ianuarie 18, 2021

Configurați paravanul de protecție Windows pentru a permite accesul la SQL Server

  • 22.07.2020
  • 22 de minute de citit
    • c
    • D
    • k
    • l
    • v
    • +13

Se aplică la: SQL Server (toate versiuni acceptate) – Numai Windows Azure SQL Managed Instance

Sistemele firewall ajută la prevenirea accesului neautorizat la resursele computerului. Dacă un firewall este pornit, dar nu este configurat corect, încercările de conectare la SQL Server ar putea fi blocate.

Pentru a accesa o instanță a SQL Server printr-un firewall, trebuie să configurați firewall-ul de pe computerul care este rularea SQL Server. Paravanul de protecție este o componentă a Microsoft Windows. De asemenea, puteți instala un firewall de la o altă companie. Acest articol discută despre cum să configurați paravanul de protecție Windows, dar principiile de bază se aplică altor programe de paravan de protecție.

Notă

Acest articol oferă o prezentare generală a configurației paravanului de protecție și rezumă informații despre interes pentru un administrator SQL Server. Pentru mai multe informații despre firewall și pentru informații firewall de autoritate, consultați documentația firewallului, cum ar fi ghidul de implementare a securității Windows Firewall.

Utilizatorii familiarizați cu gestionarea Paravanului de protecție Windows și știu ce setări de firewall au doriți să configurați se poate trece direct la articolele mai avansate:

  • Configurați un paravan de protecție Windows pentru acces la motorul de baze de date
  • Configurați paravanul de protecție Windows pentru a permite accesul la serviciile de analiză
  • Configurați un firewall pentru acces la serverul de rapoarte

Informații de bază despre firewall

Firewall-urile funcționează inspectând pachetele primite și comparându-le cu un set de reguli. Dacă pachetul îndeplinește standardele dictate de reguli, atunci firewall-ul trece pachetul la protocolul TCP / IP pentru procesare suplimentară. Dacă pachetul nu îndeplinește standardele specificate de reguli, firewall-ul aruncă pachetul și, dacă este activată înregistrarea, creează o intrare în fișierul de înregistrare a firewall-ului.

Lista traficului permis este completată într-unul dintre următoarele moduri:

  • Automat: Când un computer cu un firewall activat a inițiat comunicarea, firewall-ul creează o intrare în listă, astfel încât răspunsul să fie permis. Acest răspuns este considerat trafic solicitat și nu trebuie configurat nimic.

  • Manual: un administrator configurează excepții la firewall. Acest lucru permite accesul la programe sau porturi specificate de pe computer. În acest caz, computerul acceptă traficul intrat nesolicitat atunci când acționează ca un server, un ascultător sau un partener. Acesta este tipul de configurație care trebuie finalizat pentru a vă conecta la SQL Server.

Alegerea unei strategii firewall este mai complexă decât simpla decizie dacă un anumit port ar trebui să fie deschis sau închis . Când proiectați o strategie de firewall pentru întreprinderea dvs., asigurați-vă că luați în considerare toate regulile și opțiunile de configurare disponibile. Acest articol nu trece în revistă toate opțiunile de firewall posibile. Vă recomandăm să consultați următoarele documente:

Ghid de implementare a paravanului de protecție Windows
Ghid de proiectare a paravanului de protecție Windows
Introducere în izolarea serverului și a domeniului

Setări implicite de paravan de protecție

Primul pas în planificarea configurației firewall-ului este determinarea stării curente a firewall-ului pentru sistemul dvs. de operare. Dacă sistemul de operare a fost actualizat de la o versiune anterioară, este posibil ca setările de firewall anterioare să fi fost păstrate. De asemenea, setările firewall-ului ar fi putut fi modificate de un alt administrator sau de o politică de grup din domeniul dvs.

Notă

Activarea firewall-ului va afecta alte programe care accesează acest computer, cum ar fi partajarea de fișiere și tipăriri, și conexiuni desktop la distanță. Administratorii ar trebui să ia în considerare toate aplicațiile care rulează pe computer înainte de a regla setările firewall-ului.

Programe pentru configurarea paravanului de protecție

Configurarea setărilor Windows Firewall fie cu Microsoft Management Console sau netsh.

