Janeiro 18, 2021

Configure o Firewall do Windows para permitir o acesso do SQL Server

  • 22/07/2020
  • 22 minutos para ler
    • c
    • D
    • k
    • l
    • v
    • +13

Aplica-se a: SQL Server (todos versões suportadas) – Windows somente Instância gerenciada do Azure SQL

Os sistemas de firewall ajudam a evitar o acesso não autorizado aos recursos do computador. Se um firewall estiver ativado, mas não configurado corretamente, as tentativas de conexão com o SQL Server podem ser bloqueadas.

Para acessar uma instância do SQL Server por meio de um firewall, você deve configurar o firewall no computador que está executando o SQL Server. O firewall é um componente do Microsoft Windows. Você também pode instalar um firewall de outra empresa. Este artigo discute como configurar o firewall do Windows, mas os princípios básicos se aplicam a outros programas de firewall.

Observação

Este artigo fornece uma visão geral da configuração do firewall e resume as informações de interesse de um administrador do SQL Server. Para obter mais informações sobre o firewall e informações oficiais sobre o firewall, consulte a documentação do firewall, como o guia de implantação de segurança do Firewall do Windows.

Usuários familiarizados com o gerenciamento do Firewall do Windows e sabem quais configurações de firewall eles deseja configurar pode ir diretamente para os artigos mais avançados:

  • Configurar um Firewall do Windows para acesso ao mecanismo de banco de dados
  • Configurar o Firewall do Windows para permitir acesso ao Analysis Services
  • Configure um firewall para acesso ao servidor de relatório

Informações básicas do firewall

Os firewalls funcionam inspecionando os pacotes de entrada e comparando-os com um conjunto de regras. Se o pacote atender aos padrões ditados pelas regras, o firewall passará o pacote ao protocolo TCP / IP para processamento adicional. Se o pacote não atender aos padrões especificados pelas regras, o firewall descarta o pacote e, se o registro estiver habilitado, cria uma entrada no arquivo de registro do firewall.

A lista de tráfego permitido é preenchida de uma das seguintes maneiras:

  • Automaticamente: quando um computador com um firewall ativado inicia a comunicação, o firewall cria uma entrada na lista para que a resposta seja permitida. Esta resposta é considerada tráfego solicitado e não há nada que precise ser configurado.

  • Manualmente: um administrador configura exceções para o firewall. Isso permite o acesso a programas ou portas especificados em seu computador. Nesse caso, o computador aceita tráfego de entrada não solicitado ao atuar como servidor, ouvinte ou par. Este é o tipo de configuração que deve ser concluída para se conectar ao SQL Server.

A escolha de uma estratégia de firewall é mais complexa do que apenas decidir se uma determinada porta deve ser aberta ou fechada . Ao projetar uma estratégia de firewall para sua empresa, certifique-se de considerar todas as regras e opções de configuração disponíveis para você. Este artigo não analisa todas as opções de firewall possíveis. Recomendamos que você leia os seguintes documentos:

Guia de implantação do Firewall do Windows
Guia de design do Firewall do Windows
Introdução ao isolamento de servidor e domínio

Configurações padrão do firewall

A primeira etapa no planejamento da configuração do firewall é determinar o status atual do firewall para o seu sistema operacional. Se o sistema operacional foi atualizado de uma versão anterior, as configurações de firewall anteriores podem ter sido preservadas. Além disso, as configurações do firewall podem ter sido alteradas por outro administrador ou por uma Política de Grupo em seu domínio.

Observação

Ativar o firewall afetará outros programas que acessam este computador, como compartilhamento de arquivos e impressão e conexões de área de trabalho remota. Os administradores devem considerar todos os aplicativos em execução no computador antes de ajustar as configurações do firewall.

Programas para configurar o firewall

Defina as configurações do Firewall do Windows com o console de gerenciamento Microsoft ou netsh.

