Merk

Denne artikkelen gir en oversikt over brannmurkonfigurasjon og oppsummerer informasjon om interesse for en SQL Server-administrator. Hvis du vil ha mer informasjon om brannmuren og for autoritativ brannmurinformasjon, kan du se brannmurdokumentasjonen, for eksempel sikkerhetsdistribusjonsveiledningen for Windows-brannmur. ønsker å konfigurere kan flytte direkte til de mer avanserte artiklene:

• Konfigurer en Windows-brannmur for tilgang til databasemotoren
• Konfigurer Windows-brannmuren for å gi tilgang til analysetjenester
• Konfigurer en brannmur for rapportservertilgang

Grunnleggende informasjon om brannmur

Brannmurer fungerer ved å inspisere innkommende pakker og sammenligne dem med et sett med regler. Hvis pakken oppfyller standardene diktert av reglene, sender brannmuren pakken til TCP / IP-protokollen for ytterligere behandling. Hvis pakken ikke oppfyller standardene spesifisert av reglene, forkaster brannmuren pakken, og hvis logging er aktivert, oppretter en oppføring i brannmurloggfilen.

Listen over tillatt trafikk er fylt ut på en av følgende måter:

• Automatisk: Når en datamaskin med en brannmur aktivert kommunikasjon, oppretter brannmuren en oppføring i listen slik at svaret er tillatt. Dette svaret betraktes som anmodet trafikk, og det er ingenting som trenger å konfigureres.

• Manuelt: En administrator konfigurerer unntak fra brannmuren. Dette gir enten tilgang til spesifiserte programmer eller porter på datamaskinen. I dette tilfellet aksepterer datamaskinen uønsket innkommende trafikk når den fungerer som server, lytter eller likemann. Dette er typen konfigurasjon som må fullføres for å koble til SQL Server.

Å velge en brannmurstrategi er mer komplisert enn å bare bestemme om en gitt port skal være åpen eller lukket . Når du designer en brannmurstrategi for din bedrift, må du sørge for at du vurderer alle reglene og konfigurasjonsalternativene som er tilgjengelige for deg. Denne artikkelen gjennomgår ikke alle mulige brannmuralternativer. Vi anbefaler at du går gjennom følgende dokumenter:

Distribusjonsveiledning for Windows-brannmur
Designveiledning for Windows-brannmur
Introduksjon til server- og domeneisolasjon

Standard brannmurinnstillinger

Det første trinnet i planleggingen av brannmurkonfigurasjonen er å bestemme den nåværende statusen til brannmuren for operativsystemet ditt. Hvis operativsystemet ble oppgradert fra en tidligere versjon, kan det hende at de tidligere brannmurinnstillingene har blitt bevart. Brannmurinnstillingene kan også ha blitt endret av en annen administrator eller av en gruppepolicy i domenet ditt.

Programmer for å konfigurere brannmuren

Konfigurer Windows-brannmurinnstillingene med en av Microsoft Management Console eller netsh.

• Microsoft Management Console (MMC)

  Windows-brannmuren med Advanced Security MMC snap-in lar deg konfigurere mer avanserte brannmurinnstillinger. Denne snapin-modulen presenterer de fleste av brannmuralternativene på en brukervennlig måte, og presenterer alle brannmurprofiler. Hvis du vil ha mer informasjon, kan du se Bruke Windows-brannmur med avansert sikkerhets snap-in senere i denne artikkelen.

