Konfigurowanie zapory systemu Windows w celu umożliwienia dostępu do programu SQL Server
Systemy zapory pomagają zapobiegać nieautoryzowanemu dostępowi do zasobów komputera.Jeśli Zapora jest włączony, ale nie poprawnie skonfigurowane, próbuje połączyć się z SQL Server może być wtedy blokowana.
Aby uzyskać dostęp do wystąpienia programu SQL Server przez zaporę, należy skonfigurować zaporę na komputerze z programem SQL Server w celu umożliwienia dostępu.Zapora jest składnikiem systemu Microsoft Windows.Można również zainstalować zaporę innej firmy.W tym temacie opisano, jak skonfigurować zaporę systemu Windows, ale podstawowe zasady stosuje się do innych programów zapory.
Ostrzeżenie
Ten temat zawiera omówienie konfiguracji zapory i podsumowuje informacje ważne dla administratora programu SQL Server.Aby uzyskać więcej informacji o zaporze i wiarygodne informacje zapory, zobacz dokumentację zapory, taką jak Zapora systemu Windows z zabezpieczeniami zaawansowanymi i IPsec i Zapora systemu Windows z zabezpieczeniami zaawansowanymi — mapa drogowa zawartości.
Użytkownicy znający element Zapora systemu Windows w Panelu sterowania oraz przystawkę Zapora systemu Windows z zabezpieczeniami zaawansowanymi w programie Microsoft Management Console (MMC) oraz wiedzący, które ustawienia zapory chcą skonfigurować, mogą przejść bezpośrednio do tematów na następującej liście:
W tym temacie
Ten temat zawiera następujące sekcje:
Podstawowe informacje o zaporze
Domyślne ustawienia zapory
Programy do konfigurowania zapory
Porty używane przez aparat bazy danych
Porty używane przez usługę Analysis Services
Porty używane przez usługę Reporting Services
Porty używane przez usługę Integration Services
Dodatkowe porty i usługi
Interakcja z innymi zasadami zapory
Przegląd informacji o profilach zapory
Dodatkowe ustawienia zapory przy użyciu elementu Zapora systemu Windows w Panelu sterowania
Korzystanie z przystawki Zapora systemu Windows z zabezpieczeniami zaawansowanymi
Rozwiązywanie problemów z ustawieniami zapory
Podstawowe informacje o zaporze
Zapory kontrolują przychodzące pakiety i porównują je z zestawem reguł.Jeżeli zasady zezwalają na pakiet, zapora przekazuje go do protokołu TCP/IP w celu dodatkowego przetworzenia.Jeśli zasady nie zezwalają na pakiet, zapora odrzuca go i, jeśli rejestrowanie jest włączone, tworzy wpis w pliku dziennika zapory.
Lista dozwolonego ruchu wypełniana jest jedną z następujących metod:
Gdy na komputerze z włączoną zaporą inicjuje komunikację, zapora tworzy wpis na liście, aby odpowiedź była dozwolona.Przychodząca odpowiedź jest uważana za ruch na żądanie i nie trzeba jej konfigurować.
Administrator konfiguruje wyjątki zapory.Dzięki temu istnieje dostęp do określonych programów uruchomionych na komputerze lub do określonego portów połączenia na komputerze użytkownika.W takim przypadku komputer akceptuje niepożądany ruch przychodzący, kiedy działa jako serwer, odbiornik lub element równorzędny.Typ konfiguracji musi być wprowadzony w celu połączenia się z programem SQL Server.
Wybranie strategii zapory to więcej niż tylko zdecydowanie, czy dany port powinien być otwarty, czy zamknięty.Podczas projektowania strategii zapory dla przedsiębiorstwa upewnij się, że rozważone zostały wszystkie zasady i dostępne opcje konfiguracji.Tan temat nie obejmuje wszystkich możliwych opcji zapory.Zaleca się przejrzenie następujących dokumentów:
Wprowadzenie — przewodnik po Zaporze systemu Windows z zabezpieczeniami zaawansowanymi
Przewodnik po projektowaniu Zapory systemu Windows z zabezpieczeniami zaawansowanymi
Domyślne ustawienia zapory
Pierwszym krokiem w planowaniu konfiguracji zapory jest ustalenie bieżącego stanu zapory danego systemu operacyjnego.Jeśli system operacyjny został uaktualniony z poprzedniej wersji, wcześniejsze ustawienia zapory mogły zostały przechowane.Ponadto ustawienia zapory mogły zostały zmienione przez innego administratora lub przez zasady grupy w domenie.Jednak ustawienia domyślne są następujące:
Windows Server 2008
Zapora jest włączona i blokowane są połączenia zdalne.
Windows Server 2003
Zapora jest wyłączona.Administratorzy powinni rozważyć włączenie zapory.
Windows Vista
Zapora jest włączona i blokowane są połączenia zdalne.
System Windows XP z dodatkiem Service Pack 2 lub późniejszym
Zapora jest włączona i blokowane są połączenia zdalne.
