januari 18, 2021

Configureer de Windows Firewall om SQL Server-toegang toe te staan

  • 22/07/2020
  • 22 minuten om te lezen
    • c
    • D
    • k
    • l
    • v
    • +13

Is van toepassing op: SQL Server (alle ondersteunde versies) – Alleen Windows Azure SQL Managed Instance

Firewallsystemen helpen ongeautoriseerde toegang tot computerbronnen te voorkomen. Als een firewall is ingeschakeld maar niet correct is geconfigureerd, worden pogingen om verbinding te maken met SQL Server mogelijk geblokkeerd.

Om via een firewall toegang te krijgen tot een exemplaar van de SQL Server, moet u de firewall configureren op de computer die met SQL Server. De firewall is een onderdeel van Microsoft Windows. U kunt ook een firewall van een ander bedrijf installeren. In dit artikel wordt beschreven hoe u de Windows-firewall configureert, maar de basisprincipes zijn van toepassing op andere firewallprogrammas.

Opmerking

Dit artikel geeft een overzicht van de firewallconfiguratie en geeft een samenvatting van informatie over interesse voor een SQL Server-beheerder. Voor meer informatie over de firewall en voor gezaghebbende firewall-informatie, zie de firewalldocumentatie, zoals de Windows Firewall-beveiligingsimplementatiehandleiding.

Gebruikers die bekend zijn met het beheer van de Windows Firewall en weten welke firewallinstellingen ze wilt configureren, kan direct naar de meer geavanceerde artikelen gaan:

  • Configureer een Windows Firewall voor toegang tot database-engine
  • Configureer de Windows Firewall om Analysis Services toegang te verlenen
  • Configureer een firewall voor toegang tot rapportservers

Basisfirewall-informatie

Firewalls werken door inkomende pakketten te inspecteren en ze te vergelijken met een reeks regels. Als het pakket voldoet aan de normen die door de regels worden voorgeschreven, geeft de firewall het pakket door aan het TCP / IP-protocol voor aanvullende verwerking. Als het pakket niet voldoet aan de normen die door de regels zijn gespecificeerd, verwijdert de firewall het pakket en, als logboekregistratie is ingeschakeld, wordt een vermelding in het logboekbestand van de firewall gemaakt.

De lijst met toegestaan verkeer wordt gevuld. op een van de volgende manieren:

  • Automatisch: wanneer een computer met een ingeschakelde firewall communicatie start, maakt de firewall een vermelding in de lijst zodat de reactie is toegestaan. Dit antwoord wordt beschouwd als gevraagd verkeer en er is niets dat geconfigureerd hoeft te worden.

  • Handmatig: een beheerder configureert uitzonderingen op de firewall. Dit geeft toegang tot bepaalde programmas of poorten op uw computer. In dit geval accepteert de computer ongevraagd inkomend verkeer als server, luisteraar of peer. Dit is het type configuratie dat moet worden voltooid om verbinding te maken met SQL Server.

Het kiezen van een firewallstrategie is complexer dan alleen beslissen of een bepaalde poort open of gesloten moet zijn . Zorg er bij het ontwerpen van een firewallstrategie voor uw onderneming voor dat u rekening houdt met alle regels en configuratie-opties die voor u beschikbaar zijn. In dit artikel worden niet alle mogelijke firewall-opties besproken. We raden u aan de volgende documenten door te nemen:

Implementatiehandleiding voor Windows Firewall
Ontwerphandleiding voor Windows Firewall
Inleiding tot server- en domeinisolatie

Standaardfirewall-instellingen

De eerste stap bij het plannen van uw firewallconfiguratie is het bepalen van de huidige status van de firewall voor uw besturingssysteem. Als het besturingssysteem is geüpgraded vanaf een eerdere versie, zijn de eerdere firewallinstellingen mogelijk behouden. De firewall-instellingen kunnen ook zijn gewijzigd door een andere beheerder of door een groepsbeleid in uw domein.

Opmerking

Het inschakelen van de firewall heeft invloed op andere programmas die hier toegang toe hebben computer, zoals het delen van bestanden en printers, en externe bureaubladverbindingen. Beheerders moeten alle toepassingen die op de computer worden uitgevoerd in overweging nemen voordat ze de firewall-instellingen aanpassen.

Programmas om de firewall te configureren

Configureer de Windows Firewall-instellingen met een van beide Microsoft Management Console of netsh.