  • Console de gerenciamento Microsoft (MMC)

    O snap-in MMC do Firewall do Windows com Segurança Avançada permite definir configurações de firewall mais avançadas. Este snap-in apresenta a maioria das opções de firewall de uma maneira fácil de usar e apresenta todos os perfis de firewall. Para obter mais informações, consulte Usando o Firewall do Windows com Snap-in de Segurança Avançada posteriormente neste artigo.

  • netsh

    A ferramenta netsh.exe pode ser usada por um administrador para configurar e monitorar computadores baseados no Windows em um prompt de comando ou usando um arquivo em lote **.** Usando a ferramenta netsh, você pode direcionar os comandos de contexto inseridos para o auxiliar apropriado, e o auxiliar então executa o comando. Um auxiliar é um arquivo Dynamic Link Library (.dll) que estende a funcionalidade da ferramenta netsh ao fornecer configuração, monitoramento e suporte para um ou mais serviços, utilitários ou protocolos. Todos os sistemas operacionais que oferecem suporte ao SQL Server têm um auxiliar de firewall. O Windows Server 2008 também possui um auxiliar de firewall avançado chamado advfirewall. Os detalhes do uso do netsh não são discutidos neste artigo. No entanto, muitas das opções de configuração descritas podem ser configuradas usando netsh. Por exemplo, execute o seguinte script em um prompt de comando para abrir a porta TCP 1433:

    Um exemplo semelhante usando o assistente do Firewall do Windows para Segurança Avançada:

    Para obter mais informações sobre o netsh, consulte os seguintes links:

    • Sintaxe do comando Netsh, contextos e formatação
    • Como usar o contexto “netsh advfirewall firewall” em vez do contexto “netsh firewall” para controlar o comportamento do Windows Firewall no Windows Server 2008 e no Windows Vista

  • Para Linux: no Linux, você também precisa abrir as portas associadas aos serviços aos quais você precisa acessar. Diferentes distribuições de Linux e diferentes firewalls têm seus próprios procedimentos. Para obter dois exemplos, consulte SQL Server no Red Hat e SQL Server no SUSE.

Portas usadas pelo SQL Server

As tabelas a seguir podem ajudá-lo identifique as portas sendo usadas pelo SQL Server.

Portas usadas pelo mecanismo de banco de dados

Por padrão, as portas típicas usadas pelo SQL Server e serviços de mecanismo de banco de dados associados são: TCP 1433, 4022 , 135, 1434, UDP 1434. A tabela abaixo explica essas portas em maiores detalhes. Uma instância nomeada usa portas dinâmicas.

A tabela a seguir lista as portas que são freqüentemente usadas pelo Mecanismo de Banco de Dados.