System Windows XP z dodatkiem Service Pack 1 lub wcześniejszym
Zapora jest wyłączona i powinna zostać włączona.
Ostrzeżenie
Włączanie zapory będzie mieć wpływ na inne programy, które mają dostęp do tego komputera, takie jak udostępnianie plików i drukarek oraz połączenia pulpitu zdalnego.Administratorzy powinni zastanowić się nad wszystkimi aplikacjami uruchomionymi na komputerze przed dostosowaniem ustawień zapory.
Programy do konfigurowania zapory
Istnieją trzy sposoby konfigurowania ustawień zapory systemu Windows.
Element Zapora systemu Windows w Panelu sterowania
Element Zapora systemu Windows można otworzyć z Panelu sterowania.
.gif "Ważna informacja")
Ważne:Zmiany w elemencie Zapora systemu Windows w Panelu sterowania wpływają tylko na bieżący profil.Na urządzeniach przenośnych, na przykład laptopie, nie należy korzystać z elementu Zapora systemu Windows w Panelu sterowania, gdyż profil może się zmienić, gdy jest podłączony w innej konfiguracji.Później uprzednio skonfigurowany profil nie będzie działał.Aby uzyskać więcej informacji o profilach, zobacz Wprowadzenie — przewodnik po Zaporze systemu Windows z zabezpieczeniami zaawansowanymi.
Element Zapora systemu Windows w Panelu sterowania pozwala skonfigurować opcje podstawowe.Należą do nich:
Włączanie i wyłączanie elementu Zapora systemu Windows w Panelu sterowania
Włączanie i wyłączanie reguł
Udzielanie wyjątków dla portów i programów
Ustawianie niektórych ograniczeń zakresu
Element Zapora systemu Windows w Panelu sterowania jest najbardziej odpowiedni dla użytkowników, którzy nie mają doświadczenia z konfiguracją zapory i konfigurują podstawowe opcje zapory dla komputerów nieprzenośnych.Element Zapora systemu Windows w Panelu sterowania można również otworzyć poleceniem run za pomocą następującej procedury:
Aby otworzyć element Zapora systemu Windows
W menu Start kliknij polecenie Uruchom i wprowadź firewall.cpl.
Kliknij przycisk OK.
Program Microsoft Management Console (MMC)
Przystawka programu MMC Zapora systemu Windows z zabezpieczeniami zaawansowanymi pozwala skonfigurować bardziej zaawansowane ustawienia zapory.Ta przystawka jest dostępna tylko w systemach Microsoft Vista i Windows Server 2008; przedstawia jednak większość opcji zapory w łatwy w użyciu sposób i zawiera wszystkie profile zapory.Aby uzyskać więcej informacji, zobacz Korzystanie z przystawki Zapora systemu Windows z zabezpieczeniami zaawansowanymi dalej w tym temacie.
netsh
Narzędzie netsh.exe może być używane przez administratora do konfigurowania i monitorowania komputerów z systemem Windows za pomocą wiersza polecenia lub przy użyciu pliku wsadowego**.** Za pomocą narzędzia netsh można skierować wprowadzone polecenia kontekstowe do odpowiedniego pomocnika. Następnie pomocnik wykonuje polecenie.Pomocnik jest to plik biblioteki dołączanej dynamicznie (.dll), który rozszerza funkcje narzędzia netsh o konfigurację, monitorowanie i obsługę jednego lub więcej narzędzi, usług czy protokołów.Wszystkie systemy operacyjne obsługujące program SQL Server mają pomocnika zapory.Systemy Microsoft Windows Vista i Windows Server 2008 również mają pomocnika zapory zaawansowanej o nazwie advfirewall.Szczegóły korzystania z narzędzia netsh nie są omówione w tym temacie.Jednak wiele opisanych opcji konfiguracji może być skonfigurowanych przy użyciu narzędzia netsh. Na przykład można uruchomić następujący skrypt w wierszu polecenia, aby otworzyć port TCP 1433:
netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENTPodobny przykład przy użyciu pomocnika Zapory systemu Windows z zabezpieczeniami zaawansowanymi:
netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAINJeśli chodzi o skrypty do konfigurowania programu SQL Server za pomocą narzędzia netsh, zobacz Jak używać skryptu do programowego otwierania portów dla programu SQL Server w celu używania w systemach korzystających z systemu Windows XP z dodatkiem Service Pack. Aby uzyskać więcej informacji o narzędziu netsh, skorzystaj z następujących łączy:
Porty używane przez program SQL Server
Następujące tabele mogą pomóc w identyfikacji portów używanych przez program SQL Server.
Porty używane przez aparat bazy danych
W poniższej tabeli wymieniono porty często używane przez Aparat baz danych.