  • Microsoft Management Console (MMC)

    Met de Windows Firewall met geavanceerde beveiliging MMC-module kunt u meer geavanceerde firewall-instellingen configureren. Deze module presenteert de meeste firewall-opties op een gebruiksvriendelijke manier en toont alle firewallprofielen. Zie De Windows Firewall gebruiken met geavanceerde beveiligingsmodule verderop in dit artikel voor meer informatie.

  • netsh

    Het hulpprogramma netsh.exe kan worden gebruikt door een beheerder om Windows-computers te configureren en te bewaken via een opdrachtprompt of met behulp van een batchbestand **.** Door de netsh-tool te gebruiken, kunt u de contextopdrachten die u invoert naar de juiste helper sturen, waarna de helper de opdracht uitvoert. Een helper is een Dynamic Link Library-bestand (.dll) dat de functionaliteit van de netsh-tool uitbreidt door configuratie, monitoring en ondersteuning te bieden voor een of meer services, hulpprogrammas of protocollen. Alle besturingssystemen die SQL Server ondersteunen, hebben een firewall-helper. Windows Server 2008 heeft ook een geavanceerde firewall-helper, advfirewall genaamd. De details van het gebruik van netsh worden in dit artikel niet besproken. Veel van de beschreven configuratie-opties kunnen echter worden geconfigureerd met netsh. Voer bijvoorbeeld het volgende script uit bij een opdrachtprompt om TCP-poort 1433 te openen:

    Een vergelijkbaar voorbeeld met behulp van de Windows Firewall voor geavanceerde beveiliging-helper:

    Voor meer informatie over netsh, zie de volgende links:

    • Netsh-opdrachtsyntaxis, contexten en opmaak
    • Hoe de “netsh advfirewall firewall” -context te gebruiken in plaats van de “netsh firewall” -context om het gedrag van Windows Firewall in Windows Server 2008 en in Windows Vista te regelen.

  • Voor Linux: onder Linux moet je ook de poorten openen die zijn gekoppeld aan de services waartoe je toegang nodig hebt. Verschillende distributies van Linux en verschillende firewalls hebben hun eigen procedures. Zie SQL Server op Red Hat en SQL Server op SUSE voor twee voorbeelden.

Poorten gebruikt door SQL Server

De volgende tabellen kunnen u helpen identificeer de poorten die worden gebruikt door SQL Server.

Poorten die worden gebruikt door de database-engine

Standaard zijn de typische poorten die worden gebruikt door SQL Server en bijbehorende database-engine-services: TCP 1433, 4022 , 135, 1434, UDP 1434. In de onderstaande tabel worden deze poorten in meer detail uitgelegd. Een benoemd exemplaar gebruikt dynamische poorten.

De volgende tabel geeft een overzicht van de poorten die vaak worden gebruikt door de database-engine.

