Skonfiguruj zaporę systemu Windows, aby zezwolić na dostęp do programu SQL Server

• 22.07.2020
• 22 minuty na przeczytanie
• • c
  • D
  • k
  • l
  • v
  • +13

Dotyczy: SQL Server (wszystkie obsługiwane wersje) – tylko system Windows Wystąpienie zarządzane Azure SQL

Systemy zapory pomagają zapobiegać nieautoryzowanemu dostępowi do zasobów komputera. Jeśli zapora jest włączona, ale nie jest poprawnie skonfigurowana, próby połączenia z SQL Server mogą być blokowane.

Aby uzyskać dostęp do wystąpienia SQL Server przez zaporę, należy skonfigurować zaporę na komputerze, na którym jest z uruchomionym programem SQL Server. Zapora jest składnikiem systemu Microsoft Windows. Możesz także zainstalować zaporę sieciową innej firmy. W tym artykule omówiono sposób konfiguracji zapory systemu Windows, ale podstawowe zasady mają zastosowanie do innych programów zapory.

Użytkownicy zaznajomieni z zarządzaniem Zaporą systemu Windows i wiedzą, jakie ustawienia zapory mają chcesz skonfigurować, przejdź bezpośrednio do bardziej zaawansowanych artykułów:

• Skonfiguruj zaporę systemu Windows pod kątem dostępu do aparatu bazy danych
• Skonfiguruj zaporę systemu Windows, aby zezwolić na dostęp usług Analysis Services
• Skonfiguruj zaporę ogniową dla dostępu do serwera raportów

Podstawowe informacje o zaporze

Zapory działają poprzez inspekcję przychodzących pakietów i porównywanie ich z zestawem reguł. Jeśli pakiet spełnia standardy narzucone przez reguły, wtedy firewall przekazuje pakiet do protokołu TCP / IP w celu dodatkowego przetworzenia. Jeśli pakiet nie spełnia standardów określonych w regułach, zapora następnie odrzuca pakiet i, jeśli rejestrowanie jest włączone, tworzy wpis w pliku dziennika zapory.

Lista dozwolonego ruchu jest zapełniana w jeden z następujących sposobów:

• Automatycznie: Gdy komputer z włączoną zaporą firewall zainicjował komunikację, zapora tworzy wpis na liście, aby umożliwić odpowiedź. Ta odpowiedź jest uważana za ruch żądany i nie trzeba nic konfigurować.

• Ręcznie: administrator konfiguruje wyjątki w zaporze. Umożliwia to dostęp do określonych programów lub portów na komputerze. W takim przypadku komputer przyjmuje niechciany ruch przychodzący, działając jako serwer, odbiorca lub peer. To jest typ konfiguracji, którą należy wykonać, aby połączyć się z serwerem SQL.

Wybór strategii zapory jest bardziej złożony niż decyzja, czy dany port powinien być otwarty, czy zamknięty . Projektując strategię zapory dla przedsiębiorstwa, należy wziąć pod uwagę wszystkie dostępne reguły i opcje konfiguracji. W tym artykule nie omówiono wszystkich możliwych opcji zapory. Zalecamy zapoznanie się z następującymi dokumentami:

Podręcznik wdrażania zapory systemu Windows
Podręcznik projektowania zapory systemu Windows
Wprowadzenie do izolacji serwera i domeny

Domyślne ustawienia zapory

Pierwszym krokiem planowania konfiguracji zapory jest określenie aktualnego stanu zapory w systemie operacyjnym. Jeśli system operacyjny został zaktualizowany z poprzedniej wersji, wcześniejsze ustawienia zapory mogły zostać zachowane. Ponadto ustawienia zapory mogły zostać zmienione przez innego administratora lub przez zasady grupy w Twojej domenie.

Programy do konfigurowania zapory

Skonfiguruj ustawienia zapory systemu Windows za pomocą konsoli Microsoft Management Console lub netsh.

• Microsoft Management Console (MMC)

  Zapora systemu Windows z przystawką MMC Advanced Security umożliwia skonfigurowanie bardziej zaawansowanych ustawień zapory. Ta przystawka przedstawia większość opcji zapory w łatwy w użyciu sposób i przedstawia wszystkie profile zapory. Aby uzyskać więcej informacji, zobacz Używanie Zapory systemu Windows z przystawką Zabezpieczenia zaawansowane w dalszej części tego artykułu.