Scenariusz |
Port |
Komentarze |
|---|---|---|
Domyślnie wystąpienie programu SQL Serveruruchomione za pośrednictwem protokołu TCP |
Port TCP 1433 |
Jest to najbardziej typowy port dozwolony przez zaporę.Odnosi się do rutynowych połączeń z instalacją domyślną usługi Aparat baz danych lub nazwanego wystąpienia, które jest jedynym wystąpieniem uruchomionym na komputerze.(Nazwane wystąpienia mają specjalne względy.Zobacz Porty dynamiczne dalej w tym temacie.) |
Nazwane wystąpienia programu SQL Server w konfiguracji domyślnej |
Port TCP jest portem dynamicznym określanym w momencie uruchamiania usługi Aparat baz danych. |
Zobacz omówienie poniżej w sekcji Porty dynamiczne.Podczas korzystania z wystąpień nazwanych wymagany może być port UDP 1434 dla usługi Przeglądarka programu SQL Server. |
Nazwane wystąpienia programu SQL Server skonfigurowane do używania stałego portu |
Numer portu skonfigurowany przez administratora. |
Zobacz omówienie poniżej w sekcji Porty dynamiczne. |
Dedykowane połączenie administracyjne |
Port TCP 1434 dla domyślnego wystąpienia.Inne porty są używane dla potrzeb wystąpień nazwanych.Sprawdź dziennik błędów dla numeru portu. |
Domyślnie połączenia zdalne do dedykowanego połączenia administracyjnego (DAC) nie są włączone.Aby włączyć zdalne DAC, użyj zestawu reguł Konfiguracja obszaru powierzchni.Aby uzyskać więcej informacji, zobacz Opis konfiguracji obszaru powierzchni. |
Usługa Przeglądarka programu SQL Server |
Port UDP 1434 |
Usługa Przeglądarka programu SQL Server nasłuchuje połączeń przychodzących do nazwanego wystąpienia i dostarcza klientowi numer portu TCP odpowiadający temu wystąpieniu.Normalnie usługa Przeglądarka programu SQL Server jest uruchamiany przy każdym użyciu nazwanego wystąpienia usługi Aparat baz danych.Usługa Przeglądarka SQL Server nie powinna być uruchamiana, jeśli klient jest skonfigurowany do połączenia z określonym portem wystąpienia nazwanego. |
Wystąpienie programu SQL Server uruchomione za pośrednictwem punktu końcowego HTTP. |
Można określić podczas tworzenia punktu końcowego HTTP.Wartość domyślna to port TCP 80 dla ruchu CLEAR_PORT i 443 dla ruchu SSL_PORT. |
Używany dla połączeń HTTP za pośrednictwem adresu URL. |
Wystąpienie domyślne programu SQL Server uruchomione za pośrednictwem punktu końcowego HTTPS. |
Port TCP 443 |
Używany dla połączeń HTTPS za pośrednictwem adresu URL.HTTPS jest to połączenie HTTP korzystające z protokołu Secure Sockets Layer (SSL). |
Service Broker |
Port TCP 4022.Aby sprawdzić używany port, wykonaj następujące zapytanie: SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'SERVICE_BROKER' |
Nie ma domyślnego portu dla programu SQL Server Service Broker, ale jest to konfiguracja konwencjonalna, używana w przykładach w dokumentacji Książki online. |
Dublowanie bazy danych |
Port wybrany przez administratora.Aby określić port, wykonaj następujące zapytanie: SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'DATABASE_MIRRORING' |
Nie ma domyślnego portu dla dublowania bazy danych, jednak przykłady w Książkach online korzystają z portu TCP 7022.Jest ważne, aby uniknąć zakłócania używanego punktu końcowego dublowania, szczególnie w trybie wysokiego bezpieczeństwa z automatyczną pracą awaryjną.Konfiguracja zapory należy zapobiec przerywaniu kworum.Aby uzyskać więcej informacji, zobacz Określanie adresu sieciowego serwera (dublowania bazy danych). |
Replikacja |
Połączenia replikacji do programu SQL Server korzystają z typowych, zwyczajnych portów usługi Aparat baz danych (port TCP 1433 dla domyślnego wystąpienia itp.). Synchronizacja sieci Web i dostęp FTP/UNC dla migawki replikacji wymagają otwarcia na zaporze dodatkowych portów.Aby przenieść pierwotne dane i schemat z jednej lokalizacji do innej, replikacja można użyć protokołu FTP (port TCP 21) lub synchronizacji za pośrednictwem protokołu HTTP (port TCP 80), lub też udostępniania plików i drukarek (porty TCP 137, 138 lub 139). |
Do synchronizacji za pośrednictwem protokołu HTTP replikacja używa punktu końcowego usługi IIS (porty dla niego można konfigurować, ale domyślnie jest to port 80), ale proces IIS łączy się z wewnętrzną bazą danych programu SQL Server za pośrednictwem standardowych portów (1433 dla domyślnego wystąpienia). Podczas synchronizacji sieci Web za pomocą protokołu FTP, transfer FTP zachodzi między usługami IIS i wydawcą programu SQL Server, a nie między subskrybentem i usługami IIS. Aby uzyskać więcej informacji, zobacz Konfigurowanie programu Microsoft Internet Security and Acceleration Server dla replikacji programu Microsoft SQL Server 2000 przez Internet. |
Debuger Transact-SQL |
Port TCP 135 Zobacz Uwagi dotyczące portu 135 Może być także wymagany wyjątek IPsec. |
Jeśli korzysta się z programu Visual Studio, na komputerze-hoście programu Visual Studio należy również dodać Devenv.exe do listy wyjątków i otworzyć port TCP 135. Jeśli korzysta się z programu Management Studio, na komputerze-hoście programu Management Studio należy również dodać ssms.exe do listy wyjątków i otworzyć port TCP 135.Aby uzyskać więcej informacji, zobacz Konfigurowanie Debugger języka Transact-SQL. |
Aby uzyskać instrukcje krok po kroku dotyczące konfigurowania Zapory systemu Windows dla aparatu Aparat baz danych, zobacz Jak: Konfigurowanie Zapory systemu Windows dla dostępu aparatu bazy danych.