• netsh

  verktøyet netsh.exe kan brukes av en administrator for å konfigurere og overvåke Windows-baserte datamaskiner ved en ledetekst eller ved hjelp av en batchfil **.** Ved å bruke netsh-verktøyet kan du lede kontekstkommandoene du skriver inn til riktig hjelper, og hjelperen utfører deretter kommandoen. En hjelper er en Dynamic Link Library (.dll) -fil som utvider funksjonaliteten til netsh-verktøyet ved å tilby konfigurasjon, overvåking og støtte for en eller flere tjenester, verktøy eller protokoller. Alle operativsystemer som støtter SQL Server har en brannmurhjelper. Windows Server 2008 har også en avansert brannmurhjelper kalt advfirewall. Detaljene ved bruk av netsh er ikke diskutert i denne artikkelen. Imidlertid kan mange av konfigurasjonsalternativene som er beskrevet, konfigureres ved å bruke netsh. Kjør for eksempel følgende skript ved en ledetekst for å åpne TCP-port 1433:

  Et lignende eksempel ved hjelp av Windows Firewall for Advanced Security-hjelper:

  For mer informasjon om netsh, se følgende lenker:

  • Netsh Command Syntax, Contexts, and Formatting
  • Slik bruker du konteksten «netsh advfirewall firewall» i stedet for «netsh firewall» -konteksten til å kontrollere Windows-brannmurens oppførsel i Windows Server 2008 og i Windows Vista

• For Linux: På Linux må du også åpne portene tilknyttet tjenestene du trenger tilgang til. Ulike distribusjoner av Linux og forskjellige brannmurer har sine egne prosedyrer. For to eksempler, se SQL Server på Red Hat og SQL Server på SUSE.

Porter brukt av SQL Server

Følgende tabeller kan hjelpe deg identifisere portene som brukes av SQL Server.

Porter som brukes av databasemotoren

Som standard er de typiske portene som brukes av SQL Server og tilknyttede databasemotortjenester: TCP 1433, 4022 , 135, 1434, UDP 1434. Tabellen nedenfor forklarer disse portene mer detaljert. En navngitt forekomst bruker dynamiske porter.

Tabellen nedenfor viser portene som ofte brukes av databasemotoren.

