Konfigurieren Sie Windows-Firewall für Datenbank-Engine-Zugriff
Gilt für: SQL Server
In diesem Artikel wird beschrieben, wie Windows-Firewall für Datenbank-Engine-Zugriff in SQL Server mithilfe des SQL Server-Konfigurations-Managers konfiguriert wird. Durch Firewallsysteme kann der nicht autorisierte Zugriff auf Computerressourcen verhindert werden. Um über eine Firewall auf eine Instanz von SQL Server-Datenbank-Engine zugreifen zu können, müssen Sie die Firewall auf dem Computer mit SQL Server entsprechend konfigurieren.
Weitere Informationen zu den Standardeinstellungen der Windows-Firewall und eine Beschreibung der TCP-Ports, die sich auf das Datenbank-Engine, die Analysis Services, die Reporting Servicesund die Integration Servicesauswirken, finden Sie unter Konfigurieren der Windows-Firewall für den SQL Server-Zugriff. Es gibt zahlreiche verschiedene Firewallsysteme auf dem Markt. Informationen zu den für Ihr System relevanten Einstellungen finden Sie in der Firewalldokumentation.
Die wichtigsten Schritte zum Konfigurieren des Zugriffs werden im Folgenden beschrieben:
Konfigurieren Sie Datenbank-Engine für die Verwendung eines bestimmten TCP/IP-Ports. In der Standardinstanz von Datenbank-Engine wird Port 1433 verwendet. Sie können diese Einstellung jedoch ändern. Der vom Datenbank-Engine verwendete Port ist im SQL Server -Fehlerprotokoll aufgeführt. Instanzen von SQL Server Express, SQL Server Compact und benannte Instanzen von Datenbank-Engine verwenden dynamische Ports. Informationen zum Konfigurieren dieser Instanzen zum Verwenden eines bestimmten Ports finden Sie unter Konfigurieren eines Servers zur Überwachung eines bestimmten TCP-Ports (SQL Server-Konfigurations-Manager).
Konfigurieren Sie die Firewall so, dass autorisierten Benutzern oder Computern der Zugriff auf diesen Port gewährt wird.
Mit dem SQL Server -Browser-Dienst können Benutzer ohne Kenntnis der Portnummer Verbindungen mit Instanzen von Datenbank-Engine herstellen, die nicht den Port 1433 überwachen. Wenn Sie SQL Server -Browser verwenden möchten, müssen Sie UDP-Port 1434 öffnen. Um eine möglichst sichere Umgebung zu erzielen, lassen Sie den SQL Server -Browser-Dienst beendet, und konfigurieren Sie die Clients so, dass sie Verbindungen mithilfe der Portnummer herstellen müssen.
Standardmäßig wird die Windows-Firewall von Microsoft Windows aktiviert. Damit wird Port 1433 geschlossen, um zu verhindern, dass Internetcomputer Verbindungen mit einer Standardinstanz von SQL Server auf Ihrem Computer herstellen. Verbindungen zur Standardinstanz über TCP/IP sind nicht möglich, außer wenn Sie Port 1433 öffnen. Die grundlegenden Schritte für die Konfiguration der Windows-Firewall werden in den folgenden Verfahren beschrieben. Weitere Informationen finden Sie in der Windows-Dokumentation.
Als Alternative zum Konfigurieren von SQL Server für das Lauschen an einem festen Port und zum Öffnen des Ports können Sie die ausführbare SQL Server -Datei (Sqlservr.exe) als Ausnahme in die Liste der blockierten Programme aufnehmen. Verwenden Sie diese Methode, wenn Sie weiterhin dynamische Ports verwenden möchten. Auf diese Weise kann nur auf eine einzige Instanz von SQL Server zugegriffen werden.
