーティングシステムには、ファイアウォールヘルパーがあります。 Windows Server 2008には、advfirewallと呼ばれる高度なファイアウォールヘルパーもあります。 netshの使用の詳細については、この記事では説明しません。ただし、説明されている構成オプションの多くは、netshを使用して構成できます。たとえば、コマンドプロンプトで次のスクリプトを実行して、TCPポート1433を開きます。
Windows Firewall for Advanced Securityヘルパーを使用した同様の例:
netshの詳細については、次のリンクを参照してください。
- Netshコマンドの構文、コンテキスト、およびフォーマット
- 「netshfirewall」コンテキストの代わりに「netshadvfirewallfirewall」コンテキストを使用して、Windows Server2008およびWindowsVistaでWindowsファイアウォールの動作を制御する方法
-
Linuxの場合:Linuxでは、アクセスする必要のあるサービスに関連付けられているポートも開く必要があります。 Linuxのさまざまなディストリビューションとさまざまなファイアウォールには、独自の手順があります。 2つの例については、RedHatのSQLServerとSUSEのSQLServerを参照してください。
SQLServerで使用されるポート
次の表は、次の表に役立ちます。 SQLServerで使用されているポートを特定します。
データベースエンジンで使用されているポート
デフォルトでは、SQLServerおよび関連するデータベースエンジンサービスで使用されている一般的なポートは次のとおりです。TCP1433、4022 、135、1434、UDP1434。次の表で、これらのポートについて詳しく説明します。名前付きインスタンスは動的ポートを使用します。
次の表に、データベースエンジンで頻繁に使用されるポートを示します。
| シナリオ | ポート | |
|---|---|---|
| TCP上で実行されるデフォルトのインスタンス | TCPポート1433 | これは、ファイアウォールを通過できる最も一般的なポートです。これは、データベースエンジンのデフォルトのインストールへの定期的な接続、またはコンピューターで実行されている唯一のインスタンスである名前付きインスタンスに適用されます。 (名前付きインスタンスには特別な考慮事項があります。この記事の後半の動的ポートを参照してください。) |
| デフォルトポートを持つ名前付きインスタンス | TCPポートは、決定された動的ポートです。データベースエンジンの起動時。 | 以下の「動的ポート」セクションの説明を参照してください。名前付きインスタンスを使用する場合、SQLServerブラウザサービスにUDPポート1434が必要になる場合があります。 |
| 固定ポートの名前付きインスタンス | によって構成されたポート番号管理者。 | 以下の「動的ポート」セクションの説明を参照してください。 |
| 専用管理者接続 | デフォルトのTCPポート1434インスタンス。名前付きインスタンスには他のポートが使用されます。エラーログでポート番号を確認してください。 | デフォルトでは、専用管理者接続(DAC)へのリモート接続は有効になっていません。リモートDACを有効にするには、Surface AreaConfigurationファセットを使用します。詳細については、Surface AreaConfigurationを参照してください。 |
| SQLServerブラウザサービス | UDPポート1434 | SQLServerブラウザサービスはリッスンします名前付きインスタンスへの着信接続の場合、その名前付きインスタンスに対応するTCPポート番号をクライアントに提供します。通常、SQL Serverブラウザサービスは、データベースエンジンの名前付きインスタンスが使用されるたびに開始されます。指定されたインスタンスの特定のポートに接続するようにクライアントが構成されている場合は、SQLServerブラウザサービスを開始する必要はありません。 |
| HTTPエンドポイントを持つインスタンス。 | HTTPエンドポイントの作成時に指定できます。デフォルトは、CLEAR_PORTトラフィックの場合はTCPポート80、SSL_PORTトラフィックの場合は443です。 | URLを介したHTTP接続に使用されます。 |
| HTTPSエンドポイントを持つデフォルトインスタンス | TCPポート443 | URLを介したHTTPS接続に使用されます。 HTTPSは、以前はSecure Sockets Layer(SSL)と呼ばれていたトランスポート層セキュリティ(TLS)を使用するHTTP接続です。 |