Cenário Porto
Instância padrão em execução sobre TCP porta TCP 1433 Esta é a porta mais comum permitida pelo firewall. Ele se aplica a conexões de rotina para a instalação padrão do Mecanismo de Banco de Dados ou uma instância nomeada que é a única instância em execução no computador. (Instâncias nomeadas têm considerações especiais. Consulte Portas dinâmicas posteriormente neste artigo.)
Instâncias nomeadas com porta padrão A porta TCP é uma porta dinâmica determinada no momento em que o Mecanismo de Banco de Dados é iniciado. Consulte a discussão abaixo na seção Portas Dinâmicas. A porta UDP 1434 pode ser necessária para o SQL Server Browser Service quando você estiver usando instâncias nomeadas.
Instâncias nomeadas com porta fixa O número da porta configurado por o administrador. Consulte a discussão abaixo na seção Portas dinâmicas.
Conexão de administrador dedicada porta TCP 1434 para o padrão instância. Outras portas são usadas para instâncias nomeadas. Verifique o log de erros para o número da porta. Por padrão, as conexões remotas para a Conexão de Administrador Dedicado (DAC) não são habilitadas. Para ativar o DAC remoto, use a faceta Configuração da área de superfície. Para obter mais informações, consulte Configuração da área de superfície.
Serviço do navegador do SQL Server porta UDP 1434 O serviço do navegador do SQL Server escuta para conexões de entrada a uma instância nomeada e fornece ao cliente o número da porta TCP que corresponde a essa instância nomeada. Normalmente, o serviço SQL Server Browser é iniciado sempre que instâncias nomeadas do Mecanismo de Banco de Dados são usadas. O serviço SQL Server Browser não precisa ser iniciado se o cliente estiver configurado para se conectar à porta específica da instância nomeada.
Instância com ponto de extremidade HTTP. Pode ser especificado quando um ponto de extremidade HTTP é criado. O padrão é a porta TCP 80 para o tráfego CLEAR_PORT e 443 para o tráfego SSL_PORT. Usada para uma conexão HTTP por meio de um URL.
Instância padrão com ponto de extremidade HTTPS Porta TCP 443 Usada para uma conexão HTTPS por meio de um URL. HTTPS é uma conexão HTTP que usa Transport Layer Security (TLS), anteriormente conhecido como Secure Sockets Layer (SSL).
Service Broker porta TCP 4022 . Para verificar a porta usada, execute a seguinte consulta:
SELECT name, protocol_desc, port, state_desc
FROM sys.tcp_endpoints
WHERE type_desc = "SERVICE_BROKER" 		Não há porta padrão para SQL ServerService Broker, mas esta é a configuração convencional usada nos exemplos dos Manuais Online.
Espelhamento de banco de dados Porta escolhida pelo administrador.Para determinar a porta, execute a seguinte consulta:
SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints
WHERE type_desc = "DATABASE_MIRRORING" 		Não há porta padrão para espelhamento de banco de dados, no entanto, os exemplos do Books Online usam a porta TCP 5022 ou 7022. É importante evitar a interrupção de um ponto de extremidade de espelhamento em uso, especialmente no modo de alta segurança com failover automático. Sua configuração de firewall deve evitar a quebra do quorum. Para obter mais informações, consulte Especificar um endereço de rede do servidor (espelhamento de banco de dados).
Replicação As conexões de replicação para o SQL Server usam as portas normais do mecanismo de banco de dados ( A porta TCP 1433 para a instância padrão, etc.)
A sincronização da Web e o acesso FTP / UNC para o instantâneo de replicação exigem que portas adicionais sejam abertas no firewall. Para transferir dados e esquemas iniciais de um local para outro, a replicação pode usar FTP (porta TCP 21) ou sincronizar sobre HTTP (porta TCP 80) ou Compartilhamento de arquivos. O compartilhamento de arquivos usa a porta UDP 137 e 138 e a porta TCP 139 se estiver usando NetBIOS. O compartilhamento de arquivos usa a porta TCP 445. 		Para sincronização sobre HTTP, a replicação usa o ponto de extremidade IIS (as portas são configuráveis, mas é a porta 80 por padrão), mas o processo IIS se conecta ao servidor SQL de backend por portas padrão (1433 para a instância padrão.
Durante a sincronização da Web usando FTP, a transferência do FTP é entre o IIS e o editor do SQL Server, não entre o assinante e o IIS.
Depurador Transact-SQL porta TCP 135
Consulte Considerações especiais para a porta 135
A exceção IPsec também pode ser necessária. 		Se estiver usando o Visual Studio, no Visual Studio computador host, você também deve adicionar Devenv.exe à lista de exceções e abrir a porta TCP 135.
Se estiver usando o Management Studio, no computador host do Management Studio, você também deve adicionar ssms.exe à lista de exceções e abrir a porta TCP 135. Para obter mais informações, consulte Configurar regras de firewall antes de executar o depurador TSQL.

Para obter instruções passo a passo para configurar o Firewall do Windows para o Mecanismo de Banco de Dados, consulte Configurar um Firewall do Windows para Acesso ao Mecanismo de Banco de Dados.

