Настройка брандмауэра Windows для разрешения доступа к SQL Server
Область применения: SQL Server — только Для Windows
Системы брандмауэра помогают предотвратить несанкционированный доступ к ресурсам компьютера. Если брандмауэр включен, но неправильно настроен, попытки подключения к SQL Server могут быть заблокированы.
Чтобы получить доступ к экземпляру SQL Server через брандмауэр, необходимо настроить брандмауэр на компьютере под управлением SQL Server. Брандмауэр является компонентом Microsoft Windows. Вы также можете установить брандмауэр от другого поставщика. В этой статье описывается настройка брандмауэра Windows, но основные принципы применяются к другим программам брандмауэра.
Примечание.
В этой статье представлен обзор конфигурации брандмауэра и приведены сведения, интересующие администратора SQL Server. Дополнительные сведения и официальные данные о брандмауэрах см. в документации по брандмауэру, например в разделе Руководство по безопасности для развертывания брандмауэра Windows.
Пользователи, знакомые с управлением брандмауэром Windows и знающие, какие параметры брандмауэра они хотят настроить, могут перейти напрямую к более сложным статьям:
- Настройка брандмауэра Windows для ядро СУБД доступа
- Настройка брандмауэра Windows на разрешение доступа к службам Analysis Services
- Настройка брандмауэра для доступа к серверу отчетов
Основные сведения о брандмауэре
Брандмауэр проверяет входящие пакеты на соответствие следующему набору правил:
Если пакет соответствует стандартам, заданным правилами, то брандмауэр передает его протоколу TCP/IP для дальнейшей обработки.
Пакет не соответствует стандартам, заданным в правилах.
Затем брандмауэр удаляет пакет.
Если ведение журнала включено, запись создается в файле ведения журнала брандмауэра.
Список разрешенного трафика заполняется одним из следующих способов.
Автоматически. Когда защищенный брандмауэром компьютер инициирует соединение, брандмауэр добавляет в список запись, чтобы разрешить ответ. Ответ считается запрашиваемым трафиком, и ничего настраивать не требуется.
Вручную: администратор настраивает исключения для брандмауэра. Это открывает доступ к определенным программам или портам на вашем компьютере. В этом случае компьютер принимает весь входящий трафик, выполняя роль сервера, прослушивателя или однорангового узла. Необходимо выполнить настройку для подключения к SQL Server.
Выбор стратегии брандмауэра является более сложной задачей и не сводится лишь к открытию или закрытию портов. При выборе стратегии брандмауэра для предприятия необходимо обязательно рассмотреть все доступные правила и параметры конфигурации. В этой статье не рассматриваются все возможные параметры брандмауэра. Рекомендуем ознакомиться со следующими документами:
- Руководство по развертыванию брандмауэра Windows
- Руководство по проектированию для брандмауэра Windows
- Основные сведения об изоляции серверов и доменов
Параметры брандмауэра по умолчанию
Первым шагом при планировании конфигурации брандмауэра является определение его текущего состояния в операционной системе. Если операционная система была обновлена с предыдущей версии, можно сохранить предыдущие параметры брандмауэра. Изменять параметры брандмауэра в домене может групповая политика или администратор.
Примечание.
Включение брандмауэра влияет на другие программы, обращаюющиеся к этому компьютеру, такие как общий доступ к файлам и печать, а также подключения к удаленному рабочему столу. Администратор должен просмотреть все приложения, которые работают на компьютере, прежде чем приступать к настройке параметров брандмауэра.
Программы для настройки брандмауэра
Настройте параметры брандмауэра Windows с помощью консоли управления Майкрософт, PowerShell или netsh.
Консоль управления (MMC)
Оснастка «Брандмауэр Windows в режиме повышенной безопасности» позволяет настраивать дополнительные параметры брандмауэра. Эта оснастка представляет большинство параметров брандмауэра и в удобной форме, а также все профили брандмауэра. Дополнительные сведения см. в разделе Использование оснастки "Брандмауэр Windows в режиме повышенной безопасности" далее в этой статье.
PowerShell
В следующем примере показано, как открыть TCP-порт 1433 и UDP-порт 1434 для экземпляра по умолчанию SQL Server и службы обозревателя SQL Server:
New-NetFirewallRule -DisplayName "SQLServer default instance" -Direction Inbound -LocalPort 1433 -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "SQLServer Browser service" -Direction Inbound -LocalPort 1434 -Protocol UDP -Action Allow
Дополнительные примеры см. в разделе New-NetFirewallRule.
