Konfigurace brány Windows Firewall pro povolení přístupu k SQL Serveru
platí pro:
SQL Server – jenom Windows
Systémy brány firewall pomáhají zabránit neoprávněnému přístupu k počítačovým prostředkům. Pokud je brána firewall zapnutá, ale není správně nakonfigurovaná, může se zablokovat pokus o připojení k SQL Serveru.
Pokud chcete získat přístup k instanci SQL Serveru přes bránu firewall, musíte bránu firewall nakonfigurovat v počítači, na kterém běží SQL Server. Brána firewall je součástí systému Microsoft Windows. Bránu firewall můžete nainstalovat také od jiného dodavatele. Tento článek popisuje, jak nakonfigurovat bránu Windows Firewall, ale základní principy platí pro ostatní programy brány firewall.
Poznámka
Tento článek obsahuje přehled konfigurace brány firewall a shrnuje informace, které zajímá správce SQL Serveru. Další informace o bráně firewall a informace o autoritativní bráně firewall naleznete v dokumentaci k bráně firewall, například průvodce nasazením zabezpečení brány Windows Firewall.
Uživatelé, kteří jsou obeznámeni se správou brány Windows Firewalla vědí, která nastavení chtějí konfigurovat, mohou přejít přímo k pokročilejším článkům:
- Konfigurace brány Windows Firewall pro přístup k databázovému stroji
- Konfigurace brány Windows Firewall pro povolení přístupu ke službě Analysis Services
- Konfigurujte bránu firewall pro přístup k serveru sestav
Základní informace o bráně firewall
Brány firewall fungují kontrolou příchozích paketů a jejich porovnáním s následující sadou pravidel:
Paket splňuje standardy, které pravidla určují, a pak brána firewall předá paket do protokolu TCP/IP pro další zpracování.
Paket nesplňuje standardy stanovené pravidly.
Firewall pak zahodí paket.
Pokud je protokolování povolené, vytvoří se položka v souboru protokolování brány firewall.
Seznam povolených přenosů se naplní jedním z následujících způsobů:
automaticky: Když počítač s povolenou bránou firewall spustí komunikaci, brána firewall vytvoří položku v seznamu, aby byla povolena odpověď. Odpověď se považuje za žádaný provoz a není potřeba nic konfigurovat.
Ručně: Správce nakonfiguruje výjimky brány firewall. Umožňuje přístup k zadaným programům nebo portům v počítači. V takovém případě počítač přijímá nevyžádaný příchozí provoz, když funguje jako server, naslouchající proces nebo partner. Konfigurace musí být dokončena pro připojení k SQL Serveru.
Volba strategie brány firewall je složitější než jen rozhodnutí o tom, jestli má být daný port otevřený nebo uzavřený. Při navrhování strategie brány firewall pro váš podnik nezapomeňte vzít v úvahu všechna pravidla a možnosti konfigurace, které máte k dispozici. Tento článek nekontroluje všechny možné možnosti brány firewall. Doporučujeme projít si následující dokumenty:
- Průvodce nasazením Windows Firewall
- Průvodce návrhem brány Windows Firewall
- Úvod do izolace serverů a domén
Výchozí nastavení brány firewall
Prvním krokem při plánování konfigurace brány firewall je určení aktuálního stavu brány firewall pro váš operační systém. Pokud byl operační systém upgradován z předchozí verze, může se zachovat předchozí nastavení brány firewall. Zásady skupiny nebo správce můžou změnit nastavení brány firewall v doméně.
Poznámka
Zapnutí brány firewall má vliv na další programy, které přistupují k tomuto počítači, například sdílení souborů a tisku a připojení ke vzdálené ploše. Správci by před úpravou nastavení brány firewall měli zvážit všechny aplikace spuštěné v počítači.
Programy pro konfiguraci brány firewall
Nakonfigurujte nastavení Windows Firewall pomocí konzoly Microsoft Management Console, PowerShellunebo netsh.
Konzola Microsoft Management Console (MMC)
Modul snap-in MMC pro bránu firewall systému Windows s pokročilým zabezpečením umožňuje konfigurovat pokročilejší nastavení firewallu. Tento modul snap-in představuje většinu možností brány firewall snadno použitelným způsobem a představuje všechny profily brány firewall. Další informace najdete v tématu Použití brány firewall Windows se zásuvným modulem Pokročilé zabezpečení dále v tomto článku.