Portas dinâmicas

Por padrão, instâncias nomeadas ( incluindo SQL Server Express) usam portas dinâmicas. Isso significa que sempre que o Mecanismo de Banco de Dados é iniciado, ele identifica uma porta disponível e usa esse número de porta. Se a instância nomeada for a única instância do Mecanismo de Banco de Dados instalado, provavelmente usará a porta TCP 1433. Se outras instâncias do Mecanismo de Banco de Dados estiverem instaladas, provavelmente usará uma porta TCP diferente. Como a porta selecionada pode mudar sempre que o Mecanismo de Banco de Dados é iniciado, é difícil configurar o firewall para permitir o acesso ao número de porta correto. Portanto, se um firewall for usado, recomendamos reconfigurar o Mecanismo de Banco de Dados para usar o mesmo número de porta todas as vezes. Isso é chamado de porta fixa ou porta estática. Para obter mais informações, consulte Configurar um servidor para escutar em uma porta TCP específica (SQL Server Configuration Manager).

Uma alternativa para configurar uma instância nomeada para escutar em uma porta fixa é criar uma exceção no firewall para um programa SQL Server, como sqlservr.exe (para o Mecanismo de Banco de Dados). Isso pode ser conveniente, mas o número da porta não aparecerá na coluna Porta Local da página Regras de Entrada quando você estiver usando o snap-in MMC do Firewall do Windows com Segurança Avançada. Isso pode dificultar a auditoria de quais portas estão abertas. Outra consideração é que um service pack ou atualização cumulativa pode alterar o caminho para o executável do SQL Server, o que invalidará a regra do firewall.

Para adicionar uma exceção de programa ao firewall usando o Firewall do Windows Defender com Segurança Avançada

  1. No menu iniciar, digite wf.msc. Pressione Enter ou selecione o resultado da pesquisa wf.msc para abrir o Firewall do Windows Defender com Segurança Avançada.

  2. No painel esquerdo, selecione Regras de entrada.

  3. No painel direito, em Ações, selecione Nova regra …. O assistente de nova regra de entrada é aberto.

  4. Em Tipo de regra, selecione Programa. Selecione Próximo.

  5. Em Programa, selecione Este caminho de programa. Selecione Navegar para localizar sua instância do SQL Server. O programa é denominado sqlservr.exe. Normalmente está localizado em:

    C:\Program Files\Microsoft SQL Server\MSSQL15.<InstanceName>\MSSQL\Binn\sqlservr.exe

    Selecione Próximo.

  6. Ligado Ação, selecione Permitir a conexão. Selecione Próximo.

  7. No perfil, inclua todos os três perfis. Selecione Próximo.

  8. Em Nome, digite um nome para a regra. Selecione Concluir.

Para obter mais informações sobre pontos de extremidade, consulte Configurar o mecanismo de banco de dados para escutar em várias portas TCP e exibições de catálogo de pontos de extremidade (Transact-SQL).

Portas usadas pelo Analysis Services

Por padrão, as portas típicas usadas pelo SQL Server Analysis Services e serviços associados são: TCP 2382, 2383, 80, 443. A tabela a seguir explica essas portas em mais detalhes.

A tabela a seguir lista as portas que são freqüentemente usadas pelo Analysis Services.

Recurso Porta
Analysis Services Porta TCP 2383 para a instância padrão A porta padrão para a instância padrão do Analysis Services.
Serviço de navegador do SQL Server A porta TCP 2382 só é necessária para uma instância nomeada do Analysis Services Solicitações de conexão do cliente para uma instância nomeada do Analysis Services que não especifica um número de porta é direcionado para a porta 2382, a porta na qual o navegador do SQL Server escuta. O navegador do SQL Server redireciona a solicitação para a porta que a instância nomeada usa.
Analysis Services configurados para uso por meio de IIS / HTTP
(O serviço PivotTable® usa HTTP ou HTTPS) 		Porta TCP 80 Usada para uma conexão HTTP por meio de um URL.
Analysis Services configurados para uso por meio do IIS / HTTPS
(O serviço PivotTable® usa HTTP ou HTTPS) 		porta TCP 443 Usado para uma conexão HTTPS por meio de um URL. HTTPS é uma conexão HTTP que usa TLS.

