Configure the Windows Firewall to Allow SQL Server Access

Os sistemas de Firewall ajudam a impedir o acesso não autorizado aos recursos do computador. Se um firewall estiver ativado mas não corretamente configurado, as tentativas de conexão ao SQL Server poderão ser bloqueadas.

Para acessar uma instância do SQL Server por meio de um firewall, é necessário configurar o firewall no computador que está executando o SQL Server. O firewall é um componente do Microsoft Windows. Você também pode instalar um firewall de outra empresa. Este tópico discute como configurar o firewall do Windows, mas os princípios básicos se aplicam a outros programas de firewall.

Observação

Este tópico fornece uma visão geral da configuração do firewall e resume as informações de interesse para um administrador do SQL Server. Para obter mais informações sobre o firewall e informações sobre firewall autoritativo, consulte a documentação do firewall, como Windows Firewall with Advanced Security and IPsec.

Os usuários que já estão familiarizados com o item Firewall do Windows no Painel de Controle e com o snap-in Firewall do Windows com Segurança Avançada do MMC (Console de Gerenciamento Microsoft) e sabem as configurações de firewall que desejam definir podem passar diretamente para os tópicos desta lista:

Informações básicas sobre o firewall

Os firewalls inspecionam pacotes recebidos e os comparam a um conjunto de regras. Se as regras autorizarem o pacote, o firewall o transmitirá ao protocolo TCP/IP para processamento adicional. Se as regras não autorizarem o pacote, o firewall o descartará e, se o log estiver habilitado, criará uma entrada em seu arquivo de log.

A lista de tráfego permitido é preenchida de uma das seguintes maneiras:

  • Quando o computador que tem o firewall habilitado inicia a comunicação, o firewall cria uma entrada na lista de forma que a resposta seja permitida. A resposta recebida é considerada tráfego solicitado, e você não precisa configurá-la.

  • Um administrador configura as exceções do firewall. Isto permite acesso a determinados programas executados em seu computador ou acesso a portas de conexão especificadas do computador. Nesse caso, o computador aceita tráfego de entrada não solicitado quando funciona como servidor, ouvinte ou item par. Esse é o tipo de configuração que deve ser concluído para se conectar a SQL Server.

Escolher a estratégia de firewall é uma tarefa mais complexa do que simplesmente decidir se uma dada porta deve ficar aberta ou fechada. Ao elaborar uma estratégia de firewall para sua empresa, é importante que você considere todas as regras e opções de configuração disponíveis. Este tópico não examina todas as possíveis opções de firewall. É recomendável analisar os seguintes documentos:

Guia de Introdução ao Firewall do Windows com Segurança Avançada

Windows Firewall with Advanced Security Design Guide

Introduction to Server and Domain Isolation

Configurações padrão do firewall

A primeira etapa do planejamento da configuração do firewall é determinar o status atual do firewall do sistema operacional. Se o sistema operacional foi atualizado de uma versão anterior, as configurações de firewall anteriores podem ter sido preservadas. Além disso, as configurações de firewall podem ter sido alteradas por outro administrador ou por uma Política de Grupo do seu domínio.

Observação

A ativação do firewall afetará outros programas que acessam este computador, como o compartilhamento de arquivos e impressoras, e conexões de área de trabalho remota. Os administradores devem considerar todos os aplicativos que estão em execução no computador antes de ajustar as configurações do firewall.

Programas para configurar o firewall

Há três maneiras de configurar o Firewall do Windows.

  • Item Firewall do Windows no Painel de Controle

    O item Firewall do Windows pode ser aberto do Painel de Controle.

    Importante

    Alterações feitas no item Firewall do Windows do Painel de Controle afetam somente o perfil atual. Dispositivos móveis, como laptops, não devem usar o item Firewall do Windows do Painel de Controle, uma vez que o perfil pode mudar quando conectado em uma configuração diferente. Assim, o perfil anteriormente configurado não terá efeito. Para obter mais informações sobre perfis, consulte Guia de introdução ao Firewall do Windows com Segurança Avançada.

