Konfigurowanie Zapory systemu Windows w celu zezwolenia na dostęp do programu SQL Server
Dotyczy:
programu SQL Server — tylko system Windows
Systemy zapory pomagają zapobiegać nieautoryzowanemu dostępowi do zasobów komputera. Jeśli zapora jest włączona, ale nie jest poprawnie skonfigurowana, próby nawiązania połączenia z programem SQL Server mogą zostać zablokowane.
Aby uzyskać dostęp do wystąpienia programu SQL Server za pośrednictwem zapory, należy skonfigurować zaporę na komputerze z uruchomionym programem SQL Server. Zapora jest składnikiem systemu Microsoft Windows. Zaporę można również zainstalować od innego dostawcy. W tym artykule omówiono sposób konfigurowania Zapory systemu Windows, ale podstawowe zasady dotyczą innych programów zapory.
Notatka
Ten artykuł zawiera omówienie konfiguracji zapory i podsumowanie interesujących informacji administratora programu SQL Server. Aby uzyskać więcej informacji na temat zapory i rzetelnych informacji o zaporze, zapoznaj się z dokumentacją zapory, taką jak Przewodnik wdrażania zabezpieczeń Zapory systemu Windows.
Użytkownicy zaznajomieni z zarządzaniem zaporą systemu Windows i wiedzą, które ustawienia zapory chcesz skonfigurować, mogą przejść bezpośrednio do bardziej zaawansowanych artykułów:
- Konfigurowanie zapory systemu Windows dla dostępu do silnika bazy danych
- skonfiguruj zaporę systemu Windows, aby zezwolić na dostęp usług Analysis Services
- Konfigurowanie zapory na potrzeby dostępu do serwera raportów
Podstawowe informacje o zaporze
Zapory działają, sprawdzając pakiety przychodzące i porównując je z następującym zestawem reguł:
Pakiet spełnia standardy dyktowane przez reguły, a następnie zapora przekazuje go do protokołu TCP/IP w celu dalszego przetwarzania.
Pakiet nie spełnia standardów określonych przez reguły.
Następnie zapora odrzuca pakiet.
Jeśli logowanie jest włączone, wpis zostanie utworzony w pliku rejestrowania zapory.
Lista dozwolonego ruchu jest tworzona w jeden z następujących sposobów:
automatycznie: gdy komputer z włączoną zaporą uruchamia komunikację, zapora tworzy wpis na liście, aby odpowiedź była dozwolona. Odpowiedź jest traktowana jako wywołany ruch i nie ma potrzeby konfigurowania czegokolwiek.
ręcznie: administrator konfiguruje wyjątki dla zapory. Umożliwia dostęp do określonych programów lub portów na komputerze. W takim przypadku komputer akceptuje niepożądany ruch przychodzący podczas działania jako serwer, odbiornik lub element równorzędny. Aby nawiązać połączenie z programem SQL Server, należy ukończyć konfigurację.
Wybór strategii zapory jest bardziej złożony niż tylko podjęcie decyzji, czy dany port powinien być otwarty lub zamknięty. Podczas projektowania strategii zapory dla przedsiębiorstwa należy wziąć pod uwagę wszystkie dostępne reguły i opcje konfiguracji. Ten artykuł nie omawia wszystkich możliwych opcji zapory. Zalecamy przejrzenie następujących dokumentów:
- Przewodnik wdrażania zapory systemu Windows
- Przewodnik projektowania zapory systemu Windows
- Wprowadzenie do izolacji serwera i domeny
Domyślne ustawienia zapory
Pierwszym krokiem planowania konfiguracji zapory jest określenie bieżącego stanu zapory dla systemu operacyjnego. Jeśli system operacyjny został uaktualniony z poprzedniej wersji, wcześniejsze ustawienia zapory mogą być zachowywane. Zasady grupowe lub administrator mogą zmienić ustawienia zapory w domenie.
Notatka
Włączenie zapory wpływa na inne programy, które uzyskują dostęp do tego komputera, takie jak udostępnianie plików i wydruku oraz połączenia pulpitu zdalnego. Administratorzy powinni rozważyć wszystkie aplikacje uruchomione na komputerze przed dostosowaniem ustawień zapory.
Programy do konfigurowania zapory
Skonfiguruj ustawienia Zapory systemu Windows przy użyciu programu Microsoft Management Console, programu PowerShelllub netsh.
Microsoft Management Console (MMC)
Przystawka MMC Zapora systemu Windows z zabezpieczeniami zaawansowanymi umożliwia skonfigurowanie bardziej zaawansowanych ustawień zapory. Ta przystawka w łatwy do użycia sposób przedstawia większość opcji zapory oraz wszystkie profile zapory. Aby uzyskać więcej informacji, zobacz Using the Windows Firewall with Advanced Security Snap-in w dalszej części tego artykułu.