Sicherheit
Das Öffnen von Ports in der Firewall kann dazu führen, dass der Server böswilligen Angriffen ausgesetzt ist. Daher sollten Sie Ports grundsätzlich nur dann öffnen, wenn Sie sicher sind, dass Sie das Konzept von Firewallsystemen verstanden haben. Weitere Informationen finden Sie unter Security Considerations for a SQL Server Installation.
Verwenden Sie Windows-Firewall mit erweiterter Sicherheit
Anhand der folgenden Prozeduren wird die Windows-Firewall unter Verwendung des MMC-Snap-Ins (Microsoft Management Console) "Windows-Firewall mit erweiterter Sicherheit" konfiguriert. Von der Windows-Firewall mit erweiterter Sicherheit wird nur das aktuelle Profil konfiguriert. Weitere Informationen über die Windows-Firewall mit erweiterter Sicherheit finden Sie unter Konfigurieren der Windows-Firewall für den SQL Server-Zugriff.
Öffnen Sie einen Port in der Windows-Firewall für den TCP-Zugriff
Klicken Sie im Menü Start auf Ausführen, geben Sie WF.msc ein, und klicken Sie anschließend auf OK.
Klicken Sie im linken Bereich der Windows-Firewall mit erweiterter Sicherheit mit der rechten Maustaste auf Eingehende Regeln, und wählen Sie dann im Aktionsbereich Neue Regel aus.
Wählen Sie im Dialogfeld Regeltyp die Option Port aus, und klicken Sie anschließend auf Weiter.
Wählen Sie im Dialogfeld Protokoll und Ports die Option TCPaus. Wählen Sie Bestimmte lokale Portsaus, und geben Sie anschließend die Portnummer der Instanz von Datenbank-Engineein, z.B.
1433
für die Standardinstanz. Wählen Sie Weiter aus.Wählen Sie im Dialogfeld Aktion die Option Verbindung zulassen aus, und klicken Sie anschließend auf Weiter.
Wählen Sie im Dialogfeld Profil beliebige Profile aus, die die Verbindungsumgebung des Computers beschreiben, wenn Sie eine Verbindung mit der Datenbank-Engine herstellen möchten, und klicken Sie dann auf Weiter.
Geben Sie im Dialogfeld Name einen Namen und eine Beschreibung für diese Regel ein, und klicken Sie dann auf Fertig stellen.
Ermöglichen Sie den Zugriff auf SQL Server bei der Verwendung von dynamischen Ports
Klicken Sie im Menü Start auf Ausführen, geben Sie WF.msc ein, und klicken Sie anschließend auf OK.
Klicken Sie im linken Bereich der Windows-Firewall mit erweiterter Sicherheit mit der rechten Maustaste auf Eingehende Regeln, und wählen Sie dann im Aktionsbereich Neue Regel aus.
Wählen Sie im Dialogfeld Regeltyp die Option Programm aus, und klicken Sie anschließend auf Weiter.
Wählen Sie im Dialogfeld Programm die Option Dieser Programmpfadaus. Klicken Sie auf Durchsuchen, navigieren Sie zu der Instanz von SQL Server, auf die Sie über die Firewall zugreifen möchten, und klicken Sie dann auf Öffnen. SQL Server befindet sich standardmäßig bei
C:\Program Files\Microsoft SQL Server\MSSQLXX.MSSQLSERVER\MSSQL\Binn\Sqlservr.exe
. Wählen Sie Weiter aus. Die VersionMSSQLXX
bezieht sich auf Ihre Version von SQL Server.Wählen Sie im Dialogfeld Aktion die Option Verbindung zulassen aus, und klicken Sie anschließend auf Weiter.
Wählen Sie im Dialogfeld Profil beliebige Profile aus, die die Verbindungsumgebung des Computers beschreiben, wenn Sie eine Verbindung mit der Datenbank-Engine herstellen möchten, und klicken Sie dann auf Weiter.
Geben Sie im Dialogfeld Name einen Namen und eine Beschreibung für diese Regel ein, und klicken Sie dann auf Fertig stellen.