  • Microsoft Management Console (MMC)

    Paravanul de protecție Windows cu Advanced Security MMC-ul vă permite să configurați setări mai avansate de firewall. Acest snap-in prezintă majoritatea opțiunilor firewall-ului într-un mod ușor de utilizat și prezintă toate profilurile firewall-ului. Pentru mai multe informații, consultați Utilizarea Paravanului de protecție Windows cu funcția de securitate avansată Snap-in mai târziu în acest articol.

  • netsh

    Instrumentul netsh.exe poate fi utilizat de către un administrator pentru a configura și monitoriza computerele bazate pe Windows la un prompt de comandă sau folosind un fișier batch **.** Utilizând instrumentul netsh, puteți direcționa comenzile de context pe care le introduceți către ajutorul corespunzător, iar acesta ajută apoi să execute comanda. Un ajutor este un fișier Dynamic Link Library (.dll) care extinde funcționalitatea instrumentului netsh oferind configurare, monitorizare și asistență pentru unul sau mai multe servicii, utilitare sau protocoale. Toate sistemele de operare care acceptă SQL Server au un ajutor pentru firewall. Windows Server 2008 are, de asemenea, un ajutor de paravan de protecție avansat numit advfirewall. Detaliile despre utilizarea netsh nu sunt discutate în acest articol. Cu toate acestea, multe dintre opțiunile de configurare descrise pot fi configurate folosind netsh. De exemplu, rulați următorul script la un prompt de comandă pentru a deschide portul TCP 1433:

    Un exemplu similar folosind Windows Firewall for Advanced Security helper:

    Pentru mai multe informații despre netsh, consultați următoarele linkuri:

    • Sintaxa comenzilor Netsh, contextele și formatarea
    • Cum se utilizează contextul „netsh advfirewall firewall” în loc de contextul „netsh firewall” pentru a controla comportamentul paravanului de protecție Windows în Windows Server 2008 și Windows Vista

  • Pentru Linux: pe Linux, trebuie să deschideți și porturile asociate serviciilor la care aveți nevoie de acces. Diferite distribuții de Linux și firewall-uri diferite au propriile proceduri. Pentru două exemple, consultați SQL Server pe Red Hat și SQL Server pe SUSE.

Porturile utilizate de SQL Server

Următoarele tabele vă pot ajuta identificați porturile utilizate de SQL Server.

Porturile utilizate de motorul bazei de date

În mod implicit, porturile tipice utilizate de SQL Server și serviciile asociate ale motorului de baze de date sunt: TCP 1433, 4022 , 135, 1434, UDP 1434. Tabelul de mai jos explică aceste porturi în detaliu. O instanță numită folosește porturi dinamice.

Următorul tabel listează porturile care sunt utilizate frecvent de motorul bazei de date.

Scenariu Port
Instanță implicită care rulează peste TCP Portul TCP 1433 Acesta este cel mai comun port permis prin firewall. Se aplică conexiunilor de rutină la instalarea implicită a Motorului de baze de date sau unei instanțe numite care este singura instanță care rulează pe computer. (Instanțele denumite au considerații speciale. Consultați Porturile dinamice mai târziu în acest articol.)
Instanțele denumite cu port implicit Portul TCP este un port dinamic determinat la momentul pornirii motorului de baze de date. Consultați discuția de mai jos în secțiunea Porturi dinamice. Portul UDP 1434 ar putea fi necesar pentru serviciul de navigare SQL Server atunci când utilizați instanțe denumite.
Instanțe denumite cu port fix Numărul de port configurat de administratorul. Consultați discuția de mai jos în secțiunea Porturi dinamice.
Conexiune de administrare dedicată Portul TCP 1434 pentru implicit instanță. Alte porturi sunt utilizate pentru instanțele denumite. Verificați jurnalul de erori pentru numărul portului. În mod implicit, conexiunile la distanță la Conexiunea de administrator dedicat (DAC) nu sunt activate. Pentru a activa DAC la distanță, utilizați fațeta Configurare suprafață. Pentru mai multe informații, consultați Configurarea suprafeței.
Serviciul SQL Server Browser Portul UDP 1434 Serviciul SQL Server Browser ascultă pentru conexiunile primite la o instanță numită și furnizează clientului numărul portului TCP care corespunde instanței numite. În mod normal, serviciul Browser SQL Server este pornit ori de câte ori sunt utilizate instanțe denumite ale Motorului de baze de date. Serviciul Browser SQL Server nu trebuie pornit dacă clientul este configurat să se conecteze la portul specific al instanței denumite.
Instanță cu punct final HTTP. Poate fi specificat atunci când este creat un punct final HTTP. Valoarea implicită este portul TCP 80 pentru traficul CLEAR_PORT și 443 pentru traficul SSL_PORT. Folosit pentru o conexiune HTTP printr-o adresă URL.
Instanță implicită cu punct final HTTPS Portul TCP 443 Folosit pentru o conexiune HTTPS printr-o adresă URL. HTTPS este o conexiune HTTP care utilizează Transport Layer Security (TLS), cunoscut anterior ca Secure Sockets Layer (SSL).
Service Broker Portul TCP 4022 . Pentru a verifica portul utilizat, executați următoarea interogare:
SELECT name, protocol_desc, port, state_desc
FROM sys.tcp_endpoints
WHERE type_desc = "SERVICE_BROKER" 		Nu există un port implicit pentru SQL ServerService Broker, dar aceasta este configurația convențională utilizată în exemplele Books Online.
Oglindirea bazei de date Portul ales de administrator.Pentru a determina portul, executați următoarea interogare:
SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints
WHERE type_desc = "DATABASE_MIRRORING" 		Nu există portul implicit pentru oglindirea bazei de date, cu toate acestea, exemplele din cărțile online folosesc portul TCP 5022 sau 7022. Este important să evitați întreruperea unui punct final de oglindire în uz, în special în modul de înaltă siguranță cu trecerea la eroare automată. Configurarea firewall-ului dvs. trebuie să evite încălcarea cvorumului. Pentru mai multe informații, consultați Specificarea unei adrese de rețea a serverului (oglindirea bazei de date).
Replicare Conexiunile de replicare la SQL Server utilizează porturile tipice ale motorului de baze de date obișnuit ( Portul TCP 1433 pentru instanța implicită etc.)
Sincronizarea web și accesul FTP / UNC pentru instantaneul de replicare necesită deschiderea porturilor suplimentare pe firewall. Pentru a transfera datele și schemele inițiale dintr-o locație în alta, replicarea poate utiliza FTP (portul TCP 21) sau sincronizarea prin HTTP (portul TCP 80) sau partajarea fișierelor. Partajarea fișierelor utilizează porturile UDP 137 și 138 și portul TCP 139 dacă folosește NetBIOS. Partajarea fișierelor utilizează portul TCP 445. 		Pentru sincronizarea prin HTTP, replicarea utilizează punctul final IIS (porturile pentru care sunt configurabile, dar este portul 80 în mod implicit), dar procesul IIS se conectează la serverul SQL backend prin intermediul porturi standard (1433 pentru instanța implicită.
În timpul sincronizării Web utilizând FTP, transferul FTP este între IIS și editorul SQL Server, nu între abonat și IIS.
Transact-SQL debugger Portul TCP 135
Consultați Considerații speciale pentru Portul 135 – Este posibil să fie necesară și excepția IPsec. 		Dacă utilizați Visual Studio, în Visual Studio computer gazdă, trebuie să adăugați și Devenv.exe la lista Excepții și să deschideți portul TCP 135.
Dacă utilizați Management Studio, pe computerul gazdă Management Studio, trebuie să adăugați și ssms.exe la lista Excepții și să deschideți portul TCP 135. Pentru mai multe informații, consultați Configurarea regulilor de firewall înainte de a rula TSQL Debugger.

Pentru instrucțiuni pas cu pas pentru a configura paravanul de protecție Windows pentru motorul de baze de date, consultați Configurarea unui paravan de protecție Windows pentru acces la motorul de baze de date.

Porturi dinamice

În mod implicit, instanțe numite ( inclusiv SQL Server Express) utilizează porturi dinamice. Asta înseamnă că de fiecare dată când pornește motorul de baze de date, identifică un port disponibil și folosește acel număr de port. Dacă instanța numită este singura instanță a motorului de baze de date instalat, va folosi probabil portul TCP 1433. Dacă sunt instalate alte instanțe ale motorului bazei de date, va folosi probabil un port TCP diferit. Deoarece portul selectat s-ar putea schimba de fiecare dată când este pornit motorul de baze de date, este dificil să configurați paravanul de protecție pentru a permite accesul la numărul de port corect. Prin urmare, dacă se utilizează un firewall, vă recomandăm să reconfigurați Motorul de baze de date pentru a utiliza același număr de port de fiecare dată. Aceasta se numește port fix sau port static. Pentru mai multe informații, consultați Configurarea unui server pentru a asculta pe un port TCP specific (SQL Server Configuration Manager).

O alternativă la configurarea unei instanțe numite pentru a asculta pe un port fix este crearea unei excepții în firewall pentru un program SQL Server cum ar fi sqlservr.exe (pentru motorul de baze de date). Acest lucru poate fi convenabil, dar numărul portului nu va apărea în coloana Port local din pagina Reguli de intrare atunci când utilizați paravanul de protecție Windows cu snap-in MMC de securitate avansată. Acest lucru poate face mai dificilă auditarea porturilor deschise. O altă considerație este că un pachet de service sau o actualizare cumulativă poate schimba calea către executabilul SQL Server, ceea ce va invalida regula firewall-ului.

Pentru a adăuga o excepție de program la firewall utilizând Windows Defender Firewall cu Advanced Security

  1. Din meniul Start, tastați wf.msc. Apăsați Enter sau selectați rezultatul căutării wf.msc pentru a deschide Paravanul de protecție Windows Defender cu Advanced Security.

  2. În panoul din stânga, selectați Reguli de intrare.

  3. În panoul din dreapta, sub Acțiuni, selectați Noua regulă …. Se deschide Expertul pentru reguli de intrare noi.

  4. La tipul de regulă, selectați Program. Selectați Următorul.

  5. În Program, selectați Această cale a programului. Selectați Răsfoire pentru a localiza instanța SQL Server. Programul se numește sqlservr.exe. În mod normal, este localizat la:

    C:\Program Files\Microsoft SQL Server\MSSQL15.<InstanceName>\MSSQL\Binn\sqlservr.exe

    Selectați Next.

  6. Activat Acțiune, selectați Permiteți conexiunea. Selectați Următorul.

  7. În profil, includeți toate cele trei profiluri. Selectați Următorul.

  8. Pe nume, tastați un nume pentru regulă. Selectați Finalizare.

Pentru mai multe informații despre punctele finale, consultați Configurarea motorului bazei de date pentru a asculta în mai multe porturi TCP și vizualizări din catalogul punctelor finale (Transact-SQL).

Porturi utilizate de Analysis Services

În mod implicit, porturile tipice utilizate de SQL Server Analysis Services și serviciile asociate sunt: TCP 2382, 2383, 80, 443. Tabelul de mai jos explică aceste porturi în detaliu.

Următorul tabel listează porturile care sunt utilizate frecvent de Analysis Services.

Caracteristică Port
Analysis Services Portul TCP 2383 pentru instanța implicită Portul standard pentru instanța implicită a Analysis Services.
Serviciul de navigare SQL Server Portul TCP 2382 este necesar doar pentru o instanță numită Analysis Services Solicitări de conexiune client pentru o instanță numită de Analysis Services care nu specifică un număr de port este direcționat către portul 2382, portul pe care ascultă browserul SQL Server. SQL Server Browser redirecționează apoi solicitarea către portul pe care îl folosește instanța numită.
Analysis Services configurate pentru utilizare prin IIS / HTTP
(Serviciul PivotTable® utilizează HTTP sau HTTPS) 		Portul TCP 80 Utilizat pentru o conexiune HTTP printr-o adresă URL.
Servicii de analiză configurate pentru utilizare prin IIS /
HTTPS (Serviciul PivotTable® utilizează HTTP sau HTTPS) 		Portul TCP 443 Utilizat pentru o conexiune HTTPS printr-o adresă URL. HTTPS este o conexiune HTTP care utilizează TLS.

Dacă utilizatorii accesează Analysis Services prin IIS și Internet, trebuie să deschideți portul pe care ascultă IIS și să specificați acel port în șirul de conexiune client. În acest caz, nu trebuie să fie deschise porturi pentru acces direct la Analysis Services. Portul implicit 2389 și portul 2382 trebuie restricționate împreună cu toate celelalte porturi care nu sunt necesare.

Pentru instrucțiuni pas cu pas pentru a configura paravanul de protecție Windows pentru Analysis Services, consultați Configurarea paravanului de protecție Windows pentru a permite Accesul la Analysis Services.

Porturile utilizate de Reporting Services

În mod implicit, porturile tipice utilizate de SQL Server Reporting SErvices și serviciile asociate sunt: TCP 80, 443. Tabelul de mai jos le explică porturi în detaliu.

Următorul tabel listează porturile care sunt utilizate frecvent de Reporting Services.

Caracteristică Port
Servicii Web Reporting Services Portul TCP 80 Utilizat pentru o conexiune HTTP la Reporting Services printr-o adresă URL. Vă recomandăm să nu utilizați regula preconfigurată World Wide Web Services (HTTP). Pentru mai multe informații, consultați secțiunea Interacțiune cu alte reguli firewall de mai jos.
Servicii de raportare configurate pentru utilizare prin HTTPS Portul TCP 443 Folosit pentru o conexiune HTTPS printr-o adresă URL. HTTPS este o conexiune HTTP care utilizează TLS. Vă recomandăm să nu utilizați regula preconfigurată Secure World Wide Web Services (HTTPS). Pentru mai multe informații, consultați secțiunea Interacțiune cu alte reguli firewall de mai jos.

Când Reporting Services se conectează la o instanță a motorului de baze de date sau Analysis Services, trebuie să deschideți și porturile corespunzătoare pentru aceste servicii. Pentru instrucțiuni pas cu pas pentru a configura paravanul de protecție Windows pentru serviciile de raportare, configurați un paravan de protecție pentru accesul la serverul de rapoarte.

Porturi utilizate de serviciile de integrare

Următorul tabel listează porturile care sunt utilizate de serviciul Integration Services.

Caracteristică Port
Apeluri procedură Microsoft la distanță (MS RPC)
Utilizat de runtime-ul Integration Services. 		Portul TCP 135
Consultați Considerații speciale pentru Portul 135 		Serviciul Integration Services folosește DCOM pe portul 135. Managerul de control al serviciului utilizează portul 135 pentru a efectua sarcini precum pornirea și oprirea serviciului Servicii de integrare și transmiterea cererilor de control către serviciul care rulează. Numărul portului nu poate fi modificat.
Acest port trebuie să fie deschis numai dacă vă conectați la o instanță la distanță a serviciului Integration Services din Management Studio sau o aplicație personalizată.

Pentru instrucțiuni pas cu pas pentru configurarea Paravanului de protecție Windows pentru servicii de integrare, consultați Serviciul de servicii de integrare (Serviciul SSIS).

Porturi și servicii suplimentare

Următorul tabel listează porturile și serviciile de care SQL Server ar putea depinde.

Scenariu Port
Instrumentație de gestionare Windows
Pentru mai multe informații despre WMI, consultați Furnizorul WMI pentru concepte de gestionare a configurației 		WMI rulează ca parte a o gazdă de servicii partajate cu porturi atribuite prin DCOM.WMI ar putea folosi portul TCP 135.
Consultați Considerații speciale pentru Portul 135 		SQL Server Configuration Manager folosește WMI pentru a lista și gestiona serviciile. Vă recomandăm să utilizați grupul de reguli preconfigurat Windows Management Instrumentation (WMI). Pentru mai multe informații, consultați secțiunea Interacțiune cu alte reguli firewall de mai jos.
Coordonator tranzacții distribuite Microsoft (MS DTC) Port TCP 135
Vezi Considerații speciale pentru portul 135 		Dacă aplicația dvs. utilizează tranzacții distribuite, poate fi necesar să configurați firewall-ul pentru a permite traficului Microsoft Distributed Transaction Coordinator (MS DTC) să circule între instanțele MS DTC separate și între MS DTC și administratori de resurse, cum ar fi SQL Server. Vă recomandăm să utilizați grupul de reguli preconfigurat Distributed Transaction Coordinator.
Când un singur MS DTC partajat este configurat pentru întregul cluster într-un grup de resurse separat, ar trebui să adăugați sqlservr.exe ca excepție la firewall.
Butonul de navigare din Management Studio folosește UDP pentru a se conecta la serviciul de navigare SQL Server. Pentru mai multe informații, consultați Serviciul de navigare SQL Server (motor de baze de date și SSAS). Portul UDP 1434 UDP este un protocol fără conexiune.
Paravanul de protecție are o setare (UnicastResponsesToMulticastBroadcastDisabled Property a interfeței INetFwProfile) care controlează comportamentul firewall-ului în ceea ce privește răspunsurile unicast la o cerere UDP difuzată (sau multicast). Are două comportamente:
Dacă setarea este ADEVĂRATĂ, nu sunt permise deloc răspunsuri unicast la o transmisie. Serviciile de enumerare vor eșua.
Dacă setarea este FALSĂ (implicit), răspunsurile unicast sunt permise timp de 3 secunde. Durata de timp nu este configurabilă. Într-o rețea aglomerată sau cu latență ridicată sau pentru servere încărcate puternic, încearcă să enumere instanțe de SQL Server care ar putea returna o listă parțială, care ar putea induce în eroare utilizatorii.
Trafic IPsec Portul UDP 500 și portul UDP 4500 Dacă politica de domeniu necesită comunicarea în rețea prin IPsec, trebuie să adăugați portul UDP 4500 și portul UDP 500 la lista de excepții. IPsec este o opțiune care folosește New Inbound Rule Wizard din snap-in-ul Windows Firewall. Pentru mai multe informații, consultați Utilizarea paravanului de protecție Windows cu conectare avansată de securitate mai jos.
Utilizarea autentificării Windows cu domenii de încredere Firewall-urile trebuie configurate pentru a permite solicitări de autentificare. Pentru mai multe informații, consultați Cum se configurează un firewall pentru domenii și trusturi.
SQL Server și Windows Clustering Clusterizarea necesită porturi suplimentare care nu sunt direct legate de SQL Server. Pentru mai multe informații, consultați Activarea unei rețele pentru utilizarea clusterului.
Spații de nume URL rezervate în API-ul HTTP Server (HTTP.SYS) Probabil portul TCP 80, dar poate fi configurat la alte porturi. Pentru informații generale, consultați Configurarea HTTP și HTTPS. Pentru informații specifice SQL Server despre rezervarea unui punct final HTTP.SYS utilizând HttpCfg.exe, consultați Despre rezervările și înregistrarea adreselor URL (SSRS Configuration Manager).

Considerații speciale pentru portul 135

Când utilizați RPC cu TCP / IP sau cu UDP / IP ca transport, porturile de intrare sunt frecvent alocate dinamic serviciilor de sistem, după cum este necesar; Sunt utilizate porturile TCP / IP și UDP / IP care sunt mai mari decât portul 1024. Acestea sunt denumite în mod informal „porturi RPC aleatorii”. În aceste cazuri, clienții RPC se bazează pe mapatorul de puncte RPC pentru a le spune ce porturi dinamice au fost atribuite serverului. Pentru unele servicii bazate pe RPC, puteți configura un port specific în loc să lăsați RPC să atribuie unul dinamic. De asemenea, puteți restricționa gama de porturi pe care RPC le atribuie în mod dinamic unui interval mic, indiferent de serviciu. Deoarece portul 135 este utilizat pentru multe servicii, acesta este frecvent atacat de utilizatori rău intenționați. Când deschideți portul 135, luați în considerare restricționarea domeniului de aplicare al regulii firewall.

Pentru mai multe informații despre portul 135, consultați următoarele referințe:

  • Prezentare generală a serviciului și cerințele portului de rețea pentru sistemul Windows Server
  • Depanarea erorilor RPC Endpoint Mapper utilizând instrumentele de asistență Windows Server 2003 de pe CD-ul produsului
  • Apel de procedură la distanță (RPC)
  • Cum se configurează Alocarea dinamică a portului RPC pentru a lucra cu firewall-uri

Interacțiunea cu alte reguli firewall

Paravanul de protecție Windows utilizează reguli și grupuri de reguli pentru a-și stabili configurația. Fiecare regulă sau grup de reguli este în general asociat cu un anumit program sau serviciu, iar acel program sau serviciu ar putea modifica sau șterge regula respectivă fără știrea dvs. De exemplu, grupurile de reguli World Wide Web Services (HTTP) și World Wide Web Services (HTTPS) sunt asociate cu IIS.Activarea acestor reguli va deschide porturile 80 și 443, iar caracteristicile SQL Server care depind de porturile 80 și 443 vor funcționa dacă aceste reguli sunt activate. Cu toate acestea, administratorii care configurează IIS pot modifica sau dezactiva aceste reguli. Prin urmare, dacă utilizați portul 80 sau portul 443 pentru SQL Server, ar trebui să creați propria regulă sau grup de reguli care să mențină configurația de port dorită independent de celelalte reguli IIS.