PowerShell
Zobacz poniższy przykład, aby otworzyć port TCP 1433 i port UDP 1434 dla domyślnego wystąpienia programu SQL Server i usługę przeglądarki programu SQL Server:
New-NetFirewallRule -DisplayName "SQLServer default instance" -Direction Inbound -LocalPort 1433 -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "SQLServer Browser service" -Direction Inbound -LocalPort 1434 -Protocol UDP -Action Allow
Aby uzyskać więcej przykładów, zobacz New-NetFirewallRule.
Wiersz polecenia za pomocą narzędzia netsh
netsh.exe to narzędzie administratora służące do konfigurowania i monitorowania komputerów z systemem Windows w wierszu polecenia lub przy użyciu pliku wsadowego. Za pomocą narzędzia netsh można kierować polecenia kontekstowe wprowadzane do odpowiedniego pomocnika, a pomocnik wykonuje polecenie . Pomocnik to plik biblioteki linków dynamicznych (.dll), który rozszerza funkcjonalność. Pomocnik zapewnia: konfigurację, monitorowanie i obsługę co najmniej jednej usługi, narzędzi lub protokołów dla narzędzia netsh.
Możesz użyć Zapory systemu Windows dla pomocnika zabezpieczeń zaawansowanych o nazwie advfirewall. Wiele opisanych opcji konfiguracji można skonfigurować z poziomu wiersza polecenia przy użyciu netsh advfirewall. Na przykład uruchom następujący skrypt w wierszu polecenia, aby otworzyć port TCP 1433:
netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN
Aby uzyskać więcej informacji na temat netsh, zobacz następujące linki:
- Składnia poleceń netsh, konteksty i formatowanie
- Użyj netsh advfirewall zamiast netsh firewall do kontrolowania zachowania Zapory systemu Windows
Dla systemu Linux
W systemie Linux należy również otworzyć porty skojarzone z usługami, do których potrzebujesz dostępu. Różne dystrybucje systemu Linux i różnych zapór mają własne procedury. Aby zapoznać się z dwoma przykładami, zobacz:
- Szybki start: instalowanie programu SQL Server i tworzenie bazy danych w usłudze Red Hat
- Szybki start: instalowanie programu SQL Server i tworzenie bazy danych w systemie SUSE Linux Enterprise Server
Porty używane przez program SQL Server
Poniższe tabele mogą pomóc w zidentyfikowaniu portów używanych przez program SQL Server.
Porty używane przez aparat bazy danych
Domyślnie typowe porty używane przez program SQL Server i skojarzone usługi aparatu bazy danych to: TCP 1433, 4022, 135, 1434, UDP 1434. W poniższej tabeli opisano te porty bardziej szczegółowo. Nazwana instancja używa portów dynamicznych.
W poniższej tabeli wymieniono porty, które są często używane przez aparat bazy danych.
| Scenariusz | Port | Komentarze |
|---|---|---|
| Wystąpienie domyślne uruchomione za pośrednictwem protokołu TCP | Port TCP 1433 | Najbardziej typowy port dozwolony przez zaporę. Dotyczy to rutynowych połączeń z domyślną instalacją silnika bazy danych lub być może nazwanym wystąpieniem, które jest jedynym wystąpieniem uruchomionym na komputerze. (Wystąpienia nazwane mają specjalne uwagi. Zobacz Porty dynamiczne w dalszej części tego artykułu). |
| Wystąpienia nazwane z portem domyślnym | Port TCP jest portem dynamicznym określonym w momencie uruchomienia aparatu bazy danych. | Zobacz następującą dyskusję w sekcji Porty dynamiczne. Port UDP 1434 może być wymagany dla usługi SQL Server Browser, gdy używasz nazwanych wystąpień. |
| Nazwane wystąpienia ze stałym portem | Numer portu skonfigurowany przez administratora. | Zobacz następującą dyskusję w sekcji Porty dynamiczne. |
| Dedykowane połączenie administratora | Port TCP 1434 dla wystąpienia domyślnego. Inne porty są używane dla nazwanych wystąpień. Sprawdź dziennik błędów pod kątem numeru portu. | Domyślnie połączenia zdalne z dedykowanym połączeniem administratora (DAC) nie są włączone. Aby włączyć zdalny dostęp DAC, użyj aspektu Surface Area Configuration. Aby uzyskać więcej informacji, zobacz konfiguracja obszaru powierzchni. |