PowerShell
V následujícím příkladu otevřete port TCP 1433 a UDP 1434 pro výchozí instanci SQL Serveru a službu prohlížeče SQL Serveru:
New-NetFirewallRule -DisplayName "SQLServer default instance" -Direction Inbound -LocalPort 1433 -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "SQLServer Browser service" -Direction Inbound -LocalPort 1434 -Protocol UDP -Action Allow
Další příklady najdete v tématu New-NetFirewallRule.
Příkazový řádek s netsh
netsh.exe je nástroj správce pro konfiguraci a monitorování počítačů se systémem Windows na příkazovém řádku nebo pomocí dávkového souboru. Pomocí nástroje netsh můžete směrovat kontextové příkazy, které zadáte, na příslušného pomocníka a pomocník příkaz provede. Pomocník je soubor dynamické knihovny (.dll), který rozšiřuje funkčnost. Pomocná rutina poskytuje: konfiguraci, monitorování a podporu pro jednu nebo více služeb, nástrojů nebo protokolů pro nástroj netsh.
Můžete použít pomocnou funkci brány Windows Firewall for Advanced Security označovanou jako advfirewall. Mnohé z popsaných možností konfigurace lze nakonfigurovat z příkazového řádku pomocí netsh advfirewall. Například spuštěním následujícího skriptu na příkazovém řádku otevřete port TCP 1433:
netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN
Další informace o netshnaleznete na následujících odkazech:
- Syntaxe příkazu Netsh, Kontexty a Formátování
- Použijte příkaz netsh advfirewall firewall místo příkazu netsh firewall k ovládání chování Windows Firewall
Pro Linux
V Linuxu musíte také otevřít porty přidružené ke službám, ke kterým potřebujete přístup. Různé distribuce Linuxu a různé firewally mají vlastní postupy. Dva příklady najdete tady:
- rychlý start pro : Instalace SQL Serveru a vytvoření databáze v Red Hat
- Rychlý start: Instalace SQL Serveru a vytvoření databáze na SUSE Linux Enterprise Server
Porty používané SQL Serverem
Následující tabulky vám můžou pomoct identifikovat porty používané SQL Serverem.
Porty používané databázovým strojem
Ve výchozím nastavení jsou typické porty používané SQL Serverem a přidruženými službami databázového stroje: TCP 1433, 4022, 135, 1434, UDP 1434. Následující tabulka podrobněji vysvětluje tyto porty. Pojmenovaná instance používá dynamické porty.
Následující tabulka uvádí porty, které databázový stroj často používá.
| Scénář | Přístav | Komentáře |
|---|---|---|
| Výchozí instance spuštěná přes protokol TCP | Port TCP 1433 | Nejběžnější port povolený přes bránu firewall. Vztahuje se na rutinní připojení k výchozí instalaci databázového stroje nebo pojmenované instance, která je jedinou instancí spuštěnou v počítači. (Pojmenované instance mají zvláštní aspekty. Viz dynamické porty dále v tomto článku.) |
| Pojmenované instance s výchozím portem | Port TCP je dynamický port určený při spuštění databázového stroje. | Podívejte se na následující diskuzi v části dynamické porty. Port UDP 1434 se může vyžadovat pro službu prohlížeče SQL Serveru, když používáte pojmenované instance. |
| Pojmenované instance s pevným portem | Číslo portu nakonfigurované správcem. | Podívejte se na následující diskuzi v části dynamické porty. |
| Vyhrazené připojení správce | Port TCP 1434 pro výchozí instanci Jiné porty se používají pro pojmenované instance. Zkontrolujte v protokolu chyb číslo portu. | Ve výchozím nastavení nejsou povolená vzdálená připojení k vyhrazenému připojení správce (DAC). Pokud chcete povolit vzdálený DAC, použijte aspekt Konfigurace povrchu. Další informace najdete v tématu konfigurace oblasti Surface. |