| サービスブローカー | TCPポート4022 。使用されているポートを確認するには、次のクエリを実行します:SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = "SERVICE_BROKER" |
SQL ServerService Brokerのデフォルトのポートはありませんが、これはBooksOnlineの例で使用されている従来の構成です。 |
| データベースミラーリング | 管理者が選択したポート。ポートを特定するには、次のクエリを実行します。SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = "DATABASE_MIRRORING" |
ありませんデータベースミラーリングのデフォルトポート。ただし、Books Onlineの例ではTCPポート5022または7022を使用しています。特に自動フェイルオーバーを備えた高安全モードでは、使用中のミラーリングエンドポイントを中断しないようにすることが重要です。ファイアウォール構成では、クォーラムの中断を回避する必要があります。詳細については、「サーバーネットワークアドレスの指定(データベースミラーリング)」を参照してください。 |
| レプリケーション | SQL Serverへのレプリケーション接続では、通常の通常のデータベースエンジンポートを使用します(デフォルトインスタンスのTCPポート1433など) レプリケーションスナップショットのWeb同期とFTP / UNCアクセスでは、ファイアウォールで追加のポートを開く必要があります。初期データとスキーマをある場所から別の場所に転送するために、レプリケーションではFTP(TCPポート21)を使用するか、HTTP(TCPポート80)またはファイル共有を介して同期することができます。ファイル共有では、UDPポート137と138を使用し、NetBIOSを使用している場合はTCPポート139を使用します。ファイル共有はTCPポート445を使用します。 |
HTTP経由の同期の場合、レプリケーションはIISエンドポイント(構成可能ですが、デフォルトではポート80です)を使用しますが、IISプロセスはバックエンドSQLServerに接続します。標準ポート(デフォルトインスタンスの場合は1433。 FTPを使用したWeb同期中、FTP転送はIISとSQL Serverパブリッシャー間で行われ、サブスクライバーとIIS間では行われません。 |
| Transact-SQLデバッガー | TCPポート135 ポート135に関する特別な考慮事項を参照 IPsec例外も必要になる場合があります。 |
Visual Studioを使用している場合は、VisualStudioでホストコンピューターの場合は、Devenv.exeも例外リストに追加してTCPポート135を開く必要があります。 ManagementStudioを使用している場合は、Management Studioホストコンピューターでssms.exeも例外リストに追加してTCPポートを開く必要があります。 135.詳細については、「TSQLデバッガーを実行する前にファイアウォールルールを構成する」を参照してください。 |
データベースエンジン用にWindowsファイアウォールを構成する手順については、「データベースエンジンアクセス用にWindowsファイアウォールを構成する」を参照してください。
動的ポート
デフォルトでは、名前付きインスタンス( SQL Server Expressを含む)は動的ポートを使用します。つまり、データベースエンジンは、起動するたびに、使用可能なポートを識別し、そのポート番号を使用します。指定されたインスタンスがインストールされているデータベースエンジンの唯一のインスタンスである場合、おそらくTCPポート1433を使用します。データベースエンジンの他のインスタンスがインストールされている場合、おそらく別のTCPポートを使用します。選択したポートはデータベースエンジンが起動するたびに変更される可能性があるため、正しいポート番号にアクセスできるようにファイアウォールを構成することは困難です。したがって、ファイアウォールを使用する場合は、毎回同じポート番号を使用するようにデータベースエンジンを再構成することをお勧めします。これは、固定ポートまたは静的ポートと呼ばれます。詳細については、「特定のTCPポートでリッスンするようにサーバーを構成する(SQL Server Configuration Manager)」を参照してください。