| Usługa SQL Server Browser | Port UDP 1434 | Usługa przeglądarki SQL Server nasłuchuje połączeń przychodzących do nazwanego wystąpienia. Usługa udostępnia klientowi numer portu TCP odpowiadający temu nazwanemu wystąpieniu. Zwykle usługa SQL Server Browser jest uruchamiana za każdym razem, gdy są używane nazwane wystąpienia silnika bazy danych. Usługa SQL Server Browser nie jest wymagana, jeśli klient jest skonfigurowany do nawiązywania połączenia z określonym portem nazwanego wystąpienia. |
| Wystąpienie z punktem końcowym HTTP. | Można określić, kiedy zostanie utworzony punkt końcowy HTTP. Wartość domyślna to port TCP 80 dla ruchu CLEAR_PORT i 443 dla ruchu SSL_PORT. |
Służy do nawiązywania połączenia HTTP za pośrednictwem adresu URL. |
| Domyślna instancja z punktem końcowym HTTPS | Port TCP 443 | Służy do nawiązywania połączenia HTTPS za pośrednictwem adresu URL. HTTPS to połączenie HTTP korzystające z protokołu Transport Layer Security (TLS), wcześniej znanego jako Secure Sockets Layer (SSL). |
| Pośrednik Usług | Port TCP 4022. Aby sprawdzić używany port, wykonaj następujące zapytanie:SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'SERVICE_BROKER' |
Nie ma domyślnego portu dla usługi SQL Server Service Broker, przykłady książek online używają konwencjonalnej konfiguracji. |
| Dublowanie bazy danych | Wybrany port przez administratora. Aby określić port, wykonaj następujące zapytanie:SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'DATABASE_MIRRORING' |
Nie ma domyślnego portu dla mirroringu bazy danych, jednakże przykłady w Books Online używają portu TCP 5022 lub 7022. Ważne jest, aby uniknąć przerwania aktywnego punktu końcowego odwzorowywania, zwłaszcza w trybie wysokiego bezpieczeństwa z automatycznym failover. Konfiguracja zapory sieciowej musi być taka, aby nie zakłócała kworum. Aby uzyskać więcej informacji, zobacz Określanie adresu sieciowego serwera (dublowanie bazy danych). |
| Replikacja | Połączenia replikacji z programem SQL Server używają typowych portów silnika baz danych (port TCP 1433 jest domyślnym wystąpieniem) Synchronizacja internetowa i dostęp FTP/UNC do migawek replikacji wymagają otwarcia większej liczby portów na zaporze. Aby przenieść początkowe dane i schemat z jednej lokalizacji do innej, replikacja może używać protokołu FTP (portu TCP 21) lub synchronizacji za pośrednictwem protokołu HTTP (port 80) lub udostępniania plików. Udostępnianie plików używa portu UDP 137 i 138 oraz portu TCP 139, jeśli jest używany wraz z netBIOS. Udostępnianie plików używa portu TCP 445. |
W przypadku synchronizacji za pośrednictwem protokołu HTTP replikacja używa punktu końcowego IIS (konfigurowalnego; portu 80 domyślnego), ale proces IIS łączy się z serwerem SQL za pośrednictwem portów standardowych (1433 dla wystąpienia domyślnego). Podczas synchronizacji sieci Web przy użyciu protokołu FTP transfer FTP odbywa się między usługami IIS i wydawcą programu SQL Server, a nie między subskrybentem i usługami IIS. |
| debuger Transact-SQL | Port TCP 135 Zobacz specjalne zagadnienia dotyczące portu 135 Może być również wymagany wyjątek protokołu IPsec. |
W przypadku korzystania z programu Visual Studio na komputerze hosta programu Visual Studio należy również dodać devenv.exe do listy Wyjątki i otworzyć port TCP 135.W przypadku korzystania z programu Management Studio na komputerze hosta programu Management Studio należy również dodać ssms.exe do listy Wyjątki i otworzyć port TCP 135. Aby uzyskać więcej informacji, zobacz Konfigurowanie reguł zapory przed uruchomieniem debugera Transact-SQL. |
Aby uzyskać instrukcje krok po kroku dotyczące konfigurowania zapory systemu Windows dla aparatu bazy danych, zobacz Konfigurowanie zapory systemu Windows pod kątem dostępu aparatu bazy danych.
