Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
gäller för:
SQL Server – endast Windows
Brandväggssystem hjälper till att förhindra obehörig åtkomst till datorresurser. Om en brandvägg är aktiverad men inte korrekt konfigurerad kan försök att ansluta till SQL Server blockeras.
För att få åtkomst till en instans av SQL Server via en brandvägg måste du konfigurera brandväggen på datorn som kör SQL Server. Brandväggen är en komponent i Microsoft Windows. Du kan också installera en brandvägg från en annan leverantör. I den här artikeln beskrivs hur du konfigurerar Windows-brandväggen, men de grundläggande principerna gäller för andra brandväggsprogram.
Obs.
Den här artikeln innehåller en översikt över brandväggskonfigurationen och sammanfattar information av intresse för en SQL Server-administratör. Mer information om brandväggen och auktoritativ brandväggsinformation finns i brandväggsdokumentationen, till exempel säkerhetsdistributionsguide för Windows-brandväggen.
Användare som är bekanta med att hantera Windows-brandväggenoch vet vilka brandväggsinställningar de vill konfigurera kan flyttas direkt till de mer avancerade artiklarna:
- Konfigurera Windows-brandväggen för databasmotoråtkomst
- Konfigurera Windows-brandväggen för att tillåta Analysis Services-åtkomst
- Konfigurera en brandvägg för rapportserveråtkomst
Grundläggande brandväggsinformation
Brandväggar fungerar genom att inspektera inkommande paket och jämföra dem med följande uppsättning regler:
Paketet uppfyller de standarder som bestäms av reglerna och sedan skickar brandväggen paketet till TCP/IP-protokollet för mer bearbetning.
Paketet uppfyller inte de standarder som anges i reglerna.
Brandväggen tar sedan bort paketet.
Om loggning är aktiverat skapas en post i brandväggens loggfil.
Listan över tillåten trafik fylls i på något av följande sätt:
Automatiskt: När en dator med en aktiverad brandvägg startar en kommunikation, skapar brandväggen en post i listan för att svaret ska tillåtas. Svaret betraktas som begärd trafik och det finns inget som behöver konfigureras.
manuellt: En administratör konfigurerar undantag till brandväggen. Det ger antingen åtkomst till angivna program eller portar på datorn. I det här fallet accepterar datorn oönskad inkommande trafik när den fungerar som en server, en lyssnare eller en peer. Konfigurationen måste slutföras för att ansluta till SQL Server.
Att välja en brandväggsstrategi är mer komplext än att bara bestämma om en viss port ska vara öppen eller stängd. När du utformar en brandväggsstrategi för ditt företag bör du överväga alla tillgängliga regler och konfigurationsalternativ. Den här artikeln granskar inte alla möjliga brandväggsalternativ. Vi rekommenderar att du granskar följande dokument:
- Implementeringsguide för Windows-brandväggen
- designguide för Windows-brandväggen
- Introduktion till server- och domänisolering
Standardinställningar för brandvägg
Det första steget i planeringen av brandväggskonfigurationen är att fastställa brandväggens aktuella status för operativsystemet. Om operativsystemet har uppgraderats från en tidigare version kan de tidigare brandväggsinställningarna bevaras. Grupprincipen eller administratören kan ändra brandväggsinställningarna i domänen.
Not
Om du aktiverar brandväggen påverkas andra program som har åtkomst till den här datorn, till exempel fil- och utskriftsdelning och fjärrskrivbordsanslutningar. Administratörer bör överväga alla program som körs på datorn innan du justerar brandväggsinställningarna.
Program för att konfigurera brandväggen
Konfigurera inställningarna för Windows-brandväggen med Microsoft Management Console, PowerShelleller netsh.
Microsoft Management Console (MMC)
Med MMC-snapin-modulen för avancerad säkerhet i Windows-brandväggen kan du konfigurera mer avancerade brandväggsinställningar. Den här snapin-modulen presenterar de flesta brandväggsalternativen på ett enkelt sätt och visar alla brandväggsprofiler. För mer information, se Använda Windows-brandväggen med Advanced Security Snap-in senare i den här artikeln.
PowerShell
Se följande exempel för att öppna TCP-port 1433 och UDP-port 1434 för SQL Server-standardinstansen och SQL Server Browser Service:
New-NetFirewallRule -DisplayName "SQLServer default instance" -Direction Inbound -LocalPort 1433 -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "SQLServer Browser service" -Direction Inbound -LocalPort 1434 -Protocol UDP -Action Allow
Fler exempel finns i New-NetFirewallRule.