Scenario Poort
Standaardexemplaar draait over TCP TCP-poort 1433 Dit is de meest gebruikelijke poort die door de firewall wordt toegestaan. Het is van toepassing op routineverbindingen met de standaardinstallatie van de database-engine of een benoemd exemplaar dat het enige exemplaar is dat op de computer wordt uitgevoerd. (Benoemde instanties hebben speciale overwegingen. Zie Dynamische poorten verderop in dit artikel.)
Benoemde instanties met standaardpoort De TCP-poort is een bepaalde dynamische poort op het moment dat de database-engine start. Zie de bespreking hieronder in de sectie Dynamische poorten. UDP-poort 1434 is mogelijk vereist voor de SQL Server Browser Service wanneer u benoemde instanties gebruikt.
Benoemde instanties met vaste poort Het poortnummer geconfigureerd door de beheerder. Zie de discussie hieronder in de sectie Dynamische poorten.
Dedicated Admin Connection TCP-poort 1434 voor de standaard voorbeeld. Andere poorten worden gebruikt voor benoemde instanties. Controleer het foutenlogboek voor het poortnummer. Standaard zijn externe verbindingen met de Dedicated Administrator Connection (DAC) niet ingeschakeld. Gebruik het facet Surface Area Configuration om externe DAC in te schakelen. Zie Surface Area Configuration voor meer informatie.
SQL Server Browser-service UDP-poort 1434 De SQL Server Browser-service luistert voor inkomende verbindingen met een benoemd exemplaar en geeft de client het TCP-poortnummer dat overeenkomt met dat genoemde exemplaar. Normaal gesproken wordt de SQL Server Browser-service gestart telkens wanneer benoemde instanties van de Database Engine worden gebruikt. De SQL Server Browser-service hoeft niet te worden gestart als de client is geconfigureerd om verbinding te maken met de specifieke poort van het genoemde exemplaar.
Instantie met HTTP-eindpunt. Kan worden opgegeven wanneer een HTTP-eindpunt wordt gemaakt. De standaardinstelling is TCP-poort 80 voor CLEAR_PORT-verkeer en 443 voor SSL_PORT-verkeer. Wordt gebruikt voor een HTTP-verbinding via een URL.
Standaardinstantie met HTTPS-eindpunt TCP-poort 443 Wordt gebruikt voor een HTTPS-verbinding via een URL. HTTPS is een HTTP-verbinding die gebruikmaakt van Transport Layer Security (TLS), voorheen bekend als Secure Sockets Layer (SSL).
Service Broker TCP-poort 4022 . Voer de volgende zoekopdracht uit om de gebruikte poort te verifiëren:
SELECT name, protocol_desc, port, state_desc
FROM sys.tcp_endpoints
WHERE type_desc = "SERVICE_BROKER" 		Er is geen standaardpoort voor SQL ServerService Broker, maar dit is de conventionele configuratie die wordt gebruikt in Books Online-voorbeelden.
Database Mirroring Door de beheerder gekozen poort.Voer de volgende zoekopdracht uit om de poort te bepalen:
SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints
WHERE type_desc = "DATABASE_MIRRORING" 		Er is geen standaardpoort voor database-mirroring. Books Online-voorbeelden gebruiken echter TCP-poort 5022 of 7022. Het is belangrijk om het onderbreken van een in gebruik zijnde mirroring-eindpunt te vermijden, vooral in de zeer veilige modus met automatische failover. Uw firewallconfiguratie moet voorkomen dat het quorum wordt overschreden. Zie Specificeer een servernetwerkadres (Database Mirroring) voor meer informatie.
Replication Replicatieverbindingen met SQL Server gebruiken de typische reguliere Database Engine-poorten ( TCP-poort 1433 voor de standaardinstantie, enz.)
Websynchronisatie en FTP / UNC-toegang voor replicatiemomentopname vereisen dat extra poorten worden geopend op de firewall. Om initiële gegevens en schemas van de ene locatie naar de andere over te brengen, kan replicatie via FTP (TCP-poort 21) of synchronisatie via HTTP (TCP-poort 80) of bestandsdeling worden gebruikt. Bestandsdeling maakt gebruik van UDP-poort 137 en 138, en TCP-poort 139 als het NetBIOS gebruikt. Bestandsdeling maakt gebruik van TCP-poort 445. 		Voor synchronisatie via HTTP gebruikt replicatie het IIS-eindpunt (poorten kunnen worden geconfigureerd, maar zijn standaard poort 80), maar het IIS-proces maakt verbinding met de back-end SQL Server via de standaardpoorten (1433 voor de standaardinstantie.
Tijdens websynchronisatie met FTP vindt de FTP-overdracht plaats tussen IIS en de SQL Server-uitgever, niet tussen abonnee en IIS.
Transact-SQL debugger TCP-poort 135
Zie speciale overwegingen voor poort 135
De IPsec-uitzondering kan ook vereist zijn. 		Als u Visual Studio gebruikt, in Visual Studio hostcomputer, moet u ook Devenv.exe toevoegen aan de lijst met uitzonderingen en TCP-poort 135 openen.
Als u Management Studio gebruikt, op de Management Studio-hostcomputer, moet u ook ssms.exe toevoegen aan de lijst met uitzonderingen en de TCP-poort openen 135. Zie Firewallregels configureren voordat TSQL Debugger wordt uitgevoerd voor meer informatie.

Voor stapsgewijze instructies om de Windows Firewall voor de database-engine te configureren, zie Configureer een Windows-firewall voor toegang tot de database-engine.