固定ポートでリッスンするように名前付きインスタンスを構成する代わりに、ファイアウォールで例外を作成することもできます。 sqlservr.exe(データベースエンジン用)などのSQLServerプログラムの場合。これは便利な場合がありますが、セキュリティが強化されたMMCスナップインを備えたWindowsファイアウォールを使用している場合、[受信ルール]ページの[ローカルポート]列にポート番号は表示されません。これにより、開いているポートの監査がより困難になる可能性があります。もう1つの考慮事項は、サービスパックまたは累積的な更新により、SQL Server実行可能ファイルへのパスが変更され、ファイアウォールルールが無効になる可能性があることです。
セキュリティが強化されたWindowsDefenderファイアウォールを使用してファイアウォールにプログラム例外を追加するには
-
スタートメニューから、wf.mscと入力します。 Enterキーを押すか、検索結果wf.mscを選択して、セキュリティが強化されたWindowsDefenderファイアウォールを開きます。
-
左側のウィンドウで、[受信ルール]を選択します。
-
右側のペインの[アクション]で、[新しいルール…]を選択します。[新しい受信ルールウィザード]が開きます。
-
[ルールの種類]で、[プログラム]を選択します。 [次へ]を選択します。
-
[プログラム]で、[このプログラムパス]を選択します。 [参照]を選択して、SQLServerのインスタンスを見つけます。プログラムはsqlservr.exeと呼ばれます。通常は次の場所にあります:
C:\Program Files\Microsoft SQL Server\MSSQL15.<InstanceName>\MSSQL\Binn\sqlservr.exe次を選択
-
オンアクション、[接続を許可する]を選択します。 [次へ]を選択します。
-
[プロファイル]に、3つのプロファイルすべてを含めます。 [次へ]を選択します。
-
[名前]に、ルールの名前を入力します。 [完了]を選択します。
エンドポイントの詳細については、「複数のTCPポートとエンドポイントカタログビューでリッスンするようにデータベースエンジンを構成する(Transact-SQL)」を参照してください。
AnalysisServicesで使用されるポート
デフォルトでは、SQL Server AnalysisServicesおよび関連サービスで使用される一般的なポートはTCP2382、2383、80、443です。次の表でこれらのポートについて詳しく説明します。
次の表に、AnalysisServicesで頻繁に使用されるポートを示します。
| 機能 | ポート | |
|---|---|---|
| Analysis Services | デフォルトインスタンスのTCPポート2383 | AnalysisServicesのデフォルトインスタンスの標準ポート。 |
| SQLServerブラウザーサービス | TCPポート2382は、AnalysisServicesの名前付きインスタンスにのみ必要です | 指定されていないAnalysisServicesの名前付きインスタンスに対するクライアント接続要求ポート番号は、SQLServerブラウザーがリッスンするポートであるポート2382に送信されます。次に、SQL Server Browserは、指定されたインスタンスが使用するポートにリクエストをリダイレクトします。 |
| IIS / HTTPを介して使用するように構成された分析サービス (PivotTable®サービスはHTTPまたはHTTPS) |
TCPポート80 | URLを介したHTTP接続に使用されます。 |
| IIS /を介して使用するように構成された分析サービスHTTPS (PivotTable®サービスはHTTPまたはHTTPSを使用します) |
TCPポート443 | URLを介したHTTPS接続に使用されます。 HTTPSは、TLSを使用するHTTP接続です。 |
ユーザーがAnalysisServicesにアクセスする場合IISとインターネットでは、IISがリッスンしているポートを開き、クライアント接続文字列でそのポートを指定する必要があります。この場合、AnalysisServicesに直接アクセスするためにポートを開く必要はありません。デフォルトのポート2389とポート2382は、不要な他のすべてのポートと一緒に制限する必要があります。
Analysis Services用にWindowsファイアウォールを構成する手順については、「許可するようにWindowsファイアウォールを構成する」を参照してください。 AnalysisServicesアクセス。
ReportingServicesで使用されるポート
