januari 18, 2021

Konfigurera Windows-brandväggen för att tillåta SQL Server-åtkomst

  • 20/07/2020
  • 22 minuter att läsa
    • c
    • D
    • k
    • l
    • v
    • +13

Gäller för: SQL Server (alla stödda versioner) – Endast Windows Azure SQL Managed Instance

Firewall-system hjälper till att förhindra obehörig åtkomst till datorresurser. Om en brandvägg är påslagen men inte korrekt konfigurerad kan försök att ansluta till SQL Server blockeras.

Om du vill komma åt en instans av SQL Server genom en brandvägg måste du konfigurera brandväggen på den dator som är kör SQL Server. Brandväggen är en del av Microsoft Windows. Du kan också installera en brandvägg från ett annat företag. Den här artikeln diskuterar hur du konfigurerar Windows-brandväggen, men de grundläggande principerna gäller för andra brandväggsprogram.

Obs

Den här artikeln ger en översikt över brandväggskonfiguration och sammanfattar information om intresse för en SQL Server-administratör. För mer information om brandväggen och för auktoritativ brandväggsinformation, se brandväggsdokumentationen, till exempel Windows Firewall-säkerhetsguiden.

Användare som är bekanta med att hantera Windows-brandväggen och vet vilka brandväggsinställningar de har vill konfigurera kan gå direkt till de mer avancerade artiklarna:

  • Konfigurera en Windows-brandvägg för databasmotoråtkomst
  • Konfigurera Windows-brandväggen för att möjliggöra åtkomst till analystjänster
  • Konfigurera en brandvägg för rapportserveråtkomst

Grundläggande brandväggsinformation

Firewalls fungerar genom att inspektera inkommande paket och jämföra dem med en uppsättning regler. Om paketet uppfyller de standarder som dikteras av reglerna skickar brandväggen paketet till TCP / IP-protokollet för ytterligare bearbetning. Om paketet inte uppfyller de standarder som anges i reglerna, kastar brandväggen sedan paketet och, om loggning är aktiverad, skapar en post i brandväggsloggfilen.

Listan över tillåten trafik är fylld på något av följande sätt:

  • Automatiskt: När en dator med en brandvägg aktiverad initierad kommunikation skapar brandväggen en post i listan så att svaret tillåts. Detta svar betraktas som begärd trafik och det finns inget som behöver konfigureras.

  • Manuellt: En administratör konfigurerar undantag från brandväggen. Detta ger antingen åtkomst till angivna program eller portar på din dator. I det här fallet accepterar datorn oönskad inkommande trafik när den agerar som server, lyssnare eller kollega. Det här är den typ av konfiguration som måste slutföras för att ansluta till SQL Server.

Att välja en brandväggsstrategi är mer komplicerat än att bara bestämma om en viss port ska vara öppen eller stängd . När du utformar en brandväggsstrategi för ditt företag, se till att du beaktar alla regler och konfigurationsalternativ som är tillgängliga för dig. Denna artikel granskar inte alla möjliga brandväggsalternativ. Vi rekommenderar att du granskar följande dokument:

Windows Firewall Deployment Guide – Windows Firewall Design Guide – Introduction to Server and Domain Isolation

Standard Firewall Settings

Det första steget i planeringen av din brandväggskonfiguration är att bestämma den aktuella statusen för brandväggen för ditt operativsystem. Om operativsystemet uppgraderades från en tidigare version kan de tidigare brandväggsinställningarna ha bevarats. Brandväggsinställningarna kunde också ha ändrats av en annan administratör eller av en grupprincip i din domän.

Obs

Att slå på brandväggen kommer att påverka andra program som har åtkomst till detta dator, till exempel fil- och utskriftsdelning, och fjärrskrivbordsanslutningar. Administratörer bör överväga alla program som körs på datorn innan de justerar brandväggsinställningarna.