Porty dynamiczne
Domyślnie nazwane wystąpienia (w tym SQL Server Express) używają portów dynamicznych. Przy każdym uruchomieniu aparatu bazy danych identyfikuje dostępny port i używa tego numeru portu. Jeśli nazwane wystąpienie jest jedynym wystąpieniem zainstalowanego silnika bazy danych, prawdopodobnie używa portu TCP 1433. Jeśli zainstalowano inne wystąpienia silnika bazy danych, prawdopodobnie używa innego portu TCP. Ponieważ wybrany port może ulec zmianie za każdym razem, gdy aparat bazy danych jest uruchamiany, trudno skonfigurować zaporę w celu umożliwienia dostępu do poprawnego numeru portu. Jeśli jest używana zapora, zalecamy ponowną konfigurację silnika bazy danych, aby używał tego samego numeru portu za każdym razem. Zalecany jest stały port lub port statyczny. Aby uzyskać więcej informacji, zobacz Skonfiguruj serwer SQL, aby nasłuchiwał na określonym porcie TCP.
Alternatywą dla skonfigurowania nazwanego wystąpienia do nasłuchiwania na stałym porcie jest utworzenie wyjątku w zaporze dla programu SQL Server, takiego jak sqlservr.exe (dla silnika baz danych). Numer portu nie będzie wyświetlany w kolumnie Port lokalny na stronie Reguły ruchu przychodzącego, gdy używasz przystawki MMC Zapory systemu Windows z Zaawansowanymi zabezpieczeniami. Inspekcja otwartych portów może być trudna. Inną kwestią jest to, że dodatek Service Pack lub aktualizacja zbiorcza może zmienić ścieżkę do pliku wykonywalnego programu SQL Server i unieważnić regułę zapory.
Aby dodać wyjątek dla programu SQL Server przy użyciu zapory systemu Windows z zaawansowanymi zabezpieczeniami, patrz Użyj przystawki Zapora systemu Windows z zaawansowanymi zabezpieczeniami w dalszej części tego artykułu.
Porty używane przez usługi Analysis Services
Domyślnie typowe porty używane przez usługi SQL Server Analysis Services i skojarzone usługi to: TCP 2382, 2383, 80, 443. W poniższej tabeli opisano te porty bardziej szczegółowo.
W poniższej tabeli wymieniono porty, które są często używane przez usługi Analysis Services.
| Cecha | Port | Komentarze |
|---|---|---|
| Analysis Services | Port TCP 2383 dla wystąpienia domyślnego | Port standardowy dla domyślnego wystąpienia usług Analysis Services. |
| Usługa SQL Server Browser | Port TCP 2382 wymagany tylko dla wystąpienia nazwanego usług Analysis Services | Żądania połączenia klienta dla nazwanego wystąpienia usług Analysis Services, które nie określają numeru portu, są kierowane do portu 2382, portu, na którym nasłuchuje przeglądarka SQL Server. Następnie usługa przeglądania SQL Server przekierowuje żądanie do portu używanego przez nazwane wystąpienie. |
| Usługi Analysis Services skonfigurowane do użycia za pośrednictwem usług IIS/HTTP (Usługa tabeli przestawnej® używa protokołu HTTP lub HTTPS) |
Port TCP 80 | Służy do nawiązywania połączenia HTTP za pośrednictwem adresu URL. |
| Usługi Analysis Services skonfigurowane do użycia za pośrednictwem usług IIS/HTTPS (Usługa tabeli przestawnej® używa protokołu HTTP lub HTTPS) |
Port TCP 443 | Służy do nawiązywania połączenia HTTPS za pośrednictwem adresu URL. HTTPS to połączenie HTTP korzystające z protokołu TLS. |
Jeśli użytkownicy uzyskują dostęp do usług Analysis Services za pośrednictwem IIS i Internetu, musisz otworzyć port, na którym nasłuchuje IIS. Następnie określ port w parametrach połączenia klienta. W takim przypadku żadne porty nie muszą być otwarte w celu bezpośredniego dostępu do usług Analysis Services. Domyślny port 2389 i port 2382 powinny być ograniczone wraz ze wszystkimi innymi portami, które nie są wymagane.
Aby uzyskać instrukcje krok po kroku dotyczące konfigurowania zapory systemu Windows dla usług Analysis Services, zobacz Configure the Windows Firewall to Allow Analysis Services Access.
Porty używane przez usługi Reporting Services
Domyślnie typowe porty używane przez usługi SQL Server Reporting Services i skojarzone usługi to: TCP 80, 443. W poniższej tabeli opisano te porty bardziej szczegółowo.