Командная строка с netsh
Netsh.exe — это средство администратора для настройки и мониторинга компьютеров под управлением Windows в командной строке или с помощью пакетного файла. При использовании средства netsh вводимые контекстные команды направляются соответствующим вспомогательным приложениям, которые их выполняют. Вспомогательный файл — это файл библиотеки динамических ссылок,.dll
расширяющий функциональные возможности. Вспомогательное приложение обеспечивает настройку, мониторинг и поддержку различных служб, служебных программ и протоколов для средства netsh.
Вы можете использовать вспомогательный помощник брандмауэра Windows для расширенной безопасности с именем advfirewall. Многие описанные параметры конфигурации можно настроить из командной строки с помощью netsh advfirewall
. Например, выполните в командной строке следующий скрипт, чтобы открыть TCP-порт 1433:
netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN
Дополнительные сведения о средстве netshсм. в следующих разделах:
- Синтаксис, контексты и форматирование команд Netsh
- Используйте брандмауэр netsh advfirewall вместо брандмауэра netsh для управления поведением брандмауэра Windows
Для Linux
В Linux необходимо также открыть порты, связанные со службами, к которым вам нужен доступ. Различные дистрибутивы Linux и брандмауэры имеют свои процедуры. Два примера см. в следующих примерах:
- Краткое руководство. Установка SQL Server и создание базы данных в Red Hat
- Краткое руководство. Установка SQL Server и создание базы данных на SUSE Linux Enterprise Server
Порты, используемые SQL Server
В следующих таблицах можно определить порты, используемые SQL Server.
Порты, используемые ядро СУБД
По умолчанию типичные порты, используемые SQL Server и связанными службами ядра СУБД: TCP1433
, , , 135
1434
UDP1434
4022
. В следующей таблице подробно описаны эти порты. Именованный экземпляр использует динамические порты.
В следующей таблице перечислены порты, которые часто используются ядро СУБД.
Сценарий | Порт | Комментарии |
---|---|---|
Экземпляр по умолчанию, работающий по протоколу TCP | TCP-порт 1433 | Этот порт открывают в брандмауэре чаще всего. Он применяется к стандартным подключениям к установке ядро СУБД по умолчанию или именованным экземпляром, который является единственным экземпляром, запущенным на компьютере. (Именованные экземпляры имеют особые рекомендации. См . динамические порты далее в этой статье.) |
Именованные экземпляры с портом по умолчанию | TCP-порт — это динамический порт, определенный во время запуска ядро СУБД. | См. следующее обсуждение в разделе "Динамические порты". Порт UDP 1434 может потребоваться для службы браузера SQL Server при использовании именованных экземпляров. |
Именованные экземпляры с фиксированным портом | Номер порта настраивается администратором. | См. следующее обсуждение в разделе "Динамические порты". |
Выделенное административное соединение | TCP-порт 1434 предназначен для экземпляра по умолчанию. Другие порты используются для именованных экземпляров. Номер порта проверьте по журналу ошибок. | По умолчанию удаленные подключения по выделенному административному соединению (DAC) не активированы. Разрешить удаленное выделенное административное соединение можно при помощи средства настройки контактной зоны. Дополнительные сведения см. в разделе Surface Area Configuration (Конфигурация контактной зоны). |
служба «SQL Server, браузер» | UDP-порт 1434 | Служба браузера SQL Server прослушивает входящие соединения с именованным экземпляром. Служба предоставляет клиенту номер TCP-порта, соответствующий этому именованному экземпляру. Обычно служба браузера SQL Server запускается всякий раз, когда используются именованные экземпляры ядро СУБД. Служба браузера SQL Server не требуется, если клиент настроен для подключения к конкретному порту именованного экземпляра. |
Экземпляр с конечной точкой HTTP. | Может указываться во время создания конечной точки HTTP. По умолчанию используется TCP-порт 80 для CLEAR_PORT трафика и 443 для SSL_PORT трафика. |
Используется для HTTP-соединения по URL-адресу. |
Экземпляр по умолчанию с конечной точкой HTTPS. | TCP-порт 443 | Используется для HTTPS-соединения по URL-адресу. HTTPS — это HTTP-соединение, которое использует протокол TLS, ранее называемый SSL. |