    O item Firewall do Windows no Painel de Controle permite configurar opções básicas. Entre elas estão as seguintes:

    • Ativar ou desativar o item Firewall do Windows no Painel de Controle

    • Habilitar e desabilitar regras

    • Conceder exceções para portas e programas

    • Definir algumas restrições de escopo

    O item Firewall do Windows no Painel de Controle é mais apropriado para usuários que não têm experiência em configuração de firewall e que estão configurando opções básicas do firewall para computadores que não são móveis. Você também pode abrir o item firewall do Windows em Painel de Controle do run comando usando o seguinte procedimento:

    Para abrir o item Firewall do Windows

    1. No menu Iniciar , clique em Executare digite firewall.cpl.

    2. Clique em OK.

  • Console de Gerenciamento Microsoft (MMC)

    O snap-in do MMC Firewall do Windows com Segurança Avançada permite definir configurações de firewall mais avançadas. Este snap-in apresenta a maioria das opções de firewall de um jeito fácil de usar, além de todos os perfis de firewall. Para obter mais informações, veja Usando o snap-in Firewall do Windows com Segurança Avançada , mais adiante neste tópico.

  • netsh

    A ferramenta netsh.exe pode ser usada por um administrador para configurar e monitorar computadores baseados no Windows em um prompt de comando ou usando um arquivo em lotes**.** Usando a ferramenta netsh , você pode direcionar os comandos de contexto inseridos para o auxiliar apropriado e, em seguida, executar o comando. Um auxiliar é um arquivo .dll (Dynamic Link Library) que estende a funcionalidade da ferramenta netsh fornecendo configuração, monitoramento e suporte para um ou mais serviços, utilitários ou protocolos. Todos os sistemas operacionais que dão suporte ao SQL Server têm um auxiliar de firewall. Windows Server 2008 também possui um auxiliar avançado de firewall chamado advfirewall. Os detalhes sobre como usar o netsh não são abordados neste tópico. No entanto, muitas das opções de configuração descritas podem ser configuradas usando o netsh. Por exemplo, execute o seguinte script em um prompt de comando para abrir a porta TCP 1433:

    netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT  
    

    Um exemplo semelhante usando o auxiliar do Firewall do Windows para Segurança Avançada:

    netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN  
    

    Para obter mais informações sobre o netsh, consulte os seguintes links:

Portas usadas pelo SQL Server

As tabelas a seguir podem ajudar a identificar as portas que são usadas pelo SQL Server.

Portas usadas pelo Mecanismo de Banco de Dados

A tabela a seguir lista as portas que são mais usadas pelo Mecanismo de Banco de Dados.