• netsh

  Można użyć narzędzia netsh.exe przez administratora do konfigurowania i monitorowania komputerów z systemem Windows z wiersza poleceń lub za pomocą pliku wsadowego **.** Używając narzędzia netsh, możesz skierować polecenia kontekstowe, które wprowadzasz, do odpowiedniego pomocnika, który następnie wykona polecenie. Pomocnik to plik biblioteki dołączanej dynamicznie (.dll), który rozszerza funkcjonalność narzędzia netsh, zapewniając konfigurację, monitorowanie i obsługę jednej lub wielu usług, narzędzi lub protokołów. Wszystkie systemy operacyjne obsługujące SQL Server mają pomocnika zapory. Windows Server 2008 zawiera również zaawansowanego pomocnika zapory o nazwie advfirewall. W tym artykule nie omówiono szczegółów korzystania z narzędzia netsh. Jednak wiele opisanych opcji konfiguracyjnych można skonfigurować przy użyciu narzędzia netsh. Na przykład uruchom następujący skrypt w wierszu polecenia, aby otworzyć port TCP 1433:

  Podobny przykład z użyciem pomocnika Zapory systemu Windows dla zaawansowanych zabezpieczeń:

  Więcej informacji o netsh można znaleźć pod następującymi linkami:

  • Składnia polecenia Netsh, konteksty i formatowanie
  • Jak używać kontekstu „netsh advfirewall firewall” zamiast kontekstu „netsh firewall” do kontrolowania zachowania Zapory systemu Windows w systemie Windows Server 2008 i Windows Vista

• W przypadku systemu Linux: w systemie Linux należy również otworzyć porty powiązane z usługami, do których potrzebujesz dostępu. Różne dystrybucje Linuksa i różne zapory mają własne procedury. Aby zapoznać się z dwoma przykładami, zobacz SQL Server w Red Hat i SQL Server w SUSE.

Porty używane przez SQL Server

Poniższe tabele mogą pomóc zidentyfikować porty używane przez SQL Server.

Porty używane przez aparat bazy danych

Domyślnie typowe porty używane przez SQL Server i powiązane usługi silnika bazy danych to: TCP 1433, 4022 , 135, 1434, UDP 1434. Poniższa tabela wyjaśnia te porty bardziej szczegółowo. Nazwana instancja korzysta z portów dynamicznych.

W poniższej tabeli wymieniono porty, które są często używane przez aparat bazy danych.