Kommandorad med netsh
netsh.exe är ett administratörsverktyg för att konfigurera och övervaka Windows-baserade datorer i en kommandotolk eller med hjälp av en batchfil. Genom att använda verktyget netsh kan du dirigera de kontextkommandon som du anger till lämplig hjälp och hjälpen utför kommandot. En hjälpfil är en dynamic link-biblioteksfil (.dll) som utökar funktionerna. Hjälpen tillhandahåller: konfiguration, övervakning och stöd för en eller flera tjänster, verktyg eller protokoll för verktyget netsh.
Du kan använda Windows-brandväggens hjälpverktyg för avancerad säkerhet, som kallas advfirewall. Många av de konfigurationsalternativ som beskrivs kan konfigureras från kommandoraden med hjälp av netsh advfirewall. Kör till exempel följande skript i en kommandotolk för att öppna TCP-port 1433:
netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN
Mer information om netshfinns i följande länkar:
- Netsh-kommandosyntax, kontexter och formatering
- Använd netsh advfirewall-brandväggen i stället för netsh-brandväggen för att styra beteendet för Windows-brandväggen
För Linux
I Linux måste du också öppna portarna som är associerade med de tjänster som du behöver åtkomst till. Olika distributioner av Linux och olika brandväggar har egna procedurer. Två exempel finns i:
- snabbstart: Installera SQL Server och skapa en databas på Red Hat
- snabbstart: Installera SQL Server och skapa en databas på SUSE Linux Enterprise Server
Portar som används av SQL Server
Följande tabeller kan hjälpa dig att identifiera de portar som används av SQL Server.
Portar som används av databasmotorn
Som standard är de vanliga portarna som används av SQL Server och associerade databasmotortjänster: TCP 1433, 4022, 135, 1434, UDP 1434. I följande tabell beskrivs dessa portar mer detaljerat. En namngiven instans använder dynamiska portar.
I följande tabell visas de portar som används ofta av databasmotorn.
| Scenario | Hamn | Kommentarer |
|---|---|---|
| Standardinstans som körs över TCP | TCP-port 1433 | Den vanligaste porten som tillåts via brandväggen. Den gäller för rutinmässiga anslutningar till standardinstallationen av databasmotorn eller en namngiven instans som är den enda instansen som körs på datorn. (Namngivna instanser har särskilda överväganden. Se dynamiska portar senare i den här artikeln.) |
| Namngivna instanser med standardport | TCP-porten är en dynamisk port som bestäms när databasmotorn startar. | Se följande diskussion i avsnittet Dynamiska portar. UDP-port 1434 kan krävas för SQL Server Browser Service när du använder namngivna instanser. |
| Namngivna instanser med fast port | Portnumret som konfigurerats av administratören. | Se följande diskussion i avsnittet Dynamiska portar. |
| Dedikerad administratörsanslutning | TCP-port 1434 för standardinstansen. Andra portar används för namngivna instanser. Kontrollera felloggen för portnumret. | Som standard är fjärranslutningar till den dedikerade administratörsanslutningen (DAC) inte aktiverade. För att aktivera fjärr-DAC, använd inställningen "Surface Area Configuration". Mer information finns i Ytkonfiguration. |
| SQL Server-webbläsartjänst | UDP-port 1434 | SQL Server-webbläsartjänsten lyssnar efter inkommande anslutningar till en namngiven instans. Tjänsten tillhandahåller klienten TCP-portnumret som motsvarar den namngivna instansen. Normalt startas SQL Server Browser-tjänsten när namngivna instanser av databasmotorn används. SQL Server Browser-tjänsten krävs inte om klienten är konfigurerad för att ansluta till den specifika porten för den namngivna instansen. |
| Instans med HTTP-slutpunkt. | Kan anges när en HTTP-slutpunkt skapas. Standardvärdet är TCP-port 80 för CLEAR_PORT trafik och 443 för SSL_PORT trafik. |
Används för en HTTP-anslutning via en URL. |
| Standardinstans med HTTPS-slutpunkt | TCP-port 443 | Används för en HTTPS-anslutning via en URL. HTTPS är en HTTP-anslutning som använder TLS (Transport Layer Security), som tidigare kallades SSL (Secure Sockets Layer). |
| Service Broker | TCP-port 4022. Kontrollera vilken port som används genom att köra följande fråga:SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'SERVICE_BROKER' |