Cenário Porta Comentários
SQL Server instância padrão em execução no TCP Porta TCP 1433 Esta é a porta mais comum permitida pelo firewall. Ela se aplica a conexões de rotina com a instalação padrão do Mecanismo de Banco de Dadosou com uma instância nomeada, que é a única em execução no computador. (As instâncias nomeadas têm considerações especiais. Consulte Portas Dinâmicas mais adiante neste tópico.)
SQL Server instâncias nomeadas na configuração padrão A porta TCP é uma porta dinâmica determinada no momento em que o Mecanismo de Banco de Dados é iniciado. Consulte a discussão abaixo, na seção Portas dinâmicas. A porta UDP 1434 pode ser necessária para o Serviço de Navegador SQL Server quando você estiver usando instâncias nomeadas.
SQL Server instâncias nomeadas quando elas são configuradas para usar uma porta fixa O número de porta configurado pelo administrador. Consulte a discussão abaixo, na seção Portas dinâmicas.
Conexão de Administrador Dedicada Porta TCP 1434 para a instância padrão. Outras portas são usadas para instâncias nomeadas. Verifique o número da porta no log de erros. Por padrão, as conexões remotas com a Conexão de Administrador Dedicada (DAC) não são habilitadas. Para habilitar a DAC remota, use a faceta Configuração da Área da Superfície. Para obter mais informações, consulte Surface Area Configuration.
SQL Server Serviço Navegador Porta UDP 1434 O serviço SQL Server Browser escuta conexões de entrada com uma instância nomeada e fornece ao cliente o número da porta TCP que corresponde a essa instância nomeada. Normalmente o serviço Navegador do SQL Server é iniciado sempre que são usadas instâncias nomeadas do Mecanismo de Banco de Dados . O serviço navegador SQL Server não precisará ser iniciado se o cliente estiver configurado para se conectar à porta específica da instância nomeada.
SQL Server instância em execução em um ponto de extremidade HTTP. Pode ser especificada quando um ponto de extremidade HTTP é criado. O padrão é a porta TCP 80 para tráfego CLEAR_PORT e 443 para tráfego SSL_PORT. Usada para uma conexão HTTP por meio de uma URL.
SQL Server instância padrão em execução em um ponto de extremidade HTTPS. Porta TCP 443 Usada para uma conexão HTTPS por meio de uma URL. HTTPS é uma conexão HTTP que usa o protocolo SSL.
Agente de Serviço Porta TCP 4022. Para verificar a porta usada, execute a seguinte consulta:

SELECT name, protocol_desc, port, state_desc

FROM sys.tcp_endpoints

WHERE type_desc = 'SERVICE_BROKER'
Não há uma porta padrão para o SQL ServerService Broker, mas essa é a configuração convencional usada nos exemplos dos Manuais Online.
Espelhamento de banco de dados Porta escolhida pelo administrador. Para determinar a porta, execute a seguinte consulta:

SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints

WHERE type_desc = 'DATABASE_MIRRORING'
Não existe uma porta padrão para o espelhamento de banco de dados, mas os exemplos dos Manuais Online usam a porta TCP 7022. É muito importante evitar interromper um ponto de extremidade de espelhamento em uso, principalmente no modo de alta segurança com failover automático. Sua configuração de firewall deve evitar dividir o quorum. Para obter mais informações, confira Especificar um endereço de rede do servidor (espelhamento de banco de dados).
Replicação As conexões de replicação com SQL Server usam as portas típicas do Mecanismo de Banco de Dados regulares (porta TCP 1433 para a instância padrão etc.)

A sincronização da Web e o acesso FTP/UNC para instantâneo de replicação exigem a abertura de portas adicionais no firewall. Para transferir o esquema e os dados iniciais de um local para outro, a replicação pode usar o FTP (porta TCP 21) ou sincronizar via HTTP (porta TCP 80) ou Compartilhamento de Arquivos. O compartilhamento de arquivos usa a porta UDP 137 e 138, e a porta TCP 139 caso esteja usando o NetBIOS. O compartilhamento de arquivos usa a porta TCP 445.
Para sincronização por HTTP, a replicação usa o ponto de extremidade do IIS (portas para as quais são configuráveis, mas é a porta 80 por padrão), mas o processo do IIS se conecta ao back-end SQL Server por meio das portas padrão (1433 para a instância padrão.

Durante a sincronização da Web usando FTP, a transferência por FTP ocorre entre o IIS e o publicador do SQL Server , e não entre o assinante e o IIS.
Depurador do Transact-SQL Porta TCP 135

Consulte Considerações especiais sobre a porta 135

A exceção IPsec também pode ser necessária.
Se estiver usando Visual Studio, no computador host Visual Studio , você também deverá adicionar Devenv.exe à lista Exceções e abrir a porta TCP 135.

Se estiver usando o Management Studio, no computador host Management Studio , você também deverá adicionar ssms.exe à lista Exceções e abrir a porta TCP 135. Para obter mais informações, consulte Configurar o depurador Transact-SQL.