Service Broker | TCP-порт 4022. Чтобы проверить используемый порт, выполните следующий запрос:SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'SERVICE_BROKER' |
Нет порта по умолчанию для sql Server Service Broker, примеры электронной документации используют стандартную конфигурацию. |
Зеркальное отображение базы данных | Порт, выбранный администратором. Чтобы определить порт, выполните следующий запрос.SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'DATABASE_MIRRORING' |
Для зеркального отображения базы данных порт по умолчанию отсутствует, однако в примерах электронной документации используется TCP-порт 5022 или 7022. Важно избегать прерывания работы используемой конечной точки зеркального отображения, особенно в режиме высокого уровня безопасности с автоматической отработкой отказа. Конфигурация брандмауэра должна избегать прерывания кворума. Дополнительные сведения см. в статье Указание сетевого адреса сервера (зеркальное отображение базы данных). |
Репликация | Подключения репликации к SQL Server используют типичные обычные порты ядро СУБД (TCP-порт 1433 — это экземпляр по умолчанию) Веб-синхронизация и доступ через FTP/UNC для моментального снимка репликации требуют открытия в брандмауэре дополнительных портов. Передачу начальных данных и схемы из одного места в другое репликация осуществляет по протоколу FTP (TCP-порт 21) либо с помощью синхронизации через HTTP (TCP-порт 80) или общего доступа к файлам. Для общего доступа к файлам применяются UDP-порты 137 и 138, а также TCP-порт 139 при использовании совместно с NetBIOS. Совместное использование файлов использует TCP-порт 445. |
Для синхронизации по протоколу HTTP репликация использует конечную точку IIS (настраиваемую; порт 80 по умолчанию), но процесс IIS подключается к серверной части SQL Server через стандартные порты (1433 для экземпляра по умолчанию). Во время веб-синхронизации с помощью FTP передача FTP выполняется между IIS и издателем SQL Server, а не между подписчиком и IIS. |
Отладчик Transact-SQL | TCP-порт 135 См. раздел Особые замечания относительно порта 135 Также может потребоваться исключение IPsec . |
При использовании Visual Studio на хост-компьютере Visual Studio необходимо также добавить devenv.exe в список исключений и открыть TCP-порт 135.При использовании Management Studio на хост-компьютере Management Studio необходимо также добавить ssms.exe в список исключений и открыть TCP-порт 135. Дополнительные сведения см. в разделе "Настройка правил брандмауэра" перед запуском отладчика Transact-SQL. |
Пошаговые инструкции по настройке брандмауэра Windows для ядро СУБД см. в разделе "Настройка брандмауэра Windows для ядро СУБД доступа".
Динамические порты
По умолчанию именованные экземпляры (включая SQL Server Express) используют динамические порты. Каждый раз при запуске ядро СУБД он определяет доступный порт и использует этот номер порта. Если именованный экземпляр является единственным экземпляром установленного ядро СУБД, он, вероятно, использует TCP-порт 1433. Если установлены другие экземпляры ядро СУБД, вероятно, используется другой TCP-порт. Так как выбранный порт может изменяться при каждом запуске ядро СУБД, сложно настроить брандмауэр для включения доступа к правильному номеру порта. Если используется брандмауэр, мы рекомендуем перенастроить ядро СУБД для использования одного и того же номера порта каждый раз. Рекомендуется использовать фиксированный или статический порт. Дополнительные сведения см. в статье "Настройка SQL Server для прослушивания определенного TCP-порта".
Альтернативой настройке именованного экземпляра для прослушивания фиксированного порта является создание исключения в брандмауэре для программы SQL Server, например sqlservr.exe
(для ядро СУБД). Номер порта не будет отображаться в столбце Локальный порт на странице Правила для входящего трафика при использовании оснастки MMC "Брандмауэр Windows в режиме повышенной безопасности". Аудит открытых портов может быть сложной задачей. Еще одно соображение заключается в том, что пакет обновления или накопительное обновление может изменить путь к исполняемому файлу SQL Server и сделать правило брандмауэра недействительным.
Чтобы добавить исключение для SQL Server с помощью брандмауэра Windows с расширенной безопасностью, см . статью "Использование брандмауэра Windows с оснасткой расширенной безопасности" далее в этой статье.