W poniższej tabeli wymieniono porty, które są często używane przez usługi Reporting Services.
| Cecha | Port | Komentarze |
|---|---|---|
| Usługi internetowe raportowania | Port TCP 80 | Służy do nawiązywania połączenia HTTP z usługami Reporting Services za pośrednictwem adresu URL. Zalecamy, aby nie używać wstępnie skonfigurowanej reguły usługi World Wide Web Services (HTTP). Aby uzyskać więcej informacji, zobacz sekcję Interakcje z innymi regułami zapory w dalszej części tego artykułu. |
| Usługi Reporting Services skonfigurowane do użycia za pośrednictwem protokołu HTTPS | Port TCP 443 | Służy do nawiązywania połączenia HTTPS za pośrednictwem adresu URL. HTTPS to połączenie HTTP korzystające z protokołu TLS. Zalecamy, aby nie używać wstępnie skonfigurowanej reguły Secure World Wide Web Services (HTTPS). Aby uzyskać więcej informacji, zajrzyj do sekcji Interakcja z innymi regułami zapory w dalszej części tego artykułu. |
Gdy Reporting Services łączy się z wystąpieniem silnika bazy danych lub usług Analysis Services, należy również otworzyć odpowiednie porty dla tych usług. Aby uzyskać instrukcje krok po kroku dotyczące konfigurowania zapory systemu Windows dla usług Reporting Services, Konfigurowanie zapory na potrzeby dostępu do serwera raportów.
Porty używane przez usługi Integration Services
W poniższej tabeli wymieniono porty używane przez usługę Integration Services.
| Funkcja | Port | Komentarze |
|---|---|---|
| Zdalne wywołania procedur (RPC) firmy Microsoft Używane przez środowisko Integration Services Runtime. |
Port TCP 135 Zobacz specjalne rozważania dotyczące portu 135 |
Usługa Integration Services używa DCOM na porcie 135. Program Service Control Manager używa portu 135 do wykonywania zadań, takich jak uruchamianie i zatrzymywanie usługi Integration Services oraz przesyłanie żądań kontroli do uruchomionej usługi. Nie można zmienić numeru portu. Ten port jest wymagany do otwarcia tylko wtedy, gdy łączysz się ze zdalnym wystąpieniem usługi Integration Services z Management Studio lub niestandardowej aplikacji. |
Aby uzyskać instrukcje krok po kroku dotyczące konfigurowania zapory systemu Windows dla usług Integration Services, zobacz Integration Services Service (SSIS Service).
Inne porty i usługi
W poniższej tabeli wymieniono porty i usługi, od których może zależeć program SQL Server.
| Scenariusz | Port | Komentarze |
|---|---|---|
| Instrumentacja zarządzania Windows Aby uzyskać więcej informacji na temat instrumentacji zarządzania Windows (WMI), zobacz Dostawca WMI dla zarządzania konfiguracją . |
Usługa WMI działa jako część hosta usługi współdzielonej z portami przypisanymi przez DCOM. WMI może używać portu TCP 135. Zobacz szczególne uwagi dotyczące portu 135 |
Program SQL Server Configuration Manager używa usługi WMI do wyświetlania listy usług i zarządzania nimi. Zalecamy użycie wstępnie skonfigurowanej grupy reguł Instrumentacja Zarządzania Windows (WMI). Aby uzyskać więcej informacji, zobacz sekcję Interakcje z innymi regułami zapory w dalszej części tego artykułu. |
| Koordynator transakcji rozproszonych firmy Microsoft (MS DTC) | Port TCP 135 Zobacz specjalne uwagi dotyczące portu 135 |
Jeśli aplikacja używa transakcji rozproszonych, może być konieczne skonfigurowanie zapory, aby zezwolić na przepływ ruchu koordynatora transakcji rozproszonych (MS DTC) między oddzielnymi wystąpieniami usługi MS DTC i między usługami MS DTC i menedżerami zasobów, takimi jak SQL Server. Zalecamy użycie wstępnie skonfigurowanej grupy reguł Koordynator transakcji rozproszonych. Jeśli dla całego klastra skonfigurowana jest pojedyncza udostępniona usługa MS DTC w oddzielnej grupie zasobów, należy dodać sqlservr.exe jako wyjątek w zaporze. |
| Przycisk przeglądania w programie Management Studio używa protokołu UDP do nawiązywania połączenia z usługą SQL Server Browser. Aby uzyskać więcej informacji, zobacz SQL Server Browser Service (Silnik bazy danych i SSAS). | Port UDP 1434 | UDP to protokół bez połączenia. Zapora ma ustawienie (UnicastResponsesToMulticastBroadcastDisabled właściwość interfejsu INetFwProfile), które kontroluje zachowanie zapory i odpowiedzi unicast na żądanie UDP o emisji rozgłoszeniowej (lub wielorozgłoszeniowej). Ma dwa zachowania: Jeśli ustawienie to TRUE, żadne odpowiedzi unicastowe na rozsyłanie nie są dozwolone. Wyliczanie usług kończy się niepowodzeniem.Jeśli ustawienie wynosi FALSE (ustawienie domyślne), odpowiedzi unicastowe są dozwolone przez 3 sekundy. Czas nie jest konfigurowalny. W sieci przeciążonej lub o dużym opóźnieniu, lub dla mocno obciążonych serwerów, próby wyliczenia wystąpień programu SQL Server mogą zwrócić częściową listę, która może wprowadzać użytkowników w błąd. |