Para obter instruções passo a passo para configurar o Firewall do Windows para o Mecanismo de Banco de Dados, consulte Configurar um Firewall do Windows para Acesso ao Mecanismo de Banco de Dados.

Portas dinâmicas

Por padrão, as instâncias nomeadas (incluindo SQL Server Express) usam portas dinâmicas. Isso significa que sempre que o Mecanismo de Banco de Dados é iniciado, ele identifica uma porta disponível e usa esse número de porta. Se a instância nomeada for a única instância do Mecanismo de Banco de Dados instalada, provavelmente ele usará a porta TCP 1433. Se outras instâncias do Mecanismo de Banco de Dados estiverem instaladas, provavelmente ele usará outra porta TCP. Como a porta selecionada pode mudar sempre que o Mecanismo de Banco de Dados é iniciado, é difícil configurar o firewall para habilitar o acesso ao número de porta correto. Portanto, se um firewall for usado, recomendamos reconfigurar o Mecanismo de Banco de Dados para usar o mesmo número de porta todas as vezes. Isso é chamado de porta fixa ou porta estática. Para obter mais informações, veja Configurar um servidor para escutar em uma porta TCP específica (SQL Server Configuration Manager).

Uma alternativa à configuração de uma instância nomeada para escutar em uma porta fixa é criar uma exceção no firewall para um programa do SQL Server como o sqlservr.exe (para o Mecanismo de Banco de Dados). Isso pode ser conveniente, mas o número da porta não será exibido na coluna Porta Local da página Regras de Entrada quando você usar o snap-in Firewall do Windows com Segurança Avançada do MMC. Isso pode tornar mais difícil auditar quais portas estão abertas. Outra consideração é que um service pack ou atualização cumulativa pode alterar o caminho para o executável SQL Server que invalidará a regra de firewall.

Observação

O procedimento a seguir usa o item Firewall do Windows no Painel de Controle. O snap-in Firewall do Windows com Segurança Avançada do MMC pode configurar uma regra mais complexa. Isso inclui configurar uma exceção de serviço, que pode ser útil para proporcionar defesa mais vigorosa. Veja abaixo Usando o snap-in Firewall do Windows com Segurança Avançada .

Para adicionar uma exceção de programa ao firewall usando o item Firewall do Windows no Painel de Controle
  1. Na guia Exceções do item Firewall do Windows , clique em Adicionar um programa.

  2. Navegue até o local da instância do SQL Server que você deseja permitir por meio do firewall, por exemplo, C:\Arquivos de Programas\Microsoft SQL Server\MSSQL12.<>instance_name\MSSQL\Binn, selecione sqlservr.exee clique em Abrir.

  3. Clique em OK.

Para obter mais informações sobre pontos de extremidade, veja Configurar o Mecanismo de Banco de Dados para escutar em várias portas TCP e Exibições de catálogo de pontos de extremidade (Transact-SQL).

Portas usadas pelo Analysis Services

A tabela a seguir lista as portas que são mais usadas pelo Serviços de análise.

Recurso Porta Comentários
Analysis Services Porta TCP 2383 para a instância padrão A porta padrão para a instância padrão do Serviços de análise.
SQL Server Serviço Navegador A porta TCP 2382 só é necessária para uma instância nomeada do Serviços de análise As solicitações de conexão do cliente para uma instância nomeada do Analysis Services que não especificam um número de porta são direcionadas para a porta 2382, a porta na qual SQL Server Browser escuta. SQL Server redireciona a solicitação à porta usada pela instância nomeada.
Serviços de análise configurado para uso por IIS/HTTP

(A Tabela Dinâmica?? O serviço usa HTTP ou HTTPS)
Porta TCP 80 Usada para uma conexão HTTP por meio de uma URL.
Serviços de análise configurado para uso por IIS/HTTPS

(A Tabela Dinâmica?? O serviço usa HTTP ou HTTPS)
Porta TCP 443 Usada para uma conexão HTTPS por meio de uma URL. HTTPS é uma conexão HTTP que usa o protocolo SSL.