Porty dynamiczne
Domyślnie nazwane wystąpienia (łącznie z programem SQL Server Express) korzystają z portów dynamicznych.Oznacza to, że Aparat baz danych przy każdym uruchomieniu identyfikuje dostępny port i korzysta z tego numeru portu.Jeśli nazwane wystąpienie jest jedynym zainstalowanym wystąpieniem usługi Aparat baz danych, to będzie prawdopodobnie używać portu TCP 1433.Jeśli zainstalowane są inne wystąpienia usługi Aparat baz danych, będą prawdopodobnie używać różnych portów TCP.Ponieważ wybrany port może się zmienić za każdym razem, gdy uruchomiony jest Aparat baz danych, trudno jest tak skonfigurować zaporę, aby umożliwić dostęp do właściwego numeru portu.Dlatego, jeśli używana jest zapora, zalecamy ponowne skonfigurowanie usługi Aparat baz danych, aby przez cały czas używała tego samego numeru portu.Jest on nazywany portem stałym lub statycznym.Aby uzyskać więcej informacji, zobacz Configuring a Fixed Port.
Alternatywą do konfigurowania wystąpienia nazwanego do nasłuchu na porcie stałym jest utworzenie wyjątku w zaporze dla programu SQL Server, takiego jak sqlservr.exe (dla usługi Aparat baz danych).Może to być wygodne, ale numer portu nie pojawi się w kolumnie Port lokalny na stronie Reguły ruchu przychodzącego, w przypadku gdy używana będzie przystawka programu MMC Zapora systemu Windows z zabezpieczeniami zaawansowanymi.Badanie, które porty są otwarte, może wtedy stać się trudniejsze. Innym zagrożeniem jest fakt, że dodatek service pack lub aktualizacja zbiorcza może zmienić ścieżkę do pliku wykonywalnego programu SQL Server, co unieważni regułę zapory.
Ostrzeżenie
Poniższa procedura używa elementu Zapora systemu Windows w Panelu sterowania.Przystawka programu MMC Zapora systemu Windows z zabezpieczeniami zaawansowanymi może skonfigurować bardziej skomplikowaną regułę.Obejmuje ona skonfigurowanie wyjątków usługi, które mogą być użyteczne dla zapewnienia obrony w głębi.Zobacz Korzystanie z przystawki Zapora systemu Windows z zabezpieczeniami zaawansowanymi poniżej.
Aby dodać wyjątek programowy do zapory za pomocą elementu Zapora systemu Windows w Panelu sterowania.
Na karcie Wyjątki elementu Zapora systemu Windows w Panelu sterowania kliknij przycisk Dodaj program.
Przejdź do lokalizacji wystąpienia programu SQL Server, które ma uzyskać dostęp przez zaporę, na przykład C:\Program Files\Microsoft SQL Server\MSSQL10_50.<instance_name>\MSSQL\Binn, wybierz sqlservr.exe, a następnie kliknij przycisk Otwórz.
Kliknij przycisk OK.
Aby uzyskać więcej informacji dotyczących punktów końcowych, zobacz Protokoły i punkty końcowe TDS i Widoki wykazu punktów końcowych (Transact-SQL).
Porty używane przez usługę Analysis Services
W poniższej tabeli wymieniono porty często używane przez usługę Usługi Analysis Services.