Paravanul de protecție Windows cu securitate avansată Completarea MMC permite orice trafic care se potrivește cu orice regulă de permisare aplicabilă. Deci, dacă există două reguli care se aplică ambelor la portul 80 (cu parametri diferiți), traficul care corespunde oricărei reguli va fi permis. Deci, dacă o regulă permite traficul peste portul 80 din subrețeaua locală și o regulă permite traficul de la orice adresă, efectul net este că tot traficul către portul 80 este permis indiferent de sursă. Pentru a gestiona în mod eficient accesul la SQL Server, administratorii ar trebui să revizuiască periodic toate regulile firewallului activate pe server.

Prezentare generală a profilurilor firewall

Profilurile firewall sunt utilizate de sistemele de operare pentru a identifica și aminti fiecare dintre rețelele la care se conectează în ceea ce privește conectivitatea, conexiunile și categoria.

Există trei tipuri de locații de rețea în Windows Firewall cu securitate avansată:

  • Domeniu: Windows poate autentifica accesul la controlerul de domeniu pentru domeniul la care este conectat computerul.
  • Public: altele decât rețelele de domeniu, toate rețelele sunt clasificate inițial ca publice. Rețelele care reprezintă conexiuni directe la Internet sau se află în locații publice, cum ar fi aeroporturile și cafenelele, ar trebui lăsate publice.
  • Privată: o rețea identificată de un utilizator sau o aplicație ca fiind privată. Doar rețelele de încredere ar trebui identificate ca rețele private. Utilizatorii vor dori probabil să identifice rețelele private sau de afaceri mici ca fiind private.

Administratorul poate crea un profil pentru fiecare tip de locație de rețea, fiecare profil conținând politici firewall diferite. Se aplică un singur profil în orice moment. Ordinea profilului se aplică după cum urmează:

  1. Dacă toate interfețele sunt autentificate la controlerul de domeniu pentru domeniul căruia este membru computerul, se aplică profilul domeniului.
  2. Dacă toate interfețele sunt fie autentificate la controlerul de domeniu, fie sunt conectate la rețele clasificate ca locații de rețea privată, se aplică profilul privat.
  3. În caz contrar, se aplică profilul public.

Utilizați paravanul de protecție Windows cu Advanced Security snap-in MMC pentru a vizualiza și configura toate profilurile firewall-ului. Elementul Paravan de protecție Windows din Panoul de control configurează doar profilul curent.

Setări suplimentare de paravan de protecție Utilizarea elementului Paravan de protecție Windows din Panoul de control

Excepțiile pe care le adăugați la firewall pot restricționa deschiderea portul către conexiunile primite de la anumite computere sau subrețeaua locală. Această restricție a sferei de deschidere a portului poate reduce cât de mult este expus computerul utilizatorilor rău intenționați și este recomandată.

Notă

Utilizarea elementului Paravan de protecție Windows din Control Panoul configurează doar profilul curent de firewall.

Pentru a modifica domeniul de aplicare al unei excepții firewall utilizând elementul Windows Firewall din Panoul de control

  1. În Elementul Paravan de protecție Windows din Panoul de control, selectați un program sau un port din fila Excepții, apoi faceți clic pe Proprietăți sau Editați.

  2. În caseta de dialog Editați un program sau Editați un port, faceți clic pe Schimbați domeniul de aplicare.

  3. Alegeți una dintre următoarele opțiuni:

    • Orice computer (inclusiv cele de pe Internet): nerecomandat . Aceasta va permite oricărui computer care se poate adresa computerului dvs. să se conecteze la programul sau portul specificat. Această setare ar putea fi necesară pentru a permite prezentarea informațiilor utilizatorilor anonimi pe internet, dar vă crește expunerea la utilizatorii rău intenționați. Expunerea dvs. poate fi sporită și mai mult dacă activați această setare și permiteți, de asemenea, traversarea traducerii adreselor de rețea (NAT), cum ar fi opțiunea Permite traversarea marginilor.