Se os usuários acessarem o Analysis Services por meio IIS e a Internet, você deve abrir a porta na qual o IIS está escutando e especificar essa porta na string de conexão do cliente. Nesse caso, nenhuma porta precisa ser aberta para acesso direto ao Analysis Services. A porta padrão 2389 e a porta 2382 devem ser restritas junto com todas as outras portas que não são necessárias.

Para obter instruções passo a passo sobre como configurar o Firewall do Windows para Analysis Services, consulte Configurar o Firewall do Windows para permitir Acesso ao Analysis Services.

Portas usadas pelo Reporting Services

Por padrão, as portas típicas usadas pelos serviços de relatório do SQL Server e serviços associados são: TCP 80, 443. A tabela a seguir explica isso portas em mais detalhes.

A tabela a seguir lista as portas que são freqüentemente usadas pelo Reporting Services.

Recurso Porta
Reporting Services Web Services Porta TCP 80 Usada para uma conexão HTTP com Reporting Services por meio de um URL. Recomendamos que você não use a regra pré-configurada World Wide Web Services (HTTP). Para obter mais informações, consulte a seção Interação com outras regras de firewall abaixo.
Reporting Services configurados para uso por meio de HTTPS porta TCP 443 Usado para uma conexão HTTPS por meio de um URL. HTTPS é uma conexão HTTP que usa TLS. Recomendamos que você não use a regra pré-configurada Secure World Wide Web Services (HTTPS). Para obter mais informações, consulte a seção Interação com outras regras de firewall abaixo.

Quando Reporting Services se conecta a uma instância do Mecanismo de Banco de Dados ou Analysis Services, você também deve abrir as portas apropriadas para esses serviços. Para obter instruções passo a passo sobre como configurar o Firewall do Windows para Reporting Services, configure um Firewall para acesso ao servidor de relatório.

Portas usadas pelos serviços de integração

A tabela a seguir lista as portas que são usados pelo serviço Integration Services.

Recurso Porta
Chamadas de procedimento remoto da Microsoft (MS RPC)
Usado pelo tempo de execução do Integration Services. 		Porta TCP 135
Consulte Considerações especiais para a porta 135 		O serviço Integration Services usa DCOM na porta 135. O Service Control Manager usa a porta 135 para realizar tarefas como iniciar e interromper o serviço Integration Services e transmitir solicitações de controle para o serviço em execução. O número da porta não pode ser alterado.
Esta porta só precisa ser aberta se você estiver se conectando a uma instância remota do serviço Integration Services do Management Studio ou um aplicativo personalizado.

Para obter instruções passo a passo para configurar o Firewall do Windows para Integration Services, consulte Integration Services Service (SSIS Service).

Portas e serviços adicionais

A tabela a seguir lista as portas e serviços dos quais o SQL Server pode depender.