| Služba SQL Server Browser | Port UDP 1434 | Služba prohlížeče SQL Serveru naslouchá příchozím připojením k pojmenované instanci. Služba poskytuje klientovi číslo portu TCP, které odpovídá této pojmenované instanci. Obvykle se služba SQL Server Browser spustí vždy, když se použijí pojmenované instance databázového stroje. Pokud je klient nakonfigurovaný pro připojení ke konkrétnímu portu pojmenované instance, služba SQL Server Browser se nevyžaduje. |
| Instance s HTTP koncovým bodem | Lze zadat při vytvoření koncového bodu HTTP. Výchozí hodnota je TCP port 80 pro provoz CLEAR_PORT a port 443 pro provoz SSL_PORT. |
Používá se pro připojení HTTP prostřednictvím adresy URL. |
| Výchozí instance s koncovým bodem HTTPS | Port TCP 443 | Používá se pro připojení HTTPS prostřednictvím adresy URL. HTTPS je připojení HTTP, které používá protokol TLS (Transport Layer Security), dříve označované jako SSL (Secure Sockets Layer). |
| Zprostředkovatel služeb | Port TCP 4022 Pokud chcete ověřit použitý port, spusťte následující dotaz:SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'SERVICE_BROKER' |
Pro službu SQL Server Service Broker neexistuje žádný výchozí port, příklady z "knih Online" používají konvenční konfiguraci. |
| Zrcadlení databáze | Port zvolený správcem. Pokud chcete zjistit port, spusťte následující dotaz:SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'DATABASE_MIRRORING' |
Pro zrcadlení databáze neexistuje žádný výchozí port, ale příklady Books Online používají port TCP 5022 nebo 7022. Je důležité zabránit přerušení využívaného koncového bodu zrcadlení, zejména v režimu vysoké bezpečnosti s automatickým převzetím služeb při selhání. Konfiguraci brány firewall je nutné nastavit tak, aby nedošlo k narušení kvora. Další informace naleznete v tématu Určení síťové adresy serveru (zrcadlení databáze). |
| Replikace | Připojení replikace k SQL Serveru používají typické běžné porty databázového stroje (port TCP 1433 je výchozí instance). Synchronizace webu a přístup FTP/UNC pro snímek replikace vyžadují, aby bylo v bráně firewall otevřeno více portů. K přenosu počátečních dat a schématu z jednoho umístění do jiného může replikace použít protokol FTP (port TCP 21) nebo synchronizaci přes protokol HTTP (port TCP 80) nebo sdílení souborů. Sdílení souborů používá port UDP 137 a 138 a port TCP 139, pokud se používá společně s rozhraním NetBIOS. Sdílení souborů používá port TCP 445. |
Pro synchronizaci přes PROTOKOL HTTP používá replikace koncový bod služby IIS (konfigurovatelný, výchozí port 80), ale proces SLUŽBY IIS se připojí k back-endovému SQL Serveru přes standardní porty (1433 pro výchozí instanci). Během synchronizace webu pomocí protokolu FTP je přenos FTP mezi službou IIS a vydavatelem SQL Serveru, nikoli mezi odběratelem a službou IIS. |
| ladicí program Transact-SQL | Port TCP 135 Viz zvláštní aspekty portu 135 Může se vyžadovat i výjimka protokolu IPsec. |
Pokud používáte Sadu Visual Studio, musíte na hostitelském počítači sady Visual Studio přidat také devenv.exe do seznamu výjimek a otevřít port TCP 135.Pokud používáte Management Studio, musíte na hostitelském počítači Management Studio přidat také ssms.exe do seznamu Výjimek a otevřít port TCP 135. Další informace naleznete v tématu Konfigurace pravidel brány firewall před spuštěním ladicího programu Transact-SQL. |
Podrobné pokyny ke konfiguraci brány Windows Firewall pro databázový stroj naleznete v tématu Konfigurace brány Windows Firewall pro přístup k databázovému stroji.