Se os usuários acessarem o Analysis Services por meio do IIS e da Internet, você deverá abrir a porta na qual o IIS está escutando e especificar essa porta na cadeia de conexão do cliente. Nesse caso, nenhuma porta deve ser aberta para acessar diretamente o Serviços de análise. A porta padrão 2389 e a porta 2382 devem ser limitadas juntas com todas as outras portas que não são necessárias.

Para obter instruções passo a passo para configurar o Firewall do Windows para Analysis Services, consulte Configurar o Firewall do Windows para permitir o acesso do Analysis Services.

Portas usadas pelo Reporting Services

A tabela a seguir lista as portas que são mais usadas pelo Reporting Services.

Recurso Porta Comentários
Reporting Services Serviços Web Porta TCP 80 Usada para uma conexão HTTP com o Reporting Services por meio de uma URL. Não é recomendável usar a regra pré-configurada Serviços da World Wide Web (HTTP) . Para obter mais informações, consulte a seção Interação com outras regras do firewall abaixo.
Reporting Services configurado para uso por HTTPS Porta TCP 443 Usada para uma conexão HTTPS por meio de uma URL. HTTPS é uma conexão HTTP que usa o protocolo SSL. Não é recomendável usar a regra pré-configurada Serviços Seguros da World Wide Web (HTTPS) . Para obter mais informações, consulte a seção Interação com outras regras do firewall abaixo.

Quando o Reporting Services se conecta a uma instância do Mecanismo de Banco de Dados ou Serviços de análise, você também deve abrir as portas apropriadas para esses serviços. Para obter instruções passo a passo para configurar o Firewall do Windows para o Reporting Services, veja Configurar um Firewall para acesso ao Servidor de Relatório.

Portas usadas pelo Integration Services

A tabela a seguir lista as portas que são usadas pelo serviço Integration Services .

Recurso Porta Comentários
Microsoft chamadas de procedimento remoto (MS RPC)

Usada pelo runtime do Integration Services .
Porta TCP 135

Consulte Considerações especiais sobre a porta 135
O serviço Integration Services usa o DCOM na porta 135. O Service Control Manager usa a porta 135 para executar tarefas como iniciar e parar o serviço Integration Services e transmitir solicitações de controle para o serviço em execução. O número da porta não pode ser alterado.

Essa porta só precisará estar aberta se você estiver se conectando a uma instância remota do serviço Integration Services do Management Studio ou a um aplicativo personalizado.

Para obter instruções passo a passo para configurar o Firewall do Windows para Integration Services, consulte Configurar um Firewall do Windows para acesso ao serviço SSIS.

Portas e serviços adicionais

A tabela a seguir lista portas e serviços dos quais o SQL Server pode depender.

Cenário Porta Comentários
Instrumentação de Gerenciamento do Windows

Para obter mais informações sobre a WMI, consulte WMI Provider for Configuration Management Concepts.
A WMI é executada como parte de um host de serviço compartilhado com portas atribuídas por DCOM. A WMI pode estar usando a porta TCP 135.

Consulte Considerações especiais sobre a porta 135
SQL Server Configuration Manager usa a WMI para listar e gerenciar serviços. É recomendável usar o grupo de regras pré-configuradas WMI (Instrumentação de Gerenciamento do Windows) . Para obter mais informações, consulte a seção Interação com outras regras do firewall abaixo.
Microsoft MS DTC (Coordenador de Transações Distribuídas) Porta TCP 135

Consulte Considerações especiais sobre a porta 135
Se o seu aplicativo usa transações distribuídas, talvez seja necessário configurar o firewall para permitir que o tráfego do Coordenador de Transações Distribuídas da Microsoft (MS DTC) flua entre instâncias separadas do MS DTC e entre o MS DTC e gerenciadores de recursos, como o SQL Server. É recomendável usar o grupo de regras pré-configuradas Coordenador de Transações Distribuídas .