| ruchu IPsec | Port UDP 500 i port UDP 4500 | Jeśli zasady domeny wymagają komunikacji sieciowej za pośrednictwem protokołu IPsec, należy również dodać port UDP 4500 i port UDP 500 do listy wyjątków. Protokół IPsec jest opcją przy użyciu kreatora nowej reguły ruchu przychodzącego w przystawce Zapora systemu Windows. Aby uzyskać więcej informacji, zobacz Używanie przystawki Zapora systemu Windows z zabezpieczeniami zaawansowanymi w dalszej części tego artykułu. |
| Używanie uwierzytelniania systemu Windows z zaufanymi domenami | Zapory muszą być skonfigurowane tak, aby zezwalały na żądania uwierzytelniania. | Aby uzyskać więcej informacji, zobacz Jak skonfigurować zaporę dla domen i relacji zaufania Active Directory. |
| Klastrowanie programu SQL Server i systemu Windows | Klastrowanie wymaga dodatkowych portów, które nie są bezpośrednio związane z programem SQL Server. | Aby uzyskać więcej informacji, zobacz Włącz sieć do użytku klastra. |
| Przestrzenie nazw adresów URL zarezerwowane w interfejsie API serwera HTTP (HTTP.SYS) | Prawdopodobnie port TCP 80, ale można go skonfigurować do innych portów. Aby uzyskać ogólne informacje, zobacz Configuring HTTP and HTTPS. | Aby uzyskać informacje specyficzne dla programu SQL Server dotyczące rezerwowania punktu końcowego HTTP.SYS przy użyciu HttpCfg.exe, zobacz Informacje o rezerwacjach adresów URL i rejestracji (Menedżer konfiguracji serwera raportów). |
Uwagi specjalne dotyczące portu 135
W przypadku używania protokołu RPC z protokołem TCP/IP lub protokołu UDP/IP jako transportu porty przychodzące są dynamicznie przypisywane do usług systemowych zgodnie z potrzebami. Używane są porty TCP/IP i UDP/IP większe niż port 1024. Porty są określane jako losowe porty RPC. W takich przypadkach klienci RPC polegają na mapie punktu końcowego RPC, aby poinformować ich, które porty dynamiczne zostały przypisane do serwera. "Można skonfigurować określony port dla niektórych usług opartych na protokole RPC, zamiast zezwalać na przypisywanie portu przez RPC dynamicznie." Można również ograniczyć zakres portów, które RPC dynamicznie przypisuje do małego zakresu, niezależnie od usługi. Ponieważ port 135 jest używany w wielu usługach, jest on często atakowany przez złośliwych użytkowników. Podczas otwierania portu 135 rozważ ograniczenie zakresu reguły zapory.
Aby uzyskać więcej informacji na temat portu 135, zobacz następujące odwołania:
- Omówienie usługi i wymagania dotyczące portów sieciowych dla systemu Windows
- wywołania procedury zdalnej (RPC)
- Jak skonfigurować alokację portu dynamicznego RPC do pracy z zaporami
Interakcja z innymi regułami zapory
Zapora systemu Windows używa reguł i grup reguł do ustanowienia konfiguracji. Każda reguła lub grupa reguł jest skojarzona z określonym programem lub usługą, a ten program lub usługa może modyfikować lub usuwać regułę bez twojej wiedzy. Na przykład grupy reguł World Wide Web Services (HTTP) i World Wide Web Services (HTTPS) są skojarzone z usługami IIS. Włączenie tych reguł powoduje otwarcie portów 80 i 443 oraz funkcji programu SQL Server, które zależą od portów 80 i 443, jeśli te reguły są włączone. Jednak administratorzy konfigurując usługi IIS mogą modyfikować lub wyłączać te reguły. Jeśli używasz portu 80 lub portu 443 dla programu SQL Server, utwórz własną regułę lub grupę reguł, która utrzymuje preferowaną konfigurację portu niezależnie od innych reguł usług IIS.
Przystawka MMC Zapora systemu Windows z zaawansowanymi zabezpieczeniami zezwala na ruch zgodny z dowolną odpowiednią regułą zezwalania. Jeśli więc istnieją dwie reguły, które mają zastosowanie do portu 80 (z różnymi parametrami). Ruch zgodny z jedną regułą jest dozwolony. Jeśli więc jedna reguła zezwala na ruch przez port 80 z podsieci lokalnej, a jedna reguła zezwala na ruch z dowolnego adresu, efekt netto oznacza, że cały ruch do portu 80 jest niezależny od źródła. Aby skutecznie zarządzać dostępem do programu SQL Server, administratorzy powinni okresowo przeglądać wszystkie reguły zapory włączone na serwerze.