Dynamické porty
Pojmenované instance (včetně SQL Serveru Express) ve výchozím nastavení používají dynamické porty. Při každém spuštění databázového stroje identifikuje dostupný port a použije toto číslo portu. Pokud je pojmenovaná instance jedinou nainstalovanou instancí databázového stroje, pravděpodobně používá port TCP 1433. Pokud jsou nainstalovány jiné instance databázového stroje, pravděpodobně používá jiný port TCP. Vzhledem k tomu, že vybraný port se může při každém spuštění databázového stroje změnit, je obtížné nakonfigurovat bránu firewall tak, aby umožňovala přístup ke správnému číslu portu. Pokud se používá brána firewall, doporučujeme pokaždé změnit konfiguraci databázového stroje tak, aby používal stejné číslo portu. Doporučuje se pevný port nebo statický port. Další informace naleznete v tématu Konfigurace SQL Serveru pro naslouchání na konkrétním portu TCP.
Alternativou ke konfiguraci pojmenované instance pro naslouchání na pevném portu je vytvoření výjimky v bráně firewall pro program SQL Serveru, například sqlservr.exe (pro databázový stroj). Číslo portu se nezobrazí ve sloupci Místní port na stránce Příchozí pravidla, když používáte modul snap-in brány Windows Firewall s pokročilým zabezpečením v Konzole MMC. Auditování otevřených portů může být obtížné. Dalším aspektem je, že aktualizace Service Pack nebo kumulativní aktualizace mohou změnit cestu ke spustitelnému souboru SQL Serveru a zneplatnit pravidlo brány firewall.
Pokud chcete přidat výjimku pro SQL Server pomocí brány Windows s pokročilým zabezpečením, viz Použití brány Windows s pokročilým zabezpečením dále v tomto článku.
Porty používané službou Analysis Services
Ve výchozím nastavení jsou typické porty používané službou SQL Server Analysis Services a přidružené služby: TCP 2382, 2383, 80, 443. Následující tabulka podrobněji vysvětluje tyto porty.
Následující tabulka uvádí porty, které služba Analysis Services často používá.
| Funkce | Přístav | Komentáře |
|---|---|---|
| Analysis Services | Port TCP 2383 pro výchozí instanci | Standardní port pro výchozí instanci služby Analysis Services. |
| Služba SQL Server Browser | Port TCP 2382 potřebný jenom pro pojmenovanou instanci Analysis Services | Požadavky na připojení klienta pro pojmenovanou instanci služby Analysis Services, které nezadávají číslo portu, jsou směrovány na port 2382, což je port, na kterém prohlížeč SQL Serveru naslouchá. Prohlížeč SQL Serveru pak přesměruje požadavek na port, který pojmenovaná instance používá. |
| Služba Analysis Services nakonfigurovaná pro použití prostřednictvím služby IIS/HTTP (Služba kontingenční tabulky® používá protokol HTTP nebo HTTPS. |
Port TCP 80 | Používá se pro připojení HTTP prostřednictvím adresy URL. |
| Služba Analysis Services nakonfigurovaná pro použití prostřednictvím služby IIS/HTTPS (Služba kontingenční tabulky® používá protokol HTTP nebo HTTPS. |
Port TCP 443 | Používá se pro připojení HTTPS prostřednictvím adresy URL. HTTPS je připojení HTTP, které používá protokol TLS. |
Pokud uživatelé přistupují ke službě Analysis Services prostřednictvím služby IIS a internetu, musíte otevřít port, na kterém služba IIS naslouchá. Dále zadejte port v připojovacím řetězci klienta. V takovém případě není nutné otevírat žádné porty pro přímý přístup ke službě Analysis Services. Výchozí port 2389 a port 2382 by se měl omezit společně se všemi ostatními porty, které nejsou potřeba.
Podrobné pokyny ke konfiguraci brány Windows Firewall pro službu Analysis Services najdete v tématu Konfigurace brány Windows Firewall pro povolení přístupu ke službě Analysis Services.
Porty používané službou Reporting Services
Ve výchozím nastavení jsou typické porty používané službou SQL Server Reporting Services a přidružené služby: TCP 80, 443. Následující tabulka podrobněji vysvětluje tyto porty.