Program för att konfigurera brandväggen

Konfigurera Windows-brandväggsinställningarna med antingen Microsoft Management Console eller netsh.

  • Microsoft Management Console (MMC)

    Windows-brandväggen med MMC-snapin-programmet Advanced Security låter dig konfigurera mer avancerade brandväggsinställningar. Den här snapin-modulen presenterar de flesta brandväggsalternativen på ett lättanvänt sätt och presenterar alla brandväggsprofiler. Mer information finns i Använda Windows-brandväggen med Advanced Security Snap-in senare i den här artikeln.

  • netsh

    Verktyget netsh.exe kan användas av en administratör för att konfigurera och övervaka Windows-baserade datorer vid en kommandotolk eller med hjälp av en batchfil **.** Genom att använda netsh-verktyget kan du rikta de sammanhangskommandon du anger till lämplig hjälpare och hjälparen utför sedan kommandot. En hjälpare är en Dynamic Link Library (.dll) -fil som utökar netsh-verktygets funktionalitet genom att tillhandahålla konfiguration, övervakning och support för en eller flera tjänster, verktyg eller protokoll. Alla operativsystem som stöder SQL Server har en brandväggshjälp. Windows Server 2008 har också en avancerad brandväggshjälp som heter advfirewall. Detaljerna i att använda netsh diskuteras inte i den här artikeln. Många av de beskrivna konfigurationsalternativen kan dock konfigureras med hjälp av netsh. Kör till exempel följande skript vid en kommandotolk för att öppna TCP-port 1433:

    Ett liknande exempel med hjälp av Windows Firewall for Advanced Security-hjälpen:

    Mer information om netsh finns i följande länkar:

    • Netsh Command Syntax, Contexts, and Formatting
    • Hur man använder ”netsh advfirewall firewall” -kontext istället för ”netsh firewall” -kontext för att kontrollera Windows-brandväggsbeteende i Windows Server 2008 och Windows Vista

  • För Linux: På Linux måste du också öppna portarna som är kopplade till de tjänster du behöver åtkomst till. Olika distributioner av Linux och olika brandväggar har sina egna procedurer. För två exempel, se SQL Server på Red Hat och SQL Server på SUSE.

Portar som används av SQL Server

Följande tabeller kan hjälpa dig identifiera de portar som används av SQL Server.

Portar som används av databasmotorn

Som standard är de typiska portarna som används av SQL Server och tillhörande databasmotortjänster: TCP 1433, 4022 , 135, 1434, UDP 1434. Tabellen nedan förklarar dessa portar mer detaljerat. En namngiven instans använder dynamiska portar.

I följande tabell listas portarna som ofta används av databasmotorn.