Scenariusz	Port
Domyślna instancja działająca przez TCP	Port TCP 1433	Jest to najpopularniejszy port dozwolony przez zaporę. Dotyczy to rutynowych połączeń z domyślną instalacją aparatu bazy danych lub nazwaną instancją, która jest jedyną instancją uruchomioną na komputerze. (Nazwane instancje wymagają specjalnych rozważań. Zobacz Porty dynamiczne w dalszej części tego artykułu).
Nazwane instancje z domyślnym portem	Port TCP to port dynamiczny określony w momencie uruchamiania aparatu bazy danych.	Zobacz omówienie poniżej w sekcji Porty dynamiczne. Port UDP 1434 może być wymagany dla usługi SQL Server Browser Service, gdy używasz nazwanych wystąpień.
Nazwane wystąpienia ze stałym portem	Numer portu skonfigurowany przez administratora.	Zobacz dyskusję poniżej w sekcji Porty dynamiczne.
Dedykowane połączenie administratora	Port TCP 1434 dla domyślnego instancja. Inne porty są używane dla nazwanych wystąpień. Sprawdź numer portu w dzienniku błędów.	Domyślnie połączenia zdalne z dedykowanym połączeniem administratora (DAC) nie są włączone. Aby włączyć zdalny DAC, użyj aspektu Surface Area Configuration. Aby uzyskać więcej informacji, zobacz Konfiguracja obszaru powierzchni.
Usługa przeglądarki SQL Server	port UDP 1434	Usługa przeglądarki SQL Server nasłuchuje dla połączeń przychodzących do nazwanej instancji i zapewnia klientowi numer portu TCP, który odpowiada tej nazwanej instancji. Zwykle usługa przeglądarki SQL Server jest uruchamiana za każdym razem, gdy używane są nazwane wystąpienia aparatu bazy danych. Usługi SQL Server Browser nie trzeba uruchamiać, jeśli klient jest skonfigurowany do łączenia się z określonym portem nazwanej instancji.
Instancja z punktem końcowym HTTP.	Można określić podczas tworzenia punktu końcowego HTTP. Domyślnym portem TCP jest 80 dla ruchu CLEAR_PORT i 443 dla ruchu SSL_PORT.	Używany do połączenia HTTP za pośrednictwem adresu URL.
Wystąpienie domyślne z punktem końcowym HTTPS	Port TCP 443	Używany do połączenia HTTPS przez adres URL. HTTPS to połączenie HTTP wykorzystujące Transport Layer Security (TLS), znane wcześniej jako Secure Sockets Layer (SSL).
Service Broker	TCP port 4022 . Aby zweryfikować używany port, wykonaj następujące zapytanie: SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = "SERVICE_BROKER"	Nie ma domyślnego portu dla SQL ServerService Broker, ale jest to typowa konfiguracja używana w przykładach Books Online.
Database Mirroring	Port wybrany przez administratora.Aby określić port, wykonaj następujące zapytanie: SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = "DATABASE_MIRRORING"	Nie ma domyślny port do dublowania bazy danych, jednak w przykładach Books Online używany jest port TCP 5022 lub 7022. Ważne jest, aby unikać zakłócania używanego dublowanego punktu końcowego, szczególnie w trybie wysokiego bezpieczeństwa z automatycznym przełączaniem awaryjnym. Twoja konfiguracja firewalla musi unikać łamania kworum. Aby uzyskać więcej informacji, zobacz Określanie adresu sieciowego serwera (dublowanie bazy danych).
Replikacja	Połączenia replikacyjne z serwerem SQL korzystają z typowych zwykłych portów aparatu bazy danych ( Port TCP 1433 dla instancji domyślnej itp.) Synchronizacja sieci Web i dostęp FTP / UNC do migawki replikacji wymagają otwarcia dodatkowych portów na zaporze. Aby przenieść początkowe dane i schemat z jednej lokalizacji do drugiej, replikacja może korzystać z protokołu FTP (port TCP 21) lub synchronizować przez HTTP (port TCP 80) lub udostępniać pliki. Udostępnianie plików korzysta z portów UDP 137 i 138 oraz portu TCP 139, jeśli używa NetBIOS. Udostępnianie plików korzysta z portu TCP 445.	W przypadku synchronizacji za pośrednictwem protokołu HTTP replikacja wykorzystuje punkt końcowy usług IIS (porty, które są konfigurowalne, ale domyślnie jest to port 80), ale proces usług IIS łączy się z serwerem SQL zaplecza za pośrednictwem standardowe porty (1433 dla wystąpienia domyślnego. Podczas synchronizacji w sieci Web przy użyciu protokołu FTP transfer FTP odbywa się między usługami IIS a wydawcą programu SQL Server, a nie między abonentem a usługami IIS.
Debuger języka Transact-SQL	TCP, port 135 Zobacz specjalne uwagi dotyczące portu 135 Wyjątek IPsec również może być wymagany.	Jeśli używasz programu Visual Studio, w programie Visual Studio komputer hosta, należy również dodać program Devenv.exe do listy wyjątków i otworzyć port TCP 135. W przypadku korzystania z programu Management Studio na komputerze hosta Management Studio należy również dodać ssms.exe do listy Wyjątki i otworzyć port TCP 135. Aby uzyskać więcej informacji, zobacz Konfigurowanie reguł zapory sieciowej przed uruchomieniem debugera TSQL.

Aby uzyskać instrukcje krok po kroku dotyczące konfigurowania Zapory systemu Windows dla aparatu bazy danych, zobacz Konfigurowanie zapory systemu Windows na potrzeby dostępu do aparatu bazy danych.

Porty dynamiczne

Domyślnie nazwane wystąpienia ( w tym SQL Server Express) używają portów dynamicznych. Oznacza to, że przy każdym uruchomieniu Aparat baz danych identyfikuje dostępny port i używa tego numeru portu. Jeśli nazwana instancja jest jedyną zainstalowaną instancją aparatu bazy danych, prawdopodobnie będzie korzystać z portu TCP 1433. Jeśli są zainstalowane inne instancje aparatu bazy danych, prawdopodobnie będzie ona używać innego portu TCP. Ponieważ wybrany port może się zmieniać za każdym razem, gdy uruchamiany jest aparat bazy danych, trudno jest skonfigurować zaporę, aby umożliwić dostęp do portu o poprawnym numerze. Dlatego jeśli używana jest zapora, zaleca się ponowne skonfigurowanie aparatu bazy danych, aby za każdym razem używał tego samego numeru portu. Nazywa się to stałym portem lub statycznym portem. Aby uzyskać więcej informacji, zobacz Konfigurowanie serwera do nasłuchiwania na określonym porcie TCP (SQL Server Configuration Manager).