Následující tabulka uvádí porty, které služba Reporting Services často používá.
| Funkce | Přístav | Komentáře |
|---|---|---|
| Webové služby Reporting Services | Port TCP 80 | Používá se pro připojení HTTP ke službě Reporting Services prostřednictvím adresy URL. Doporučujeme nepoužívat předkonfigurované pravidlo pro služby World Wide Web (HTTP) . Další informace najdete v sekci Interakce s jinými pravidly brány firewall dále v tomto článku. |
| Služba Reporting Services nakonfigurovaná pro použití prostřednictvím protokolu HTTPS | Port TCP 443 | Používá se pro připojení HTTPS prostřednictvím adresy URL. HTTPS je připojení HTTP, které používá protokol TLS. Doporučujeme nepoužívat předkonfigurované pravidlo protokolu HTTPS (Secure World Wide Web Services). Další informace najdete v části Interakce s jinými pravidly brány firewall dále v tomto článku. |
Když se služba Reporting Services připojí k instanci databázového stroje nebo služby Analysis Services, musíte také otevřít příslušné porty pro tyto služby. Podrobné pokyny ke konfiguraci brány Windows Firewall pro službu Reporting Services Konfigurace brány firewall pro přístup k serveru sestav.
Porty používané integračními službami
Následující tabulka uvádí porty, které služba Integration Services používá.
| Rys | Přístav | Komentáře |
|---|---|---|
| Vzdálená volání procedur Microsoftu (MS RPC) Používá se modulem integračních služeb runtime. |
Port TCP 135 Viz zvláštní aspekty portu 135 |
Služba Integrační služby používá DCOM na portu 135. Správce řízení služeb používá port 135 k provádění úloh, jako je spuštění a zastavení služby Integration Services a přenos žádostí o řízení do spuštěné služby. Číslo portu nelze změnit. Tento port je potřeba otevřít jenom v případě, že se připojujete ke vzdálené instanci služby Integration Services ze sady Management Studio nebo vlastní aplikace. |
Podrobné pokyny ke konfiguraci brány Windows Firewall pro integrační služby najdete v tématu služba SSIS (Integration Services Service).
Další porty a služby
Následující tabulka uvádí porty a služby, na které může SQL Server záviset.
| Scénář | Přístav | Komentáře |
|---|---|---|
| Instrumentace pro správu Windows Pro více informací o Windows Management Instrumentation (WMI), viz Zprostředkovatel WMI pro správu konfigurace |
Rozhraní WMI běží jako součást hostitele sdílené služby s porty přiřazenými prostřednictvím modelu DCOM. Rozhraní WMI může používat port TCP 135. Viz zvláštní úvahy pro port 135 |
Sql Server Configuration Manager používá rozhraní WMI k výpisu a správě služeb. Doporučujeme použít předkonfigurovanou skupinu pravidel rozhraní WMI (Windows Management Instrumentation). Další informace najdete v části Interakce s ostatními pravidly brány firewall dále v tomto článku. |
| Microsoft Distributed Transaction Coordinator (MS DTC) | Port TCP 135 Viz zvláštní úvahy pro port 135 |
Pokud vaše aplikace používá distribuované transakce, možná budete muset nakonfigurovat bránu firewall tak, aby umožňovala službě Microsoft Distributed Transaction Coordinator (MS DTC) tok provozu mezi samostatnými instancemi MS DTC a mezi MS DTC a správci prostředků, jako je SQL Server. Doporučujeme použít předkonfigurovanou skupinu pravidel koordinátoru distribuovaných transakcí. Pokud je pro celý cluster v samostatné skupině prostředků nakonfigurovaný jeden sdílený MS DTC, měli byste přidat sqlservr.exe jako výjimku brány firewall. |