デフォルトでは、SQL Server ReportingServicesおよび関連サービスで使用される一般的なポートはTCP80、443です。次の表でこれらを説明します。ポートの詳細。
次の表に、ReportingServicesで頻繁に使用されるポートを示します。
| 機能 | ポート | |
|---|---|---|
| Reporting ServicesWebサービス | TCPポート80 | URLを介したReportingServicesへのHTTP接続に使用されます。事前設定されたルールWorldWide Web Services(HTTP)を使用しないことをお勧めします。詳細については、以下の「他のファイアウォールルールとの相互作用」セクションを参照してください。 |
| HTTPS経由で使用するように構成されたレポートサービス | TCPポート443 | URLを介したHTTPS接続に使用されます。 HTTPSは、TLSを使用するHTTP接続です。事前設定されたルールSecureWorld Wide Web Services(HTTPS)を使用しないことをお勧めします。詳細については、以下の「他のファイアウォールルールとの相互作用」セクションを参照してください。 |
いつReportingServicesはデータベースエンジンまたはAnalysisServicesのインスタンスに接続します。また、これらのサービスに適切なポートを開く必要があります。 Reporting Services用にWindowsファイアウォールを構成する手順については、ReportServerアクセス用にファイアウォールを構成してください。
IntegrationServicesで使用されるポート
次の表に、 IntegrationServicesサービスによって使用されます。
| 機能 | ポート | |
|---|---|---|
| Microsoftリモートプロシージャコール(MS RPC) IntegrationServicesランタイムによって使用されます。 |
TCPポート135 ポート135に関する特別な考慮事項を参照してください |
IntegrationServicesサービスはポート135でDCOMを使用します。 Service Control Managerは、ポート135を使用して、Integration Servicesサービスの開始と停止、実行中のサービスへの制御要求の送信などのタスクを実行します。ポート番号は変更できません。 このポートは、ManagementStudioまたはカスタムアプリケーションからIntegrationServicesサービスのリモートインスタンスに接続している場合にのみ開く必要があります。 |
Integration Services用にWindowsFirewallを構成するための詳細な手順については、Integration Services Service(SSIS Service)を参照してください。
追加のポートとサービス
次の表に、SQLServerが依存する可能性のあるポートとサービスを示します。
| シナリオ | ポート | |
|---|---|---|
| Windows Management Instrumentation WMIの詳細については、「構成管理の概念に関するWMIプロバイダー」を参照してください。 |
WMIはの一部として実行されます。 DCOMを介して割り当てられたポートを持つ共有サービスホスト。WMIはTCPポート135を使用している可能性があります。 ポート135に関する特別な考慮事項を参照してください |
SQL Server Configuration Managerは、WMIを使用してサービスを一覧表示および管理します。事前構成されたルールグループWindowsManagement Instrumentation(WMI)を使用することをお勧めします。詳細については、以下の「他のファイアウォールルールとの相互作用」セクションを参照してください。 |
| Microsoft分散トランザクションコーディネーター(MS DTC) | TCPポート135 を参照してください。ポート135に関する特別な考慮事項 |
アプリケーションで分散トランザクションを使用する場合は、Microsoft分散トランザクションコーディネーター(MS DTC)トラフィックが個別のMSDTCインスタンス間およびMSDTC間を流れるようにファイアウォールを構成する必要がある場合があります。およびSQLServerなどのリソースマネージャー。事前構成された分散トランザクションコーディネータールールグループを使用することをお勧めします。 単一の共有MSDTCが別のリソースグループのクラスター全体に構成されている場合は、ファイアウォールの例外としてsqlservr.exeを追加する必要があります。 |