Порты, используемые службами Analysis Services
По умолчанию типичные порты, используемые службами SQL Server Analysis Services и связанными службами, : TCP 2382
, 2383
, 80
. 443
В следующей таблице подробно описаны эти порты.
В следующей таблице перечислены порты, которые часто используются службами Analysis Services.
Функция | Порт | Комментарии |
---|---|---|
Службы Analysis Services | TCP-порт 2383 для экземпляра по умолчанию | Стандартный порт для экземпляра служб Analysis Services по умолчанию. |
служба «SQL Server, браузер» | TCP-порт 2382, необходимый только для именованного экземпляра служб Analysis Services | Запросы на подключение клиента для именованного экземпляра служб Analysis Services, которые не указывают номер порта, направляются в порт 2382, порт, на котором прослушивается браузер SQL Server. Затем браузер SQL Server перенаправляет запрос на порт, используемый именованным экземпляром. |
Службы Analysis Services, настроенные для использования с помощью IIS/HTTP (служба PivotTable® Service использует протокол HTTP или HTTPS) |
TCP-порт 80 | Используется для HTTP-соединения по URL-адресу. |
Службы Analysis Services, настроенные для использования с помощью IIS/HTTPS (служба PivotTable® Service использует протокол HTTP или HTTPS) |
TCP-порт 443 | Используется для HTTPS-соединения по URL-адресу. HTTPS представляет собой HTTP-соединение, защищенное по протоколу TSL. |
Если пользователи получают доступ к службам Analysis Services через IIS и Интернет, необходимо открыть порт, на котором выполняется прослушивание СЛУЖБ IIS. Затем нужно указать порт в строке подключения клиента. В этом случае для прямого доступа к службам Analysis Services не нужно открывать порты. Необходимо ограничить доступ к порту по умолчанию 2389, порту 2382 и другим портам, доступ к которым не требуется.
Пошаговые инструкции по настройке брандмауэра Windows для служб Analysis Services см. в разделе "Настройка брандмауэра Windows для разрешения доступа к службам Analysis Services".
Порты, используемые службами Reporting Services
По умолчанию типичные порты, используемые службами SQL Server Reporting Services и связанными службами: TCP 80
, 443
. В следующей таблице подробно описаны эти порты.
В следующей таблице перечислены порты, которые часто используются службами Reporting Services.
Функция | Порт | Комментарии |
---|---|---|
Веб-службы Reporting Services | TCP-порт 80 | Используется для HTTP-подключения к службам Reporting Services по URL-адресу. Не рекомендуется использовать предварительно настроенное правило Службы Интернета (HTTP). Дополнительные сведения см . в разделе "Взаимодействие с другими правилами брандмауэра" далее в этой статье. |
Службы Reporting Services, настроенные для использования через HTTPS | TCP-порт 443 | Используется для HTTPS-соединения по URL-адресу. HTTPS представляет собой HTTP-соединение, защищенное по протоколу TSL. Не рекомендуется использовать предварительно настроенное правило Защищенные службы Интернета (HTTP). Дополнительные сведения см . в разделе "Взаимодействие с другими правилами брандмауэра" далее в этой статье. |
При подключении служб Reporting Services к экземпляру ядро СУБД или служб Analysis Services необходимо также открыть соответствующие порты для этих служб. Пошаговые инструкции по настройке брандмауэра Windows для служб Reporting Services настройте брандмауэр для доступа к серверу отчетов.
Порты, используемые службами Integration Services
В следующей таблице перечислены порты, используемые службой Integration Services.
Функция | Порт | Комментарии |
---|---|---|
Вызовы удаленной процедуры Майкрософт (MS RPC) Используется средой выполнения служб Integration Services. |
TCP-порт 135 См. раздел Особые замечания относительно порта 135 |
Служба Служб Integration Services использует DCOM через порт 135. Диспетчер управления службами использует порт 135 для выполнения таких задач, как запуск и остановка службы Integration Services и передача запросов управления в запущенную службу. Номер порта нельзя изменить. Этот порт необходимо открыть только в том случае, если вы подключаетесь к удаленному экземпляру службы Служб Integration Services из Management Studio или пользовательского приложения. |
Пошаговые инструкции по настройке брандмауэра Windows для службы Integration Services см. в статье Служба Integration Services (служба SSIS).
Другие порты и службы
В следующей таблице перечислены порты и службы, от которые может зависеть SQL Server.