Det finns ingen standardport för SQL Server Service Broker, Books Online-exempel använder den konventionella konfigurationen. |
| Databasreplikering | Administratören har valt port. Kör följande fråga för att fastställa porten:SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'DATABASE_MIRRORING' |
Det finns ingen standardport för databasspegling, men Books Online-exempel använder TCP-port 5022 eller 7022. Det är viktigt att undvika att avbryta en speglingsslutpunkt som används, särskilt i högsäkerhetsläge med automatisk redundans. Brandväggskonfigurationen måste undvika att bryta kvorumet. Mer information finns i Ange en servernätverksadress (databasspegling). |
| Replikering | Replikeringsanslutningar till SQL Server använder vanliga databasmotorportar (TCP-port 1433 är standardinstansen) Webbsynkronisering och FTP/UNC-åtkomst för ögonblicksbild av replikation kräver att fler portar öppnas i brandväggen. Om du vill överföra initiala data och scheman från en plats till en annan kan replikeringen använda FTP (TCP-port 21) eller synkronisera via HTTP (TCP-port 80) eller fildelning. Fildelning använder UDP-port 137 och 138 och TCP-port 139 om den används tillsammans med NetBIOS. Fildelning använder TCP-port 445. |
För synkronisering via HTTP använder replikering IIS-slutpunkten (konfigurerbar, port 80 standard), men IIS-processen ansluter till serverdelens SQL Server via standardportarna (1433 för standardinstansen. Under webbsynkronisering med FTP sker FTP-överföringen mellan IIS och SQL Server-utgivaren, inte mellan prenumerant och IIS. |
| Transact-SQL felsökare | TCP-port 135 Se särskilda överväganden för port 135 Det IPsec- undantaget kan också krävas. |
Om du använder Visual Studio på Visual Studio-värddatorn måste du också lägga till devenv.exe i listan Undantag och öppna TCP-port 135.Om du använder Management Studio på Management Studio-värddatorn måste du också lägga till ssms.exe i listan Undantag och öppna TCP-port 135. Mer information finns i Konfigurera brandväggsregler innan du kör Transact-SQL felsökningsprogrammet. |
Stegvisa instruktioner för att konfigurera Windows-brandväggen för databasmotorn finns i Konfigurera Windows-brandväggen för databasmotorns åtkomst.
Dynamiska portar
Som standard använder namngivna instanser (inklusive SQL Server Express) dynamiska portar. Varje gång databasmotorn startar identifierar den en tillgänglig port och använder det portnumret. Om den namngivna instansen är den enda instansen av databasmotorn installerad använder den förmodligen TCP-port 1433. Om andra instanser av databasmotorn installeras använder den förmodligen en annan TCP-port. Eftersom den valda porten kan ändras varje gång databasmotorn startas är det svårt att konfigurera brandväggen för att ge åtkomst till rätt portnummer. Om en brandvägg används rekommenderar vi att du konfigurerar om databasmotorn så att den använder samma portnummer varje gång. En fast port eller en statisk port rekommenderas. Mer information finns i Konfigurera SQL Server för att lyssna på en specifik TCP-port.
Ett alternativ till att konfigurera en namngiven instans för att lyssna på en fast port är att skapa ett undantag i brandväggen för ett SQL Server-program som sqlservr.exe (för databasmotorn). Portnumret visas inte i kolumnen Lokal port på sidan Inkommande regler när du använder Windows-brandväggen med tillägget för Avancerad säkerhet. Det kan vara svårt att granska vilka portar som är öppna. Ett annat att tänka på är att ett Service Pack eller en kumulativ uppdatering kan ändra sökvägen till den körbara SQL Server-filen och ogiltigförklara brandväggsregeln.
Om du vill lägga till ett undantag för SQL Server med hjälp av Windows-brandväggen med avancerad säkerhet, se Använda Windows-brandväggen med snapin-modulen avancerad säkerhet senare i den här artikeln.
Portar som används av Analysis Services
Som standard är de vanliga portarna som används av SQL Server Analysis Services och associerade tjänster: TCP 2382, 2383, 80, 443. I följande tabell beskrivs dessa portar mer detaljerat.