Funkcja |
Port |
Komentarze |
|---|---|---|
Usługi Analysis Services |
Port TCP 2383 dla domyślnego wystąpienia |
Port standardowy dla domyślnego wystąpienia usługi Usługi Analysis Services. |
Usługa Przeglądarka programu SQL Server |
Port TCP 2382 potrzebny tylko dla nazwanego wystąpienia usługi Usługi Analysis Services |
Żądania połączeń klienckich nazwanego wystąpienia usługi Usługi Analysis Services, które nie mają określanego numeru portu, są skierowane do portu 2382, czyli portu, na którym nasłuchuje Przeglądarka programu SQL Server.Przeglądarka programu SQL Serverprzekierowuje następnie żądanie do portu używanego przez wystąpienie nazwane. |
Usługa Usługi Analysis Services skonfigurowana do użycia za pośrednictwem usług IIS/HTTP (Usługa PivotTable® używa protokołu HTTP lub HTTPS) |
Port TCP 80 |
Używany dla połączeń HTTP za pośrednictwem adresu URL. |
Usługa Usługi Analysis Services skonfigurowana do użycia za pośrednictwem usług IIS/HTTPS (Usługa PivotTable® używa protokołu HTTP lub HTTPS) |
Port TCP 443 |
Używany dla połączeń HTTPS za pośrednictwem adresu URL.HTTPS jest to połączenie HTTP korzystające z protokołu Secure Sockets Layer (SSL). |
Jeśli użytkownicy uzyskują dostęp do usługi Usługi Analysis Services za pośrednictwem usług IIS i Internetu, należy otworzyć port, na którym nasłuchują usługi IIS, i określić port w ciągu połączenia klienckiego.W tym przypadku nie porty muszą być otwarte dla bezpośredniego dostępu do usługi Usługi Analysis Services.Domyślny port 2389 i port 2382 powinny zostać ograniczone wraz z wszystkimi innymi portami, które nie są wymagane.
Aby uzyskać instrukcje krok po kroku dotyczące konfigurowania Zapory systemu Windows dla usługi Usługi Analysis Services, zobacz Konfigurowanie Zapory systemu Windows dla Analysis Services dostępu.
Porty używane przez usługę Reporting Services
W poniższej tabeli wymieniono porty często używane przez usługę Reporting Services.
Funkcja |
Port |
Komentarze |
|---|---|---|
Usługi sieci Web usługi Reporting Services |
Port TCP 80 |
Używany dla połączenia HTTP do usługi Reporting Services za pośrednictwem adresu URL.Zaleca się, aby nie używać wstępnie skonfigurowanej reguły Usługi sieci World Wide Web (HTTP).Aby uzyskać więcej informacji, zobacz sekcję Interakcja z innymi regułami zapory poniżej. |
Usługa Reporting Services skonfigurowana do użycia za pośrednictwem protokołu HTTPS |
Port TCP 443 |
Używany dla połączeń HTTPS za pośrednictwem adresu URL.HTTPS jest to połączenie HTTP korzystające z protokołu Secure Sockets Layer (SSL).Zaleca się, aby nie używać wstępnie skonfigurowanej reguły Usługi bezpiecznej sieci World Wide Web (HTTP).Aby uzyskać więcej informacji, zobacz sekcję Interakcja z innymi regułami zapory poniżej. |
Gdy usługa Reporting Services łączy się z wystąpieniem usługi Aparat baz danych lub Usługi Analysis Services, należy również otworzyć odpowiednie porty dla tych usług.Aby uzyskać instrukcje krok po kroku dotyczące konfigurowania Zapory systemu Windows dla usługi Reporting Services, zobacz Jak Konfigurowanie zapory dla raportu serwera dostępu.
Porty używane przez usługę Integration Services
W poniższej tabeli wymieniono porty używane przez usługę Integration Services.
Funkcja |
Port |
Komentarze |
|---|---|---|
Zdalne wywoływanie procedur Microsoft (MS RPC) Używany przez usługę Integration Services w czasie wykonywania. |
Port TCP 135 Zobacz Uwagi dotyczące portu 135 |
Usługa Integration Services używa modelu DCOM na porcie 135.Menedżer sterowania usługami używa portu 135 do wykonywania zadań, takich jak uruchamianie i zatrzymywanie usługi Integration Services i przekazywania żądań kontroli do uruchomionej usługi. Nie można zmienić numeru portu. Ten port musi być otwarty tylko, jeśli następuje połączenie ze zdalnym wystąpieniem usługi Integration Services z programu Management Studio lub aplikacji niestandardowej. |
Aby uzyskać instrukcje krok po kroku dotyczące konfigurowania Zapory systemu Windows dla usługi Integration Services, zobacz Konfigurowanie Zapory systemu Windows dla dostępu do usług integracji i Jak Konfigurowanie Zapory systemu Windows dla usługi integracji.
Dodatkowe porty i usługi
Poniższa tabela zawiera listę portów i usług, od których może zależeć program SQL Server.