Сценарий | Порт | Комментарии |
---|---|---|
Инструментарий управления Windows (WMI) Дополнительные сведения о инструментарии управления Windows (WMI) см. в разделе "Поставщик WMI для управления конфигурацией" |
Инструментарий WMI запускается в составе общего узла службы с назначением портов через DCOM. Инструментарий WMI может пользовать TCP-порт 135. См. раздел Особые замечания относительно порта 135 |
диспетчер конфигурации SQL Server использует WMI для перечисления служб и управления ими. Рекомендуется использовать стандартную группу правил Инструментарий управления Windows (WMI). Дополнительные сведения см . в разделе "Взаимодействие с другими правилами брандмауэра" далее в этой статье. |
Координатор распределенных транзакций Майкрософт (MS DTC) | TCP-порт 135 См. раздел Особые замечания относительно порта 135 |
Если приложение использует распределенные транзакции, возможно, потребуется настроить брандмауэр, чтобы разрешить трафик координатора распределенных транзакций (MS DTC) между отдельными экземплярами MS DTC и диспетчерами ресурсов MS DTC, такими как SQL Server. Рекомендуется использовать стандартную группу правил Координатор распределенных транзакций . Если для всего кластера настроен единственный общий координатор MS DTC в отдельной группе ресурсов, следует добавить программу sqlservr.exe в список исключений брандмауэра. |
Кнопка обзора в Management Studio использует UDP для подключения к службе браузера SQL Server. Дополнительные сведения см. в разделе Служба обозревателя SQL Server (ядро СУБД и SSAS). | UDP-порт 1434 | Протокол UDP не сохраняет соединения. Свойство UnicastResponsesToMulticastBroadcastDisabled интерфейса INetFwProfile управляет работой брандмауэра и одноадресными ответами на широковещательные (или многоадресные) UDP-запросы. Возможны два варианта. Если этот параметр задан TRUE , не разрешены одноадресные ответы на широковещательный канал. Перечисление служб завершается ошибкой.Если параметр имеет значение FALSE (по умолчанию), одноадресные ответы разрешены в течение 3 секунд. Эта длительность не настраивается. В перегруженной сети или сети с высокой задержкой или для сильно загруженных серверов пытается перечислить экземпляры SQL Server может вернуть частичный список, который может ввести пользователей в заблуждение. |
Трафик по протоколу IPsec | UDP-порты 500 и 4500 | Если политика домена требует выполнения сетевых соединения через протокол IPsec, необходимо добавить в список исключений UDP-порты 4500 и 500. Протокол IPsec можно включить с помощью мастера создания правила для входящего подключения в оснастке "Брандмауэр Windows". Дополнительные сведения см. в разделе "Использование брандмауэра Windows с оснасткой расширенной безопасности" далее в этой статье. |
Использование проверки подлинности Windows в надежных доменах | Брандмауэр можно настроить для разрешения запросов проверки подлинности. | Дополнительные сведения см. в статье "Настройка брандмауэра для доменов и доверия Active Directory". |
Кластеризация SQL Server и Windows | Кластеризация требует дополнительных портов, которые не связаны напрямую с SQL Server. | Дополнительные сведения см. в разделе Подготовка сети для работы кластера. |
Пространства имен URL-адресов, зарезервированные в компоненте HTTP.SYS | Обычно TCP-порт 80, однако можно настроить для использования любого другого порта. Общие сведения см. в разделе Настройка протоколов HTTP и HTTPS. | Сведения о резервировании конечной точки HTTP.SYS с помощью HttpCfg.exe sql Server см. в разделе "Сведения о резервировании URL-адресов и регистрации" (Диспетчер конфигурации сервера отчетов). |
Особые вопросы для порта 135
При использовании RPC с транспортным протоколом TCP/IP или UDP/IP входящие порты динамически назначаются системным службам по мере надобности. Используются порты TCP/IP и UDP/IP с номерами выше 1024. Порты называются случайными портами RPC. В этом случае RPC-клиент определяет порт, назначенный серверу, через модуль конечной точки RPC. Для некоторых служб, работающих через протокол RPC, можно настроить использование определенного фиксированного порта. Можно также ограничить диапазон портов, динамически назначаемых RPC и не зависящих от службы. Поскольку порт 135 используется для многих служб, он часто подвергается атакам злоумышленников. В случае открытия порта 135 рекомендуется ограничить область действия правила брандмауэра.
Дополнительные сведения о порте 135 см. в следующих ресурсах.