Scenario Port
Standardinstans som körs över TCP TCP-port 1433 Detta är den vanligaste porten som tillåts genom brandväggen. Det gäller rutinanslutningar till standardinstallationen av databasmotorn, eller en namngiven instans som är den enda instansen som körs på datorn. (Namngivna förekomster har speciella överväganden. Se Dynamiska portar senare i den här artikeln.)
Namngivna instanser med standardport TCP-porten är en dynamisk port bestämd vid den tidpunkt då databasmotorn startar. Se diskussionen nedan i avsnittet Dynamiska portar. UDP-port 1434 kan behövas för SQL Server Browser Service när du använder namngivna instanser.
Namngivna instanser med fast port Portnumret konfigurerat av administratören. Se diskussionen nedan i avsnittet Dynamiska portar.
Dedikerad administratörsanslutning TCP-port 1434 för standard exempel. Andra portar används för namngivna instanser. Kontrollera att portnumret har fellogg. Som standard är fjärranslutningar till Dedikerad administratörsanslutning (DAC) inte aktiverade. För att aktivera fjärr DAC, använd Surface Area Configuration facet. Mer information finns i Surface Area Configuration.
SQL Server Browser-tjänst UDP-port 1434 SQL Server Browser-tjänsten lyssnar för inkommande anslutningar till en namngiven instans och ger klienten TCP-portnumret som motsvarar den namngivna instansen. Normalt startas SQL Server-webbläsartjänsten när namngivna instanser av databasmotorn används. SQL Server-webbläsartjänsten behöver inte startas om klienten är konfigurerad för att ansluta till den specifika porten för den namngivna instansen.
Instans med HTTP-slutpunkt. Kan anges när en HTTP-slutpunkt skapas. Standard är TCP-port 80 för CLEAR_PORT-trafik och 443 för SSL_PORT-trafik. Används för en HTTP-anslutning via en URL.
Standardinstans med HTTPS-slutpunkt TCP-port 443 Används för en HTTPS-anslutning via en URL. HTTPS är en HTTP-anslutning som använder Transport Layer Security (TLS), tidigare känd som Secure Sockets Layer (SSL).
Service Broker TCP-port 4022 För att verifiera den använda porten, kör följande fråga:
SELECT name, protocol_desc, port, state_desc
FROM sys.tcp_endpoints
WHERE type_desc = "SERVICE_BROKER" 		Det finns ingen standardport för SQL ServerService Broker, men detta är den konventionella konfigurationen som används i Books Online-exempel.
Databasspegling Administratörsport.För att bestämma porten, kör följande fråga:
SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints
WHERE type_desc = "DATABASE_MIRRORING" 		Det finns ingen standardport för spegling av databaser men Exempel på böcker online använder TCP-port 5022 eller 7022. Det är viktigt att undvika att en speglingsändpunkt som används används, särskilt i högsäkerhetsläge med automatisk redundans. Din brandväggskonfiguration måste undvika att bryta kvorumet. Mer information finns i Ange en servernätverksadress (databasspegling).
Replikering Replikeringsanslutningar till SQL Server använder de vanliga vanliga databasmotorportarna ( TCP-port 1433 för standardinstansen etc.)
Webbsynkronisering och FTP / UNC-åtkomst för replikerings ögonblicksbild kräver att ytterligare portar öppnas i brandväggen. För att överföra initial data och schema från en plats till en annan kan replikering använda FTP (TCP-port 21) eller synkronisera via HTTP (TCP-port 80) eller fildelning. Fildelning använder UDP-port 137 och 138 och TCP-port 139 om den använder NetBIOS. Fildelning använder TCP-port 445. 		För synkronisering via HTTP använder replikering IIS-slutpunkten (portar för vilka är konfigurerbara men är port 80 som standard), men IIS-processen ansluts till SQL Server för backend via standardportar (1433 för standardinstansen.
Under webbsynkronisering med FTP sker FTP-överföringen mellan IIS och SQL Server-utgivaren, inte mellan abonnenten och IIS.
Transact-SQL-felsökare TCP-port 135
Se särskilda överväganden för port 135
IPsec-undantaget kan också krävas. 		Om du använder Visual Studio i Visual Studio värddator måste du också lägga till Devenv.exe i undantagslistan och öppna TCP-port 135.
Om du använder Management Studio på Management Studio-värddatorn måste du också lägga till ssms.exe i undantagslistan och öppna TCP-port 135. Mer information finns i Konfigurera brandväggsregler innan du kör TSQL-felsökaren.

För stegvisa instruktioner för att konfigurera Windows-brandväggen för databasmotorn, se Konfigurera en Windows-brandvägg för databasmotoråtkomst.

Dynamiska portar

Som standard kallas instanser ( inklusive SQL Server Express) använder dynamiska portar. Det betyder att varje gång databasmotorn startar identifierar den en tillgänglig port och använder det portnumret. Om den angivna instansen är den enda instansen av den installerade databasmotorn kommer den troligen att använda TCP-port 1433. Om andra instanser av databasmotorn är installerade kommer den förmodligen att använda en annan TCP-port. Eftersom den valda porten kan ändras varje gång databasmotorn startas är det svårt att konfigurera brandväggen så att den får åtkomst till rätt portnummer. Om en brandvägg används rekommenderar vi därför att konfigurera databasmotorn så att den använder samma portnummer varje gång. Detta kallas en fast port eller en statisk port. Mer information finns i Konfigurera en server för att lyssna på en specifik TCP-port (SQL Server Configuration Manager).