Dynamische poorten

Standaard benoemde instanties ( inclusief SQL Server Express) dynamische poorten gebruiken. Dat betekent dat elke keer dat de database-engine start, deze een beschikbare poort identificeert en dat poortnummer gebruikt. Als het genoemde exemplaar het enige exemplaar van de Database Engine is dat is geïnstalleerd, zal het waarschijnlijk TCP-poort 1433 gebruiken. Als er andere exemplaren van de Database Engine zijn geïnstalleerd, zal het waarschijnlijk een andere TCP-poort gebruiken. Omdat de geselecteerde poort kan veranderen elke keer dat de Database Engine wordt gestart, is het moeilijk om de firewall te configureren om toegang tot het juiste poortnummer mogelijk te maken. Als er een firewall wordt gebruikt, raden we daarom aan om de database-engine opnieuw te configureren om telkens hetzelfde poortnummer te gebruiken. Dit wordt een vaste poort of een statische poort genoemd. Voor meer informatie, zie Configureer een server om te luisteren op een specifieke TCP-poort (SQL Server Configuration Manager).

Een alternatief voor het configureren van een benoemd exemplaar om te luisteren op een vaste poort is om een uitzondering in de firewall te maken voor een SQL Server-programma zoals sqlservr.exe (voor de database-engine). Dit kan handig zijn, maar het poortnummer wordt niet weergegeven in de kolom Lokale poort van de pagina Regels voor inkomend verkeer wanneer u de Windows Firewall met MMC-module Advanced Security gebruikt. Dit kan het moeilijker maken om te controleren welke poorten open zijn. Een andere overweging is dat een servicepack of cumulatieve update het pad naar het SQL Server-uitvoerbare bestand kan wijzigen, waardoor de firewallregel ongeldig wordt.

Een programma-uitzondering aan de firewall toevoegen met behulp van Windows Defender Firewall met geavanceerde beveiliging

  1. Typ wf.msc in het startmenu. Druk op Enter of selecteer het zoekresultaat wf.msc om Windows Defender Firewall met geavanceerde beveiliging te openen.

  2. Selecteer in het linkerdeelvenster Inkomende regels.

  3. In het rechterdeelvenster, onder Acties, selecteert u Nieuwe regel …. De wizard Nieuwe regel voor binnenkomend verkeer wordt geopend.

  4. Selecteer bij Regeltype Programma. Selecteer Volgende.

  5. In programma, selecteer dit programmapad. Selecteer Bladeren om uw exemplaar van SQL Server te zoeken. Het programma heet sqlservr.exe. Het bevindt zich normaal gesproken op:

    C:\Program Files\Microsoft SQL Server\MSSQL15.<InstanceName>\MSSQL\Binn\sqlservr.exe

    Selecteer Volgende.

  6. Aan Actie, selecteer de verbinding toestaan. Selecteer Volgende.

  7. Voeg bij profiel alle drie de profielen toe. Selecteer Volgende.

  8. Typ bij Naam een naam voor de regel. Selecteer Voltooien.

Voor meer informatie over eindpunten, zie Configureer de database-engine om te luisteren op meerdere TCP-poorten en eindpuntcatalogusweergaven (Transact-SQL).

Poorten die worden gebruikt door Analysis Services

Standaard zijn de typische poorten die worden gebruikt door SQL Server Analysis Services en bijbehorende services: TCP 2382, 2383, 80, 443. In de onderstaande tabel worden deze poorten in meer detail uitgelegd.

In de volgende tabel staan de poorten die vaak door Analysis Services worden gebruikt.

Functie Poort
Analysis Services TCP-poort 2383 voor de standaardinstantie De standaardpoort voor de standaardinstantie van Analysis Services.
SQL Server Browser-service TCP-poort 2382 alleen nodig voor een Analysis Services genoemd exemplaar Clientverbindingsverzoeken voor een genoemd exemplaar van Analysis Services die niet specificeren een poortnummer wordt omgeleid naar poort 2382, de poort waarop SQL Server Browser luistert. SQL Server Browser leidt het verzoek vervolgens om naar de poort die het genoemde exemplaar gebruikt.
Analysis Services geconfigureerd voor gebruik via IIS / HTTP
(de PivotTable®-service gebruikt HTTP of HTTPS) 		TCP-poort 80 Wordt gebruikt voor een HTTP-verbinding via een URL.
Analyseservices geconfigureerd voor gebruik via IIS / HTTPS
(De PivotTable®-service gebruikt HTTP of HTTPS) 		TCP-poort 443 Wordt gebruikt voor een HTTPS-verbinding via een URL. HTTPS is een HTTP-verbinding die TLS gebruikt.