| Management Studioの参照ボタンは、UDPを使用してSQLServerブラウザーサービスに接続します。詳細については、SQL Serverブラウザサービス(データベースエンジンおよびSSAS)を参照してください。 | UDPポート1434 | UDPは接続のないプロトコルです。 ファイアウォールには設定(UnicastResponsesToMulticastBroadcastDisabledプロパティ)があります。ブロードキャスト(またはマルチキャスト)UDP要求へのユニキャスト応答に関するファイアウォールの動作を制御するINetFwProfileインターフェイスの)。これには2つの動作があります。 設定がTRUEの場合、ブロードキャストへのユニキャスト応答はまったく許可されません。サービスの列挙は失敗します。 設定がFALSE(デフォルト)の場合、ユニキャスト応答は3秒間許可されます。時間の長さは構成できません。混雑したネットワークや待ち時間の長いネットワーク、または負荷の高いサーバーの場合、SQL Serverのインスタンスを列挙しようとすると、部分的なリストが返され、ユーザーを誤解させる可能性があります。 |
| IPsecトラフィック | UDPポート500およびUDPポート4500 | ドメインポリシーでネットワーク通信をIPsec経由で行う必要がある場合は、UDPポート4500およびUDPポート500も例外リストに追加する必要があります。 IPsecは、Windowsファイアウォールスナップインの新しい受信ルールウィザードを使用するオプションです。詳細については、以下の高度なセキュリティスナップインでのWindowsファイアウォールの使用を参照してください。 |
| 信頼されたドメインでのWindows認証の使用 | ファイアウォールは許可するように構成する必要があります認証要求。 | 詳細については、ドメインと信頼のためにファイアウォールを構成する方法を参照してください。 |
| SQLServerとWindowsクラスタリング | クラスタリングには、SQLServerに直接関係のない追加のポートが必要です。 | 詳細については、「ネットワークでの使用を有効にする」を参照してください。 |
| URL名前の予約HTTPサーバーAPI(HTTP.SYS) | おそらくTCPポート80ですが、他のポートに構成することもできます。一般的な情報については、HTTPとHTTPSの構成を参照してください。 | HttpCfg.exeを使用したHTTP.SYSエンドポイントの予約に関するSQLServer固有の情報については、URLの予約と登録について(SSRS構成マネージャー)を参照してください。 |
ポート135に関する特別な考慮事項
TCP /でRPCを使用する場合IPまたはUDP / IPをトランスポートとして使用すると、インバウンドポートは必要に応じてシステムサービスに動的に割り当てられることがよくあります。ポート1024より大きいTCP / IPおよびUDP / IPポートが使用されます。これらは、非公式に「ランダムRPCポート」と呼ばれることがよくあります。このような場合、RPCクライアントはRPCエンドポイントマッパーに依存して、サーバーに割り当てられている動的ポートを通知します。一部のRPCベースのサービスでは、RPCに動的に割り当てさせる代わりに、特定のポートを構成できます。また、サービスに関係なく、RPCが動的に割り当てるポートの範囲を狭い範囲に制限することもできます。ポート135は多くのサービスで使用されているため、悪意のあるユーザーから頻繁に攻撃されます。ポート135を開くときは、ファイアウォールルールの範囲を制限することを検討してください。
ポート135の詳細については、次の参照を参照してください。
- サービスの概要とネットワークポートの要件WindowsServerシステム
- 製品CDのWindowsServer2003サポートツールを使用したRPCエンドポイントマッパーエラーのトラブルシューティング
- リモートプロシージャコール(RPC)
- 構成方法ファイアウォールと連携するためのRPC動的ポート割り当て
他のファイアウォールルールとの相互作用
Windowsファイアウォールは、ルールとルールグループを使用して構成を確立します。各ルールまたはルールグループは通常、特定のプログラムまたはサービスに関連付けられており、そのプログラムまたはサービスは、ユーザーの知らないうちにそのルールを変更または削除する場合があります。たとえば、ルールグループのワールドワイドウェブサービス(HTTP)とワールドワイドウェブサービス(HTTPS)はIISに関連付けられています。これらのルールを有効にすると、ポート80と443が開き、ポート80と443に依存するSQL Serverの機能は、これらのルールが有効になっている場合に機能します。ただし、IISを構成する管理者は、これらのルールを変更または無効にする場合があります。したがって、SQL Serverにポート80またはポート443を使用している場合は、他のIISルールとは独立して目的のポート構成を維持する独自のルールまたはルールグループを作成する必要があります。