Cenário Porto
Instrumentação de gerenciamento do Windows
Para obter mais informações sobre o WMI, consulte Provedor WMI para conceitos de gerenciamento de configuração 		WMI é executado como parte do um host de serviço compartilhado com portas atribuídas por DCOM.O WMI pode estar usando a porta TCP 135.
Consulte Considerações especiais para a porta 135 		O SQL Server Configuration Manager usa o WMI para listar e gerenciar serviços. Recomendamos que você use o grupo de regras pré-configurado Windows Management Instrumentation (WMI). Para obter mais informações, consulte a seção Interação com outras regras de firewall abaixo.
Coordenador de transações distribuídas da Microsoft (MS DTC) porta TCP 135
Consulte Considerações especiais para a porta 135 		Se o seu aplicativo usa transações distribuídas, talvez você precise configurar o firewall para permitir que o tráfego do Coordenador de transações distribuídas da Microsoft (MS DTC) flua entre instâncias separadas do MS DTC e entre o MS DTC e gerenciadores de recursos como o SQL Server. Recomendamos que você use o grupo de regras pré-configurado do Coordenador de transações distribuídas.
Quando um único MS DTC compartilhado é configurado para todo o cluster em um grupo de recursos separado, você deve adicionar sqlservr.exe como uma exceção ao firewall.
O botão de navegação no Management Studio usa UDP para se conectar ao SQL Server Browser Service. Para obter mais informações, consulte SQL Server Browser Service (Database Engine e SSAS). Porta UDP 1434 UDP é um protocolo sem conexão.
O firewall tem uma configuração (propriedade UnicastResponsesToMulticastBroadcastDisabled da Interface INetFwProfile) que controla o comportamento do firewall em relação às respostas unicast a uma solicitação UDP de broadcast (ou multicast). Ele tem dois comportamentos:
Se a configuração for TRUE, nenhuma resposta unicast a uma transmissão será permitida. A enumeração de serviços falhará.
Se a configuração for FALSE (padrão), as respostas unicast serão permitidas por 3 segundos. O período de tempo não é configurável. Em uma rede congestionada ou de alta latência, ou para servidores muito carregados, as tentativas de enumerar instâncias do SQL Server podem retornar uma lista parcial, o que pode enganar os usuários.
Tráfego IPsec porta UDP 500 e porta UDP 4500 Se a política de domínio exigir que as comunicações de rede sejam feitas por meio de IPsec, você também deve adicionar a porta UDP 4500 e a porta UDP 500 à lista de exceções. IPsec é uma opção que usa o Assistente de Nova Regra de Entrada no snap-in do Firewall do Windows. Para obter mais informações, consulte Usando o Firewall do Windows com Snap-in de Segurança Avançada abaixo.
Usando a Autenticação do Windows com Domínios confiáveis Os firewalls devem ser configurados para permitir solicitações de autenticação. Para obter mais informações, consulte Como configurar um firewall para domínios e relações de confiança.
SQL Server e Windows Clustering O clustering requer portas adicionais que não estão diretamente relacionadas ao SQL Server. Para obter mais informações, consulte Habilitar uma rede para uso de cluster.
Namespaces de URL reservados. na API do servidor HTTP (HTTP.SYS) Provavelmente porta TCP 80, mas pode ser configurada para outras portas. Para obter informações gerais, consulte Configurando HTTP e HTTPS. Para obter informações específicas do SQL Server sobre como reservar um ponto de extremidade HTTP.SYS usando HttpCfg.exe, consulte Sobre reservas e registro de URL (Gerenciador de configuração SSRS).

Considerações especiais para a porta 135

Quando você usa RPC com TCP / IP ou com UDP / IP como o transporte, as portas de entrada são frequentemente atribuídas dinamicamente aos serviços do sistema conforme necessário; As portas TCP / IP e UDP / IP maiores do que a porta 1024 são usadas. Freqüentemente, são chamados informalmente de “portas RPC aleatórias”. Nesses casos, os clientes RPC contam com o mapeador de endpoint RPC para informar quais portas dinâmicas foram atribuídas ao servidor. Para alguns serviços baseados em RPC, você pode configurar uma porta específica em vez de permitir que o RPC atribua uma dinamicamente. Você também pode restringir o intervalo de portas que o RPC atribui dinamicamente a um pequeno intervalo, independentemente do serviço. Como a porta 135 é usada para muitos serviços, ela é freqüentemente atacada por usuários mal-intencionados. Ao abrir a porta 135, considere restringir o escopo da regra de firewall.

Para obter mais informações sobre a porta 135, consulte as seguintes referências:

  • Visão geral do serviço e requisitos de porta de rede para o sistema Windows Server
  • Solucionando problemas de erros do mapeador de ponto de extremidade RPC usando as ferramentas de suporte do Windows Server 2003 do CD do produto
  • Chamada de procedimento remoto (RPC)
  • Como configurar Alocação de porta dinâmica RPC para trabalhar com firewalls

Interação com outras regras de firewall

O Firewall do Windows usa regras e grupos de regras para estabelecer sua configuração. Cada regra ou grupo de regras é geralmente associado a um programa ou serviço específico e esse programa ou serviço pode modificar ou excluir essa regra sem o seu conhecimento. Por exemplo, os grupos de regras Serviços da World Wide Web (HTTP) e Serviços da World Wide Web (HTTPS) estão associados ao IIS.Habilitar essas regras abrirá as portas 80 e 443, e os recursos do SQL Server que dependem das portas 80 e 443 funcionarão se essas regras estiverem habilitadas. No entanto, os administradores que configuram o IIS podem modificar ou desabilitar essas regras. Portanto, se você estiver usando a porta 80 ou a porta 443 para o SQL Server, deve criar sua própria regra ou grupo de regras que mantenha a configuração de porta desejada independentemente das outras regras do IIS.