I följande tabell visas de portar som används ofta av Analysis Services.
| Funktion | Hamn | Kommentarer |
|---|---|---|
| Analysis Services | TCP-port 2383 för standardinstansen | Standardporten för den förvalda instansen av Analysis Services. |
| SQL Server-webbläsartjänst | TCP-port 2382 behövs endast för en Analysis Services-namngiven instans | Klientanslutningsbegäranden för en namngiven instans av Analysis Services som inte anger ett portnummer dirigeras till port 2382, porten som SQL Server Browser lyssnar på. SQL Server Browser omdirigerar sedan begäran till den port som den namngivna instansen använder. |
| Analysis Services har konfigurerats för användning via IIS/HTTP (Pivottabelltjänsten® använder HTTP eller HTTPS) |
TCP-port 80 | Används för en HTTP-anslutning via en URL. |
| Analysis Services har konfigurerats för användning via IIS/HTTPS (Pivottabelltjänsten® använder HTTP eller HTTPS) |
TCP-port 443 | Används för en HTTPS-anslutning via en URL. HTTPS är en HTTP-anslutning som använder TLS. |
Om användarna får åtkomst till Analysis Services via IIS och Internet måste du öppna porten där IIS lyssnar. Ange sedan port i klientanslutningssträngen. I det här fallet behöver inga portar vara öppna för direkt åtkomst till Analysis Services. Standardporten 2389 och port 2382 bör begränsas tillsammans med alla andra portar som inte krävs.
Stegvisa instruktioner för att konfigurera Windows-brandväggen för Analysis Services finns i Konfigurera Windows-brandväggen för att tillåta Analysis Services-åtkomst.
Portar som används av Reporting Services
Som standard är de vanliga portarna som används av SQL Server Reporting Services och associerade tjänster: TCP 80, 443. I följande tabell beskrivs dessa portar mer detaljerat.
I följande tabell visas de portar som används ofta av Reporting Services.
| Funktion | Hamn | Kommentarer |
|---|---|---|
| Webbtjänster för rapporteringstjänster | TCP-port 80 | Används för en HTTP-anslutning till Reporting Services via en URL. Vi rekommenderar att du inte använder den förkonfigurerade regeln WORLD Wide Web Services (HTTP). Mer information finns i avsnittet Interaktion med andra brandväggsregler senare i den här artikeln. |
| Reporting Services har konfigurerats för användning via HTTPS | TCP-port 443 | Används för en HTTPS-anslutning via en URL. HTTPS är en HTTP-anslutning som använder TLS. Vi rekommenderar att du inte använder den förkonfigurerade regeln Secure World Wide Web Services (HTTPS). Mer information finns i avsnittet Interaktion med andra brandväggsregler senare i den här artikeln. |
När Reporting Services ansluter till en instans av databasmotorn eller Analysis Services måste du också öppna lämpliga portar för dessa tjänster. För stegvisa instruktioner om hur du konfigurerar Windows-brandväggen för Reporting Services, Konfigurera en brandvägg för rapportserveråtkomst.
Portar som används av Integration Services
I följande tabell visas de portar som används av Integration Services-tjänsten.
| Funktion | Hamn | Kommentarer |
|---|---|---|
| Microsofts fjärrproceduranrop (MS RPC) Används av Integration Services-exekveringen. |
TCP-port 135 Se särskilda överväganden för port 135 |
Integration Services-tjänsten använder DCOM på port 135. Service Control Manager använder port 135 för att utföra uppgifter som att starta och stoppa Integration Services-tjänsten och överföra kontrollbegäranden till den tjänst som körs. Portnumret kan inte ändras. Den här porten måste endast vara öppen om du ansluter till en fjärrinstans av Integration Services-tjänsten från Management Studio eller ett anpassat program. |
Stegvisa instruktioner för att konfigurera Windows-brandväggen för Integration Services finns i Integration Services Service (SSIS Service).