Scenario	Port
Standard forekomst som kjører over TCP	TCP-port 1433	Dette er den vanligste porten som er tillatt gjennom brannmuren. Det gjelder rutinemessige tilkoblinger til standardinstallasjonen av databasemotoren, eller en navngitt forekomst som er den eneste forekomsten som kjører på datamaskinen. (Navngitte forekomster har spesielle hensyn. Se Dynamiske porter senere i denne artikkelen.)
Navngitte forekomster med standardport	TCP-porten er en dynamisk port som er bestemt på det tidspunktet Database Engine starter.	Se diskusjonen nedenfor i delen Dynamiske porter. UDP-port 1434 kan være nødvendig for SQL Server Browser Service når du bruker navngitte forekomster.
Navngitte forekomster med fast port	Portnummeret konfigurert av administratoren.	Se diskusjonen nedenfor i seksjonen Dynamiske porter.
Dedikert administratortilkobling	TCP-port 1434 for standard forekomst. Andre porter brukes til navngitte forekomster. Sjekk feilloggen for portnummer.	Som standard er ikke eksterne tilkoblinger til Dedikert administratortilkobling (DAC) aktivert. For å aktivere ekstern DAC, bruk Surface Area Configuration facet. For mer informasjon, se Konfigurasjon av overflateareal.
SQL Server-nettlesertjeneste	UDP-port 1434	SQL Server-nettlesertjenesten lytter for innkommende tilkoblinger til en navngitt forekomst og gir klienten TCP-portnummeret som tilsvarer den navngitte forekomsten. Vanligvis startes SQL Server-nettlesertjenesten når navngitte forekomster av databasemotoren brukes. SQL Server Browser-tjenesten trenger ikke startes hvis klienten er konfigurert til å koble til den spesifikke porten til den nevnte forekomsten.
Forekomst med HTTP-sluttpunkt.	Kan spesifiseres når et HTTP-sluttpunkt opprettes. Standard er TCP-port 80 for CLEAR_PORT-trafikk og 443 for SSL_PORT-trafikk.	Brukes for en HTTP-forbindelse gjennom en URL.
Standard forekomst med HTTPS-sluttpunkt	TCP-port 443	Brukes for en HTTPS-tilkobling via en URL. HTTPS er en HTTP-forbindelse som bruker Transport Layer Security (TLS), tidligere kjent som Secure Sockets Layer (SSL).
Service Broker	TCP-port 4022 For å bekrefte porten som brukes, utfør følgende spørsmål: SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = "SERVICE_BROKER"	Det er ingen standardport for SQL ServerService Broker, men dette er den konvensjonelle konfigurasjonen som brukes i Books Online-eksempler.
Database Mirroring	Administrator valgt port.For å bestemme porten, utfør følgende spørsmål: SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = "DATABASE_MIRRORING"	Det er ingen standardport for databasespeiling, men eksempler på Books Online bruker TCP-port 5022 eller 7022. Det er viktig å unngå å avbryte et speilvendt endepunkt i bruk, spesielt i høysikkerhetsmodus med automatisk failover. Brannmurkonfigurasjonen din må unngå å bryte quorumet. For mer informasjon, se Angi en servernettverksadresse (databasespegling).
Replikering	Replikeringstilkoblinger til SQL Server bruker de vanlige vanlige databaseportene ( TCP-port 1433 for standardforekomst osv.) Nettsynkronisering og FTP / UNC-tilgang for replikasjons øyeblikksbilde krever at flere porter åpnes i brannmuren. For å overføre innledende data og skjema fra ett sted til et annet, kan replikering bruke FTP (TCP-port 21), eller synkronisere over HTTP (TCP-port 80) eller Fildeling. Fildeling bruker UDP-port 137 og 138, og TCP-port 139 hvis den bruker NetBIOS. Fildeling bruker TCP-port 445.	For synkronisering over HTTP bruker replikering IIS-endepunktet (porter som kan konfigureres, men er port 80 som standard), men IIS-prosessen kobles til backend SQL Server gjennom standardporter (1433 for standardforekomsten. Under websynkronisering ved hjelp av FTP, er FTP-overføringen mellom IIS og SQL Server-utgiveren, ikke mellom abonnenten og IIS.
Transact-SQL debugger	TCP-port 135 Se spesielle hensyn for port 135 IPsec-unntaket kan også være nødvendig.	Hvis du bruker Visual Studio, i Visual Studio vertscomputer, må du også legge til Devenv.exe i unntakslisten og åpne TCP-port 135. Hvis du bruker Management Studio, på Management Studio-vertsdatamaskinen, må du også legge til ssms.exe i unntakslisten og åpne TCP-port 135. For mer informasjon, se Konfigurere brannmurregler før du kjører TSQL-feilsøkingsprogrammet.

For trinnvise instruksjoner for å konfigurere Windows-brannmuren for databasemotoren, se Konfigurere en Windows-brannmur for databasemotortilgang.

Dynamiske porter

Som standard kalles forekomster ( inkludert SQL Server Express) bruker dynamiske porter. Det betyr at hver gang databasemotoren starter, identifiserer den en tilgjengelig port og bruker det portnummeret. Hvis den navngitte forekomsten er den eneste forekomsten av installert databasemotor, vil den sannsynligvis bruke TCP-port 1433. Hvis andre forekomster av databasemotoren er installert, vil den sannsynligvis bruke en annen TCP-port. Fordi den valgte porten kan endres hver gang databasemotoren startes, er det vanskelig å konfigurere brannmuren for å gi tilgang til riktig portnummer. Derfor, hvis en brannmur brukes, anbefaler vi at du konfigurerer databasemotoren på nytt for å bruke samme portnummer hver gang. Dette kalles en fast port eller en statisk port. Hvis du vil ha mer informasjon, kan du se Konfigurere en server til å lytte på en bestemt TCP-port (SQL Server Configuration Manager).