Quando um único MS DTC compartilhado é configurado para o cluster inteiro em um grupo de recursos separado, você deve adicionar sqlservr.exe como uma exceção ao firewall.
O botão Procurar do Management Studio usa UDP para se conectar ao Serviço Navegador do SQL Server . Para obter mais informações, veja Serviço SQL Server Browser (Mecanismo de Banco de Dados e SSAS). Porta UDP 1434 UDP é um protocolo sem-conexão.

O firewall tem uma configuração, chamada Propriedade UnicastResponsesToMulticastBroadcastDisabled da Interface INetFwProfile , que controla seu comportamento no que diz respeito a respostas unicast para uma solicitação UDP difusão (ou multicast). Ele tem dois comportamentos:

Se a configuração for TRUE, não serão permitidas respostas unicast para uma difusão. A enumeração de serviços falhará.

Se a configuração for FALSE (padrão), serão permitidas respostas unicast durante 3 segundos. O período de tempo não é configurável. em uma rede congestionada ou de alta latência ou para servidores carregados, tenta enumerar instâncias de SQL Server pode retornar uma lista parcial, o que pode enganar os usuários.
Tráfego IPsec Portas UDP 500 e 4500 Se a política do domínio exigir que as comunicações de rede sejam feitas por meio de IPsec, você também deverá adicionar as portas UDP 4500 e 500 à lista de exceções. IPsec é uma opção que usa o Assistente para Nova Regra de Entrada no snap-in Firewall do Windows. Para obter mais informações, veja Usando o snap-in Firewall do Windows com Segurança Avançada abaixo.
Usando a Autenticação do Windows com domínios confiáveis Os firewalls devem ser configurados para permitir solicitações de autenticação. Para obter mais informações, consulte Como configurar um firewall para domínios e relações de confiança.
SQL Server e clustering do Windows O clustering requer portas adicionais que não estão diretamente relacionadas a SQL Server. Para obter mais informações, consulte Enable a network for cluster use.
Namespaces URL reservados na API de servidor HTTP (HTTP.SYS) Provavelmente a porta TCP 80, mas podem ser configurados para outras portas. Para obter informações gerais, consulte Configuring HTTP and HTTPS. Para obter informações específicas do SQL Server sobre como reservar um ponto de extremidade HTTP.SYS usando HttpCfg.exe, veja Sobre reservas e registro de URL (SSRS Configuration Manager).

Considerações especiais sobre a porta 135

Quando você usa RPC com TCP/IP ou com UDP/IP como transporte, as portas de entrada costumam ser atribuídas dinamicamente para serviços do sistema de acordo com a necessidade; as portas TCP/IP e UDP/IP maiores que a 1024 são usadas. Elas geralmente são chamadas informalmente de "portas RPC aleatórias". Nesses casos, os clientes RPC dependem do mapeador de ponto de extremidade RPC para saber quais portas dinâmicas foram atribuídas ao servidor. Para alguns serviços baseados em RPC, você pode configurar uma porta específica em vez de deixar que a RPC atribua uma dinamicamente. Você também pode diminuir o intervalo de portas que a RPC atribui dinamicamente, seja qual for o serviço. Como a porta 135 é usada para muitos serviços, ela é invadida por usuários mal-intencionados com bastante frequência. Quando abrir a porta 135, considere a possibilidade de restringir o escopo da regra do firewall.

Para obter mais informações sobre a porta 135, consulte as seguintes referências:

Interação com outras regras do firewall

O Firewall do Windows usa regras e grupos de regras para estabelecer sua configuração. Cada regra ou grupo de regras geralmente está associado a um determinado programa ou serviço, que, por sua vez, pode modificar ou excluir a regra sem que você saiba. Por exemplo, o grupo de regras Serviços da World Wide Web (HTTP) e Serviços Seguros da World Wide Web (HTTPS) está associado ao IIS. Se essas regras foram habilitadas, as portas 80 e 443 serão abertas, e os recursos do SQL Server que dependem delas funcionarão corretamente. Porém, os administradores que configuram o IIS podem modificar ou desabilitar essas regras. Portanto, se você estiver usando a porta 80 ou a porta 443 para SQL Server, deverá criar sua própria regra ou grupo de regras que mantenha a configuração de porta desejada independentemente das outras regras do IIS.