Omówienie profilów zapory
Profile zapory są używane przez systemy operacyjne do identyfikowania i zapamiętowania poszczególnych sieci przez: łączność, połączenia i kategorię.
Istnieją trzy typy lokalizacji sieciowych w zaporze systemu Windows z zabezpieczeniami zaawansowanymi:
domeny: system Windows może uwierzytelniać dostęp do kontrolera domeny, do której komputer jest przyłączony.
publiczny: inne niż sieci domenowe, wszystkie sieci są początkowo klasyfikowane jako publiczne. Sieci reprezentujące bezpośrednie połączenia z Internetem lub znajdują się w miejscach publicznych, takich jak lotniska i kawiarnie, powinny pozostać publiczne.
prywatna: sieć zidentyfikowana przez użytkownika lub aplikację jako prywatna. Jako sieci prywatne należy zidentyfikować tylko zaufane sieci. Użytkownicy prawdopodobnie chcą zidentyfikować sieci domowe lub małe firmy jako prywatne.
Administrator może utworzyć profil dla każdego typu lokalizacji sieciowej z każdym profilem zawierającym różne zasady zapory. W dowolnym momencie jest stosowany tylko jeden profil. Kolejność profilu jest stosowana w następujący sposób:
Profil domeny jest stosowany, jeśli wszystkie interfejsy są uwierzytelniane na kontrolerze domeny, w której komputer jest członkiem.
Jeśli wszystkie interfejsy są uwierzytelniane na kontrolerze domeny lub są połączone z sieciami sklasyfikowanymi jako prywatne lokalizacje sieciowe, zostanie zastosowany profil prywatny.
W przeciwnym razie zostanie zastosowany profil publiczny.
Aby wyświetlić i skonfigurować wszystkie profile zapory, użyj przystawki MMC Zapora systemu Windows z zaawansowanymi zabezpieczeniami. Element Zapora systemu Windows w Panelu sterowania konfiguruje tylko bieżący profil.
Dodatkowe ustawienia zapory przy użyciu elementu Zapora systemu Windows w Panelu sterowania
Dodana zapora może ograniczyć otwieranie portu do połączeń przychodzących z określonych komputerów lub podsieci lokalnej. Ogranicz zakres otwarcia portu, aby zmniejszyć stopień narażenia komputera na złośliwych użytkowników.
Użycie elementu Zapora systemu Windows w Panelu sterowania powoduje konfigurację tylko bieżącego profilu zapory.
Zmienianie zakresu wyjątku zapory przy użyciu elementu Zapora systemu Windows w Panelu sterowania
W elemencie Zapora systemu Windows w Panelu sterowania wybierz program lub port na karcie Wyjątki, a następnie wybierz Właściwości lub Edytuj.
W oknie dialogowym edytowanie programu lub Edytowanie portu wybierz pozycję Zmień zakres.
Wybierz jedną z następujących opcji:
dowolny komputer (w tym komputery w Internecie): niezalecane. Dowolny komputer, który może połączyć się z twoim komputerem w celu uzyskania dostępu do określonego programu lub portu. To ustawienie może być konieczne, aby zezwolić na prezentowanie informacji anonimowym użytkownikom w Internecie, ale zwiększa narażenie na złośliwych użytkowników. Włączenie tego ustawienia umożliwia przechodzenie przez translator adresów sieciowych (NAT), takie jak opcja Przechodzenie krawędzi zwiększa narażenie.
Moja sieć (podsieć) tylko: bezpieczniejsze ustawienie niż Dowolny komputer. Tylko komputery w podsieci lokalnej sieci mogą łączyć się z programem lub portem.
lista niestandardowa: tylko komputery, które mają wymienione adresy IP, mogą się łączyć. Bezpieczne ustawienie może być bezpieczniejsze niż Moja sieć (podsieć) tylko, jednak komputery klienckie korzystające z protokołu DHCP mogą od czasu do czasu zmieniać swój adres IP, co wyłącza możliwość nawiązywania połączenia. Inny komputer, którego nie zamierzasz autoryzować, może zaakceptować wymieniony adres IP i nawiązać z nim połączenie. Lista niestandardowa jest odpowiednia do wyświetlania listy innych serwerów skonfigurowanych do używania stałego adresu IP.
Intruderzy mogą fałszować adresy IP. Ograniczenia reguł zapory są tak silne, jak infrastruktura sieciowa.