| Tlačítko procházet v sadě Management Studio používá udp pro připojení ke službě SQL Server Browser. Další informace naleznete v tématu SQL Server Browser Service (služba databázového stroje a SSAS). | UDP port 1434 | UDP je protokol bez připojení. Firewall má nastavení (UnicastResponsesToMulticastBroadcastDisabled Vlastnost rozhraní INetFwProfile), které řídí chování firewallu a jednosměrové odpovědi na vysíláný požadavek UDP (nebo vícesměrový). Má dvě chování: Pokud je nastavení TRUE, nejsou vůbec povoleny žádné jednosměrové odpovědi na vysílání. Vyjmenování služeb se nepodaří.Pokud je nastavení FALSE (výchozí), unicastové odpovědi jsou povoleny po dobu 3 sekund. Doba není konfigurovatelná. V přetížené nebo síti s vysokou latencí, či u silně zatížených serverů, může pokus o vytvoření výčtu instancí SQL Serveru vrátit pouze částečný seznam, což by mohlo uživatele zmást. |
| přenosy protokolu IPsec | Port UDP 500 a PORT UDP 4500 | Pokud zásady domény vyžadují, aby se síťová komunikace prováděla prostřednictvím protokolu IPsec, musíte do seznamu výjimek přidat také port UDP 4500 a port UDP 500. IPsec je volbou při použití Průvodce vytvořením nového příchozího pravidla v modulu snap-in brány Windows Firewall. Další informace najdete v tématu Použití modulu snap-in Brána Windows Firewall s pokročilým zabezpečením dále v tomto článku. |
| Použití ověřování systému Windows s důvěryhodnými doménami | Brány firewall musí být nakonfigurované tak, aby povolovaly žádosti o ověření. | Další informace najdete podle pokynů Jak nakonfigurovat bránu firewall pro domény služby Active Directory a vztahy důvěry. |
| SQL Server a Windows Clustering | Clustering vyžaduje další porty, které přímo nesouvisí s SQL Serverem. | Další informace najdete v tématu Povolení sítě pro použití clusteru. |
| Obory názvů adres URL rezervované v rozhraní API serveru HTTP (HTTP.SYS) | Pravděpodobně port TCP 80, ale je možné ho nakonfigurovat na jiné porty. Obecné informace najdete v tématu Konfigurace protokolu HTTP a HTTPS. | Informace specifické pro SQL Server o rezervaci koncového bodu HTTP.SYS pomocí HttpCfg.exenaleznete v dokumentu O rezervacích adres URL a registraci (Správce konfigurace serveru sestav). |
Zvláštní aspekty pro port 135
Pokud jako přenos používáte RPC s protokolem TCP/IP nebo UDP/IP, příchozí porty se dynamicky přiřazují systémovým službám podle potřeby. Používají se porty TCP/IP a UDP/IP, které jsou větší než port 1024. Porty jsou označovány jako náhodné RPC porty. V těchto případech klienti RPC spoléhají na mapovač koncového bodu RPC, aby jim řekli, které dynamické porty byly přiřazeny k serveru. U některých služeb založených na RPC můžete místo dynamického přiřazení ze strany RPC nakonfigurovat konkrétní port. Můžete také omezit rozsah portů, které RPC dynamicky přiřazuje k malému rozsahu nezávisle na službě. Vzhledem k tomu, že port 135 se používá pro mnoho služeb, je často napaden škodlivými uživateli. Při otevírání portu 135 zvažte omezení rozsahu pravidla brány firewall.
Další informace o portu 135 najdete v následujících odkazech:
- Přehled služby a požadavky na síťový port pro windows
- vzdálené volání procedur (RPC)
- Jak nakonfigurovat dynamické přidělování portů RPC pro spolupráci s bránami firewall
Interakce s jinými pravidly brány firewall
Windows Firewall používá pravidla a skupiny pravidel k vytvoření své konfigurace. Každé pravidlo nebo skupina pravidel je přidruženo k určitému programu nebo službě a tento program nebo služba může toto pravidlo upravit nebo odstranit bez vašeho vědomí. Například skupiny pravidel Služby World Wide Web (HTTP) a Služby World Wide Web (HTTPS) jsou přidruženy ke službě IIS. Povolení těchto pravidel otevře porty 80 a 443 a funkce SQL Serveru, které závisí na funkcích portů 80 a 443, pokud jsou tato pravidla povolená. Správci, kteří konfigurují službu IIS, ale můžou tato pravidla upravit nebo zakázat. Pokud používáte port 80 nebo port 443 pro SQL Server, měli byste vytvořit vlastní pravidlo nebo skupinu pravidel, která udržuje upřednostňovanou konfiguraci portu nezávisle na ostatních pravidlech služby IIS.