Alternatywą dla skonfigurowania nazwanej instancji do nasłuchiwania na ustalonym porcie jest utworzenie wyjątku w zaporze dla programu SQL Server, takiego jak sqlservr.exe (dla aparatu bazy danych). Może to być wygodne, ale numer portu nie będzie wyświetlany w kolumnie Port lokalny na stronie Reguły ruchu przychodzącego podczas korzystania z Zapory systemu Windows z przystawką MMC zabezpieczeń zaawansowanych. Może to utrudnić kontrolę otwartych portów. Inną kwestią jest to, że dodatek Service Pack lub aktualizacja zbiorcza może zmienić ścieżkę do pliku wykonywalnego SQL Server, co spowoduje unieważnienie reguły zapory.

Aby dodać wyjątek programu do zapory przy użyciu Zapory systemu Windows Defender z zabezpieczeniami zaawansowanymi

1. W menu Start wpisz wf.msc. Naciśnij klawisz Enter lub wybierz wynik wyszukiwania wf.msc, aby otworzyć Zaporę Windows Defender z zabezpieczeniami zaawansowanymi.

2. W lewym okienku wybierz Reguły przychodzące.

3. W prawym okienku, w obszarze Akcje, wybierz opcję Nowa reguła …. Zostanie otwarty Kreator nowej reguły przychodzącej.

4. W polu Typ reguły wybierz opcję Program. Wybierz Dalej.

5. W programie wybierz opcję Ta ścieżka programu. Wybierz Przeglądaj, aby zlokalizować swoje wystąpienie programu SQL Server. Program nosi nazwę sqlservr.exe. Zwykle znajduje się pod adresem:

   C:\Program Files\Microsoft SQL Server\MSSQL15.<InstanceName>\MSSQL\Binn\sqlservr.exe

   Wybierz Dalej.

6. Włącz Akcja, wybierz Zezwalaj na połączenie. Wybierz Dalej.

7. W Profilu uwzględnij wszystkie trzy profile. Wybierz Dalej.

8. W polu Nazwa wpisz nazwę reguły. Wybierz Zakończ.

Aby uzyskać więcej informacji na temat punktów końcowych, zobacz Konfigurowanie aparatu bazy danych do nasłuchiwania na wielu portach TCP i widokach katalogu punktów końcowych (Transact-SQL).

Porty używane przez usługi Analysis Services

Domyślnie typowe porty używane przez usługi SQL Server Analysis Services i powiązane usługi to: TCP 2382, 2383, 80, 443. Poniższa tabela wyjaśnia te porty bardziej szczegółowo.

W poniższej tabeli wymieniono porty, które są często używane przez usługi Analysis Services.

Funkcja	Port
Analysis Services	Port TCP 2383 dla domyślnej instancji	Standardowy port dla domyślnej instancji Analysis Services.
Usługa przeglądarki SQL Server	Port TCP 2382 potrzebny tylko dla nazwanego wystąpienia usług Analysis Services	Żądania połączenia klienta dla nazwanego wystąpienia usług Analysis Services, które nie określają numer portu jest kierowany do portu 2382, portu, na którym nasłuchuje przeglądarka SQL Server. Przeglądarka SQL Server następnie przekierowuje żądanie do portu używanego przez nazwane wystąpienie.
Usługi Analysis Services skonfigurowane do użytku przez IIS / HTTP (Usługa tabeli przestawnej używa protokołu HTTP lub HTTPS)	Port TCP 80	Używany do połączenia HTTP za pośrednictwem adresu URL.
Usługi Analysis Services skonfigurowane do użytku przez IIS / HTTPS (usługa PivotTable® używa HTTP lub HTTPS)	Port TCP 443	Używany do połączenia HTTPS przez adres URL. HTTPS to połączenie HTTP wykorzystujące TLS.

Jeśli użytkownicy uzyskują dostęp do usług Analysis Services za pośrednictwem Usługi IIS i Internet należy otworzyć port, na którym nasłuchują usługi IIS, i określić ten port w ciągu połączenia klienta. W takim przypadku żadne porty nie muszą być otwarte, aby uzyskać bezpośredni dostęp do usług Analysis Services. Domyślny port 2389 i port 2382 powinny być ograniczone wraz ze wszystkimi innymi portami, które nie są wymagane.

Aby uzyskać instrukcje krok po kroku dotyczące konfigurowania zapory systemu Windows dla usług Analysis Services, zobacz Konfigurowanie zapory systemu Windows do zezwalania Dostęp do usług Analysis Services.