Als gebruikers Analyseservices openen via IIS en internet, moet u de poort openen waarop IIS luistert en die poort specificeren in de clientverbindingsreeks. In dit geval hoeven er geen poorten open te staan voor directe toegang tot Analysis Services. De standaardpoort 2389 en poort 2382 moeten samen met alle andere poorten die niet vereist zijn, worden beperkt.

Voor stapsgewijze instructies om de Windows Firewall voor Analysis Services te configureren, zie Configureer de Windows Firewall om toe te staan Toegang tot Analysis Services.

Poorten die worden gebruikt door Reporting Services

Standaard zijn de typische poorten die worden gebruikt door SQL Server Reporting Services en bijbehorende services: TCP 80, 443. In de onderstaande tabel worden deze uitgelegd poorten in meer detail.

De volgende tabel geeft een overzicht van de poorten die vaak worden gebruikt door Reporting Services.

Functie Poort
Reporting Services Web Services TCP-poort 80 Wordt gebruikt voor een HTTP-verbinding met Reporting Services via een URL. We raden u aan om de voorgeconfigureerde regel World Wide Web Services (HTTP) niet te gebruiken. Zie het gedeelte Interactie met andere firewallregels hieronder voor meer informatie.
Rapportageservices geconfigureerd voor gebruik via HTTPS TCP-poort 443 Wordt gebruikt voor een HTTPS-verbinding via een URL. HTTPS is een HTTP-verbinding die gebruikmaakt van TLS. We raden u aan de vooraf geconfigureerde regel Secure World Wide Web Services (HTTPS) niet te gebruiken. Zie het gedeelte Interactie met andere firewallregels hieronder voor meer informatie.

Wanneer Reporting Services maakt verbinding met een exemplaar van de Database Engine of Analysis Services, u moet ook de juiste poorten voor die services openen. Voor stapsgewijze instructies om de Windows Firewall voor Reporting Services te configureren, configureert u een firewall voor Report Server Access.

Poorten die worden gebruikt door integratieservices

In de volgende tabel staan de poorten die worden gebruikt door de Integration Services-service.

Feature Poort
Microsoft externe procedure-aanroepen (MS RPC)
Gebruikt door de Integration Services-runtime. 		TCP-poort 135
Zie Speciale overwegingen voor poort 135 		De Integration Services-service gebruikt DCOM op poort 135. De Service Control Manager gebruikt poort 135 om taken uit te voeren zoals het starten en stoppen van de Integration Services-service en het verzenden van controleverzoeken naar de actieve service. Het poortnummer kan niet worden gewijzigd.
Deze poort hoeft alleen geopend te zijn als u verbinding maakt met een externe instantie van de Integration Services-service vanuit Management Studio of een aangepaste toepassing.

Zie Integration Services Service (SSIS Service) voor stapsgewijze instructies om de Windows Firewall voor Integration Services te configureren.

Extra poorten en services

De volgende tabel geeft een overzicht van de poorten en services waarvan SQL Server mogelijk afhankelijk is.