O Firewall do Windows com Segurança Avançada O snap-in do MMC permite qualquer tráfego que corresponda a qualquer regra de permissão aplicável. Portanto, se houver duas regras que se aplicam à porta 80 (com parâmetros diferentes), o tráfego que corresponder a uma das regras será permitido. Portanto, se uma regra permite o tráfego na porta 80 da sub-rede local e uma regra permite o tráfego de qualquer endereço, o efeito líquido é que todo o tráfego para a porta 80 é permitido, independentemente da origem. Para gerenciar com eficácia o acesso ao SQL Server, os administradores devem revisar periodicamente todas as regras de firewall habilitadas no servidor.

Visão geral dos perfis de firewall

Os perfis de firewall são usados pelos sistemas operacionais para identificar e lembrar cada uma das redes às quais eles se conectam em relação à conectividade, conexões e categoria.

Existem três tipos de local de rede no Firewall do Windows com Segurança Avançada:

  • Domínio: O Windows pode autenticar o acesso ao controlador de domínio para o domínio ao qual o computador está associado.
  • Pública: exceto redes de domínio, todas as redes são inicialmente categorizadas como públicas. Redes que representam conexões diretas com a Internet ou estão em locais públicos, como aeroportos e cafeterias, devem ser deixadas públicas.
  • Privada: uma rede identificada por um usuário ou aplicativo como privada. Apenas redes confiáveis devem ser identificadas como redes privadas. Os usuários provavelmente irão querer identificar redes domésticas ou de pequenas empresas como privadas.

O administrador pode criar um perfil para cada tipo de local de rede, com cada perfil contendo diferentes políticas de firewall. Apenas um perfil é aplicado por vez. A ordem do perfil é aplicada da seguinte maneira:

  1. Se todas as interfaces forem autenticadas para o controlador de domínio do qual o computador é membro, o perfil do domínio será aplicado.
  2. Se todas as interfaces forem autenticadas no controlador de domínio ou conectadas a redes classificadas como locais de rede privada, o perfil privado será aplicado.
  3. Caso contrário, o perfil público será aplicado.

Use o snap-in do MMC do Firewall do Windows com Segurança Avançada para visualizar e configurar todos os perfis de firewall. O item Firewall do Windows no Painel de controle configura apenas o perfil atual.

Configurações adicionais do firewall usando o item Firewall do Windows no Painel de controle

As exceções adicionadas ao firewall podem restringir a abertura de a porta para conexões de entrada de computadores específicos ou da sub-rede local. Esta restrição do escopo da abertura da porta pode reduzir o quanto o seu computador está exposto a usuários mal-intencionados e é recomendada.

Observação

Usando o item Firewall do Windows no Controle O painel configura apenas o perfil de firewall atual.

Para alterar o escopo de uma exceção de firewall usando o item Firewall do Windows no Painel de controle

  1. No Item Firewall do Windows no Painel de controle, selecione um programa ou porta na guia Exceções e clique em Propriedades ou Editar.

  2. Na caixa de diálogo Editar um programa ou Editar uma porta, clique em Alterar escopo.

  3. Escolha uma das seguintes opções:

    • Qualquer computador (incluindo aqueles na Internet): Não recomendado . Isso permitirá que qualquer computador que possa endereçar o seu computador se conecte ao programa ou porta especificado. Essa configuração pode ser necessária para permitir que as informações sejam apresentadas a usuários anônimos na Internet, mas aumenta sua exposição a usuários mal-intencionados. Sua exposição pode aumentar ainda mais se você habilitar esta configuração e também permitir a travessia de tradução de endereços de rede (NAT), como a opção Permitir travessia de borda.