Porty używane przez usługi Reporting Services

Domyślnie typowe porty używane przez usługi SQL Server Reporting SErvices i powiązane usługi to: TCP 80, 443. Poniższa tabela wyjaśnia te porty bardziej szczegółowo.

W poniższej tabeli wymieniono porty, które są często używane przez usługi Reporting Services.

Funkcja	Port
Reporting Services Web Services	TCP port 80	Używany do połączenia HTTP z usługami Reporting Services za pośrednictwem adresu URL. Zalecamy, aby nie używać wstępnie skonfigurowanej reguły World Wide Web Services (HTTP). Aby uzyskać więcej informacji, zobacz sekcję Interakcja z innymi regułami zapory poniżej.
Usługi raportowania skonfigurowane do użytku przez HTTPS	Port TCP 443	Używany do połączenia HTTPS za pośrednictwem adresu URL. HTTPS to połączenie HTTP, które korzysta z TLS. Zalecamy, aby nie używać wstępnie skonfigurowanej reguły Secure World Wide Web Services (HTTPS). Więcej informacji można znaleźć w poniższej sekcji Interakcja z innymi regułami zapory.

Kiedy Usługi Reporting Services łączą się z wystąpieniem aparatu bazy danych lub usług Analysis Services, należy również otworzyć odpowiednie porty dla tych usług. Aby uzyskać instrukcje krok po kroku dotyczące konfigurowania zapory systemu Windows dla usług Reporting Services, Skonfiguruj zaporę sieciową dla dostępu do serwera raportów.

Porty używane przez usługi integracji

W poniższej tabeli wymieniono porty, które są używane przez usługę Integration Services.

Funkcja	Port
Zdalne wywołania procedur firmy Microsoft (MS RPC) Używany przez środowisko wykonawcze Integration Services.	Port TCP 135 Zobacz Specjalne uwagi dotyczące portu 135	Usługa Integration Services używa modelu DCOM na porcie 135. Menedżer sterowania usługami używa portu 135 do wykonywania zadań, takich jak uruchamianie i zatrzymywanie usługi Integration Services oraz przesyłanie żądań sterujących do uruchomionej usługi. Nie można zmienić numeru portu. Ten port musi być otwarty tylko wtedy, gdy łączysz się ze zdalną instancją usługi Integration Services z Management Studio lub aplikacji niestandardowej.

Aby uzyskać szczegółowe instrukcje dotyczące konfigurowania Zapory systemu Windows dla usług integracji, zobacz Integration Services Service (SSIS Service).

Dodatkowe porty i usługi

Poniższa tabela zawiera listę portów i usług, na których może polegać SQL Server.