Et alternativ til å konfigurere en navngitt forekomst for å lytte på en fast port er å opprette et unntak i brannmuren. for et SQL Server-program som sqlservr.exe (for databasemotoren). Dette kan være praktisk, men portnummeret vises ikke i kolonnen Lokal port på siden Innkommende regler når du bruker snapin-modulen Windows Firewall med MMC for Advanced Security. Dette kan gjøre det vanskeligere å revidere hvilke porter som er åpne. En annen betraktning er at en oppdateringspakke eller kumulativ oppdatering kan endre banen til kjørbar SQL Server, som vil ugyldiggjøre brannmurregelen.

For å legge til et program unntak til brannmuren ved hjelp av Windows Defender-brannmur med avansert sikkerhet

1. Skriv wf.msc fra startmenyen. Trykk på Enter eller velg søkeresultatet wf.msc for å åpne Windows Defender-brannmur med avansert sikkerhet.

2. Velg Innkommende regler i venstre rute.

3. I den høyre ruten, under Handlinger, velger du Ny regel …. Veiviseren for ny inngående regel åpnes.

4. På regeltype velger du Program. Velg Neste.

5. På programmet velger du Denne programstien. Velg Bla gjennom for å finne forekomsten av SQL Server. Programmet heter sqlservr.exe. Den ligger normalt på:

   C:\Program Files\Microsoft SQL Server\MSSQL15.<InstanceName>\MSSQL\Binn\sqlservr.exe

   Velg Neste.

6. På Handling, velg Tillat tilkobling. Velg Neste.

7. På profilen inkluderer du alle tre profilene. Velg Neste.

8. Skriv inn et navn på regelen på Navn. Velg Fullfør.

For mer informasjon om sluttpunkter, se Konfigurere databasemotoren til å lytte på flere TCP-porter og endepunktkatalogvisninger (Transact-SQL).

Porter brukt av Analysis Services

Som standard er de typiske portene som brukes av SQL Server Analysis Services og tilknyttede tjenester: TCP 2382, 2383, 80, 443. Tabellen nedenfor forklarer disse portene mer detaljert.

Tabellen nedenfor viser portene som ofte brukes av Analysis Services.

Feature	Port
Analysis Services	TCP-port 2383 for standardforekomsten	Standardporten for standardforekomsten av Analysis Services.
SQL Server-nettlesertjeneste	TCP-port 2382 bare nødvendig for en Analysis Services-kalt forekomst	Klientforbindelsesforespørsler for en navngitt forekomst av Analysis Services som ikke spesifiserer et portnummer blir sendt til port 2382, porten som SQL Server Browser lytter til. SQL Server Browser viderekobler deretter forespørselen til porten som den navngitte forekomsten bruker.
Analysetjenester konfigurert for bruk gjennom IIS / HTTP (PivotTable®-tjenesten bruker HTTP eller HTTPS)	TCP-port 80	Brukes for en HTTP-tilkobling via en URL.
Analysetjenester konfigurert for bruk gjennom IIS / HTTPS (PivotTable®-tjenesten bruker HTTP eller HTTPS)	TCP-port 443	Brukes for en HTTPS-tilkobling gjennom en URL. HTTPS er en HTTP-tilkobling som bruker TLS.

Hvis brukere får tilgang til analysetjenester gjennom IIS og Internett, må du åpne porten som IIS lytter på og spesifisere den porten i klientens tilkoblingsstreng. I dette tilfellet trenger ingen porter være åpne for direkte tilgang til Analysis Services. Standardport 2389 og port 2382 bør være begrenset sammen med alle andre porter som ikke er nødvendige.

For trinnvise instruksjoner for å konfigurere Windows-brannmuren for Analysis Services, se Konfigurere Windows-brannmuren slik at den tillater Analysetjenestetilgang.

Porter som brukes av rapporteringstjenester

Som standard er de typiske portene som brukes av SQL Server Reporting SE-tjenester og tilknyttede tjenester: TCP 80, 443. Tabellen nedenfor forklarer disse porter i større detalj.

Tabellen nedenfor viser portene som ofte brukes av Reporting Services.