    • Apenas minha rede (sub-rede) : Esta é uma configuração mais segura do que qualquer computador. Apenas computadores na sub-rede local de sua rede podem se conectar ao programa ou porta.

    • Lista personalizada: Apenas computadores que possuem os endereços IP listados podem se conectar. Essa pode ser uma configuração mais segura do que Minha rede (sub-rede) apenas; no entanto, os computadores clientes que usam DHCP podem ocasionalmente alterar seus endereços IP. Então, o computador pretendido não será capaz de se conectar. Outro computador, que você não pretendia autorizar, pode aceitar o endereço IP listado e, então, ser capaz de se conectar. A opção Lista personalizada pode ser apropriada para listar outros servidores configurados para usar um endereço IP fixo; no entanto, os endereços IP podem ser falsificados por um intruso. As regras de restrição de firewall são tão fortes quanto sua infraestrutura de rede.

Usando o Firewall do Windows com Snap-in de Segurança Avançada

Configurações avançadas de firewall adicionais podem ser definidas usando o Firewall do Windows com snap-in MMC de segurança avançada. O snap-in inclui um assistente de regra e expõe configurações adicionais que não estão disponíveis no item Firewall do Windows no Painel de Controle. Essas configurações incluem o seguinte:

  • Configurações de criptografia
  • Restrições de serviços
  • Restringindo conexões para computadores por nome
  • Restringindo conexões para usuários ou perfis específicos
  • Edge traversal permitindo que o tráfego ignore os roteadores Network Address Translation (NAT)
  • Configurando regras de saída
  • Configurando regras de segurança
  • Exigindo IPsec para conexões de entrada

Para criar uma nova regra de firewall usando o assistente de Nova Regra

  1. No menu Iniciar, selecione Executar, digite WF.msc e selecione OK.
  2. No Firewall do Windows com Segurança Avançada, no painel esquerdo, clique com o botão direito do mouse em Regras de entrada e selecione Nova regra.
  3. Conclua a nova regra de entrada Assistente usando as configurações desejadas.

Solucionando problemas de configurações de firewall

As seguintes ferramentas e técnicas podem ser úteis na solução de problemas de firewall:

  • O status efetivo da porta é a união de todas as regras es relacionados ao porto. Ao tentar bloquear o acesso por meio de uma porta, pode ser útil revisar todas as regras que mencionam o número da porta. Para fazer isso, use o snap-in MMC do Firewall do Windows com Segurança Avançada e classifique as regras de entrada e saída por número de porta.

  • Revise as portas que estão ativas no computador em qual SQL Server está executando. Este processo de revisão inclui verificar quais portas TCP / IP estão escutando e também verificar o status das portas.

    Para verificar quais portas estão escutando, use o utilitário de linha de comando netstat. Além de exibir conexões TCP ativas, o utilitário netstat também exibe uma variedade de estatísticas e informações de IP.

    Para listar quais portas TCP / IP estão escutando

    1. Abra a janela Prompt de comando.

    2. No prompt de comando, digite netstat -n -a.

      A opção -n instrui netstat a exibir numericamente o endereço e o número da porta de conexões TCP ativas. A opção -a instrui o netstat a exibir as portas TCP e UDP nas quais o computador está escutando.

  • O utilitário PortQry pode ser usado para relatar o status das portas TCP / IP como escutando, não escutando ou filtradas. (Com um status filtrado, a porta pode ou não estar escutando; esse status indica que o utilitário não recebeu uma resposta da porta.) O utilitário PortQry está disponível para download no Centro de Download da Microsoft.

Consulte também

Visão geral do serviço e requisitos de porta de rede para o sistema Windows Server
Como: definir configurações de firewall (banco de dados SQL do Azure)

admin
0

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Arquivo

Artigos recentes