Andra portar och tjänster
I följande tabell visas portar och tjänster som SQL Server kan vara beroende av.
| Scenario | Hamn | Kommentarer |
|---|---|---|
| Windows-hanteringsinstrumentation Mer information om Windows Management Instrumentation (WMI)finns i WMI-provider för Konfigurationshantering |
WMI körs som en del av en gemensam tjänstvärd med portar tilldelade via DCOM. WMI kanske använder TCP-port 135. Se särskilda överväganden för port 135 |
SQL Server Configuration Manager använder WMI för att lista och hantera tjänster. Vi rekommenderar att du använder den förkonfigurerade regelgruppen Windows Management Instrumentation (WMI). Mer information finns i avsnittet Interaktion med andra brandväggsregler senare i den här artikeln. |
| Microsoft Distributed Transaction Coordinator (MS DTC) | TCP-port 135 Se särskilda överväganden för port 135 |
Om ditt program använder distribuerade transaktioner kan du behöva konfigurera brandväggen så att Microsoft Distributed Transaction Coordinator-trafik (MS DTC) kan flöda mellan separata MS DTC-instanser och mellan MS DTC och resurshanterare som SQL Server. Vi rekommenderar att du använder den förkonfigurerade Distributed Transaction Coordinator regelgrupp. När en enda delad MS DTC har konfigurerats för hela klustret i en separat resursgrupp bör du lägga till sqlservr.exe som ett undantag i brandväggen. |
| Knappen Bläddra i Management Studio använder UDP för att ansluta till SQL Server Browser Service. Mer information finns i SQL Server Browser Service (Databasmotor och SSAS). | UDP-port 1434 | UDP är ett anslutningslöst protokoll. Brandväggen har en inställning (UnicastResponsesToMulticastBroadcastDisabled-egenskapen för INetFwProfile Interface) som styr beteendet hos brandväggen och unicast-svar på en UDP-broadcastbegäran (eller multicast). Den har två beteenden: Om inställningen är TRUEtillåts inga unicast-svar på en sändning alls. Det går inte att räkna upp tjänster.Om inställningen är FALSE (standard) tillåts unicast-svar i 3 sekunder. Tidslängden kan inte konfigureras. I ett överbelastat nätverk eller nätverk med långa svarstider, eller för kraftigt inlästa servrar, kan försök att räkna upp instanser av SQL Server returnera en partiell lista som kan vilseleda användare. |
| IPsec-trafik | UDP-port 500 och UDP-port 4500 | Om domänprincipen kräver att nätverkskommunikation sker via IPsec måste du också lägga till UDP-port 4500 och UDP-port 500 i undantagslistan. IPsec är ett alternativ genom guiden Ny Inkommande Regel i snapin-modulen för Windows-brandväggen. För mer information, se Använd Windows-brandväggen med snapin-modulen Avancerad säkerhet senare i den här artikeln. |
| Använda Windows-autentisering med betrodda domäner | Brandväggar måste konfigureras för att tillåta förfrågningar om autentisering. | Mer information finns i Så här konfigurerar du en brandvägg för Active Directory-domäner och förtroenden. |
| SQL Server- och Windows-kluster | Klustring kräver extra portar som inte är direkt relaterade till SQL Server. | Mer information finns i Aktivera ett nätverk för klusteranvändning. |
| URL-namnområden som är reserverade i HTTP Server API (HTTP.SYS) | Förmodligen TCP-port 80, men kan konfigureras till andra portar. Allmän information finns i Konfigurera HTTP- och HTTPS-. | För SQL Server-specifik information om hur du reserverar en HTTP.SYS-slutpunkt med hjälp av HttpCfg.exe, se Om URL-reservationer och registrering (Report Server Configuration Manager). |
Särskilda överväganden för port 135
När du använder RPC med TCP/IP eller med UDP/IP som transport tilldelas inkommande portar dynamiskt till systemtjänster efter behov. TCP/IP- och UDP/IP-portar som är större än port 1024 används. Portarna kallas slumpmässiga RPC-portar. I dessa fall förlitar sig RPC-klienter på RPC-slutpunktsmapparen för att tala om för dem vilka dynamiska portar som har tilldelats till servern. För vissa RPC-baserade tjänster kan du konfigurera en specifik port i stället för att låta RPC tilldela en dynamiskt. Du kan också begränsa det portintervall som RPC dynamiskt tilldelar till ett litet intervall, oberoende av tjänsten. Eftersom port 135 används för många tjänster attackeras den ofta av skadliga användare. När du öppnar port 135 bör du överväga att begränsa brandväggsregelns omfång.