Scenariusz	Port
Instrumentacja zarządzania Windows Aby uzyskać więcej informacji na temat WMI, zobacz Dostawca WMI dla koncepcji zarządzania konfiguracją	WMI działa jako część host usługi współdzielonej z portami przypisanymi przez DCOM.Usługa WMI może używać portu TCP 135. Zobacz specjalne uwagi dotyczące portu 135	SQL Server Configuration Manager używa WMI do tworzenia listy usług i zarządzania nimi. Zaleca się użycie wstępnie skonfigurowanej grupy reguł Instrumentacja zarządzania Windows (WMI). Aby uzyskać więcej informacji, zobacz sekcję Interakcja z innymi regułami zapory poniżej.
Koordynator transakcji rozproszonych firmy Microsoft (MS DTC)	Port TCP 135 Zobacz Specjalne uwagi dotyczące portu 135	Jeśli Twoja aplikacja korzysta z transakcji rozproszonych, może być konieczne skonfigurowanie zapory, aby zezwolić na przepływ ruchu Microsoft Distributed Transaction Coordinator (MS DTC) między oddzielnymi wystąpieniami usługi MS DTC i między usługami MS DTC oraz menedżerów zasobów, takich jak SQL Server. Zalecamy użycie wstępnie skonfigurowanej grupy reguł Koordynatora transakcji rozproszonych. Gdy pojedyncza współużytkowana usługa MS DTC jest skonfigurowana dla całego klastra w oddzielnej grupie zasobów, należy dodać program sqlservr.exe jako wyjątek do zapory.
Przycisk przeglądania w Management Studio używa protokołu UDP do łączenia się z usługą przeglądarki SQL Server. Aby uzyskać więcej informacji, zobacz Usługa przeglądarki SQL Server (aparat bazy danych i SSAS).	Port UDP 1434	UDP jest protokołem bezpołączeniowym. Zapora ma ustawienie (właściwość UnicastResponsesToMulticastBroadcastDisabled interfejsu INetFwProfile), który kontroluje zachowanie firewalla w odniesieniu do odpowiedzi typu unicast na żądanie UDP typu broadcast (lub multicast). Ma dwa zachowania: Jeśli ustawienie ma wartość TRUE, odpowiedzi unicast na transmisję nie są w ogóle dozwolone. Usługi wyliczania nie powiodą się. Jeśli ustawienie ma wartość FALSE (wartość domyślna), odpowiedzi w trybie emisji pojedynczej są dozwolone przez 3 sekundy. Długość czasu nie jest konfigurowalna. W przeciążonej sieci, w której występują duże opóźnienia lub w przypadku mocno obciążonych serwerów, próby wyliczenia wystąpień programu SQL Server mogą zwrócić częściową listę, co może wprowadzić użytkowników w błąd.
Ruch IPsec	Port UDP 500 i port UDP 4500	Jeśli zasada domeny wymaga, aby komunikacja sieciowa odbywała się za pośrednictwem protokołu IPsec, należy również dodać port UDP 4500 i port UDP 500 do listy wyjątków. IPsec to opcja używająca Kreatora nowej reguły ruchu przychodzącego w przystawce Zapora systemu Windows. Aby uzyskać więcej informacji, zobacz Korzystanie z Zapory systemu Windows z przystawką Zabezpieczenia zaawansowane poniżej.
Używanie uwierzytelniania systemu Windows z zaufanymi domenami	Zapory muszą być skonfigurowane, aby zezwalały żądania uwierzytelnienia.	Aby uzyskać więcej informacji, zobacz Jak skonfigurować zaporę sieciową dla domen i relacji zaufania.
SQL Server i klastrowanie systemu Windows	Klastrowanie wymaga dodatkowych portów, które nie są bezpośrednio związane z serwerem SQL.	Aby uzyskać więcej informacji, zobacz Włączanie sieci do użytku w klastrach.
Przestrzenie nazw adresów URL zastrzeżone w API serwera HTTP (HTTP.SYS)	Prawdopodobnie port TCP 80, ale można go skonfigurować na inne porty. Aby uzyskać ogólne informacje, zobacz Konfigurowanie HTTP i HTTPS.	Aby uzyskać szczegółowe informacje na temat rezerwowania punktu końcowego HTTP.SYS przy użyciu HttpCfg.exe, zobacz Informacje dotyczące rezerwacji i rejestracji adresów URL (Menedżer konfiguracji SSRS).

Specjalne uwagi dotyczące portu 135

Gdy używasz RPC z TCP / IP lub z UDP / IP jako transportem, porty przychodzące są często dynamicznie przypisywane do usług systemowych zgodnie z wymaganiami; Używane są porty TCP / IP i UDP / IP większe niż port 1024. Są one często nieformalnie nazywane „losowymi portami RPC”. W takich przypadkach klienci RPC polegają na programie odwzorowującym punkty końcowe RPC, aby poinformować ich, które porty dynamiczne zostały przypisane do serwera. W przypadku niektórych usług opartych na RPC można skonfigurować określony port, zamiast pozwalać RPC przypisywać go dynamicznie. Możesz także ograniczyć zakres portów, które RPC dynamicznie przypisuje do małego zakresu, niezależnie od usługi. Ponieważ port 135 jest używany przez wiele usług, jest często atakowany przez złośliwych użytkowników. Otwierając port 135, rozważ ograniczenie zakresu reguły zapory.

Aby uzyskać więcej informacji na temat portu 135, zapoznaj się z następującymi źródłami:

• Omówienie usługi i wymagania dotyczące portu sieciowego dla system Windows Server
• Rozwiązywanie problemów z błędami mapowania punktów końcowych RPC przy użyciu narzędzi obsługi systemu Windows Server 2003 z dysku CD produktu
• Zdalne wywołanie procedury (RPC)
• Jak skonfigurować Dynamiczne przydzielanie portów RPC do pracy z zaporami ogniowymi

Interakcja z innymi regułami zapory

Zapora systemu Windows używa reguł i grup reguł do ustalenia swojej konfiguracji. Każda reguła lub grupa reguł jest zwykle powiązana z określonym programem lub usługą, a ten program lub usługa może modyfikować lub usuwać tę regułę bez Twojej wiedzy. Na przykład grupy reguł World Wide Web Services (HTTP) i World Wide Web Services (HTTPS) są skojarzone z IIS.Włączenie tych reguł spowoduje otwarcie portów 80 i 443, a funkcje programu SQL Server zależne od portów 80 i 443 będą działać, jeśli te reguły są włączone. Jednak administratorzy konfigurujący usługi IIS mogą zmodyfikować lub wyłączyć te reguły. Dlatego jeśli używasz portu 80 lub portu 443 dla programu SQL Server, powinieneś utworzyć własną regułę lub grupę reguł, która będzie utrzymywała żądaną konfigurację portu niezależnie od innych reguł IIS.