O snap-in Firewall do Windows com Segurança Avançada do MMC permite qualquer tráfego que corresponda a qualquer regra de permissão aplicável. Assim, se houver duas regras que se aplicam à porta 80 (com parâmetros diferentes), o tráfego que corresponder a uma delas será permitido. Portanto, se uma regra permitir o tráfego pela porta 80 da sub-rede local e outra regra permitir o tráfego de qualquer endereço, o resultado é que todo o tráfego para a porta 80 será permitido independentemente da origem. Para gerenciar o acesso ao SQL Servercom eficiência, os administradores devem revisar periodicamente todas as regras de firewall habilitadas no servidor.

Visão geral de perfis do firewall

Os perfis de firewall são discutidos no Guia de introdução ao Firewall do Windows com Segurança Avançada na seção Firewall de host com reconhecimento de local de rede. Para resumir, os sistemas operacionais identificam e memorizam cada uma das redes com as quais se conectam no que diz respeito à conectividade, às conexões e à categoria.

Há três tipos de local de rede no Firewall do Windows com Segurança Avançada:

  • Domínio. O Windows pode autenticar o acesso ao controlador de domínio do domínio em que o computador ingressou.

  • Público. Diferentemente das redes de domínio, todas as redes são inicialmente classificadas como públicas. Redes que representam conexões diretas à Internet ou estão em locais públicos, como aeroportos e cafés, devem ser configuradas como públicas.

  • Privado. Uma rede identificada por um usuário ou aplicativo como privada. Somente redes confiáveis devem ser identificadas como redes privadas. Os usuários normalmente desejam identificar redes domésticas ou de pequena empresa como privadas.

O administrador pode criar um perfil para cada tipo de local de rede, com cada perfil contendo políticas de firewall diferentes. Somente um perfil é aplicado a qualquer momento. A ordem de perfis é aplicada da seguinte maneira:

  1. Se todas as interfaces forem autenticadas no controlador de domínio para o domínio do qual o computador é membro, será aplicado o perfil de domínio.

  2. Se todas as interfaces forem autenticadas no controlador de domínio ou conectadas a redes classificadas como locais de rede privados, será aplicado o perfil privado.

  3. Caso contrário, será aplicado o perfil público.

Use o snap-in Firewall do Windows com Segurança Avançada do MMC para exibir e configurar todos os perfis do firewall. O item Firewall do Windows no Painel de Controle configura apenas o perfil atual.

Configurações adicionais do firewall usando o item Firewall do Windows no Painel de Controle

As exceções que você adiciona ao firewall podem restringir a abertura da porta a conexões de entrada de computadores específicos ou da sub-rede local. Essa restrição do escopo da abertura de porta pode reduzir o nível de exposição do seu computador a usuários mal-intencionados e é recomendável.

Observação

Se você usar o item Firewall do Windows no Painel de Controle configurará apenas o perfil do firewall.

Para alterar o escopo de uma exceção do firewall usando o item Firewall do Windows no Painel de Controle

  1. No item Firewall do Windows do Painel de Controle, selecione um programa ou porta na guia Exceções e clique em Propriedades ou em Editar.

  2. Na caixa de diálogo Editar um Programa ou Editar uma Porta , clique em Alterar Escopo.

  3. Escolha uma das seguintes opções:

    • Qualquer computador (inclusive na Internet)

      Não recomendado. Isso permitirá que qualquer computador que pode se dirigir a seu computador se conecte ao programa ou à porta especificada. Esta configuração pode ser necessária para permitir a apresentação de informações a usuários anônimos na Internet, mas aumenta sua exposição a usuários mal-intencionados. Sua exposição pode ser ainda maior se você habilitar esta configuração e também permitir NAT transversal, como a opção Permitir percurso de borda.