Scenariusz |
Port |
Komentarze |
|---|---|---|
Instrumentacja zarządzania Windows Aby uzyskać więcej informacji dotyczących usługi WMI, zobacz Dostawca WMI dla pojęć związanych z zarządzaniem konfiguracji. |
WMI działa jako część hosta usługi udostępnionej z portów przypisanych przez model DCOM.Usługa WMI może używać portu TCP 135. Zobacz Uwagi dotyczące portu 135 |
Menedżer konfiguracji programu SQL Server używa usługi WMI do tworzenia listy usług i zarządzania nimi.Firma Microsoft zaleca użycie grupy wstępnie skonfigurowanych reguł Instrumentacji zarządzania Windows (WMI).Aby uzyskać więcej informacji, zobacz sekcję Interakcja z innymi regułami zapory poniżej. |
Microsoft Distributed Transaction Coordinator (MS DTC) |
Port TCP 135 Zobacz Uwagi dotyczące portu 135 |
Jeśli aplikacja używa transakcji rozproszonych, czasami trzeba skonfigurować zaporę, aby umożliwić usłudze Microsoft Distributed Transaction Coordinator (MS DTC) ruch między osobnymi wystąpieniami usługi MS DTC oraz między usługą MS DTC i menedżerami zasobów, takimi jak program SQL Server. Firma Microsoft zaleca użycie wstępnie skonfigurowanej grupy zasad Koordynator transakcji rozproszonych. Gdy jedno udostępnione wystąpienie usługi MS DTC jest skonfigurowane dla całego klastra w oddzielnej grupie zasobów, należy dodać sqlservr.exe jako wyjątek do zapory. |
Przycisk Przeglądaj w programie Management Studio używa protokołu UDP, aby łączyć się z usługą Przeglądarka programu SQL Server.Aby uzyskać więcej informacji, zobacz SQL ServerUsługa przeglądarki. |
Port UDP 1434 |
Protokół UDP jest protokołem bezpołączeniowym. Zapora ma ustawienie o nazwie Właściwość UnicastResponsesToMulticastBroadcastDisabled interfejsu INetFwProfile, które kontroluje zachowanie zapory w odniesieniu do odpowiedzi emisji pojedynczej na żądanie emisji (lub multiemisji) przez protokół UDP.Ma dwa zachowania:
|
Ruch IPsec |
Port UDP 500 i port UDP 4500 |
Jeśli zasady domeny wymagają, by komunikacja sieciowa odbywała się za pośrednictwem protokołu IPsec, należy również dodać do listy wyjątków port UDP 4500 i port UDP 500.Protokół IPsec jest opcją korzystającą z Kreatora nowej reguły przychodzącej w przystawce Zapora systemu Windows.Aby uzyskać więcej informacji, zobacz Korzystanie z przystawki Zapora systemu Windows z zabezpieczeniami zaawansowanymi poniżej. |
Korzystanie z uwierzytelniania systemu Windows z domenami zaufanymi |
Zapory muszą być skonfigurowane, aby umożliwiały żądania uwierzytelniania. |
Aby uzyskać więcej informacji, zobacz Jak skonfigurować zaporę dla domen i relacji zaufania. |
Program SQL Server i usługa klastrowania systemu Windows |
Usługa klastrowania wymaga dodatkowych portów, które nie są bezpośrednio związane z programem SQL Server. |
Aby uzyskać więcej informacji, zobacz Włączanie sieci do użytku klastra. |
Przestrzenie nazw URL zastrzeżone w interfejsie API serwera HTTP (HTTP.SYS) |
Prawdopodobnie port TCP 80, ale może wystąpić konfiguracja do innych portów.Aby uzyskać ogólne informacje, zobacz Konfigurowanie protokołów HTTP i HTTPS. |
Aby uzyskać szczegółowe, dotyczące programu SQL Server informacje o zastrzeganiu punktu końcowego HTTP.SYS przy użyciu pliku HttpCfg.exe, zobacz Rezerwowanie obszarów nazw adresów URL przy użyciu składnika Http.sys. |
Uwagi dotyczące portu 135
Gdy usługa RPC korzysta do transportu z protokołu TCP/IP lub UDP/IP, porty przychodzące są często dynamicznie przypisywane do usług systemu zgodnie z wymaganiami; używane są porty TCP/IP i UDP/IP wyższe niż port 1024.Są one często nieformalnie określane jako „losowe porty RPC”. W tych przypadkach klienci RPC polegają na programu mapowania punktów końcowych RPC, jeśli chodzi o informacje, które porty dynamiczne zostały przypisane do serwera.Dla niektórych usług opartych na usłudze RPC można skonfigurować określony port zamiast pozwalać na ich dynamiczne przypisywanie przez usługę RPC.Można również ograniczyć zakres portów, które usługa RPC dynamicznie przypisuje, do małego zakresu niezależnego od usługi.Ponieważ port 135 jest używany dla wielu usług, jest on często zaatakowany przez złośliwych użytkowników.W razie otwarcia portu 135 należy rozważyć ograniczenie zakresu stosowania reguły zapory.