- Обзор служб и требования к сетевым портам в Windows
- Удаленный вызов процедур (RPC)
- Настройка динамического выделения портов RPC для работы с брандмауэром
Взаимодействие с другими правилами брандмауэра
Настройка брандмауэра Windows производится на основе правил и групп правил. Каждое правило или группа правил связывается с определенной программой или службой, которая может изменять или удалять это правило без вашего ведома. Например, группы правил Службы Интернета (HTTP) и Защищенные службы Интернета (HTTPS) связаны со службами IIS. Включение этих правил открывает порты 80 и 443, а функции SQL Server зависят от портов 80 и 443, если эти правила включены. Однако администратор в процессе настройки служб IIS может изменить или отключить эти правила. Если вы используете порт 80 или порт 443 для SQL Server, необходимо создать собственное правило или группу правил, которая поддерживает предпочитаемую конфигурацию порта независимо от других правил IIS.
Брандмауэр Windows с оснасткой MMC расширенной безопасности разрешает любой трафик, соответствующий любому применимому правилу разрешения. Таким образом, если существуют два правила для порта 80 (с разными параметрами), Трафик, соответствующий либо правилу, разрешен. Таким образом, если одно правило разрешает трафик через порт 80 из локальной подсети, а одно правило разрешает трафик из любого адреса, то чистый эффект заключается в том, что весь трафик через порт 80 не зависит от источника. Чтобы эффективно управлять доступом к SQL Server, администраторы должны периодически проверять все правила брандмауэра, включенные на сервере.
Обзор профилей брандмауэра
В соответствии с профилями брандмауэра операционная система определяет и запоминает каждую из сетей по следующим параметрам: возможность подключения, имеющиеся подключения и категория.
Брандмауэр Windows в режиме повышенной безопасности делит сети на три типа.
Домен: Windows может пройти проверку подлинности доступа к контроллеру домена для домена, к которому присоединен компьютер.
Общедоступный: кроме доменных сетей все сети изначально классифицируются как общедоступные. Сети, которые представляют прямые соединения с Интернетом, являются открытыми (аэропорты, кафе и другие места открытого доступа).
Частный: сеть, определяемая пользователем или приложением как частная. Только доверенные сети могут быть определены как частные. Пользователи, вероятно, хотят определить домашние или малые бизнес-сети как частные.
Администратор может создать профиль для каждого типа сети и задать для этих профилей разные политики брандмауэра. Одномоментно применим только один профиль. Профили применяются в следующем порядке.
Профиль домена применяется, когда все интерфейсы проходят проверку подлинности на контроллере домена, членом которого является компьютер.
Если все интерфейсы проходят проверку подлинности на контроллере домена или подключены к сетям, которые классифицируются как расположения частной сети, применяется частный профиль.
В противном случае применяется открытый профиль.
Просмотреть и настроить профили брандмауэра можно с помощью оснастки «Брандмауэр Windows в режиме повышенной безопасности». Элемент Брандмауэр Windows на панели управления позволяет настраивать только текущий профиль.
Дополнительные параметры брандмауэра с помощью элемента брандмауэра Windows в панель управления
Добавление брандмауэра позволяет ограничить открытие порта для входящих подключений с определенных компьютеров или из локальной подсети. Ограничьте область открытия портов, чтобы сделать компьютер менее уязвимым для злоумышленников.
Элемент Брандмауэр Windows на панели управления позволяет настроить только текущий профиль.
Изменение области исключения брандмауэра с помощью элемента брандмауэра Windows в панель управления
В панели управления в элементе Брандмауэр Windows выберите на вкладке Исключения программу или порт, а затем нажмите Свойства или Изменить.
В диалоговом окне Изменение программы или Изменение порта нажмите Изменить область.
Выберите один из следующих параметров:
Любой компьютер (включая компьютеры в Интернете): не рекомендуется. В этом случае любой компьютер, способный обращаться к вашему, сможет подключаться к указанной программе или порту. Этот параметр может пригодиться для передачи данных анонимным пользователям Интернета, однако он повышает уязвимость компьютера. Включение этого параметра позволяет переходить по сетевым адресам (NAT), например параметр обхода пограничных адресов, увеличивает экспозицию.
Только моя сеть (подсеть): это более безопасный вариант по сравнению с режимом Любой компьютер. Только компьютеры локальной подсети могут производить соединение с программой или портом.