Ett alternativ till att konfigurera en namngiven instans för att lyssna på en fast port är att skapa ett undantag i brandväggen. för ett SQL Server-program som sqlservr.exe (för databasmotorn). Detta kan vara bekvämt, men portnumret visas inte i kolumnen Lokal port på sidan Inkommande regler när du använder Windows Firewall med MMC-snapin-modul för avancerad säkerhet. Detta kan göra det svårare att granska vilka portar som är öppna. En annan övervägning är att ett servicepack eller en kumulativ uppdatering kan ändra sökvägen till SQL Server-körningen, vilket kommer att ogiltigförklara brandväggsregeln.

Att lägga till ett programundantag i brandväggen med Windows Defender Firewall med avancerad säkerhet

  1. Skriv wf.msc från startmenyn. Tryck på Enter eller välj sökresultatet wf.msc för att öppna Windows Defender-brandväggen med avancerad säkerhet.

  2. I den vänstra rutan väljer du Inkommande regler.

  3. I den högra rutan under Åtgärder väljer du Ny regel …. Guiden Ny inkommande regel öppnas.

  4. Välj Regel på Regeltyp. Välj Nästa.

  5. På programmet väljer du den här sökvägen. Välj Bläddra för att hitta din förekomst av SQL Server. Programmet heter sqlservr.exe. Den finns normalt på:

    C:\Program Files\Microsoft SQL Server\MSSQL15.<InstanceName>\MSSQL\Binn\sqlservr.exe

    Välj Nästa.

  6. På Åtgärd, välj Tillåt anslutning. Välj Nästa.

  7. I profilen ska du inkludera alla tre profilerna. Välj Nästa.

  8. I namnet skriver du ett namn på regeln. Välj Slutför.

Mer information om slutpunkter finns i Konfigurera databasmotorn så att den lyssnar på flera TCP-portar och katalogvisningar för slutpunkter (Transact-SQL).

Portar som används av analystjänster

Som standard är de typiska portarna som används av SQL Server Analysis Services och tillhörande tjänster: TCP 2382, 2383, 80, 443. Tabellen nedan förklarar dessa portar mer detaljerat.

I följande tabell listas portarna som ofta används av Analysis Services.

Feature Port
Analystjänster TCP-port 2383 för standardinstansen Standardporten för standardinstansen för Analysis Services.
SQL Server-webbläsartjänst TCP-port 2382 behövs bara för en analystjänst med namnet instans Klientanslutningsförfrågningar för en namngiven instans av analystjänster som inte anger ett portnummer riktas till port 2382, den port som SQL Server Browser lyssnar på. SQL Server Browser omdirigerar sedan begäran till den port som den namngivna instansen använder.
Analystjänster konfigurerade för användning via IIS / HTTP
(PivotTable®-tjänsten använder HTTP eller HTTPS) 		TCP-port 80 Används för en HTTP-anslutning via en URL.
Analystjänster konfigurerade för användning via IIS / HTTPS
(PivotTable®-tjänsten använder HTTP eller HTTPS) 		TCP-port 443 Används för en HTTPS-anslutning via en URL. HTTPS är en HTTP-anslutning som använder TLS.

Om användare får åtkomst till analystjänster via IIS och Internet måste du öppna porten som IIS lyssnar på och ange den porten i klientanslutningssträngen. I det här fallet behöver inga portar vara öppna för direkt åtkomst till Analysis Services. Standardporten 2389 och port 2382 bör begränsas tillsammans med alla andra portar som inte krävs.

