Configuración del firewall de Windows para el acceso al motor de base de datos

Se aplica a: SQL Server

En este artículo se describe cómo configurar el Firewall de Windows para el acceso al motor de base de datos en SQL Server mediante el Administrador de configuración de SQL Server. Los sistemas de firewall ayudan a evitar el acceso no autorizado a los recursos de los equipos. Para obtener acceso a una instancia de Motor de base de datos de SQL Server a través de un firewall, debe configurar el firewall en el equipo en el que se ejecuta SQL Server para que permita el acceso.

Para obtener más información sobre la configuración predeterminada de Firewall de Windows y una descripción de los puertos TCP que afectan al Motor de base de datos, a Analysis Services, a Reporting Servicesy a Integration Services, vea Configurar Firewall de Windows para permitir el acceso a SQL Server. Existen varios sistemas de firewall. Para obtener información específica, vea la documentación del firewall.

Los pasos principales para permitir el acceso son:

  1. Configure el Motor de base de datos para que use un puerto TCP/IP específico. La instancia predeterminada de Motor de base de datos usa el puerto 1433, pero se puede cambiar. El puerto que usa Motor de base de datos aparece en el registro de errores de SQL Server . Las instancias de SQL Server Express, SQL Server Compact y las instancias con nombre de Motor de base de datos usan puertos dinámicos. Para configurar estas instancias de modo que usen un puerto específico, vea Configurar un servidor para que escuche en un puerto TCP específico (Administrador de configuración de SQL Server).

  2. Configure el firewall para que permita el acceso a ese puerto a los usuarios o equipos autorizados.

El servicio Explorador de SQL Server permite a los usuarios conectarse a instancias de Motor de base de datos que no están escuchando en el puerto 1433, sin conocer el número de puerto. Para utilizar el Explorador de SQL Server debe abrir el puerto UDP 1434. Para promover el entorno más seguro, deje detenido el servicio Explorador de SQL Server y configure los clientes para que se conecten usando el número de puerto.

De forma predeterminada, Microsoft Windows habilita el Firewall de Windows, que cierra el puerto 1433 para impedir que los equipos de Internet se conecten a una instancia predeterminada de SQL Server en su equipo. No se puede realizar conexiones con TCP/IP a la instancia predeterminada, a menos que se abra el puerto 1433. Los pasos básicos para configurar el Firewall de Windows se proporcionan en los procedimientos siguientes. Para obtener más información, consulte la documentación de Windows.

Como alternativa a la configuración de SQL Server para escuchar en un puerto fijo y abrir el puerto, puede poner el ejecutable de SQL Server (Sqlservr.exe) en la lista de excepciones a los programas bloqueados. Use este método cuando desee seguir utilizando puertos dinámicos. De este modo, solo se puede tener acceso a una instancia de SQL Server .

Seguridad

El hecho de abrir puertos en el firewall puede dejar el servidor expuesto a ataques malintencionados. Asegúrese de que conoce los sistemas de firewall antes de abrir puertos. Para obtener más información, vea Security Considerations for a SQL Server Installation.

Uso de Firewall de Windows con seguridad avanzada

El siguiente procedimiento configura el Firewall de Windows mediante el complemento Microsoft Management Console (MMC) de Firewall de Windows con seguridad avanzada. El Firewall de Windows con seguridad avanzada solo configura el perfil actual. Para obtener más información sobre Firewall de Windows con seguridad avanzada, vea Configurar Firewall de Windows para permitir el acceso a SQL Server.

Abrir un puerto en el Firewall de Windows para el acceso TCP

  1. En el menú Inicio, elija Ejecutar, escriba WF.msc y seleccione Aceptar.

  2. En la aplicación Firewall de Windows con seguridad avanzada del panel izquierdo, haga clic con el botón derecho en Reglas de entrada y, luego, seleccione Nueva regla en el panel de acciones.

  3. En el cuadro de diálogo Tipo de regla, seleccione Puerto y, luego, Siguiente.

  4. En el cuadro de diálogo Protocolo y puertos , seleccione TCP. Seleccione Puertos locales específicos y escriba el número de puerto de la instancia de Motor de base de datos, por ejemplo, 1433 para la instancia predeterminada. Seleccione Siguiente.

  5. En el cuadro de diálogo Acción, seleccione Permitir la conexión y, luego, elija Siguiente.

  6. En el cuadro de diálogo Perfil, seleccione los perfiles que describan el entorno de conexión del equipo cuando desee conectarse a Motor de base de datos y, luego, elija Siguiente.

  7. En el cuadro de diálogo Nombre, escriba el nombre y la descripción de esta regla y, luego, seleccione Finalizar.

Abrir el acceso a SQL Server cuando se usen puertos dinámicos

  1. En el menú Inicio, elija Ejecutar, escriba WF.msc y seleccione Aceptar.

  2. En la opción Firewall de Windows con seguridad avanzada del panel izquierdo, haga clic con el botón derecho en Reglas de entrada y, luego, seleccione Nueva regla en el panel de acciones.

  3. En el cuadro de diálogo Tipo de regla, seleccione Programa y, luego, elija Siguiente.

  4. En el cuadro de diálogo Programa , seleccione Esta ruta de acceso del programa. Seleccione Examinar y vaya a la instancia de SQL Server a la que quiere acceder a través del firewall y, luego, seleccione Abrir. De forma predeterminada, SQL Server está en C:\Program Files\Microsoft SQL Server\MSSQLXX.MSSQLSERVER\MSSQL\Binn\Sqlservr.exe. Seleccione Siguiente. La versión MSSQLXX es específica de la versión de SQL Server.

  5. En el cuadro de diálogo Acción, seleccione Permitir la conexión y, luego, elija Siguiente.

  6. En el cuadro de diálogo Perfil, seleccione los perfiles que describan el entorno de conexión del equipo cuando desee conectarse a Motor de base de datos y, luego, elija Siguiente.

  7. En el cuadro de diálogo Nombre, escriba el nombre y la descripción de esta regla y, luego, seleccione Finalizar.