Feature	Port
Reporting Services Web Services	TCP-port 80	Brukes for en HTTP-tilkobling til Reporting Services via en URL. Vi anbefaler at du ikke bruker den forhåndskonfigurerte regelen World Wide Web Services (HTTP). For mer informasjon, se avsnittet Interaksjon med andre brannmurregler nedenfor.
Rapporteringstjenester konfigurert for bruk gjennom HTTPS	TCP-port 443	Brukes for en HTTPS-tilkobling gjennom en URL. HTTPS er en HTTP-tilkobling som bruker TLS. Vi anbefaler at du ikke bruker den forhåndskonfigurerte regelen Secure World Wide Web Services (HTTPS). For mer informasjon, se Interaksjon med andre brannmurregler nedenfor.

Når Rapporteringstjenester kobles til en forekomst av databasemotoren eller analysetjenester, du må også åpne de riktige portene for disse tjenestene. For trinnvise instruksjoner for å konfigurere Windows-brannmur for rapporteringstjenester, konfigurer du en brannmur for rapportservertilgang.

Porter brukt av integrasjonstjenester

Tabellen nedenfor viser portene som brukes av Integration Services-tjenesten.

Feature	Port
Microsofts prosedyreanrop (MS RPC) Brukes av kjøretiden til Integration Services.	TCP-port 135 Se spesielle hensyn for Port 135	Integration Services-tjenesten bruker DCOM på port 135. Service Control Manager bruker port 135 til å utføre oppgaver som å starte og stoppe Integration Services-tjenesten og overføre kontrollforespørsler til den løpende tjenesten. Portnummeret kan ikke endres. Denne porten må bare være åpen hvis du kobler til en ekstern forekomst av Integration Services-tjenesten fra Management Studio eller et tilpasset program.

For trinnvise instruksjoner for å konfigurere Windows-brannmuren for integrasjonstjenester, se Integration Services Service (SSIS Service).

Ekstra porter og tjenester

Tabellen nedenfor viser porter og tjenester som SQL Server kan være avhengig av.

Scenario	Port
Windows Management Instrumentation For mer informasjon om WMI, se WMI Provider for Configuration Management Concepts	WMI kjører som en del av en delt tjenestevert med porter tildelt gjennom DCOM.WMI bruker kanskje TCP-port 135. Se spesielle hensyn for port 135	SQL Server Configuration Manager bruker WMI til å liste opp og administrere tjenester. Vi anbefaler at du bruker den forhåndskonfigurerte regelgruppen Windows Management Instrumentation (WMI). For mer informasjon, se delen Interaksjon med andre brannmurregler nedenfor.
Microsoft DIST (Microsoft Distributed Transaction Coordinator)	TCP-port 135 Se Spesielle hensyn for port 135	Hvis applikasjonen din bruker distribuerte transaksjoner, kan det hende du må konfigurere brannmuren slik at Microsoft Distributed Transaction Coordinator (MS DTC) -trafikk kan strømme mellom separate MS DTC-forekomster og mellom MS DTC og ressursledere som SQL Server. Vi anbefaler at du bruker den forhåndskonfigurerte regelgruppen for distribuert transaksjonskoordinator. Når en enkelt delt MS DTC er konfigurert for hele klyngen i en egen ressursgruppe, bør du legge til sqlservr.exe som unntak for brannmuren.
Bla gjennom-knappen i Management Studio bruker UDP for å koble til SQL Server Browser Service. For mer informasjon, se SQL Server Browser Service (Database Engine and SSAS).	UDP-port 1434	UDP er en tilkoblingsfri protokoll. Brannmuren har en innstilling (UnicastResponsesToMulticastBroadcastDisabled Property av INetFwProfile Interface) som styrer oppførselen til brannmuren med hensyn til unicast-svar på en UDP-forespørsel (eller multicast). Den har to oppførsler: Hvis innstillingen er SANT, er det ikke tillatt å gi unicast-svar på en sending i det hele tatt. Å telle tjenester mislykkes. Hvis innstillingen er FALSE (standard), er unicast-svar tillatt i 3 sekunder. Tiden kan ikke konfigureres. I et overbelastet eller høyt latenst nettverk eller for tungt belastede servere, prøver å oppregne forekomster av SQL Server, kan returnere en delvis liste som kan villede brukere.
IPsec-trafikk	UDP-port 500 og UDP-port 4500	Hvis domenepolitikken krever at nettverkskommunikasjon gjøres via IPsec, må du også legge til UDP-port 4500 og UDP-port 500 i unntakslisten. IPsec er et alternativ ved å bruke veiviseren for ny inngående regel i snapin-modulen Windows-brannmur. Hvis du vil ha mer informasjon, kan du se Bruke Windows-brannmur med avansert sikkerhets-snapin-modul nedenfor.
Bruke Windows-autentisering med pålitelige domener	Brannmurer må være konfigurert for å tillate autentiseringsforespørsler.	For mer informasjon, se Hvordan konfigurere en brannmur for domener og tillit.
SQL Server og Windows Clustering	Klynging krever ekstra porter som ikke er direkte relatert til SQL Server.	For mer informasjon, se Aktiver et nettverk for klyngebruk.
URL-navneområder reservert i HTTP Server API (HTTP.SYS)	Sannsynligvis TCP-port 80, men kan konfigureres til andre porter. For generell informasjon, se Konfigurere HTTP og HTTPS.	For SQL Server-spesifikk informasjon om å reservere et HTTP.SYS-sluttpunkt ved hjelp av HttpCfg.exe, se Om URL-reservasjoner og registrering (SSRS Configuration Manager).

