Configuración de firewall para SQL Server Machine Learning Services

Se aplica a: SQL Server 2016 (13.x) y versiones posteriores

En este artículo se enumeran las consideraciones sobre la configuración del firewall que el administrador o el arquitecto deben tener en cuenta al usar SQL Server Machine Learning Services.

Reglas de firewall predeterminadas

De forma predeterminada, el programa de instalación de SQL Server deshabilita las conexiones salientes mediante la creación de reglas de firewall.

En SQL Server 2016 y 2017, estas reglas se basan en cuentas de usuario locales, en las que el programa de instalación creó una regla de salida para SQLRUserGroup que denegaba a sus miembros el acceso a la red (cada cuenta profesional aparecía como un principio local sujeto a la regla). Para obtener más información sobre SQLRUserGroup, vea Información general sobre seguridad para el marco de extensibilidad en SQL Server Machine Learning Services.

En SQL Server 2019, como parte del cambio a contenedores de AppContainer, hay nuevas reglas de firewall que se basan en los SID de AppContainer: una para cada uno de los 20 contenedores AppContainer creados por el programa de instalación de SQL Server. Las convenciones de nomenclatura para el nombre de la regla de firewall se corresponden a Block network access for AppContainer-00 in SQL Server instance MSSQLSERVER (Bloquear el acceso a la red para AppContainer-00 en la instancia MSSQLSERVER de SQL Server), en el que 00 es el número del contenedor AppContainer (00-20 de forma predeterminada) y MSSQLSERVER es el nombre de la instancia de SQL Server.

Nota:

Si se requieren llamadas de red, puede deshabilitar las reglas de salida en Firewall de Windows.

Restricción del acceso a la red

En una instalación predeterminada, se utiliza una regla del Firewall de Windows para bloquear el acceso a toda la red saliente desde procesos de runtime externos. Hay que crear reglas de firewall para impedir que los procesos de runtime externos descarguen paquetes o realicen otras llamadas de red que pudieran ser malintencionadas.

Si usa otro programa de firewall, también puede crear reglas para bloquear la conexión de red saliente para el runtime externo estableciendo reglas para las cuentas de usuario locales o para el grupo representado por el grupo de cuentas de usuario.

Se recomienda encarecidamente que active Firewall de Windows (u otro firewall de su elección) para impedir el acceso a la red sin restricciones mediante el runtime de R o Python.

Pasos siguientes

Configurar Firewall de Windows para conexiones enlazadas