Używanie przystawki Zapora systemu Windows z zabezpieczeniami zaawansowanymi
Zaawansowane ustawienia zapory można skonfigurować za pomocą przystawki MMC Zapora systemu Windows z zabezpieczeniami zaawansowanymi. Przystawka zawiera kreatora reguł i ustawień, które nie są dostępne wewnątrz elementu Zapora systemu Windows w Panelu sterowania. Te ustawienia obejmują:
- Ustawienia szyfrowania
- Ograniczenia usług
- Ograniczanie połączeń dla komputerów według nazwy
- Ograniczanie połączeń z określonymi użytkownikami lub profilami
- Przemieszczanie się wzdłuż krawędzi umożliwiające ominięcie routerów z translacją adresów sieciowych (NAT)
- Konfigurowanie reguł wychodzących
- Konfigurowanie reguł zabezpieczeń
- Wymaganie protokołu IPsec dla połączeń przychodzących
Tworzenie nowej reguły zapory przy użyciu Kreatora nowej reguły
- W menu Start wybierz pozycję Uruchom, wpisz
wf.msc, a następnie wybierz pozycję OK. - W Zapora systemu Windows z zabezpieczeniami zaawansowanymiw okienku po lewej stronie kliknij prawym przyciskiem myszy reguły ruchu przychodzącego, a następnie wybierz pozycję Nowa reguła.
- Ukończ Kreator nowej reguły ruchu przychodzącego przy użyciu żądanych ustawień.
Dodawanie wyjątku programu dla pliku wykonywalnego programu SQL Server
Z menu Start wpisz
wf.msc. Naciśnij Enter lub wybierz wynik wyszukiwaniawf.msc, aby otworzyć zaporę Windows Defender z zabezpieczeniami zaawansowanymi.W okienku po lewej stronie wybierz pozycję Reguły ruchu przychodzącego.
W okienku po prawej stronie w obszarze Actionswybierz pozycję Nowa reguła.... Kreator nowej reguły przychodzącej zostanie otwarty.
Na Typ reguływybierz pozycję Program. Wybierz pozycję Dalej.
W Programiewybierz Tę ścieżkę programu. Wybierz pozycję Przeglądaj, aby zlokalizować wystąpienie programu SQL Server. Program jest nazywany
sqlservr.exe. Zwykle znajduje się wC:\Program Files\Microsoft SQL Server\MSSQL<VersionNumber>.<InstanceName>\MSSQL\Binn\sqlservr.exe. Wybierz pozycję Dalej.Na akcjiwybierz pozycję Zezwalaj na połączenie. Wybierz pozycję Dalej.
Na profilu , uwzględnij wszystkie trzy profile. Wybierz pozycję Dalej.
Na Nazwawpisz nazwę reguły. Wybierz Zakończ.
Aby uzyskać więcej informacji na temat punktów końcowych, zobacz:
Konfigurowanie silnika bazy danych do nasłuchiwania na wielu portach TCP
widoki wykazu punktów końcowych (Transact-SQL)
Rozwiązywanie problemów z ustawieniami zapory
Poniższe narzędzia i techniki mogą być przydatne podczas rozwiązywania problemów z zaporą:
Obowiązujący stan portu to połączenie wszystkich reguł związanych z portem. Warto przejrzeć wszystkie reguły, które przytaczają numer portu, podczas próby zablokowania dostępu do portu. Przejrzyj reguły za pomocą konsoli MMC Zapory systemu Windows z funkcją zabezpieczeń zaawansowanych i posortuj reguły ruchu przychodzącego i wychodzącego według numeru portu.
Przejrzyj porty aktywne na komputerze, na którym działa program SQL Server. Proces przeglądu obejmuje weryfikowanie, które porty TCP/IP nasłuchują, a także weryfikowanie stanu portów.
Narzędzie PortQry można używać do raportowania stanu portów TCP/IP jako nasłuchujących, nienasłuchujących lub filtrowanych. (Narzędzie może nie odbierać odpowiedzi z portu, jeśli ma stan filtrowany). Narzędzie PortQry jest dostępne do pobrania z Centrum pobierania Microsoft.
Wyświetlanie listy nasłuchujących portów TCP/IP
Aby sprawdzić, które porty nasłuchują, wyświetl aktywne połączenia TCP i statystyki IP, użyj narzędzia linii poleceń netstat.
Otwórz okno wiersza polecenia.
W wierszu polecenia wpisz
netstat -n -a.Przełącznik
-nnakazuje netstat numeryczne wyświetlenie adresu i numeru portu aktywnych połączeń TCP. Przełącznik-ainstruuje netstat wyświetlać porty TCP i UDP, na których nasłuchuje komputer.