Spesielle hensyn for port 135

Når du bruker RPC med TCP / IP eller med UDP / IP som transport, blir inngående porter ofte tilordnet dynamisk til systemtjenester etter behov; TCP / IP- og UDP / IP-porter som er større enn port 1024 brukes. Disse blir ofte uformelt referert til som «tilfeldige RPC-porter.» I disse tilfellene stoler RPC-klienter på RPC-sluttpunktskartleggeren for å fortelle dem hvilke dynamiske porter som er tilordnet serveren. For noen RPC-baserte tjenester kan du konfigurere en bestemt port i stedet for å la RPC tildele en dynamisk. Du kan også begrense rekkevidden av porter som RPC dynamisk tildeler til et lite område, uavhengig av tjenesten. Fordi port 135 brukes til mange tjenester, blir den ofte angrepet av ondsinnede brukere. Når du åpner port 135, bør du vurdere å begrense omfanget av brannmurregelen.

For mer informasjon om port 135, se følgende referanser:

• Tjenesteoversikt og nettverksportkrav for Windows Server-systemet
• Feilsøking av RPC Endpoint Mapper-feil ved hjelp av Windows Server 2003-støtteverktøy fra produkt-CD
• Remote procedure call (RPC)
• Hvordan konfigurere RPC dynamisk portallokering for å arbeide med brannmurer

Interaksjon med andre brannmurregler

Windows-brannmuren bruker regler og regelgrupper for å etablere konfigurasjonen. Hver regel eller regelgruppe er vanligvis knyttet til et bestemt program eller en bestemt tjeneste, og det programmet eller tjenesten kan endre eller slette den regelen uten at du vet om det. For eksempel er regelgruppene World Wide Web Services (HTTP) og World Wide Web Services (HTTPS) tilknyttet IIS.Aktivering av disse reglene åpner portene 80 og 443, og SQL Server-funksjoner som er avhengige av portene 80 og 443, vil fungere hvis disse reglene er aktivert. Imidlertid kan administratorer som konfigurerer IIS endre eller deaktivere disse reglene. Derfor, hvis du bruker port 80 eller port 443 for SQL Server, bør du opprette din egen regel eller regelgruppe som opprettholder ønsket portkonfigurasjon uavhengig av de andre IIS-reglene.