Mer information om port 135 finns i följande referenser:
- Service- och nätverksportkrav för Windows
- Remote procedure call (RPC)
- Konfigurera dynamisk RPC-portallokering så att den fungerar med brandväggar
Interaktion med andra brandväggsregler
Windows-brandväggen använder regler och regelgrupper för att upprätta dess konfiguration. Varje regel eller regelgrupp är associerad med ett visst program eller en viss tjänst, och det programmet eller tjänsten kan ändra eller ta bort regeln utan din vetskap. Till exempel är regelgrupperna World Wide Web Services (HTTP) och World Wide Web Services (HTTPS) associerade med IIS. Om du aktiverar dessa regler öppnas portarna 80 och 443 och SQL Server-funktioner som är beroende av portarna 80 och 443 om dessa regler är aktiverade. Administratörer som konfigurerar IIS kan dock ändra eller inaktivera dessa regler. Om du använder port 80 eller port 443 för SQL Server bör du skapa en egen regel eller regelgrupp som underhåller önskad portkonfiguration oberoende av de andra IIS-reglerna.
Windows-brandväggen med MMC-snapin-modulen Advanced Security tillåter all trafik som matchar alla tillämpliga tillåtna regler. Så om det finns två regler som båda gäller för port 80 (med olika parametrar). Trafik som matchar någon av de två reglerna tillåts. Så om en regel tillåter trafik över port 80 från det lokala undernätet och en regel tillåter trafik från valfri adress, är nettoeffekten att all trafik till port 80 är oberoende av källan. För att effektivt hantera åtkomsten till SQL Server bör administratörer regelbundet granska alla brandväggsregler som är aktiverade på servern.
Översikt över brandväggsprofiler
Brandväggsprofiler används av operativsystemen för att identifiera och komma ihåg vart och ett av nätverken genom: anslutning, anslutningar och kategori.
Det finns tre nätverksplatstyper i Windows-brandväggen med Avancerad säkerhet:
Domain: Windows kan autentisera åtkomsten till domänkontrollanten för domänen som datorn är ansluten till.
offentliga: Förutom domännätverk kategoriseras alla nätverk ursprungligen som offentliga. Nätverk som representerar direkta anslutningar till Internet eller som finns på offentliga platser, till exempel flygplatser och kaféer, bör lämnas offentliga.
Privat: Ett nätverk som identifieras av en användare eller ett program som privat. Endast betrodda nätverk bör identifieras som privata nätverk. Användare vill sannolikt identifiera hemnätverk eller småföretagsnätverk som privata.
Administratören kan skapa en profil för varje nätverksplatstyp, där varje profil innehåller olika brandväggsprinciper. Endast en profil tillämpas åt gången. Profilordningen tillämpas på följande sätt:
Domänprofilen tillämpas om alla gränssnitt autentiseras till domänkontrollanten där datorn är medlem.
Om alla gränssnitt antingen autentiseras till domänkontrollanten eller är anslutna till nätverk som klassificeras som privata nätverksplatser tillämpas den privata profilen.
Annars tillämpas den offentliga profilen.
Använd Windows-brandväggen med MMC-snapin-modulen Avancerad säkerhet för att visa och konfigurera alla brandväggsprofiler. Objektet Windows-brandväggen på Kontrollpanelen konfigurerar bara den aktuella profilen.
Ytterligare brandväggsinställningar med hjälp av Windows-brandväggsobjektet på Kontrollpanelen
Den tillagda brandväggen kan begränsa öppnandet av porten till inkommande anslutningar från specifika datorer eller lokala undernät. Begränsa omfånget för portöppningen för att minska hur mycket datorn exponeras för skadliga användare.
Med hjälp av objektet Windows-brandväggen på Kontrollpanelen konfigureras endast den aktuella brandväggsprofilen.
Ändra omfånget för ett brandväggsundantag med hjälp av Windows-brandväggen i Kontrollpanelen
I objektet Windows-brandväggen i Kontrollpanelen väljer du ett program eller en port på fliken Undantag och väljer sedan Egenskaper eller Redigera.
I dialogrutan Redigera ett program eller Redigera en port väljer du Ändra omfång.
Välj något av följande alternativ:
Alla datorer (inklusive datorer på Internet): Rekommenderas inte. Alla datorer som kan adressera din dator för att ansluta till det angivna programmet eller porten. Den här inställningen kan vara nödvändig för att tillåta att information visas för anonyma användare på Internet, men ökar din exponering för skadliga användare. Om du aktiverar den här inställningen möjliggör det NAT-traversering, som alternativet Edge Traversal, vilket ökar exponeringen.