Zapora systemu Windows z zabezpieczeniami zaawansowanymi Przystawka MMC zezwala na dowolny ruch, który pasuje do dowolnej stosownej reguły zezwalającej. Więc jeśli istnieją dwie reguły, które mają zastosowanie do portu 80 (z różnymi parametrami), ruch pasujący do którejkolwiek z nich będzie dozwolony. Więc jeśli jedna reguła zezwala na ruch przez port 80 z lokalnej podsieci, a druga zezwala na ruch z dowolnego adresu, efekt sieciowy jest taki, że cały ruch do portu 80 jest dozwolony niezależnie od źródła. Aby efektywnie zarządzać dostępem do SQL Server, administratorzy powinni okresowo przeglądać wszystkie reguły zapory włączone na serwerze.

Przegląd profili zapory

Profile zapory są używane przez systemy operacyjne do identyfikacji i zapamiętywania każda z sieci, z którą się łączą, pod względem łączności, połączeń i kategorii.

W Zaporze systemu Windows z zabezpieczeniami zaawansowanymi istnieją trzy typy lokalizacji sieci:

• Domena: System Windows może uwierzytelnić dostęp do kontrolera domeny w domenie, do której komputer jest przyłączony.
• Publiczna: poza sieciami domenowymi wszystkie sieci są początkowo klasyfikowane jako publiczne. Sieci, które stanowią bezpośrednie połączenia z Internetem lub znajdują się w miejscach publicznych, takich jak lotniska i kawiarnie, powinny pozostać publiczne.
• Prywatna: sieć identyfikowana przez użytkownika lub aplikację jako prywatna. Tylko zaufane sieci powinny być identyfikowane jako sieci prywatne. Użytkownicy prawdopodobnie będą chcieli identyfikować sieci domowe lub sieci małych firm jako prywatne.

Administrator może utworzyć profil dla każdego typu lokalizacji sieciowej, z każdym profilem zawierającym inne zasady zapory. W danym momencie stosowany jest tylko jeden profil. Kolejność profili jest stosowana w następujący sposób:

1. Jeśli wszystkie interfejsy są uwierzytelnione na kontrolerze domeny, którego członkiem jest komputer, stosowany jest profil domeny.
2. Jeśli wszystkie interfejsy są uwierzytelnione na kontrolerze domeny lub są podłączone do sieci, które są klasyfikowane jako prywatne lokalizacje sieciowe, stosowany jest profil prywatny.
3. W przeciwnym razie stosowany jest profil publiczny.

Użyj Zapory systemu Windows z przystawką MMC zaawansowanych zabezpieczeń, aby wyświetlić i skonfigurować wszystkie profile zapory. Element Zapora systemu Windows w Panelu sterowania konfiguruje tylko bieżący profil.

Dodatkowe ustawienia zapory przy użyciu elementu Zapora systemu Windows w Panelu sterowania

Wyjątki dodane do zapory mogą ograniczyć otwieranie port do połączeń przychodzących z określonych komputerów lub lokalnej podsieci. To ograniczenie zakresu otwierania portu może zmniejszyć stopień narażenia komputera na złośliwych użytkowników i jest zalecane.

Aby zmienić zakres wyjątku zapory za pomocą elementu Zapora systemu Windows w Panelu sterowania

1. W W oknie Zapora systemu Windows w Panelu sterowania wybierz program lub port na karcie Wyjątki, a następnie kliknij Właściwości lub Edytuj.

2. W oknie dialogowym Edytuj program lub Edytuj port kliknij Zmień zakres.

3. Wybierz jedną z następujących opcji:

   • Dowolny komputer (łącznie z komputerami w Internecie): niezalecane . Pozwoli to każdemu komputerowi, który może zaadresować Twój komputer, na połączenie się z określonym programem lub portem. To ustawienie może być konieczne, aby umożliwić prezentowanie informacji anonimowym użytkownikom w Internecie, ale zwiększa narażenie na szkodliwych użytkowników. Twoja ekspozycja może być dodatkowo zwiększona, jeśli włączysz to ustawienie, a także zezwolisz na przechodzenie przez translację adresów sieciowych (NAT), na przykład opcję Zezwalaj na przemierzanie krawędzi.