Windows-brannmuren med avansert sikkerhet MMC snap-in tillater trafikk som samsvarer med gjeldende tillatelsesregel. Så hvis det er to regler som begge gjelder port 80 (med forskjellige parametere), vil trafikk som samsvarer med en av reglene være tillatt. Så hvis en regel tillater trafikk over port 80 fra lokalt delnett og en regel tillater trafikk fra hvilken som helst adresse, er nettoeffekten at all trafikk til port 80 er tillatt uavhengig av kilde. For effektivt å administrere tilgang til SQL Server, bør administratorer regelmessig gjennomgå alle brannmurregler som er aktivert på serveren.

Oversikt over brannmurprofiler

Brannmurprofiler brukes av operativsystemene for å identifisere og huske hvert av nettverkene de kobler seg til med hensyn til tilkobling, tilkoblinger og kategori.

Det er tre nettverksposisjonstyper i Windows-brannmur med avansert sikkerhet:

• Domene: Windows kan autentisere tilgang til domenekontrolleren for domenet som datamaskinen er koblet til.
• Offentlig: Annet enn domenenettverk, er alle nettverk i utgangspunktet kategorisert som offentlige. Nettverk som representerer direkte tilkoblinger til Internett eller er på offentlige steder, som flyplasser og kaffebarer, bør stå offentlige.
• Privat: Et nettverk identifisert av en bruker eller applikasjon som privat. Bare pålitelige nettverk skal identifiseres som private nettverk. Brukere vil sannsynligvis ønske å identifisere hjemmenettverk eller småbedriftsnettverk som private.

Administratoren kan opprette en profil for hver nettverksposisjonstype, med hver profil som inneholder forskjellige brannmurpolitikker. Bare én profil brukes når som helst. Profilordren brukes som følger:

1. Hvis alle grensesnitt er autentisert til domenekontrolleren for domenet som datamaskinen er medlem av, blir domeneprofilen brukt.
2. Hvis alle grensesnitt enten er autentisert til domenekontrolleren eller er koblet til nettverk som er klassifisert som private nettverkssteder, blir den private profilen brukt.
3. Ellers blir den offentlige profilen brukt.

Bruk Windows Firewall with Advanced Security MMC snap-in for å vise og konfigurere alle brannmurprofiler. Windows-brannmurelementet i Kontrollpanel konfigurerer bare den nåværende profilen.

Ytterligere brannmurinnstillinger ved hjelp av Windows-brannmurelementet i Kontrollpanel

Unntak som du legger til brannmuren kan begrense åpningen av porten til innkommende tilkoblinger fra bestemte datamaskiner eller det lokale delnettet. Denne begrensningen av omfanget av portåpningen kan redusere hvor mye datamaskinen din blir utsatt for ondsinnede brukere, og anbefales.

Slik endrer du omfanget av et brannmurunntak ved hjelp av Windows-brannmurelementet i Kontrollpanel

1. I Windows-brannmurelement i Kontrollpanel, velg et program eller en port i kategorien Unntak, og klikk deretter Egenskaper eller Rediger.

2. I dialogboksen Rediger et program eller Rediger en port, klikk på Endre omfang.

3. Velg ett av følgende alternativer:

   • En hvilken som helst datamaskin (inkludert de på Internett): Ikke anbefalt . Dette vil tillate enhver datamaskin som kan adressere datamaskinen din å koble til det angitte programmet eller porten. Denne innstillingen kan være nødvendig for å la informasjon bli presentert for anonyme brukere på internett, men øker eksponeringen for ondsinnede brukere. Eksponeringen din kan økes ytterligere hvis du aktiverer denne innstillingen og også tillater NAT-kryssing (Network Address Translation), for eksempel alternativet Tillat kantovergang.

   • Bare nettverket mitt (subnett) : Dette er en sikrere innstilling enn noen datamaskin. Bare datamaskiner på det lokale nettverket i nettverket ditt kan koble til programmet eller porten.