Scenario Poort
Windows-beheerinstrumenten
Voor meer informatie over WMI, zie WMI-provider voor configuratiebeheerconcepten 		WMI wordt uitgevoerd als onderdeel van een shared service host met poorten toegewezen via DCOM.WMI gebruikt mogelijk TCP-poort 135.
Zie Speciale overwegingen voor poort 135 		SQL Server Configuration Manager gebruikt WMI om services weer te geven en te beheren. We raden u aan de vooraf geconfigureerde regelgroep Windows Management Instrumentation (WMI) te gebruiken. Zie het gedeelte Interactie met andere firewallregels hieronder voor meer informatie.
Microsoft Distributed Transaction Coordinator (MS DTC) TCP-poort 135
Zie Speciale overwegingen voor poort 135 		Als uw toepassing gebruikmaakt van gedistribueerde transacties, moet u mogelijk de firewall configureren om verkeer van Microsoft Distributed Transaction Coordinator (MS DTC) te laten stromen tussen afzonderlijke MS DTC-instanties en tussen de MS DTC en resource managers zoals SQL Server. We raden u aan de vooraf geconfigureerde regelgroep Distributed Transaction Coordinator te gebruiken.
Wanneer een enkele gedeelde MS DTC is geconfigureerd voor het hele cluster in een afzonderlijke resourcegroep, moet u sqlservr.exe als uitzondering aan de firewall toevoegen.
De bladerknop in Management Studio gebruikt UDP om verbinding te maken met de SQL Server Browser Service. Zie SQL Server Browser Service (Database Engine en SSAS) voor meer informatie. UDP-poort 1434 UDP is een verbindingsloos protocol.
De firewall heeft een instelling (UnicastResponsesToMulticastBroadcastDisabled Property van de INetFwProfile-interface) die het gedrag van de firewall bestuurt met betrekking tot unicast-reacties op een broadcast (of multicast) UDP-verzoek. Het heeft twee gedragingen:
Als de instelling WAAR is, zijn unicast-reacties op een uitzending helemaal niet toegestaan. Het inventariseren van services zal mislukken.
Als de instelling FALSE (standaard) is, zijn unicast-reacties gedurende 3 seconden toegestaan. De tijdsduur is niet configureerbaar. In een overbelast netwerk of netwerk met hoge latentie, of voor zwaarbelaste servers, kan het opsommen van exemplaren van SQL Server een gedeeltelijke lijst opleveren, wat gebruikers kan misleiden.
IPsec-verkeer UDP-poort 500 en UDP-poort 4500 Als het domeinbeleid vereist dat netwerkcommunicatie via IPsec verloopt, moet u ook UDP-poort 4500 en UDP-poort 500 toevoegen aan de uitzonderingenlijst. IPsec is een optie die gebruikmaakt van de New Inbound Rule Wizard in de Windows Firewall-module. Zie De Windows Firewall gebruiken met geavanceerde beveiligingsmodule hieronder voor meer informatie.
Windows-verificatie gebruiken met vertrouwde domeinen Firewalls moeten zo zijn geconfigureerd dat authenticatieverzoeken. Voor meer informatie, zie Een firewall configureren voor domeinen en vertrouwensrelaties.
SQL Server en Windows Clustering Clustering vereist extra poorten die niet direct gerelateerd zijn aan SQL Server. Zie voor meer informatie Een netwerk inschakelen voor clustergebruik.
URL-naamruimten gereserveerd in de HTTP Server API (HTTP.SYS) Waarschijnlijk TCP-poort 80, maar kan worden geconfigureerd voor andere poorten. Zie HTTP en HTTPS configureren voor algemene informatie. Voor SQL Server-specifieke informatie over het reserveren van een HTTP.SYS-eindpunt met HttpCfg.exe, zie Over URL-reserveringen en registratie (SSRS-configuratiebeheer).

Speciale overwegingen voor poort 135

Wanneer u RPC gebruikt met TCP / IP of met UDP / IP als transport, inkomende poorten worden vaak dynamisch toegewezen aan systeemservices zoals vereist; Er worden TCP / IP- en UDP / IP-poorten gebruikt die groter zijn dan poort 1024. Deze worden vaak informeel “willekeurige RPC-poorten” genoemd. In deze gevallen vertrouwen RPC-clients op de RPC-endpoint-mapper om hen te vertellen welke dynamische poorten aan de server zijn toegewezen. Voor sommige op RPC gebaseerde services kunt u een specifieke poort configureren in plaats van RPC er dynamisch een te laten toewijzen. U kunt ook het bereik van poorten dat RPC dynamisch toewijst aan een klein bereik beperken, ongeacht de service. Omdat poort 135 voor veel services wordt gebruikt, wordt deze vaak aangevallen door kwaadwillende gebruikers. Overweeg bij het openen van poort 135 het bereik van de firewallregel te beperken.

Voor meer informatie over poort 135, zie de volgende referenties:

  • Service-overzicht en netwerkpoortvereisten voor het Windows Server-systeem
  • Problemen met RPC Endpoint Mapper-fouten oplossen met behulp van de Windows Server 2003 Support Tools op de product-cd
  • Remote Procedure Call (RPC)
  • Configureren RPC dynamische poorttoewijzing om met firewalls te werken

Interactie met andere firewallregels

De Windows Firewall gebruikt regels en regelgroepen om de configuratie vast te stellen. Elke regel of regelgroep wordt doorgaans geassocieerd met een bepaald programma of een bepaalde service, en dat programma of die service kan die regel zonder uw medeweten wijzigen of verwijderen. De regelgroepen World Wide Web Services (HTTP) en World Wide Web Services (HTTPS) zijn bijvoorbeeld gekoppeld aan IIS.Als u deze regels inschakelt, worden poorten 80 en 443 geopend, en SQL Server-functies die afhankelijk zijn van poort 80 en 443, werken als die regels zijn ingeschakeld. Beheerders die IIS configureren, kunnen deze regels echter wijzigen of uitschakelen. Daarom, als u poort 80 of poort 443 gebruikt voor SQL Server, moet u uw eigen regel of regelgroep maken die uw gewenste poortconfiguratie behoudt, onafhankelijk van de andere IIS-regels.