Aby uzyskać więcej informacji o porcie 135, zobacz następujące odwołania:
Interakcja z innymi zasadami zapory
Zapora systemu Windows używa reguł i grup reguł w celu ustanowienia konfiguracji.Każda reguła lub grupa reguł jest zazwyczaj skojarzona z konkretnym programem lub usługą, i ten program lub usługa może zmodyfikować lub usunąć tę regułę bez wiedzy użytkownika.Na przykład grupy reguł Usługi sieci World Wide Web (HTTP) i Usługi sieci World Wide Web (HTTPS) są skojarzone z usługami IIS.Włączenie tych zasad otworzy porty 80 i 443, i funkcje programu SQL Server, które zależą od portów 80 i 443, będą działać, jeśli te zasady będą włączone.Jednakże podczas konfigurowania usług IIS administratorzy mogą zmodyfikować lub wyłączyć te reguły.Dlatego, jeśli dla programu SQL Server używany jest port 80 lub port 443, należy utworzyć własną regułę lub grupę reguł, która przechowuje pożądaną konfigurację portu niezależnie od innych reguł usług IIS.
Przystawka programu MMC Zapora systemu Windows z zabezpieczeniami zaawansowanymi pozwala na każdy ruch, który odpowiada stosownej regule.Jeśli zatem istnieją dwie reguły stosujące się do portu 80 (z różnymi parametrami), ruch, który pasuje do jednej lub drugiej, będzie dozwolony.Jeśli zatem jedna reguła zezwala na ruch na porcie 80 z podsieci lokalnej, a inna reguła zezwala na ruch z dowolnego adresu, skutkiem sieciowym jest, że cały ruch na porcie 80 jest dozwolony niezależnie od źródła.Aby skutecznie zarządzać dostępem do programu SQL Server, administratorzy powinni okresowo przeglądać wszystkie reguły zapory włączone na serwerze.
Przegląd informacji o profilach zapory
Profile zapory są omówione w temacie Wprowadzenie — przewodnik po Zaporze systemu Windows z zabezpieczeniami zaawansowanymi w sekcji Zapora hosta oparta na lokalizacji sieciowej.Podsumowując, począwszy od systemów Windows Vista i Windows Server 2008 systemy operacyjne identyfikują i pamiętają każdą sieć, z którą się łączą, w odniesieniu do łączności, połączeń i kategorii.
W Zaporze systemu Windows z zabezpieczeniami zaawansowanymi istnieją trzy typy lokalizacji sieciowej:
Domeny.System Windows można uwierzytelniać dostęp do kontrolera domeny w domenie, do której komputer jest przyłączony.
Publiczna.Inaczej niż w przypadku sieci domeny, wszystkie sieci są początkowo kategoryzowane jako publiczne.Sieci, które mają bezpośrednie połączenia z Internetem lub są w miejscach publicznych, takich jak porty lotnicze i kawiarenki, muszą pozostać publiczne.
Prywatna.Sieć określona przez użytkownika lub aplikację jako prywatne.Tylko zaufane sieci powinny być identyfikowane jako sieci prywatne.Użytkownicy prawdopodobnie będą identyfikować sieci domowe lub w małych firmach jako prywatne.
Administrator może utworzyć profil dla każdego typu lokalizacji sieciowej, a każdy profil może zawierać inne zasady zapory.Stosowany jest tylko jeden profil naraz.Kolejność stosowania profili jest następująca:
Jeśli wszystkie interfejsy są uwierzytelniane do kontrolera domeny dla domeny, której członkiem jest komputer, stosowany jest profil domeny.
Jeśli wszystkie interfejsy są uwierzytelniane na kontrolerze domeny lub podłączone do sieci sklasyfikowanych jako lokalizacje sieci prywatnej, stosowany jest profil prywatny.
W przeciwnym razie stosowane jest profil publiczny.
Aby wyświetlić i skonfigurować wszystkie profile zapory, należy użyć przystawki programu MMC Zapora systemu Windows z zabezpieczeniami zaawansowanymi.Element Zapora systemu Windows w Panelu sterowania konfiguruje tylko bieżący profil.
Dodatkowe ustawienia zapory przy użyciu elementu Zapora systemu Windows w Panelu sterowania
Wyjątki, które można dodać do zapory, mogą ograniczyć otwarcie portu do połączeń przychodzących z określonych komputerów lub podsieci lokalnej.Ograniczenie zakresu otwierania portów może zmniejszyć narażenie komputera na złośliwych użytkowników, i jest zalecane.
Ostrzeżenie
Użycie elementu Zapora systemu Windows w Panelu sterowania konfiguruje tylko bieżący profil zapory.
Aby zmienić zakres wyjątku zapory za pomocą elementu Zapora systemu Windows w Panelu sterowania
W elemencie Zapora systemu Windows w Panelu sterowania wybierz program lub port na karcie Wyjątki, a następnie kliknij przycisk Właściwości lub Edytuj.
W oknie dialogowym Edytowanie programu lub Edytowanie portu kliknij przycisk Zmień zakres.