Endast mitt nätverk (undernät): En säkrare inställning än Alla datorer. Endast datorer i nätverkets lokala undernät kan ansluta till programmet eller porten.
anpassad lista: Endast datorer som har ip-adresserna i listan kan ansluta. En säker inställning kan vara säkrare än Endast mitt nätverk (undernät), men klientdatorer som använder DHCP kan ibland ändra sin IP-adress, vilket inaktiverar möjligheten att ansluta. En annan dator, som du inte har för avsikt att auktorisera, kan acceptera den angivna IP-adressen och ansluta till den. Den anpassade listan är lämplig för att visa andra servrar som är konfigurerade att använda en fast IP-adress.
Inkräktare kan förfalska IP-adresser. Begränsningen av brandväggsregler är bara lika stark som nätverksinfrastrukturen.
Använd Windows-brandväggen med modulen Avancerad säkerhet
Avancerade brandväggsinställningar kan konfigureras med hjälp av Windows-brandväggen med MMC-snapin-modulen Avancerad säkerhet. Snapin-modulen innehåller en regelguide och inställningar som inte är tillgängliga i Windows-brandväggen objekt på Kontrollpanelen. De här inställningarna omfattar:
- Krypteringsinställningar
- Begränsningar för tjänster
- Begränsa anslutningar för datorer efter namn
- Begränsa anslutningar till specifika användare eller profiler
- Kanttraversering som tillåter trafik att kringgå nätverksadressöversättning, NAT-routrar.
- Konfigurera regler för utgående trafik
- Konfigurera säkerhetsregler
- Kräver IPsec för inkommande anslutningar
Skapa en ny brandväggsregel med guiden Ny regel
- På Start-menyn väljer du Kör, skriver
wf.mscoch väljer sedan OK. - I Windows-brandväggen med Advanced Securityhögerklickar du på Inkommande regleri den vänstra rutan och väljer sedan Ny regel.
- Slutför guiden Ny inkommande regel med de inställningar som du vill använda.
Lägg till ett programfel för den körbara SQL Server-filen
På Start-menyn skriver du
wf.msc. Tryck på Retur eller välj sökresultatetwf.mscför att öppna Windows Defender-brandväggen med avancerad säkerhet.I den vänstra rutan väljer du Regler för inkommande trafik.
I den högra rutan, under Åtgärder, väljer du Ny regel.... Guiden för ny inkommande regel öppnas.
På Regeltypväljer du Program. Välj Nästa.
I Programväljer du Den här programsökvägen. Välj Bläddra för att hitta din instans av SQL Server. Programmet heter
sqlservr.exe. Den finns normalt påC:\Program Files\Microsoft SQL Server\MSSQL<VersionNumber>.<InstanceName>\MSSQL\Binn\sqlservr.exe. Välj Nästa.I Åtgärdväljer du Tillåt anslutningen. Välj Nästa.
På Profiletar du med alla tre profilerna. Välj Nästa.
På Namnanger du ett namn för regeln. Välj Slutför.
Mer information om slutpunkter finns i:
Konfigurera databasmotorn så att den lyssnar på flera TCP-portar
katalogvyer för slutpunkter (Transact-SQL)
Felsöka brandväggsinställningar
Följande verktyg och tekniker kan vara användbara vid felsökning av brandväggsproblem:
Den effektiva portstatusen är en union av alla regler som är relaterade till porten. Det kan vara bra att granska alla regler som citerar portnumret när du försöker blockera åtkomst till en port. Granska reglerna med Windows-brandväggen med MMC-snapin-modulen Avancerad säkerhet och sortera reglerna för inkommande och utgående trafik efter portnummer.
Granska de portar som är aktiva på den dator där SQL Server körs. Granskningsprocessen omfattar verifiera vilka TCP/IP-portar som lyssnar och även kontrollera status för portarna.
Verktyget PortQry kan användas för att rapportera statusen för TCP/IP-portar som lyssnar, lyssnar inte eller filtreras. (Verktyget kanske inte får något svar från porten om det har en filtrerad status.) Verktyget PortQry är tillgängligt för nedladdning från Microsoft Download Center.
Lista vilka TCP/IP-portar som lyssnar
Kontrollera vilka portar som lyssnar genom att visa aktiva TCP-anslutningar och IP-statistik med hjälp av kommandoradsverktyget netstat.
Öppna kommandotolken.
Skriv in
netstat -n -ai kommandotolken.Växeln
-ninstruerar netstat att numeriskt visa adressen och portnumret för aktiva TCP-anslutningar. Växeln-ainstruerar netstat att visa de TCP- och UDP-portar som datorn lyssnar på.