    • Numai rețeaua mea (subrețea) : Aceasta este o setare mai sigură decât orice computer. Numai computerele din subrețeaua locală a rețelei dvs. se pot conecta la program sau la port.

    • Listă personalizată: numai computerele care au adresele IP listate se pot conecta. Aceasta poate fi o setare mai sigură decât rețeaua mea (subrețea) numai, totuși, computerele client care utilizează DHCP își pot schimba ocazional adresa IP. Atunci calculatorul intenționat nu se va putea conecta. Un alt computer, pe care nu intenționați să îl autorizați, ar putea accepta adresa IP listată și apoi să se poată conecta. Opțiunea Listă personalizată ar putea fi adecvată pentru listarea altor servere care sunt configurate pentru a utiliza o adresă IP fixă; cu toate acestea, adresele IP ar putea fi falsificate de un intrus. Restricționarea regulilor firewallului este la fel de puternică ca și infrastructura dvs. de rețea.

Utilizarea paravanului de protecție Windows cu acces de securitate avansat

Setări suplimentare de paravan de protecție avansate pot fi configurate utilizând Paravan de protecție Windows cu snap-in MMC de securitate avansată. Completarea include un expert cu reguli și expune setări suplimentare care nu sunt disponibile în elementul Paravan de protecție Windows din Panoul de control. Aceste setări includ următoarele:

  • Setări de criptare
  • Restricții de servicii
  • Restricționarea conexiunilor pentru computere după nume
  • Restricționarea conexiunilor la utilizatori sau profiluri specifice
  • Traversarea marginilor care permite traficului să ocolească routerele de traducere a adreselor de rețea (NAT)
  • Configurarea regulilor de ieșire
  • Configurarea regulilor de securitate
  • Se solicită IPsec pentru conexiunile de intrare

Pentru a crea o nouă regulă firewall utilizând expertul New Rule

  1. În meniul Start, selectați Run, tastați WF.msc , apoi selectați OK.
  2. În Paravanul de protecție Windows cu securitate avansată, în panoul din stânga, faceți clic dreapta pe Regulile de intrare, apoi selectați Regula nouă.
  3. Completați Regula de intrare nouă Expert care utilizează setările dorite.

Depanarea setărilor firewall

Următoarele instrumente și tehnici pot fi utile în depanarea problemelor firewall:

  • Statutul efectiv al portului este uniunea tuturor regulilor este legat de port. Când încercați să blocați accesul printr-un port, poate fi util să revedeți toate regulile care citează numărul portului. Pentru a face acest lucru, utilizați Paravanul de protecție Windows cu Advanced Security MMC-snap-in și sortați regulile de intrare și de ieșire după numărul de port.

  • Examinați porturile care sunt active pe computer pe care rulează SQL Server. Acest proces de revizuire include verificarea porturilor TCP / IP care ascultă și verificarea stării porturilor.

    Pentru a verifica ce porturi ascultă, utilizați utilitarul de linie de comandă netstat. Pe lângă afișarea conexiunilor TCP active, utilitarul netstat afișează, de asemenea, o varietate de statistici și informații IP.

    Pentru a lista ce porturi TCP / IP ascultă

    1. Deschideți fereastra de comandă.

    2. La promptul de comandă, tastați netstat -n -a.

      Comutatorul -n instruiește netstat să afișeze numeric adresa și numărul de port al conexiunilor TCP active. Comutatorul -a instruiește netstat să afișeze porturile TCP și UDP pe care computerul le ascultă.

  • Utilitarul PortQry poate fi folosit pentru a raporta starea porturilor TCP / IP ca ascultare, nu ascultare sau filtrare. (Cu o stare filtrată, portul ar putea sau nu să asculte; această stare indică faptul că utilitarul nu a primit un răspuns de la port.) Utilitarul PortQry este disponibil pentru descărcare din Centrul de descărcare Microsoft.

Consultați și

Prezentarea generală a serviciilor și cerințele portului de rețea pentru sistemul Windows Server
Cum se face: Configurarea setărilor firewall (baza de date SQL Azure)

admin
0

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Arhive

Articole recente