Modul snap-in konzoly MMC brány Windows Firewall s pokročilým zabezpečením umožňuje veškerý provoz, který odpovídá jakémukoli příslušnému pravidlu povolení. Pokud tedy existují dvě pravidla, která platí pro port 80 (s různými parametry). Provoz, který odpovídá jednomu pravidlu, je povolený. Pokud tedy jedno pravidlo povoluje provoz přes port 80 z místní podsítě a jedno pravidlo povoluje provoz z jakékoli adresy, je čistým účinkem to, že veškerý provoz na portu 80 je nezávislý na zdroji. Aby správci mohli efektivně spravovat přístup k SQL Serveru, měli by pravidelně kontrolovat všechna pravidla brány firewall povolená na serveru.
Přehled profilů brány firewall
Profily brány firewall jsou využívány operačními systémy k identifikaci a zapamatování jednotlivých sítí podle: připojení, spojením a kategorie.
V bráně Windows Firewall s pokročilým zabezpečením existují tři typy umístění v síti:
Doména: Systém Windows může ověřit přístup k řadiči domény, ke které je počítač připojený.
veřejné: Jiné než doménové sítě, všechny sítě jsou původně zařazeny do kategorií jako veřejné. Sítě, které představují přímé připojení k internetu nebo jsou na veřejných místech, jako jsou letiště a kavárny, by měly zůstat veřejné.
privátní: Síť identifikovaná uživatelem nebo aplikací jako soukromá. Jako privátní sítě by měly být identifikovány pouze důvěryhodné sítě. Uživatelé pravděpodobně chtějí identifikovat domácí nebo malé podnikové sítě jako soukromé.
Správce může vytvořit profil pro každý typ síťového umístění, přičemž každý profil obsahuje různé zásady brány firewall. Používá se pouze jeden profil najednou. Pořadí profilů se použije takto:
Profil domény se použije, pokud se všechna rozhraní ověřují na řadiči domény, jehož členem je počítač.
Pokud jsou všechna rozhraní buď ověřená v řadiči domény, nebo jsou připojená k sítím klasifikovaným jako privátní síťová umístění, použije se privátní profil.
V opačném případě se použije veřejný profil.
Pomocí modulu snap-in Konzoly MMC brány Windows Firewall s pokročilým zabezpečením zobrazte a nakonfigurujte všechny profily brány firewall. Položka brány Windows Firewall v Ovládacích panelech konfiguruje pouze aktuální profil.
Další nastavení brány Windows Firewall pomocí položky v Ovládacích panelech
Přidaná brána firewall může omezit otevření portu pouze na příchozí připojení z konkrétních počítačů nebo místní podsítě. Omezte rozsah otevírání portů, abyste snížili množství zpřístupnění počítače uživatelům se zlými úmysly.
Použití položky brány Windows Firewall v Ovládacích panelech konfiguruje pouze aktuální profil brány firewall.
Změňte rozsah výjimky brány firewall pomocí položky Windows Firewall v Ovládacích panelech.
V Ovládacích panelech v části Windows Firewall vyberte na kartě Výjimky program nebo port a potom vyberte Vlastnosti nebo Upravit.
V dialogovém okně Upravit program nebo Upravit port vyberte Změnit obor.
Zvolte jednu z následujících možností:
Jakýkoli počítač (včetně počítačů na internetu): Nedoporučuje se. Jakýkoli počítač, který může oslovit váš počítač pro připojení ke zadanému programu nebo portu. Toto nastavení může být nezbytné k tomu, aby byly informace prezentovány anonymním uživatelům na internetu, ale zvyšuje vaši expozici uživatelům se zlými úmysly. Povolením tohoto nastavení lze procházet překlad adres (NAT), čímž se zvýší expozice, například u možnosti procházení EDGE.
Moje síť (podsíť) pouze: Bezpečnější nastavení než Jakýkoli (libovolný) počítač. K programu nebo portu se můžou připojit jenom počítače v místní podsíti vaší sítě.
vlastní seznam: Připojit se můžou jenom počítače, které mají uvedené IP adresy. Bezpečné prostředí může být bezpečnější než moje síť (podsíť) pouze, ale klientské počítače používající protokol DHCP mohou příležitostně změnit svou IP adresu, což znemožňuje připojení. Jiný počítač, který jste nechtěli autorizovat, může přijmout uvedenou IP adresu a připojit se k ní. Vlastní seznam je vhodný pro výpis jiných serverů, které jsou nakonfigurované tak, aby používaly pevnou IP adresu.