セキュリティが強化されたWindowsファイアウォールMMCスナップインは、該当する許可ルールに一致するすべてのトラフィックを許可します。したがって、両方がポート80に適用される2つのルール(パラメーターが異なる)がある場合、どちらかのルールに一致するトラフィックが許可されます。したがって、1つのルールがローカルサブネットからのポート80を介したトラフィックを許可し、1つのルールが任意のアドレスからのトラフィックを許可する場合、最終的な効果は、送信元に関係なく、ポート80へのすべてのトラフィックが許可されることです。 SQL Serverへのアクセスを効果的に管理するには、管理者はサーバーで有効になっているすべてのファイアウォールルールを定期的に確認する必要があります。
ファイアウォールプロファイルの概要
ファイアウォールプロファイルは、オペレーティングシステムが識別して記憶するために使用されます。接続、接続、およびカテゴリに関して、接続先の各ネットワーク。
セキュリティが強化されたWindowsファイアウォールには、次の3つのネットワークロケーションタイプがあります。
- ドメイン: Windowsは、コンピューターが参加しているドメインのドメインコントローラーへのアクセスを認証できます。
- パブリック:ドメインネットワークを除き、すべてのネットワークは最初はパブリックとして分類されます。インターネットへの直接接続を表すネットワーク、または空港や喫茶店などの公共の場所にあるネットワークは、公開したままにする必要があります。
- プライベート:ユーザーまたはアプリケーションによってプライベートとして識別されるネットワーク。信頼できるネットワークのみをプライベートネットワークとして識別する必要があります。ユーザーは、ホームネットワークまたはスモールビジネスネットワークをプライベートとして識別したいと思うでしょう。
管理者は、ネットワークの場所の種類ごとにプロファイルを作成できます。プロファイルごとに異なるファイアウォールポリシーが含まれます。一度に適用されるプロファイルは1つだけです。プロファイルの順序は次のように適用されます。
- コンピューターがメンバーになっているドメインのドメインコントローラーに対してすべてのインターフェイスが認証されている場合、ドメインプロファイルが適用されます。
- すべてのインターフェイスがドメインコントローラーに対して認証されているか、プライベートネットワークの場所として分類されているネットワークに接続されている場合は、プライベートプロファイルが適用されます。
- それ以外の場合は、パブリックプロファイルが適用されます。
Windowsファイアウォールと高度なセキュリティMMCスナップインを使用して、すべてのファイアウォールプロファイルを表示および構成します。コントロールパネルのWindowsファイアウォールアイテムは、現在のプロファイルのみを構成します。
コントロールパネルのWindowsファイアウォールアイテムを使用した追加のファイアウォール設定
ファイアウォールに追加する例外により、ファイアウォールを開くことが制限される場合があります。特定のコンピューターまたはローカルサブネットからの着信接続へのポート。このポート開放の範囲の制限により、コンピュータが悪意のあるユーザーにさらされる量を減らすことができるため、推奨されます。
注
ControlでWindowsファイアウォールアイテムを使用するパネルは現在のファイアウォールプロファイルのみを構成します。
コントロールパネルのWindowsファイアウォール項目を使用してファイアウォール例外の範囲を変更するには
-
コントロールパネルの[Windowsファイアウォール]項目で、[例外]タブでプログラムまたはポートを選択し、[プロパティ]または[編集]をクリックします。
-
[プログラムの編集]または[ポートの編集]ダイアログボックスで、 [スコープの変更]をクリックします。
-
次のいずれかのオプションを選択します。
-
任意のコンピューター(インターネット上のコンピューターを含む):推奨されません。これにより、コンピュータをアドレス指定できるすべてのコンピュータが、指定されたプログラムまたはポートに接続できるようになります。この設定は、インターネット上の匿名ユーザーに情報を提示できるようにするために必要な場合がありますが、悪意のあるユーザーへの露出が増加します。この設定を有効にし、[エッジトラバーサルを許可する]オプションなどのネットワークアドレス変換(NAT)トラバーサルも許可すると、露出をさらに増やすことができます。