De Windows Firewall met geavanceerde beveiliging MMC-module staat alle verkeer toe dat overeenkomt met elke toepasselijke regel voor toestaan. Dus als er twee regels zijn die beide van toepassing zijn op poort 80 (met verschillende parameters), is verkeer dat overeenkomt met een van beide regels toegestaan. Dus als één regel verkeer via poort 80 vanaf een lokaal subnet toestaat en één regel verkeer vanaf elk adres toestaat, is het netto-effect dat al het verkeer naar poort 80 is toegestaan, ongeacht de bron. Om de toegang tot SQL Server effectief te beheren, moeten beheerders periodiek alle firewallregels bekijken die op de server zijn ingeschakeld.

Overzicht van firewallprofielen

Firewallprofielen worden door de besturingssystemen gebruikt om te identificeren en onthouden elk van de netwerken waarmee ze verbinding maken met betrekking tot connectiviteit, verbindingen en categorie.

Er zijn drie netwerklocatietypen in Windows Firewall met geavanceerde beveiliging:

  • Domein: Windows kan de toegang tot de domeincontroller verifiëren voor het domein waartoe de computer behoort.
  • Openbaar: behalve domeinenetwerken worden alle netwerken aanvankelijk als openbaar gecategoriseerd. Netwerken die directe verbindingen met internet vertegenwoordigen of zich op openbare locaties bevinden, zoals luchthavens en coffeeshops, moeten openbaar worden gelaten.
  • Privé: een netwerk dat door een gebruiker of applicatie als privé wordt aangemerkt. Alleen vertrouwde netwerken mogen als privénetwerken worden aangemerkt. Gebruikers zullen thuisnetwerken of netwerken van kleine bedrijven waarschijnlijk als privé willen identificeren.

De beheerder kan een profiel maken voor elk netwerklocatietype, waarbij elk profiel een ander firewallbeleid bevat. Er wordt altijd maar één profiel toegepast. De profielvolgorde wordt als volgt toegepast:

  1. Als alle interfaces zijn geverifieerd bij de domeincontroller voor het domein waarvan de computer lid is, wordt het domeinprofiel toegepast.
  2. Als alle interfaces zijn geverifieerd bij de domeincontroller of zijn verbonden met netwerken die zijn geclassificeerd als privé-netwerklocaties, wordt het privéprofiel toegepast.
  3. Anders wordt het openbare profiel toegepast.

Gebruik de Windows Firewall met Advanced Security MMC-module om alle firewallprofielen te bekijken en te configureren. Het Windows Firewall-item in het Configuratiescherm configureert alleen het huidige profiel.

Aanvullende firewall-instellingen met behulp van het Windows Firewall-item in het Configuratiescherm

Uitzonderingen die u aan de firewall toevoegt, kunnen het openen van de poort naar inkomende verbindingen van specifieke computers of het lokale subnet. Deze beperking van de reikwijdte van de poortopening kan de mate waarin uw computer wordt blootgesteld aan kwaadwillende gebruikers verminderen, en wordt aanbevolen.

Opmerking

Het Windows Firewall-item gebruiken onder Controle Plesk Panel configureert alleen het huidige firewallprofiel.

Om het bereik van een firewall-uitzondering te wijzigen met behulp van het Windows Firewall-item in het Configuratiescherm

  1. In het Windows Firewall-item in het Configuratiescherm, selecteer een programma of poort op het tabblad Uitzonderingen en klik vervolgens op Eigenschappen of Bewerken.

  2. In het dialoogvenster Een programma bewerken of een poort bewerken, klik op Bereik wijzigen.

  3. Kies een van de volgende opties:

    • Elke computer (inclusief die op internet): niet aanbevolen . Hierdoor kan elke computer die uw computer kan aanspreken, verbinding maken met het opgegeven programma of de opgegeven poort. Deze instelling is mogelijk nodig om informatie aan anonieme gebruikers op internet te kunnen presenteren, maar vergroot uw blootstelling aan kwaadwillende gebruikers. Uw zichtbaarheid kan verder worden verhoogd als u deze instelling inschakelt en ook Network Address Translation (NAT) traversal toestaat, zoals de Allow edge traversal optie.