   • Egendefinert liste: Bare datamaskiner som har IP-adressene som er oppført, kan koble til. Dette kan være en sikrere innstilling enn Mitt nettverk (subnett), men klientdatamaskiner som bruker DHCP kan av og til endre IP-adressen. Da vil ikke den tiltenkte datamaskinen kunne koble til. En annen datamaskin, som du ikke hadde tenkt å autorisere, kan godta den oppførte IP-adressen og deretter kunne koble til. Alternativet Egendefinert liste kan være passende for oppføring av andre servere som er konfigurert til å bruke en fast IP-adresse; Imidlertid kan IP-adresser spoofes av en inntrenger. Begrensende brannmurregler er bare like sterke som nettverksinfrastrukturen.

Bruke Windows-brannmuren med avansert sikkerhets snap-in

Ytterligere avanserte brannmurinnstillinger kan konfigureres ved å bruke Windows-brannmur med avansert sikkerhets MMC-snapin-modul. Snap-in inkluderer en regelveiviser og avslører tilleggsinnstillinger som ikke er tilgjengelige i Windows-brannmurelementet i Kontrollpanel. Disse innstillingene inkluderer følgende:

• Krypteringsinnstillinger
• Tjenestebegrensninger
• Begrensning av tilkoblinger for datamaskiner etter navn
• Begrensning av tilkoblinger til spesifikke brukere eller profiler
• Edge traversal som tillater trafikk å omgå NAT-rutere (Network Address Translation)
• Konfigurere utgående regler
• Konfigurere sikkerhetsregler
• Krever IPsec for innkommende tilkoblinger

For å opprette en ny brannmurregel ved hjelp av veiviseren Ny regel

1. Velg Kjør på Start-menyen, skriv WF.msc , og velg deretter OK.
2. I Windows-brannmuren med avansert sikkerhet, høyreklikker du på Innkommende regler i venstre rute, og velger deretter Ny regel.
3. Fullfør den nye innkommende regelen Veiviser ved hjelp av innstillingene du ønsker.

Feilsøking av brannmurinnstillinger

Følgende verktøy og teknikker kan være nyttige i feilsøking av brannmurproblemer:

• Den effektive havnestatusen er foreningen av alle rul er relatert til havnen. Når du prøver å blokkere tilgang gjennom en port, kan det være nyttig å gjennomgå alle reglene som siterer portnummeret. For å gjøre dette bruker du Windows-brannmuren med Advanced Security MMC snap-in og sorterer innkommende og utgående regler etter portnummer.

• Gjennomgå portene som er aktive på datamaskinen på hvilken SQL Server som kjører. Denne gjennomgangsprosessen inkluderer verifisering av hvilke TCP / IP-porter som lytter, og også verifisering av portenes status.

  For å bekrefte hvilke porter som lytter, bruk kommandolinjeprogrammet netstat. I tillegg til å vise aktive TCP-tilkoblinger, viser netstat-verktøyet også en rekke IP-statistikker og informasjon.

  Å liste hvilke TCP / IP-porter som lytter

  1. Åpne ledetekstvinduet.

  2. Ved ledeteksten skriver du netstat -n -a.

     Bryteren -n instruerer netstat om å vise adressen numerisk. og portnummer på aktive TCP-tilkoblinger. -A-bryteren instruerer netstat om å vise TCP- og UDP-porter som datamaskinen lytter til.

• PortQry-verktøyet kan brukes til å rapportere statusen til TCP / IP-porter som lytting, ikke lytting eller filtrering. (Med en filtrert status kan det hende at porten lytter eller ikke; denne statusen indikerer at verktøyet ikke mottok svar fra porten.) PortQry-verktøyet er tilgjengelig for nedlasting fra Microsoft Download Center.

Se også

Tjenesteoversikt og nettverksportkrav for Windows Server-systemet
Slik: Konfigurer brannmurinnstillinger (Azure SQL Database)