    • Somente minha rede (sub-rede)

      Essa é uma configuração mais segura do que Qualquer computador. Somente computadores da sub-rede local da sua rede podem se conectar ao programa ou à porta.

    • Lista personalizada:

    Somente computadores que têm os endereços IP contidos na lista podem se conectar. Esta configuração pode ser mais segura do que Somente minha rede (sub-rede) , mas os computadores cliente que usam DHCP podem alterar o endereço IP ocasionalmente. Por isso o computador desejado não poderá se conectar. Outro computador, que você não pretendia autorizar, pode aceitar o endereço IP listado e se conectar. A opção Lista personalizada pode ser apropriada para listar outros servidores configurados para usar um endereço IP fixo, mas os endereços IP podem ser falsificados por um invasor. Restringir regras de firewall é um procedimento apenas tão seguro quanto sua infraestrutura de rede.

Usando o snap-in Firewall do Windows com Segurança Avançada

Outras configurações avançadas do firewall podem ser definidas usando o snap-in do MMC Firewall do Windows com Segurança Avançada. O snap-in inclui um assistente de regra e expõe configurações adicionais que não estão disponível no item Firewall do Windows do Painel de Controle. Essas configurações incluem o seguinte:

  • Configurações de criptografia

  • Restrições de serviços

  • Restrição de conexões de computadores por nome

  • Restrição de conexões para usuários ou perfis específicos

  • Percurso de borda que permita que o tráfego ignore os roteadores de conversão de endereço de rede (NAT)

  • Configuração de regras de saída

  • Configuração de regras de segurança

  • Exigência de IPsec para conexões de entrada

Para criar uma nova regra de firewall usando o assistente de Nova Regra

  1. No menu Iniciar , clique em Executar, digite WF.msce clique em OK.

  2. No painel esquerdo do Firewall do Windows com Segurança Avançada, clique com o botão direito do mouse em Regras de Entradae clique em Nova Regra.

  3. Complete o Assistente de Nova Regra de Entrada usando as configurações desejadas.

Solucionando problemas de configurações do firewall

As seguintes ferramentas e técnicas podem ser úteis para solucionar problemas de firewall:

  • O status efetivo da porta é a combinação de todas as regras relacionadas a ela. Quando se tenta bloquear o acesso por uma porta, pode ser útil revisar todas as regras que citam o número da porta. Para isso, use o snap-in Firewall do Windows com Segurança Avançada do MMC e classifique as regras de entrada e de saída por número de porta.

  • Revise as portas que estão ativas no computador em que o SQL Server está em execução. Esse processo inclui a verificação de quais portas TCP/IP estão sendo escutadas e também a verificação do status das portas.

    Para verificar quais portas estão sendo escutadas, use o utilitário de linha de comando netstat . Além de exibir as conexões TCP ativas, o utilitário netstat também exibe uma variedade de estatísticas e informações de IP.

    Para listar quais portas TCP/IP estão escutando

    1. Abra a janela do prompt de comando.

    2. No prompt de comando, digite netstat -n -a.

      A opção -n instrui o netstat para exibir numericamente o endereço e o número da porta das conexões TCP ativas. A opção -a instrui o netstat a exibir as portas TCP e UDP escutadas pelo computador.

  • O utilitário PortQry pode ser usado para relatar o status das portas TCP/IP como escutando, não escutando ou filtrado. (Com o status filtrado, a porta pode ou não estar escutando; esse status indica que o utilitário não recebeu uma resposta da porta.) O utilitário PortQry está disponível para download no Centro de Download da Microsoft.

Consulte Também

Visão geral de serviços e requisitos de porta de rede para o sistema do Windows Server