Пользовательский список: только компьютеры с IP-адресами, которые указаны, могут подключаться. Безопасный параметр может быть более безопасным, чем только моя сеть (подсеть), однако клиентские компьютеры, использующие DHCP, могут иногда изменять свой IP-адрес, что отключает возможность подключения. Другой компьютер, который вы не намеревались авторизовать, может принять указанный IP-адрес и подключиться к нему. Вариант Настраиваемый список подходит для получения списков других серверов, для которых настроены фиксированные IP-адреса.
Злоумышленники могут подделывать IP-адреса. Эффект ограничения правил брандмауэра напрямую зависит от уровня защиты сетевой инфраструктуры.
Использование брандмауэра Windows с оснасткой "Расширенная безопасность"
Оснастка MMC "Брандмауэр Windows в режиме повышенной безопасности" позволяет настроить расширенные параметры брандмауэра. Эта оснастка включает мастер настройки правил и позволяет изменять параметры, недоступные в элементе Брандмауэр Windows из панели управления. К этим параметрам относятся:
- Параметры шифрования
- Ограничения служб.
- Ограничение соединений для компьютеров по именам.
- Ограничение соединений для определенных пользователей или профилей.
- Разрешение просмотра узлов для исключения маршрутизаторов NAT.
- Настройка правил исходящих соединений.
- Настройка правил безопасности.
- Требование протокола IPsec для входящих соединений.
Создание правила брандмауэра с помощью мастера создания правил
- В меню нажмите кнопку "Выполнить", введите
wf.msc
и нажмите кнопку "ОК". - В левой части панели Брандмауэр Windows в режиме повышенной безопасностищелкните правой кнопкой мыши элемент Правила для входящих подключенийи выберите пункт Создать правило.
- Завершите мастер создания правила для нового входящего подключения , задав все необходимые параметры.
Добавление исключения программы для исполняемого файла SQL Server
В меню "Пуск" введите
wf.msc
. Нажмите клавишу ВВОД или выберите результатwf.msc
поиска, чтобы открыть брандмауэр Защитника Windows с расширенной безопасностью.В левой панели щелкните Правила для входящих подключений.
В области справа в разделе "Действия" выберите "Создать правило...". Откроется мастер нового правила для входящего трафика.
В разделе Тип правилавыберите Программа. Выберите Далее.
В разделе Программа выберите Путь к программе. Нажмите кнопку Обзор и найдите файл программы SQL Server. Программа называется
sqlservr.exe
. Обычно он расположен вC:\Program Files\Microsoft SQL Server\MSSQL<VersionNumber>.<InstanceName>\MSSQL\Binn\sqlservr.exe
. Выберите Далее.В разделе Действие выберите вариант Разрешить подключение. Выберите Далее.
В разделе Профиль включите все три профиля. Выберите Далее.
В поле Имявведите имя правила. Выберите Готово.
Дополнительные сведения о конечных точках см. в следующем разделе:
Устранение неполадок параметров брандмауэра
Следующие средства и методы могут оказаться полезными при устранении неполадок брандмауэра.
Действующее состояние порта является объединением всех правил, связанных с этим портом. Чтобы заблокировать доступ к порту, бывает полезно просмотреть все правила, в которых он упоминается. Просмотрите правила с помощью оснастки MMC "Брандмауэр Windows в режиме повышенной безопасности" и отсортируйте правила для входящего и исходящего трафика по номеру порта.
Просмотрите порты, активные на компьютере, на котором работает SQL Server. Процесс проверки включает проверку того, какие порты TCP/IP прослушивают , а также проверяют состояние портов.
Служебную программу PortQry можно использовать для вывода состояния портов TCP/IP (прослушивается, не прослушивается, фильтруется). (Программа может не получать ответ от порта, если она имеет отфильтрованное состояние.) Программа PortQry доступна для скачивания из Центра загрузки Майкрософт.
Список прослушивающих портов TCP/IP
Для определения, на каких портах ожидается передача данных, отобразите активные TCP-подключения и статистику IP-адресов, используя программу командной строки netstat.
Откройте окно командной строки.
В командной строке введите
netstat -n -a
.Элемент
-n
служебная программа netstat выводит адреса и номера портов активных подключений TCP в числовом виде. Коммутатор-a
указывает netstat отображать порты TCP и UDP, на которых компьютер прослушивает.