Vetřelci můžou falšovat IP adresy. Omezení pravidel firewallu jsou jen tak účinná jako vaše síťová infrastruktura.
Použití modulu snap-in Brána Windows Firewall s pokročilým zabezpečením
Rozšířená nastavení brány firewall lze nakonfigurovat pomocí Windows Firewall s pokročilým zabezpečením MMC snap-in. Modul snap-in obsahuje průvodce pravidlem a nastavení, která nejsou dostupná v bráně Windows Firewall v Ovládacích panelech. Mezi tato nastavení patří:
- Nastavení šifrování
- Omezení služeb
- Omezení připojení pro počítače podle názvu
- Omezení připojení ke konkrétním uživatelům nebo profilům
- Prostup přes okraj umožňující provozu obejít směrovače překladu síťových adres (NAT)
- Konfigurace odchozích pravidel
- Konfigurace pravidel zabezpečení
- Vyžadování protokolu IPsec pro příchozí připojení
Vytvoření nového pravidla brány firewall pomocí průvodce novým pravidlem
- V nabídce Start vyberte Spustit, zadejte
wf.msca pak vyberte OK. - V brány Windows Firewall s pokročilým zabezpečenímv levém podokně klikněte pravým tlačítkem na Příchozí pravidlaa vyberte Nové pravidlo.
- Dokončete Průvodce novým příchozím pravidlem pomocí požadovaných nastavení.
Přidání výjimky programu pro spustitelný soubor SQL Serveru
V nabídce Start zadejte
wf.msc. Stisknutím klávesy Enter nebo výběremwf.mscvýsledků hledání otevřete bránu firewall v programu Windows Defender s pokročilým zabezpečením.V levém podokně vyberte příchozí pravidla.
V pravém podokně v části Akcevyberte Nové pravidlo.... otevře se Průvodce novým příchozím pravidlem.
Vyberte v Typ pravidlamožnost Program. Vyberte Další.
V Programvyberte tuto cestu programu. Vyberte Procházet a vyhledejte instanci SQL Serveru. Program se nazývá
sqlservr.exe. Obvykle se nachází vC:\Program Files\Microsoft SQL Server\MSSQL<VersionNumber>.<InstanceName>\MSSQL\Binn\sqlservr.exe. Vyberte Další.V akcevyberte Povolit připojení. Vyberte Další.
Na profilu zahrnout všechny tři profily. Vyberte Další.
V Názevzadejte název pravidla. Vyberte Dokončit.
Další informace o koncových bodech viz:
Nakonfigurujte databázový stroj tak, aby naslouchal na více portech TCP
Zobrazení katalogu koncových bodů (Transact-SQL)
Řešení problémů s nastavením firewallu
Při řešení potíží s bránou firewall můžou být užitečné následující nástroje a techniky:
Efektivní stav portu je sjednocení všech pravidel souvisejících s portem. Při pokusu o blokování přístupu k portu může být užitečné zkontrolovat všechna pravidla, která citují číslo portu. Pomocí snap-in konzoly MMC pro rozšířené zabezpečení brány Windows Firewall zkontrolujte pravidla a seřaďte příchozí a odchozí pravidla podle čísla portu.
Zkontrolujte porty, které jsou aktivní v počítači, na kterém běží SQL Server. Proces kontroly zahrnuje ověření, které porty TCP/IP naslouchají a ověření stavu portů.
Nástroj PortQry lze použít k hlášení stavu portů TCP/IP jako poslouchá, nenaslouchá nebo filtrované. (Nástroj nemusí obdržet odpověď z portu, pokud má filtrovaný stav.) Nástroj PortQry je k dispozici ke stažení z webu Microsoft Download Center.
Seznam portů TCP/IP, které naslouchají
Pokud chcete ověřit, které porty naslouchají, pomocí nástroje příkazového řádku netstat zobrazte aktivní připojení TCP a statistiky IP.
Otevřete okno příkazového řádku.
Na příkazovém řádku zadejte
netstat -n -a.Přepínač
-ndává pokyn, netstat číselně zobrazit adresu a počet portů aktivních připojení TCP. Přepínač-ainstruuje netstat k zobrazení portů TCP a UDP, na kterých počítač naslouchá.