För stegvisa instruktioner för att konfigurera Windows-brandväggen för analystjänster, se Konfigurera Windows-brandväggen så att den tillåter Åtkomst till analystjänster.

Portar som används av rapporteringstjänster

Som standard är de vanliga portarna som används av SQL Server Reporting SErices och tillhörande tjänster: TCP 80, 443. Tabellen nedan förklarar dessa portar mer detaljerat.

I följande tabell listas portarna som ofta används av Reporting Services.

Funktion Port
Reporting Services Web Services TCP-port 80 Används för en HTTP-anslutning till Reporting Services via en URL. Vi rekommenderar att du inte använder den förkonfigurerade regeln World Wide Web Services (HTTP). Mer information finns i avsnittet Interaktion med andra brandväggsregler nedan.
Rapporteringstjänster konfigurerade för användning via HTTPS TCP-port 443 Används för en HTTPS-anslutning via en URL. HTTPS är en HTTP-anslutning som använder TLS. Vi rekommenderar att du inte använder den förkonfigurerade regeln Secure World Wide Web Services (HTTPS). För mer information, se avsnittet Interaktion med andra brandväggsregler nedan.

När Rapporteringstjänster ansluter till en instans av databasmotorn eller analystjänsterna, du måste också öppna lämpliga portar för dessa tjänster. För steg-för-steg-instruktioner för att konfigurera Windows-brandväggen för rapporteringstjänster, konfigurera en brandvägg för rapportserveråtkomst.

Portar som används av integrationstjänster

I följande tabell listas portarna som används av tjänsten Integration Services.

Feature Port
Microsofts fjärrprocedursamtal (MS RPC)
Används av Integration Services runtime. 		TCP-port 135
Se speciella överväganden för Port 135 		Integration Services-tjänsten använder DCOM på port 135. Service Control Manager använder port 135 för att utföra uppgifter som att starta och stoppa tjänsten Integration Services och överföra kontrollförfrågningar till den löpande tjänsten. Portnumret kan inte ändras.
Den här porten måste endast vara öppen om du ansluter till en fjärrinstans av tjänsten Integration Services från Management Studio eller en anpassad applikation.

För steg-för-steg-instruktioner för konfigurering av Windows-brandväggen för integrationstjänster, se Integration Services Service (SSIS Service).

Ytterligare portar och tjänster

Följande tabell visar portar och tjänster som SQL Server kan vara beroende av.