Wybierz jedną z następujących opcji:
Dowolny komputer (łącznie z tymi w Internecie)
Niezalecane.Pozwoli to dowolnemu komputerowi, który może zwrócić się do komputera użytkownika, na połączenie się z określonym programem lub portem.To ustawienie może być niezbędne, aby umożliwić przedstawianie informacji anonimowym użytkownikom w Internecie, ale zwiększa narażenie na złośliwych użytkowników.Poziom narażenia może dodatkowo wzrosnąć, jeśli włączy się to ustawienie, a jednocześnie zezwoli na przechodzenie translacji adresów sieciowych (NAT), takich jak opcja Zezwalaj na przechodzenie krawędzi.
Tylko moja sieć (podsieć)
Jest to bezpieczniejsze ustawienie niż Dowolny komputer.Tylko komputery w podsieci lokalnej sieci mogą się łączyć z programem lub portem.
Lista niestandardowa:
Tylko komputery o wymienionych adresach IP mogą się połączyć.Może to być bezpieczniejsze ustawienie niż Tylko moja sieć (podsieć), jednak komputery klienckie używające protokołu DHCP mogą czasami zmieniać adres IP.Wtedy dany komputer nie będzie mógł się połączyć.Natomiast inny komputer, który nie miał mieć zezwolenia, może przyjąć wymieniony adres IP i być w stanie się połączyć.Opcja Lista niestandardowa może być odpowiednia przy wymienianiu innych serwerów, które są skonfigurowane do używania stałego adresu IP; jednakże adresy IP mogą zostać sfałszowane przez intruza.Ograniczenia reguł zapory są tylko tak silne, jak infrastruktura sieci.
Korzystanie z przystawki Zapora systemu Windows z zabezpieczeniami zaawansowanymi
Począwszy od systemów Vista i Windows Server 2008, za pomocą przystawki programu MMC Zapora systemu Windows z zabezpieczeniami zaawansowanymi można również skonfigurować dodatkowe zaawansowane ustawienia zapory.Przystawka zawiera kreatora reguł i udostępnia dodatkowe ustawienia, które nie są dostępne w elemencie Zapora systemu Windows w Panelu sterowania.Należą do nich:
Ustawienia szyfrowania
Ograniczenia usług
Ograniczanie połączeń komputerów za pomocą nazwy
Ograniczanie połączeń do określonych użytkowników lub profilów
Przechodzenie krawędzi umożliwiające omijanie routerów translacji adresów sieciowych (NAT) przez ruch
Konfigurowanie reguł wychodzących
Konfigurowanie zasad zabezpieczeń
Wymaganie protokołu IPsec dla połączeń przychodzących
Aby utworzyć nową regułę zapory za pomocą Kreatora nowej reguły
W menu Start wybierz polecenie Uruchom, wpisz WF.msc, a następnie kliknij przycisk OK.
W przystawce Zapora systemu Windows z zabezpieczeniami zaawansowanymi w okienku po lewej stronie kliknij prawym przyciskiem myszy pozycję Reguły ruchu przychodzącego, a następnie kliknij przycisk Nowa reguła.
Dokończ pracę Kreatora nowej reguły ruchu przychodzącego, wybierając żądane ustawienia.
Rozwiązywanie problemów z ustawieniami zapory
Następujące narzędzia i techniki mogą być przydatne w rozwiązywaniu problemów z zaporą:
Efektywny stan portu łączy wszystkie reguły związane z portem.Przy próbie zablokowania dostępu przez port pomocne może być przejrzenie wszystkich zasad, które cytują numer portu.Aby to zrobić, użyj przystawki MMC Zapora systemu Windows z zabezpieczeniami zaawansowanymi i posortuj reguły ruchu przychodzącego i wychodzącego według numerów portu.
Przejrzyj porty aktywne na komputerze, na którym uruchomiony jest program SQL Server.Proces przeglądu obejmuje sprawdzenie, które porty TCP/IP nasłuchują, a także weryfikację stanu portów.
Aby sprawdzić, które porty nasłuchują, użyj narzędzia wiersza polecenia netstat.Oprócz wyświetlania aktywnych połączeń protokołu TCP, narzędzie netstat wyświetla również różne statystyki IP i informacje.
Aby uzyskać listę nasłuchujących portów TCP/IP
Otwórz okno wiersza polecenia.
W wierszu polecenia wpisz: netstat -n -a.
Przełącznik -n nakazuje narzędziu netstat numeryczne wyświetlenie adresów i liczby portów aktywnych połączeń TCP.Przełącznik -a nakazuje narzędziu netstat wyświetlenie portów TCP i UDP, na których komputer nasłuchuje.
Narzędzie PortQry może służyć do raportowania stan portów TCP/IP jako nasłuchujących, nienasłuchujących lub przefiltrowanych.(Mając stan przefiltrowany, port może nasłuchiwać lub nie nasłuchiwać; ten stan wskazuje, że narzędzie nie otrzymało odpowiedzi od portu). Narzędzie PortQry jest dostępne do pobrania z Centrum pobierania Microsoft.
Aby uzyskać dodatkowe tematy dotyczące rozwiązywania problemów, zobacz: