Windows 방화벽 구성-SQL Server | Microsoft Docs

1월 18, 2021

SQL Server 액세스를 허용하도록 Windows 방화벽 구성

2020 년 7 월 22 일
읽는 데 22 분
- c
- D
- k
- l
- v
- +13

적용 대상 : SQL Server (모두 지원되는 버전)-Windows 전용 Azure SQL Managed Instance

방화벽 시스템은 컴퓨터 리소스에 대한 무단 액세스를 방지합니다. 방화벽이 켜져 있지만 올바르게 구성되지 않은 경우 SQL Server에 대한 연결 시도가 차단 될 수 있습니다.

방화벽을 통해 SQL Server 인스턴스에 액세스하려면 방화벽이있는 컴퓨터에서 방화벽을 구성해야합니다. SQL Server 실행. 방화벽은 Microsoft Windows의 구성 요소입니다. 다른 회사의 방화벽을 설치할 수도 있습니다. 이 문서에서는 Windows 방화벽을 구성하는 방법에 대해 설명하지만 기본 원칙은 다른 방화벽 프로그램에도 적용됩니다.

참고

이 문서에서는 방화벽 구성에 대한 개요를 제공하고 다음에 대한 정보를 요약합니다. SQL Server 관리자에게 관심이 있습니다. 방화벽 및 신뢰할 수있는 방화벽 정보에 대한 자세한 내용은 Windows 방화벽 보안 배포 가이드와 같은 방화벽 설명서를 참조하십시오.

Windows 방화벽 관리에 익숙하고 방화벽 설정을 알고있는 사용자 구성하려면 고급 문서로 바로 이동할 수 있습니다.

데이터베이스 엔진 액세스를위한 Windows 방화벽 구성
Analysis Services 액세스를 허용하도록 Windows 방화벽 구성
보고서 서버 액세스를위한 방화벽 구성

기본 방화벽 정보

방화벽은 들어오는 패킷을 검사하고 일련의 규칙과 비교하여 작동합니다. 패킷이 규칙에 명시된 표준을 충족하면 방화벽은 추가 처리를 위해 패킷을 TCP / IP 프로토콜로 전달합니다. 패킷이 규칙에 지정된 표준을 충족하지 않으면 방화벽은 패킷을 삭제하고 로깅이 활성화 된 경우 방화벽 로깅 파일에 항목을 생성합니다.

허용 된 트래픽 목록이 채워집니다. 다음 방법 중 하나 :

자동 : 방화벽이 활성화 된 컴퓨터가 통신을 시작하면 방화벽이 목록에 항목을 생성하여 응답이 허용되도록합니다. 이 응답은 요청 된 트래픽으로 간주되며 구성 할 필요가 없습니다.
수동 : 관리자가 방화벽에 대한 예외를 구성합니다. 이렇게하면 컴퓨터의 지정된 프로그램이나 포트에 액세스 할 수 있습니다. 이 경우 컴퓨터는 서버, 수신기 또는 피어 역할을 할 때 요청하지 않은 들어오는 트래픽을 수락합니다. 이것은 SQL Server에 연결하기 위해 완료해야하는 구성 유형입니다.

방화벽 전략을 선택하는 것은 주어진 포트를 열거 나 닫을 것인지 결정하는 것보다 더 복잡합니다. . 기업을위한 방화벽 전략을 설계 할 때 사용 가능한 모든 규칙과 구성 옵션을 고려해야합니다. 이 문서에서는 가능한 모든 방화벽 옵션을 검토하지는 않습니다. 다음 문서를 검토하는 것이 좋습니다.

Windows 방화벽 배포 가이드
Windows 방화벽 설계 가이드
서버 및 도메인 격리 소개

기본 방화벽 설정

방화벽 구성 계획의 첫 번째 단계는 운영 체제에 대한 방화벽의 현재 상태를 확인하는 것입니다. 운영 체제가 이전 버전에서 업그레이드 된 경우 이전 방화벽 설정이 유지되었을 수 있습니다. 또한 방화벽 설정은 다른 관리자 나 도메인의 그룹 정책에 의해 변경되었을 수 있습니다.

참고

방화벽을 켜면이 방화벽에 액세스하는 다른 프로그램에 영향을 미칩니다. 파일 및 인쇄 공유, 원격 데스크톱 연결과 같은 컴퓨터. 관리자는 방화벽 설정을 조정하기 전에 컴퓨터에서 실행중인 모든 응용 프로그램을 고려해야합니다.

방화벽 구성 프로그램

Microsoft Management Console을 사용하여 Windows 방화벽 설정 구성 또는 netsh.

Microsoft Management Console (MMC)

고급 보안이 포함 된 Windows 방화벽 MMC 스냅인을 사용하면 고급 방화벽 설정을 구성 할 수 있습니다. 이 스냅인은 대부분의 방화벽 옵션을 사용하기 쉬운 방식으로 제공하고 모든 방화벽 프로필을 제공합니다. 자세한 내용은이 문서 뒷부분의 고급 보안 스냅인과 함께 Windows 방화벽 사용을 참조하십시오.
netsh

netsh.exe 도구를 사용할 수 있습니다. 관리자가 명령 프롬프트에서 또는 배치 파일 **을 사용하여 Windows 기반 컴퓨터를 구성하고 모니터링합니다.** netsh 도구를 사용하면 입력 한 컨텍스트 명령을 적절한 도우미로 보낼 수 있으며 도우미가 명령을 수행합니다. 도우미는 하나 이상의 서비스, 유틸리티 또는 프로토콜에 대한 구성, 모니터링 및 지원을 제공하여 netsh 도구의 기능을 확장하는 동적 연결 라이브러리 (.dll) 파일입니다. SQL Server를 지원하는 모든 운영 체제에는 방화벽 도우미가 있습니다. Windows Server 2008에는 advfirewall이라는 고급 방화벽 도우미도 있습니다. netsh 사용에 대한 자세한 내용은이 기사에서 다루지 않습니다. 그러나 설명 된 많은 구성 옵션은 netsh를 사용하여 구성 할 수 있습니다. 예를 들어 명령 프롬프트에서 다음 스크립트를 실행하여 TCP 포트 1433을 엽니 다.
고급 보안을위한 Windows 방화벽 도우미를 사용하는 유사한 예 :
netsh에 대한 자세한 내용은 다음 링크를 참조하십시오.
- Netsh 명령 구문, 컨텍스트 및 형식
- “netsh 방화벽”컨텍스트 대신 “netsh advfirewall 방화벽”컨텍스트를 사용하여 Windows Server 2008 및 Windows Vista에서 Windows 방화벽 동작을 제어하는 방법
Linux의 경우 : Linux에서는 액세스해야하는 서비스와 관련된 포트도 열어야합니다. Linux 배포판과 방화벽마다 고유 한 절차가 있습니다. 두 가지 예는 Red Hat의 SQL Server 및 SUSE의 SQL Server를 참조하십시오.

SQL Server에서 사용하는 포트

다음 표가 도움이 될 수 있습니다. SQL Server에서 사용중인 포트를 식별합니다.

데이터베이스 엔진에서 사용하는 포트

기본적으로 SQL Server 및 관련 데이터베이스 엔진 서비스에서 사용하는 일반적인 포트는 TCP 1433, 4022입니다. , 135, 1434, UDP 1434. 아래 표에서는 이러한 포트에 대해 자세히 설명합니다. 명명 된 인스턴스는 동적 포트를 사용합니다.

다음 표에는 데이터베이스 엔진에서 자주 사용하는 포트가 나열되어 있습니다.

시나리오	포트
TCP를 통해 실행되는 기본 인스턴스	TCP 포트 1433	방화벽을 통해 허용되는 가장 일반적인 포트입니다. 데이터베이스 엔진의 기본 설치 또는 컴퓨터에서 실행되는 유일한 인스턴스 인 명명 된 인스턴스에 대한 일상적인 연결에 적용됩니다. (명명 된 인스턴스에는 특별한 고려 사항이 있습니다.이 문서 뒷부분의 동적 포트를 참조하십시오.)
기본 포트가있는 명명 된 인스턴스	TCP 포트는 결정된 동적 포트입니다. 데이터베이스 엔진이 시작될 때.	동적 포트 섹션에서 아래 설명을 참조하십시오. 명명 된 인스턴스를 사용하는 경우 SQL Server Browser 서비스에 UDP 포트 1434가 필요할 수 있습니다.
고정 포트가있는 명명 된 인스턴스	관리자.	동적 포트 섹션의 아래 설명을 참조하십시오.
관리 전용 연결	기본값은 TCP 포트 1434 예. 다른 포트는 명명 된 인스턴스에 사용됩니다. 포트 번호에 대한 오류 로그를 확인하십시오.	기본적으로 DAC (관리자 전용 연결)에 대한 원격 연결은 활성화되지 않습니다. 원격 DAC를 사용하려면 노출 영역 구성 패싯을 사용하십시오. 자세한 내용은 노출 영역 구성을 참조하세요.
SQL Server Browser 서비스	UDP 포트 1434	SQL Server Browser 서비스는 수신 대기합니다. 명명 된 인스턴스에 대한 수신 연결을 위해 명명 된 인스턴스에 해당하는 TCP 포트 번호를 클라이언트에 제공합니다. 일반적으로 SQL Server Browser 서비스는 데이터베이스 엔진의 명명 된 인스턴스가 사용될 때마다 시작됩니다. 클라이언트가 명명 된 인스턴스의 특정 포트에 연결하도록 구성된 경우 SQL Server Browser 서비스를 시작할 필요가 없습니다.
HTTP 끝 점이있는 인스턴스	HTTP 끝점을 만들 때 지정할 수 있습니다. 기본값은 CLEAR_PORT 트래픽의 경우 TCP 포트 80이고 SSL_PORT 트래픽의 경우 443입니다.	URL을 통한 HTTP 연결에 사용됩니다.
HTTPS 엔드 포인트가있는 기본 인스턴스	TCP 포트 443	URL을 통한 HTTPS 연결에 사용됩니다. HTTPS는 이전에 SSL (Secure Sockets Layer)로 알려진 TLS (전송 계층 보안)를 사용하는 HTTP 연결입니다.
Service Broker	TCP 포트 4022 . 사용 된 포트를 확인하려면 다음 쿼리를 실행합니다. `SELECT name, protocol_desc, port, state_desc` `FROM sys.tcp_endpoints` `WHERE type_desc = "SERVICE_BROKER"`	SQL ServerService Broker에 대한 기본 포트는 없지만 온라인 설명서 예제에서 사용되는 일반적인 구성입니다.
데이터베이스 미러링	관리자가 선택한 포트.포트를 확인하려면 다음 쿼리를 실행하십시오. `SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints` `WHERE type_desc = "DATABASE_MIRRORING"`	데이터베이스 미러링을위한 기본 포트이지만 온라인 설명서 예제에서는 TCP 포트 5022 또는 7022를 사용합니다. 특히 자동 장애 조치가있는 높은 안전 모드에서 사용중인 미러링 끝점을 중단하지 않는 것이 중요합니다. 방화벽 구성은 쿼럼을 중단하지 않아야합니다. 자세한 내용은 서버 네트워크 주소 지정 (데이터베이스 미러링)을 참조하십시오.
복제	SQL Server에 대한 복제 연결은 일반적인 일반 데이터베이스 엔진 포트 ( 기본 인스턴스 용 TCP 포트 1433 등) 웹 동기화 및 복제 스냅 샷용 FTP / UNC 액세스를 사용하려면 방화벽에서 추가 포트를 열어야합니다. 한 위치에서 다른 위치로 초기 데이터 및 스키마를 전송하기 위해 복제는 FTP (TCP 포트 21)를 사용하거나 HTTP (TCP 포트 80) 또는 파일 공유를 통해 동기화 할 수 있습니다. 파일 공유는 UDP 포트 137 및 138을 사용하고 NetBIOS를 사용하는 경우 TCP 포트 139를 사용합니다. 파일 공유는 TCP 포트 445를 사용합니다.	HTTP를 통한 동기화의 경우 복제는 IIS 끝점 (구성 가능하지만 기본적으로 포트 80 인 포트)을 사용하지만 IIS 프로세스는 다음을 통해 백엔드 SQL Server에 연결합니다. 표준 포트 (기본 인스턴스의 경우 1433. FTP를 사용한 웹 동기화 중 FTP 전송은 구독자와 IIS 사이가 아니라 IIS와 SQL Server 게시자 사이에서 이루어집니다.
Transact-SQL 디버거	TCP 포트 135 포트 135에 대한 특별 고려 사항 참조 IPsec 예외도 필요할 수 있습니다.	Visual Studio를 사용하는 경우 Visual Studio에서 호스트 컴퓨터의 경우 예외 목록에 Devenv.exe도 추가하고 TCP 포트 135를 열어야합니다. Management Studio를 사용하는 경우 Management Studio 호스트 컴퓨터에서 ssms.exe도 예외 목록에 추가하고 TCP 포트를 열어야합니다. 135. 자세한 내용은 TSQL 디버거를 실행하기 전에 방화벽 규칙 구성을 참조하십시오.

데이터베이스 엔진 용 Windows 방화벽을 구성하는 단계별 지침은 데이터베이스 엔진 액세스를위한 Windows 방화벽 구성을 참조하십시오.

동적 포트

기본적으로 명명 된 인스턴스 ( SQL Server Express 포함) 동적 포트를 사용합니다. 즉, 데이터베이스 엔진이 시작될 때마다 사용 가능한 포트를 식별하고 해당 포트 번호를 사용합니다. 명명 된 인스턴스가 설치된 데이터베이스 엔진의 유일한 인스턴스 인 경우 TCP 포트 1433을 사용합니다. 데이터베이스 엔진의 다른 인스턴스가 설치된 경우 다른 TCP 포트를 사용합니다. 선택한 포트는 데이터베이스 엔진이 시작될 때마다 변경 될 수 있으므로 올바른 포트 번호에 액세스 할 수 있도록 방화벽을 구성하기가 어렵습니다. 따라서 방화벽을 사용하는 경우 매번 동일한 포트 번호를 사용하도록 데이터베이스 엔진을 다시 구성하는 것이 좋습니다. 이를 고정 포트 또는 고정 포트라고합니다. 자세한 내용은 특정 TCP 포트에서 수신하도록 서버 구성 (SQL Server 구성 관리자)을 참조하십시오.

고정 포트에서 수신하도록 명명 된 인스턴스를 구성하는 대안은 방화벽에서 예외를 만드는 것입니다. sqlservr.exe (데이터베이스 엔진 용)와 같은 SQL Server 프로그램의 경우. 이는 편리 할 수 있지만 고급 보안이 포함 된 Windows 방화벽 MMC 스냅인을 사용하는 경우 인바운드 규칙 페이지의 로컬 포트 열에 포트 번호가 표시되지 않습니다. 이로 인해 열려있는 포트를 감사하기가 더 어려워 질 수 있습니다. 또 다른 고려 사항은 서비스 팩 또는 누적 업데이트가 SQL Server 실행 파일의 경로를 변경하여 방화벽 규칙을 무효화 할 수 있다는 것입니다.

고급 보안이 포함 된 Windows Defender 방화벽을 사용하여 방화벽에 프로그램 예외를 추가하려면 h5>

시작 메뉴에서 wf.msc를 입력합니다. Enter 키를 누르거나 검색 결과 wf.msc를 선택하여 고급 보안이 포함 된 Windows Defender 방화벽을 엽니 다.

왼쪽 창에서 인바운드 규칙을 선택합니다.

오른쪽 창의 작업에서 새 규칙 …을 선택합니다. 새 인바운드 규칙 마법사가 열립니다.

규칙 유형에서 프로그램을 선택합니다. 다음을 선택합니다.

프로그램에서이 프로그램 경로를 선택합니다. 찾아보기를 선택하여 SQL Server 인스턴스를 찾습니다. 이 프로그램은 sqlservr.exe라고합니다. 일반적으로 다음 위치에 있습니다.

`C:\Program Files\Microsoft SQL Server\MSSQL15.<InstanceName>\MSSQL\Binn\sqlservr.exe`

다음을 선택합니다.

켜기 작업에서 연결 허용을 선택합니다. 다음을 선택합니다.

프로필에서 세 프로필을 모두 포함합니다. 다음을 선택합니다.

이름에 규칙 이름을 입력합니다. 마침을 선택합니다.

끝점에 대한 자세한 내용은 여러 TCP 포트 및 끝점 카탈로그 뷰에서 수신하도록 데이터베이스 엔진 구성 (Transact-SQL)을 참조하십시오.

Analysis Services에서 사용하는 포트

기본적으로 SQL Server Analysis Services 및 관련 서비스에서 사용하는 일반적인 포트는 TCP 2382, 2383, 80, 443입니다. 아래 표에서는 이러한 포트에 대해 자세히 설명합니다.

다음 표에는 Analysis Services에서 자주 사용하는 포트가 나열되어 있습니다.

기능	포트
Analysis Services	기본 인스턴스 용 TCP 포트 2383	Analysis Services 기본 인스턴스 용 표준 포트
SQL Server Browser 서비스	TCP 포트 2382는 Analysis Services 명명 된 인스턴스에만 필요합니다.	지정하지 않은 명명 된 Analysis Services 인스턴스에 대한 클라이언트 연결 요청 포트 번호는 SQL Server Browser가 수신하는 포트 인 2382 포트로 지정됩니다. 그런 다음 SQL Server Browser는 명명 된 인스턴스가 사용하는 포트로 요청을 리디렉션합니다.
IIS / HTTP를 통해 사용하도록 구성된 분석 서비스 (PivotTable® 서비스는 HTTP 또는 HTTPS)	TCP 포트 80	URL을 통한 HTTP 연결에 사용됩니다.
IIS /를 통해 사용하도록 구성된 분석 서비스 HTTPS (PivotTable® 서비스는 HTTP 또는 HTTPS 사용)	TCP 포트 443	URL을 통한 HTTPS 연결에 사용됩니다. HTTPS는 TLS를 사용하는 HTTP 연결입니다.

사용자가 다음을 통해 Analysis Services에 액세스하는 경우 IIS와 인터넷의 경우 IIS가 수신하는 포트를 열고 클라이언트 연결 문자열에 해당 포트를 지정해야합니다. 이 경우 Analysis Services에 직접 액세스하기 위해 포트를 열 필요가 없습니다. 기본 포트 2389 및 포트 2382는 필요하지 않은 다른 모든 포트와 함께 제한되어야합니다.

Analysis Services 용 Windows 방화벽을 구성하는 단계별 지침은 허용하도록 Windows 방화벽 구성을 참조하십시오. Analysis Services 액세스.

Reporting Services에서 사용하는 포트

기본적으로 SQL Server Reporting SErvice 및 관련 서비스에서 사용하는 일반적인 포트는 TCP 80, 443입니다. 아래 표는 이에 대한 설명입니다. 포트에 대해 자세히 설명합니다.

다음 표에는 Reporting Services에서 자주 사용하는 포트가 나열되어 있습니다.

기능	포트
Reporting Services 웹 서비스	TCP 포트 80	URL을 통한 Reporting Services에 대한 HTTP 연결에 사용됩니다. 미리 구성된 규칙 World Wide Web 서비스 (HTTP)를 사용하지 않는 것이 좋습니다. 자세한 내용은 아래의 다른 방화벽 규칙과의 상호 작용 섹션을 참조하십시오.
HTTPS를 통해 사용하도록 구성된보고 서비스	TCP 포트 443	URL을 통한 HTTPS 연결에 사용됩니다. HTTPS는 TLS를 사용하는 HTTP 연결입니다. 미리 구성된 규칙 Secure World Wide Web Services (HTTPS)를 사용하지 않는 것이 좋습니다. 자세한 내용은 아래의 다른 방화벽 규칙과의 상호 작용 섹션을 참조하십시오.

시기 Reporting Services는 데이터베이스 엔진 또는 Analysis Services 인스턴스에 연결되므로 해당 서비스에 대한 적절한 포트도 열어야합니다. Reporting Services 용 Windows 방화벽을 구성하는 단계별 지침은 보고서 서버 액세스를위한 방화벽 구성

Integration Services에서 사용하는 포트

다음 표에는 Integration Services 서비스에서 사용됩니다.

기능	포트
Microsoft 원격 프로 시저 호출 (MS RPC) Integration Services 런타임에서 사용됩니다.	TCP 포트 135 포트 135에 대한 특별 고려 사항 참조	Integration Services 서비스는 포트 135에서 DCOM을 사용합니다. 서비스 제어 관리자는 포트 135를 사용하여 Integration Services 서비스 시작 및 중지, 실행중인 서비스에 제어 요청 전송과 같은 작업을 수행합니다. 포트 번호는 변경할 수 없습니다. 이 포트는 Management Studio 또는 사용자 지정 응용 프로그램에서 Integration Services 서비스의 원격 인스턴스에 연결하는 경우에만 열어야합니다.

Integration Services 용 Windows 방화벽을 구성하는 단계별 지침은 Integration Services 서비스 (SSIS 서비스)를 참조하세요.

추가 포트 및 서비스

다음 표에는 SQL Server가 의존 할 수있는 포트 및 서비스가 나열되어 있습니다.

시나리오	포트
Windows Management Instrumentation WMI에 대한 자세한 내용은 구성 관리 개념을위한 WMI 공급자를 참조하십시오.	WMI는 DCOM을 통해 할당 된 포트가있는 공유 서비스 호스트WMI는 TCP 포트 135를 사용하고있을 수 있습니다. 포트 135에 대한 특별 고려 사항 참조	SQL Server 구성 관리자는 WMI를 사용하여 서비스를 나열하고 관리합니다. 미리 구성된 규칙 그룹 WMI (Windows Management Instrumentation)를 사용하는 것이 좋습니다. 자세한 내용은 아래의 다른 방화벽 규칙과의 상호 작용 섹션을 참조하십시오.
MS DTC (Microsoft Distributed Transaction Coordinator)	TCP 포트 135 참조 포트 135에 대한 특별 고려 사항	응용 프로그램에서 분산 트랜잭션을 사용하는 경우 MS DTC (Microsoft Distributed Transaction Coordinator) 트래픽이 별도의 MS DTC 인스턴스간에 그리고 MS DTC간에 흐르도록 방화벽을 구성해야 할 수 있습니다. 및 SQL Server와 같은 리소스 관리자. 미리 구성된 Distributed Transaction Coordinator 규칙 그룹을 사용하는 것이 좋습니다. 단일 공유 MS DTC가 별도의 리소스 그룹의 전체 클러스터에 대해 구성된 경우 sqlservr.exe를 방화벽에 예외로 추가해야합니다.
Management Studio의 찾아보기 단추는 UDP를 사용하여 SQL Server Browser 서비스에 연결합니다. 자세한 내용은 SQL Server Browser 서비스 (데이터베이스 엔진 및 SSAS)를 참조하십시오.	UDP 포트 1434	UDP는 연결없는 프로토콜입니다. 방화벽에 설정이 있습니다 (UnicastResponsesToMulticastBroadcastDisabled 속성). 브로드 캐스트 (또는 멀티 캐스트) UDP 요청에 대한 유니 캐스트 응답과 관련하여 방화벽의 동작을 제어하는 INetFwProfile 인터페이스의). 두 가지 동작이 있습니다. 설정이 TRUE이면 브로드 캐스트에 대한 유니 캐스트 응답이 전혀 허용되지 않습니다. 서비스 열거가 실패합니다. 설정이 FALSE (기본값)이면 유니 캐스트 응답이 3 초 동안 허용됩니다. 시간은 구성 할 수 없습니다. 정체되거나 지연 시간이 긴 네트워크 또는로드가 많은 서버의 경우 SQL Server 인스턴스를 열거하려고하면 부분 목록이 반환되어 사용자를 오도 할 수 있습니다.
IPsec 트래픽	UDP 포트 500 및 UDP 포트 4500	도메인 정책에서 IPsec을 통해 네트워크 통신을 수행해야하는 경우 UDP 포트 4500 및 UDP 포트 500도 예외 목록에 추가해야합니다. IPsec은 Windows 방화벽 스냅인에서 새 인바운드 규칙 마법사를 사용하는 옵션입니다. 자세한 내용은 아래의 고급 보안 스냅인과 함께 Windows 방화벽 사용을 참조하십시오.
신뢰할 수있는 도메인에서 Windows 인증 사용	방화벽은 다음을 허용하도록 구성되어야합니다. 인증 요청.	자세한 내용은 도메인 및 트러스트를위한 방화벽 구성 방법을 참조하십시오.
SQL Server 및 Windows 클러스터링	클러스터링에는 SQL Server와 직접 관련이없는 추가 포트가 필요합니다.	자세한 내용은 클러스터 사용을위한 네트워크 활성화를 참조하십시오.
URL 네임 스페이스 예약 됨 HTTP 서버 API (HTTP.SYS)	아마 TCP 포트 80이지만 다른 포트로 구성 할 수 있습니다. 일반 정보는 HTTP 및 HTTPS 구성을 참조하십시오.	HttpCfg.exe를 사용하여 HTTP.SYS 끝점을 예약하는 방법에 대한 SQL Server 관련 정보는 URL 예약 및 등록 정보 (SSRS 구성 관리자)를 참조하십시오.

포트 135에 대한 특별 고려 사항

TCP /와 함께 RPC를 사용하는 경우 IP 또는 UDP / IP를 전송으로 사용하면 인바운드 포트가 필요에 따라 시스템 서비스에 동적으로 할당되는 경우가 많습니다. 포트 1024보다 큰 TCP / IP 및 UDP / IP 포트가 사용됩니다. 이들은 종종 비공식적으로 “임의 RPC 포트”라고합니다. 이러한 경우 RPC 클라이언트는 RPC 끝점 매퍼를 사용하여 서버에 할당 된 동적 포트를 알려줍니다. 일부 RPC 기반 서비스의 경우 RPC에서 동적으로 할당하는 대신 특정 포트를 구성 할 수 있습니다. 또한 서비스에 관계없이 RPC가 동적으로 할당하는 포트 범위를 작은 범위로 제한 할 수 있습니다. 포트 135는 많은 서비스에 사용되기 때문에 악의적 인 사용자의 공격을 자주받습니다. 포트 135를 열 때 방화벽 규칙의 범위를 제한하는 것이 좋습니다.

포트 135에 대한 자세한 내용은 다음 참조를 참조하세요.

서비스 개요 및 네트워크 포트 요구 사항 Windows Server 시스템
제품 CD의 Windows Server 2003 지원 도구를 사용하여 RPC 끝점 매퍼 오류 문제 해결
원격 프로 시저 호출 (RPC)
구성 방법 방화벽과 함께 작동하는 RPC 동적 포트 할당

다른 방화벽 규칙과의 상호 작용

Windows 방화벽은 규칙과 규칙 그룹을 사용하여 구성을 설정합니다. 각 규칙 또는 규칙 그룹은 일반적으로 특정 프로그램 또는 서비스와 연관되며 해당 프로그램 또는 서비스는 사용자가 알지 못하는 사이에 해당 규칙을 수정하거나 삭제할 수 있습니다. 예를 들어 규칙 그룹 World Wide Web 서비스 (HTTP) 및 World Wide Web 서비스 (HTTPS)는 IIS와 연결됩니다.이러한 규칙을 활성화하면 포트 80 및 443이 열리고 포트 80 및 443에 의존하는 SQL Server 기능은 해당 규칙이 활성화 된 경우 작동합니다. 그러나 IIS를 구성하는 관리자는 이러한 규칙을 수정하거나 비활성화 할 수 있습니다. 따라서 SQL Server에 포트 80 또는 포트 443을 사용하는 경우 다른 IIS 규칙과 독립적으로 원하는 포트 구성을 유지하는 고유 한 규칙 또는 규칙 그룹을 만들어야합니다.

고급 보안이 포함 된 Windows 방화벽 MMC 스냅인은 적용 가능한 모든 허용 규칙과 일치하는 모든 트래픽을 허용합니다. 따라서 두 가지 규칙이 모두 포트 80 (다른 매개 변수 사용)에 적용되는 경우 두 규칙 중 하나와 일치하는 트래픽이 허용됩니다. 따라서 하나의 규칙이 로컬 서브넷의 포트 80을 통한 트래픽을 허용하고 하나의 규칙이 모든 주소의 트래픽을 허용하는 경우 결과적으로 소스에 관계없이 포트 80에 대한 모든 트래픽이 허용됩니다. SQL Server에 대한 액세스를 효과적으로 관리하려면 관리자는 서버에서 활성화 된 모든 방화벽 규칙을 주기적으로 검토해야합니다.

방화벽 프로필 개요

방화벽 프로필은 운영 체제에서 식별하고 기억하는 데 사용됩니다. 연결, 연결 및 범주와 관련하여 연결되는 각 네트워크.

고급 보안이 포함 된 Windows 방화벽에는 세 가지 네트워크 위치 유형이 있습니다.

도메인 : Windows는 컴퓨터가 가입 된 도메인의 도메인 컨트롤러에 대한 액세스를 인증 할 수 있습니다.
공용 : 도메인 네트워크를 제외한 모든 네트워크는 처음에 공용으로 분류됩니다. 인터넷에 대한 직접 연결을 나타내거나 공항 및 커피 숍과 같은 공공 장소에있는 네트워크는 공개 상태로 두어야합니다.
비공개 : 사용자 또는 애플리케이션이 비공개로 식별 한 네트워크입니다. 신뢰할 수있는 네트워크 만 개인 네트워크로 식별되어야합니다. 사용자는 가정 또는 소규모 비즈니스 네트워크를 사설 네트워크로 식별하기를 원할 것입니다.

관리자는 서로 다른 방화벽 정책을 포함하는 각 프로필을 사용하여 각 네트워크 위치 유형에 대한 프로필을 만들 수 있습니다. 한 번에 하나의 프로필 만 적용됩니다. 프로필 순서는 다음과 같이 적용됩니다.

컴퓨터가 구성원 인 도메인의 도메인 컨트롤러에 모든 인터페이스가 인증되면 도메인 프로필이 적용됩니다.
모든 인터페이스가 도메인 컨트롤러에 대해 인증되거나 개인 네트워크 위치로 분류 된 네트워크에 연결된 경우 개인 프로필이 적용됩니다.
그렇지 않으면 공개 프로필이 적용됩니다.

고급 보안이 포함 된 Windows 방화벽 MMC 스냅인을 사용하여 모든 방화벽 프로필을보고 구성합니다. 제어판의 Windows 방화벽 항목은 현재 프로필 만 구성합니다.

제어판의 Windows 방화벽 항목을 사용하는 추가 방화벽 설정

방화벽에 추가하는 예외는 특정 컴퓨터 또는 로컬 서브넷에서 들어오는 연결에 대한 포트. 이러한 포트 개방 범위 제한은 컴퓨터가 악의적 인 사용자에게 노출되는 정도를 줄일 수 있으므로 권장됩니다.

참고

제어에서 Windows 방화벽 항목 사용 패널은 현재 방화벽 프로필 만 구성합니다.

제어판의 Windows 방화벽 항목을 사용하여 방화벽 예외 범위를 변경하려면

제어판의 Windows 방화벽 항목을 클릭하고 예외 탭에서 프로그램 또는 포트를 선택한 다음 속성 또는 편집을 클릭합니다.
프로그램 편집 또는 포트 편집 대화 상자에서 범위 변경을 클릭합니다.
다음 옵션 중 하나를 선택합니다.
- 모든 컴퓨터 (인터넷에있는 컴퓨터 포함) : 권장하지 않음 . 이렇게하면 컴퓨터 주소를 지정할 수있는 모든 컴퓨터가 지정된 프로그램이나 포트에 연결할 수 있습니다. 이 설정은 인터넷의 익명 사용자에게 정보를 제공하는 데 필요할 수 있지만 악의적 인 사용자에 대한 노출을 증가시킵니다. 이 설정을 활성화하고 에지 통과 허용 옵션과 같은 NAT (네트워크 주소 변환) 통과를 허용하면 노출이 더욱 증가 할 수 있습니다.
- 내 네트워크 (서브넷) 만 : 이것은 모든 컴퓨터보다 더 안전한 설정입니다. 네트워크의 로컬 서브넷에있는 컴퓨터 만 프로그램 또는 포트에 연결할 수 있습니다.
- 사용자 지정 목록 : 나열된 IP 주소가있는 컴퓨터 만 연결할 수 있습니다. 이것은 내 네트워크 (서브넷) 전용보다 더 안전한 설정일 수 있지만 DHCP를 사용하는 클라이언트 컴퓨터는 때때로 IP 주소를 변경할 수 있습니다. 그러면 원하는 컴퓨터를 연결할 수 없습니다. 인증 할 의도가 없었던 다른 컴퓨터가 나열된 IP 주소를 수락 한 다음 연결할 수 있습니다. 사용자 지정 목록 옵션은 고정 IP 주소를 사용하도록 구성된 다른 서버를 나열하는 데 적합 할 수 있습니다. 그러나 IP 주소는 침입자에 의해 스푸핑 될 수 있습니다. 방화벽 규칙 제한은 네트워크 인프라만큼 강력합니다.

고급 보안 스냅인과 함께 Windows 방화벽 사용

추가 고급 방화벽 설정은 다음을 사용하여 구성 할 수 있습니다. 고급 보안이 포함 된 Windows 방화벽 MMC 스냅인. 스냅인에는 규칙 마법사가 포함되어 있으며 제어판의 Windows 방화벽 항목에서 사용할 수없는 추가 설정을 제공합니다. 이러한 설정에는 다음이 포함됩니다.

암호화 설정
서비스 제한
이름으로 컴퓨터 연결 제한
다음으로 연결 제한 특정 사용자 또는 프로필
트래픽이 NAT (Network Address Translation) 라우터를 우회하도록 허용하는 에지 통과
아웃 바운드 규칙 구성
보안 규칙 구성
수신 연결에 IPsec 필요

새 규칙 마법사를 사용하여 새 방화벽 규칙을 만들려면

시작 메뉴에서 실행을 선택하고 WF.msc를 입력합니다. 을 클릭 한 다음 확인을 선택합니다.
고급 보안이 포함 된 Windows 방화벽의 왼쪽 창에서 인바운드 규칙을 마우스 오른쪽 단추로 클릭 한 다음 새 규칙을 선택합니다.
새 인바운드 규칙 완료 원하는 설정을 사용하는 마법사입니다.

방화벽 설정 문제 해결

다음 도구와 기술은 방화벽 문제를 해결하는 데 유용 할 수 있습니다.

유효 포트 상태는 모든 규칙의 통합입니다. 포트와 관련된 es. 포트를 통한 액세스를 차단하려고 할 때 포트 번호를 인용하는 모든 규칙을 검토하는 것이 도움이 될 수 있습니다. 이렇게하려면 고급 보안이 포함 된 Windows 방화벽 MMC 스냅인을 사용하고 포트 번호별로 인바운드 및 아웃 바운드 규칙을 정렬합니다.
컴퓨터에서 활성화 된 포트를 검토합니다. 실행중인 SQL Server 이 검토 프로세스에는 수신 대기중인 TCP / IP 포트 확인과 포트 상태 확인이 포함됩니다.

수신중인 포트를 확인하려면 netstat 명령 줄 유틸리티를 사용하십시오. 활성 TCP 연결을 표시하는 것 외에도 netstat 유틸리티는 다양한 IP 통계 및 정보를 표시합니다.

어떤 TCP / IP 포트가 수신 중인지 나열하려면
1. 명령 프롬프트 창을 엽니 다.
2. 명령 프롬프트에서 netstat -n -a를 입력합니다.
  
  -n 스위치는 주소를 숫자로 표시하도록 netstat에 지시합니다. 활성 TCP 연결의 포트 번호. -a 스위치는 netstat에 컴퓨터가 수신하는 TCP 및 UDP 포트를 표시하도록 지시합니다.
PortQry 유틸리티를 사용하여보고 할 수 있습니다. TCP / IP 포트의 상태를 수신 중, 수신하지 않음 또는 필터링 됨 (필터링 된 상태를 사용하면 포트가 수신 대기 중이거나 수신하지 않을 수 있습니다.이 상태는 유틸리티가 포트에서 응답을받지 못했음을 나타냅니다.) PortQry 유틸리티는 Microsoft 다운로드 센터에서 다운로드 할 수 있습니다.

참고 항목

Windows Server 시스템에 대한 서비스 개요 및 네트워크 포트 요구 사항
방법 : 방화벽 설정 구성 (Azure SQL Database)

admin