Scenario Port
Windows Management Instrumentation
För mer information om WMI, se WMI-leverantör för konfigurationshanteringskoncept 		WMI körs som en del av en delad tjänstvärd med portar tilldelade via DCOM.WMI kan använda TCP-port 135.
Se speciella överväganden för port 135 		SQL Server Configuration Manager använder WMI för att lista och hantera tjänster. Vi rekommenderar att du använder den förkonfigurerade regelgruppen Windows Management Instrumentation (WMI). Mer information finns i avsnittet Interaktion med andra brandväggsregler nedan.
Microsoft Distributed Transaction Coordinator (MS DTC) TCP-port 135
Se Särskilda överväganden för Port 135 		Om din applikation använder distribuerade transaktioner kan du behöva konfigurera brandväggen så att Microsoft DTC-trafik (Distribuerad Transaktionskoordinator) kan flöda mellan separata MS DTC-instanser och mellan MS DTC och resurshanterare som SQL Server. Vi rekommenderar att du använder den förkonfigurerade regelgruppen för distribuerad transaktionskoordinator.
När en enskild delad MS DTC är konfigurerad för hela klustret i en separat resursgrupp bör du lägga till sqlservr.exe som ett undantag till brandväggen.
Bläddringsknappen i Management Studio använder UDP för att ansluta till SQL Server Browser Service. Mer information finns i SQL Server Browser Service (Database Engine and SSAS). UDP-port 1434 UDP är ett anslutningsfritt protokoll.
Brandväggen har en inställning (UnicastResponsesToMulticastBroadcastDisabled Property av INetFwProfile-gränssnittet) som kontrollerar brandväggens beteende med avseende på unicast-svar på en UDP-begäran (eller multicast). Den har två beteenden:
Om inställningen är SANT, är inga unicast-svar till en sändning tillåtna alls. Uppräkning av tjänster misslyckas.
Om inställningen är FALSE (standard) tillåts unicast-svar i 3 sekunder. Tiden kan inte konfigureras. I ett överbelastat eller högt latent nätverk eller för tungt laddade servrar kan försök att räkna upp instanser av SQL Server returnera en partiell lista som kan vilseleda användare.
IPsec-trafik UDP-port 500 och UDP-port 4500 Om domänpolicyn kräver att nätverkskommunikation ska ske via IPsec måste du också lägga till UDP-port 4500 och UDP-port 500 i undantagslistan. IPsec är ett alternativ som använder guiden Ny inkommande regel i snapin-modulen Windows-brandvägg. Mer information finns i Använda Windows-brandväggen med avancerad säkerhetsfunktion nedan.
Använda Windows-autentisering med betrodda domäner Brandväggar måste konfigureras för att tillåta autentiseringsförfrågningar. Mer information finns i Konfigurera en brandvägg för domäner och förtroende.
SQL Server och Windows Clustering Clustering kräver ytterligare portar som inte är direkt relaterade till SQL Server. Mer information finns i Aktivera ett nätverk för klusteranvändning.
URL-namnområden reserverade i HTTP Server API (HTTP.SYS) Förmodligen TCP-port 80, men kan konfigureras till andra portar. För allmän information, se Konfigurera HTTP och HTTPS. För SQL Server-specifik information om att reservera en HTTP.SYS-slutpunkt med HttpCfg.exe, se Om URL-reservationer och registrering (SSRS Configuration Manager).

Särskilda överväganden för Port 135

När du använder RPC med TCP / IP eller med UDP / IP som transport, tilldelas inkommande hamnar ofta dynamiskt till systemtjänster efter behov; TCP / IP- och UDP / IP-portar som är större än port 1024 används. Dessa kallas ofta informellt som ”slumpmässiga RPC-portar”. I dessa fall förlitar sig RPC-klienter på RPC-slutpunktsmapparen för att berätta vilka dynamiska portar som tilldelats servern. För vissa RPC-baserade tjänster kan du konfigurera en specifik port istället för att låta RPC tilldela en dynamiskt. Du kan också begränsa utbudet av portar som RPC dynamiskt tilldelar till ett litet intervall, oavsett tjänst. Eftersom port 135 används för många tjänster attackeras den ofta av skadliga användare. När du öppnar port 135, överväga att begränsa omfattningen av brandväggsregeln.

Mer information om port 135 finns i följande referenser:

  • Serviceöversikt och nätverksportkrav för Windows Server-systemet
  • Felsökning av RPC Endpoint Mapper-fel med Windows Server 2003 supportverktyg från produkt-CD: n
  • RPC (Remote procedure call)
  • Så här konfigurerar du RPC-dynamisk portallokering för att arbeta med brandväggar

Interaktion med andra brandväggsregler

Windows-brandväggen använder regler och regelgrupper för att fastställa sin konfiguration. Varje regel eller regelgrupp är vanligtvis associerad med ett visst program eller en viss tjänst, och det programmet eller tjänsten kan ändra eller ta bort den regeln utan din vetskap. Till exempel är regelgrupperna World Wide Web Services (HTTP) och World Wide Web Services (HTTPS) associerade med IIS.Om du aktiverar dessa regler öppnas portarna 80 och 443, och SQL Server-funktioner som är beroende av portarna 80 och 443 fungerar om dessa regler är aktiverade. Administratörer som konfigurerar IIS kan dock ändra eller inaktivera dessa regler. Om du använder port 80 eller port 443 för SQL Server, bör du skapa din egen regel eller regelgrupp som bibehåller önskad portkonfiguration oberoende av de andra IIS-reglerna.