-
ネットワーク(サブネット)のみ:これは、どのコンピューターよりも安全な設定です。ネットワークのローカルサブネット上のコンピューターのみがプログラムまたはポートに接続できます。
-
カスタムリスト:リストされているIPアドレスを持つコンピューターのみが接続できます。これは、マイネットワーク(サブネット)のみよりも安全な設定になりますが、DHCPを使用するクライアントコンピューターは、IPアドレスを変更する場合があります。そうすると、目的のコンピューターは接続できなくなります。許可するつもりがなかった別のコンピューターが、リストされたIPアドレスを受け入れて、接続できる可能性があります。カスタムリストオプションは、固定IPアドレスを使用するように構成されている他のサーバーを一覧表示するのに適している場合があります。ただし、侵入者によってIPアドレスがスプーフィングされる可能性があります。ファイアウォールルールの制限は、ネットワークインフラストラクチャと同じくらい強力です。
-
高度なセキュリティスナップインでのWindowsファイアウォールの使用
追加の高度なファイアウォール設定は、高度なセキュリティMMCスナップインを備えたWindowsファイアウォール。スナップインにはルールウィザードが含まれており、コントロールパネルのWindowsファイアウォール項目では使用できない追加の設定が公開されます。これらの設定には、次のものが含まれます。
- 暗号化設定
- サービスの制限
- 名前によるコンピューターの接続の制限
- 接続の制限特定のユーザーまたはプロファイル
- トラフィックがネットワークアドレス変換(NAT)ルーターをバイパスできるようにするエッジトラバーサル
- アウトバウンドルールの構成
- セキュリティルールの構成
- 着信接続にIPsecを要求する
新しいルールウィザードを使用して新しいファイアウォールルールを作成するには
- [スタート]メニューで[ファイル名を指定して実行]を選択し、WF.mscと入力します、[OK]を選択します。
- セキュリティが強化されたWindowsファイアウォールの左側のウィンドウで、[受信ルール]を右クリックし、[新しいルール]を選択します。
- 新しい受信ルールを完了します。必要な設定を使用してウィザードを実行します。
ファイアウォール設定のトラブルシューティング
ファイアウォールの問題のトラブルシューティングには、次のツールと手法が役立ちます。
-
有効なポートステータスは、すべてのルールの結合です。ポートに関連するes。ポートを介したアクセスをブロックしようとする場合、ポート番号を引用しているすべてのルールを確認すると役立つ場合があります。これを行うには、高度なセキュリティMMCスナップインを備えたWindowsファイアウォールを使用し、ポート番号で受信ルールと送信ルールを並べ替えます。
-
上のコンピューターでアクティブなポートを確認します。どのSQLServerが実行されているか。このレビュープロセスには、リッスンしているTCP / IPポートの確認と、ポートのステータスの確認が含まれます。
リッスンしているポートを確認するには、netstatコマンドラインユーティリティを使用します。 netstatユーティリティは、アクティブなTCP接続を表示するだけでなく、さまざまなIP統計と情報も表示します。
リッスンしているTCP / IPポートを一覧表示するには
-
コマンドプロンプトウィンドウを開きます。
-
コマンドプロンプトで、netstat -n-aと入力します。
-nスイッチは、netstatにアドレスを数値で表示するように指示します。アクティブなTCP接続のポート番号。 -aスイッチは、コンピュータがリッスンしているTCPポートとUDPポートを表示するようにnetstatに指示します。
-
-
PortQryユーティリティを使用してレポートを作成できますリスニング、リッスンしていない、またはフィルタリングされたTCP / IPポートのステータス。 (フィルタリングされたステータスでは、ポートがリッスンしている場合とされていない場合があります。このステータスは、ユーティリティがポートからの応答を受信しなかったことを示します。)PortQryユーティリティは、Microsoftダウンロードセンターからダウンロードできます。
関連項目
Windows Serverシステムのサービスの概要とネットワークポートの要件
方法:ファイアウォール設定(Azure SQLデータベース)を構成する