    • Alleen mijn netwerk (subnet) : Dit is een veiligere instelling dan welke computer dan ook. Alleen computers op het lokale subnet van uw netwerk kunnen verbinding maken met het programma of de poort.

    • Aangepaste lijst: alleen computers met de vermelde IP-adressen kunnen verbinding maken. Dit kan een veiligere instelling zijn dan alleen Mijn netwerk (subnet). Clientcomputers die DHCP gebruiken, kunnen echter af en toe hun IP-adres wijzigen. Dan kan de beoogde computer geen verbinding maken. Een andere computer, die u niet had willen autoriseren, accepteert mogelijk het vermelde IP-adres en kan dan verbinding maken. De optie Aangepaste lijst is mogelijk geschikt voor het vermelden van andere servers die zijn geconfigureerd om een vast IP-adres te gebruiken; IP-adressen kunnen echter worden vervalst door een indringer. Beperkende firewallregels zijn zo sterk als uw netwerkinfrastructuur.

De Windows Firewall gebruiken met geavanceerde beveiligingsmodule

Aanvullende geavanceerde firewall-instellingen kunnen worden geconfigureerd met de Windows Firewall met MMC-module voor geavanceerde beveiliging. De module bevat een regelwizard en geeft aanvullende instellingen weer die niet beschikbaar zijn in het item Windows Firewall in het Configuratiescherm. Deze instellingen omvatten het volgende:

  • Versleutelingsinstellingen
  • Servicebeperkingen
  • Verbindingen voor computers op naam beperken
  • Verbindingen beperken tot specifieke gebruikers of profielen
  • Edge traversal waardoor verkeer Network Address Translation (NAT) -routers kan omzeilen
  • uitgaande regels configureren
  • beveiligingsregels configureren
  • IPsec vereist voor inkomende verbindingen

Om een nieuwe firewallregel te maken met de wizard Nieuwe regel

  1. Selecteer Uitvoeren in het menu Start, typ WF.msc en selecteer vervolgens OK.
  2. Klik in de Windows Firewall met geavanceerde beveiliging in het linkerdeelvenster met de rechtermuisknop op Regels voor inkomend verkeer en selecteer vervolgens Nieuwe regel.
  3. Voltooi de nieuwe regel voor inkomend verkeer Wizard met de gewenste instellingen.

Problemen met firewall-instellingen oplossen

De volgende tools en technieken kunnen handig zijn bij het oplossen van problemen met firewalls:

  • De effectieve poortstatus is de vereniging van alle regels es gerelateerd aan de haven. Wanneer u de toegang via een poort probeert te blokkeren, kan het handig zijn om alle regels die het poortnummer vermelden, door te nemen. Gebruik hiervoor de Windows Firewall met Advanced Security MMC-module en sorteer de regels voor inkomend en uitgaand verkeer op poortnummer.

  • Bekijk de poorten die actief zijn op de computer op welke SQL Server wordt uitgevoerd. Dit beoordelingsproces omvat het verifiëren welke TCP / IP-poorten luisteren en ook het verifiëren van de status van de poorten.

    Gebruik het opdrachtregelprogramma netstat om te verifiëren welke poorten luisteren. Naast het weergeven van actieve TCP-verbindingen, geeft het netstat-hulpprogramma ook een verscheidenheid aan IP-statistieken en informatie weer.

    Om te zien welke TCP / IP-poorten luisteren

    1. Open het opdrachtpromptvenster.

    2. Typ netstat -n -a achter de opdrachtprompt.

      De schakeloptie -n instrueert netstat om het adres numeriek weer te geven en poortnummer van actieve TCP-verbindingen. De -a schakelaar instrueert netstat om de TCP- en UDP-poorten weer te geven waarop de computer luistert.

  • Het hulpprogramma PortQry kan worden gebruikt om de status van TCP / IP-poorten als luisteren, niet luisteren of gefilterd. (Met een gefilterde status luistert de poort mogelijk wel of niet; deze status geeft aan dat het hulpprogramma geen reactie van de poort heeft ontvangen.) Het hulpprogramma PortQry kan worden gedownload vanaf het Microsoft Downloadcentrum.

Zie ook

Serviceoverzicht en netwerkpoortvereisten voor het Windows Server-systeem
Procedure: Firewall-instellingen configureren (Azure SQL Database)

admin
0

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Archief

Meest recente berichten