Windows-brandväggen med avancerad säkerhet MMC-snapin-modulen tillåter trafik som matchar en tillämplig tillåtningsregel. Så om det finns två regler som båda gäller port 80 (med olika parametrar), är trafik som matchar någon av reglerna tillåten. Så om en regel tillåter trafik över port 80 från lokalt undernät och en regel tillåter trafik från vilken adress som helst, är nettoeffekten att all trafik till port 80 är tillåten oavsett källa. För att effektivt hantera åtkomst till SQL Server bör administratörer regelbundet granska alla brandväggsregler som är aktiverade på servern.

Översikt över brandväggsprofiler

Firewall-profiler används av operativsystemen för att identifiera och komma ihåg vart och ett av de nätverk som de ansluter till med avseende på anslutning, anslutningar och kategori.

Det finns tre nätverksplaceringstyper i Windows-brandväggen med avancerad säkerhet:

  • Domän: Windows kan verifiera åtkomst till domänkontrollanten för den domän som datorn är ansluten till.
  • Allmänt: Förutom domännätverk kategoriseras alla nätverk initialt som offentliga. Nätverk som representerar direkta anslutningar till Internet eller finns på offentliga platser, såsom flygplatser och kaféer, bör lämnas offentliga.
  • Privat: Ett nätverk som en användare eller applikation identifierar som privat. Endast betrodda nätverk bör identifieras som privata nätverk. Användare vill sannolikt identifiera hem- eller småföretagens nätverk som privata.

Administratören kan skapa en profil för varje nätverksplatstyp, där varje profil innehåller olika brandväggspolicyer. Endast en profil tillämpas när som helst. Profilordning tillämpas enligt följande:

  1. Om alla gränssnitt är autentiserade för domänkontrollanten för den domän som datorn är medlem i, tillämpas domänprofilen.
  2. Om alla gränssnitt antingen är autentiserade till domänkontrollanten eller är anslutna till nätverk som klassificeras som privata nätverksplatser, tillämpas den privata profilen.
  3. Annars tillämpas den offentliga profilen.

Använd Windows Firewall med Advanced Security MMC-snapin-modulen för att visa och konfigurera alla brandväggsprofiler. Windows-brandväggsposten i Kontrollpanelen konfigurerar endast den aktuella profilen.

Ytterligare brandväggsinställningar med Windows-brandväggsposten i Kontrollpanelen

Undantag som du lägger till i brandväggen kan begränsa öppningen av porten till inkommande anslutningar från specifika datorer eller det lokala undernätet. Denna begränsning av portöppningens omfattning kan minska hur mycket din dator exponeras för skadliga användare och rekommenderas.

Obs

Använd Windows Firewall-objektet i Control Panelen konfigurerar endast den aktuella brandväggsprofilen.

Ändra omfattningen av ett brandväggsundantag med hjälp av Windows-brandväggsposten i Kontrollpanelen

  1. I Windows-brandväggspost i Kontrollpanelen, välj ett program eller en port på fliken Undantag och klicka sedan på Egenskaper eller Redigera.

  2. I dialogrutan Redigera ett program eller Redigera en port, klicka på Ändra omfång.

  3. Välj något av följande alternativ:

    • Alla datorer (inklusive de på Internet): Rekommenderas inte . Detta gör att alla datorer som kan adressera din dator kan ansluta till det angivna programmet eller porten. Den här inställningen kan vara nödvändig för att information ska kunna presenteras för anonyma användare på internet, men ökar din exponering för skadliga användare. Din exponering kan ökas ytterligare om du aktiverar den här inställningen och också tillåter nätverksadressöversättning (NAT) -korsning, till exempel alternativet Tillåt kantkorsning.

    • Endast mitt nätverk (subnät) : Det här är en säkrare inställning än någon dator. Endast datorer i det lokala undernätet i ditt nätverk kan ansluta till programmet eller porten.

    • Anpassad lista: Endast datorer som har IP-adresserna listade kan ansluta. Detta kan vara en säkrare inställning än mitt nätverk (subnät), men klientdatorer som använder DHCP kan ibland ändra sin IP-adress. Då kan den avsedda datorn inte ansluta. En annan dator, som du inte hade tänkt att auktorisera, kan acceptera den listade IP-adressen och sedan kunna ansluta. Alternativet Anpassad lista kan vara lämpligt för att lista andra servrar som är konfigurerade för att använda en fast IP-adress; dock kan IP-adresser förfalskas av en inkräktare. Begränsande brandväggsregler är bara lika starka som din nätverksinfrastruktur.

Använda Windows-brandväggen med avancerad säkerhetsfunktion

Ytterligare avancerade brandväggsinställningar kan konfigureras med hjälp av Windows-brandvägg med MMC-snapin-modul för avancerad säkerhet. Snap-in inkluderar en regelguide och exponerar ytterligare inställningar som inte är tillgängliga i Windows-brandväggsposten i Kontrollpanelen. Dessa inställningar inkluderar följande:

  • Krypteringsinställningar
  • Tjänstebegränsningar
  • Begränsa anslutningar för datorer med namn
  • Begränsa anslutningar till specifika användare eller profiler
  • Edge traversal så att trafik kringgår NAT-routers (NAT) routrar
  • Konfigurera utgående regler
  • Konfigurera säkerhetsregler
  • Kräva IPsec för inkommande anslutningar

För att skapa en ny brandväggsregel med guiden Ny regel

  1. Välj Start på Start-menyn, skriv WF.msc och välj sedan OK.
  2. I Windows-brandväggen med avancerad säkerhet högerklickar du på Inkommande regler i den vänstra rutan och väljer sedan Ny regel.
  3. Fyll i den nya inkommande regeln Guiden med de inställningar du vill ha.

Felsökning av brandväggsinställningar

Följande verktyg och tekniker kan vara användbara vid felsökning av brandväggsproblem:

  • Den effektiva hamnstatusen är sammanslutningen av all rul är relaterade till hamnen. När du försöker blockera åtkomst via en port kan det vara till hjälp att granska alla regler som citerar portnumret. För att göra detta använder du Windows-brandväggen med avancerad säkerhet MMC-snapin-modul och sorterar reglerna för inkommande och utgående efter portnummer.

  • Granska de portar som är aktiva på datorn på vilken SQL Server körs. Denna granskningsprocess inkluderar verifiering av vilka TCP / IP-portar som lyssnar och även verifiering av portarnas status.

    För att verifiera vilka portar som lyssnar använder du kommandoradsverktyget netstat. Förutom att visa aktiva TCP-anslutningar visar nätstatverktyget också en mängd olika IP-statistik och information.

    För att lista vilka TCP / IP-portar som lyssnar

    1. Öppna fönstret Kommandotolken.

    2. Skriv netstat -n -a vid kommandotolken.

      -n-omkopplaren instruerar netstat att numeriskt visa adressen och portnummer för aktiva TCP-anslutningar. Växeln -a instruerar netstat att visa TCP- och UDP-portarna som datorn lyssnar på.

  • PortQry-verktyget kan användas för att rapportera status för TCP / IP-portar som att lyssna, inte lyssna eller filtreras. (Med en filtrerad status kan det hända att porten lyssnar eller inte; denna status indikerar att verktyget inte fick svar från porten.) PortQry-verktyget är tillgängligt för nedladdning från Microsoft Download Center.

Se även

Serviceöversikt och nätverksportkrav för Windows Server-systemet
Så här: Konfigurera brandväggsinställningar (Azure SQL Database)

admin
0

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Arkiv

Senaste inläggen