   • Tylko moja sieć (podsieć) : To jest bezpieczniejsze ustawienie niż jakikolwiek komputer. Tylko komputery znajdujące się w lokalnej podsieci Twojej sieci mogą łączyć się z programem lub portem.

   • Lista niestandardowa: mogą łączyć się tylko komputery z wymienionymi adresami IP. Może to być bezpieczniejsze ustawienie niż tylko moja sieć (podsieć), jednak komputery klienckie korzystające z protokołu DHCP mogą czasami zmieniać swój adres IP. Wtedy zamierzony komputer nie będzie mógł się połączyć. Inny komputer, którego nie zamierzałeś autoryzować, może zaakceptować podany adres IP i wtedy być w stanie się połączyć. Opcja Lista niestandardowa może być odpowiednia do wyświetlania listy innych serwerów skonfigurowanych do używania stałego adresu IP; Jednak adresy IP mogą zostać sfałszowane przez intruza. Ograniczające reguły zapory są tak silne, jak Twoja infrastruktura sieciowa.

Używanie Zapory systemu Windows z przystawką Zaawansowane zabezpieczenia

Dodatkowe zaawansowane ustawienia zapory można skonfigurować za pomocą Zapora systemu Windows z przystawką Advanced Security MMC. Przystawka zawiera kreatora reguł i udostępnia dodatkowe ustawienia, które nie są dostępne w elemencie Zapora systemu Windows w Panelu sterowania. Te ustawienia obejmują:

• Ustawienia szyfrowania
• Ograniczenia usług
• Ograniczanie połączeń dla komputerów według nazwy
• Ograniczanie połączeń do określeni użytkownicy lub profile
• Przechodzenie przez krawędź umożliwiające ruchowi ominięcie routerów z translacją adresów sieciowych (NAT)
• Konfigurowanie reguł wychodzących
• Konfigurowanie reguł bezpieczeństwa
• Wymaganie IPsec dla połączeń przychodzących

Aby utworzyć nową regułę zapory za pomocą kreatora nowej reguły

1. W menu Start wybierz Uruchom, wpisz WF.msc , a następnie wybierz OK.
2. W Zaporze systemu Windows z zabezpieczeniami zaawansowanymi, w lewym okienku kliknij prawym przyciskiem myszy Reguły ruchu przychodzącego, a następnie wybierz Nowa reguła.
3. Uzupełnij nową regułę ruchu przychodzącego Kreator korzystający z żądanych ustawień.

Rozwiązywanie problemów z ustawieniami zapory

Następujące narzędzia i techniki mogą być przydatne w rozwiązywaniu problemów z zaporą:

• Efektywny status portu jest zjednoczeniem wszystkich rządów es związane z portem. Przy próbie zablokowania dostępu przez port pomocne może być przejrzenie wszystkich reguł, które powołują się na numer portu. Aby to zrobić, użyj Zapory systemu Windows z przystawką MMC Advanced Security i posortuj reguły ruchu przychodzącego i wychodzącego według numeru portu.

• Przejrzyj porty, które są aktywne na komputerze na który SQL Server jest uruchomiony. Ten proces przeglądu obejmuje weryfikację, które porty TCP / IP nasłuchują, a także weryfikację stanu portów.

  Aby sprawdzić, które porty nasłuchują, użyj narzędzia wiersza poleceń netstat. Oprócz wyświetlania aktywnych połączeń TCP, narzędzie netstat wyświetla również różne statystyki i informacje dotyczące IP.

  Aby wyświetlić listę portów TCP / IP nasłuchujących

  1. Otwórz okno wiersza polecenia.

  2. W wierszu polecenia wpisz netstat -n -a.

     Przełącznik -n nakazuje netstatowi numeryczne wyświetlenie adresu i numer portu aktywnych połączeń TCP. Przełącznik -a instruuje netstat, aby wyświetlał porty TCP i UDP, na których komputer nasłuchuje.

• Narzędzie PortQry może służyć do raportowania stan portów TCP / IP jako nasłuchujący, nie nasłuchujący lub filtrowany. (W przypadku stanu filtrowania port może nasłuchiwać lub nie; ten stan wskazuje, że narzędzie nie otrzymało odpowiedzi z portu). Narzędzie PortQry jest dostępne do pobrania z Microsoft Download Center.

Zobacz też

Omówienie usługi i wymagania dotyczące portów sieciowych dla systemu Windows Server
Porady: Konfigurowanie ustawień zapory (Azure SQL Database)