Поделиться через

Настройка брандмауэра Windows для разрешения доступа к SQL Server

Системы брандмауэра помогают предотвратить несанкционированный доступ к ресурсам компьютера. Если брандмауэр включен, но неправильно настроен, попытки подключения к SQL Server могут быть заблокированы.

Чтобы получить доступ к экземпляру SQL Server через брандмауэр, необходимо настроить брандмауэр на компьютере под управлением SQL Server, чтобы разрешить доступ. Брандмауэр является компонентом Microsoft Windows. Вы также можете установить брандмауэр из другой компании. В этом разделе описывается настройка брандмауэра Windows, но основные принципы применяются к другим программам брандмауэра.

Замечание

В этом разделе представлен обзор конфигурации брандмауэра и приведены сведения, интересующие администратора SQL Server. Дополнительные сведения о брандмауэре и достоверных сведениях о брандмауэре см. в документации по брандмауэру, например брандмауэру Windows с расширенной безопасностью и IPsec.

Пользователи, знакомые с элементом брандмауэра Windows на панели управления и оснасткой брандмауэра Windows с расширенной безопасностью в консоли управления Microsoft (MMC), и которые знают, какие параметры брандмауэра они хотят настроить, могут перейти непосредственно к темам в следующем списке:

Основные сведения о брандмауэре

Брандмауэры работают, проверяя входящие пакеты и сравнивая их с набором правил. Если правила разрешают пакет, брандмауэр передает пакет протоколу TCP/IP для дополнительной обработки. Если правила не разрешают пакет, брандмауэр удаляет пакет и, если ведение журнала включено, создает запись в файле ведения журнала брандмауэра.

Список разрешенного трафика заполняется одним из следующих способов.

  • Если компьютер с включенным брандмауэром инициирует обмен данными, брандмауэр создает запись в списке, чтобы разрешить ответ. Входящий ответ считается запрошенным трафиком, и вам не нужно настраивать этот трафик.

  • Администратор настраивает исключения для брандмауэра. Это позволяет получить доступ к указанным программам, работающим на компьютере, или к указанным портам подключения на компьютере. В этом случае компьютер принимает несанкционированный входящий трафик, выполняя роль сервера, слушателя или однорангового устройства. Это тип конфигурации, которая должна быть завершена для подключения к SQL Server.

Выбор стратегии брандмауэра является более сложной задачей и не сводится лишь к открытию или закрытию портов. При разработке стратегии брандмауэра для вашего предприятия убедитесь, что вы учли все доступные вам правила и параметры конфигурации. В этом разделе не рассматриваются все возможные параметры брандмауэра. Рекомендуется ознакомиться со следующими документами:

Руководство по началу работы с брандмауэром Windows с расширенной безопасностью

Руководство по проектированию брандмауэра Windows с расширенной безопасностью

Основные сведения об изоляции серверов и доменов

Параметры брандмауэра по умолчанию

Первым шагом при планировании конфигурации брандмауэра является определение его текущего состояния в операционной системе. Если операционная система была обновлена с предыдущей версии, возможно, были сохранены предыдущие параметры брандмауэра. Кроме того, параметры брандмауэра могли быть изменены другим администратором или групповой политикой в вашем домене.

Замечание

Включение брандмауэра повлияет на другие программы, которые обращаются к этому компьютеру, таким как общий доступ к файлам и печати, а также подключения к удаленному рабочему столу. Администратор должен просмотреть все приложения, которые работают на компьютере, прежде чем приступать к настройке параметров брандмауэра.

Программы для настройки брандмауэра

Существует три способа настройки параметров брандмауэра Windows.

  • Элемент брандмауэра Windows на панели управления

    Элемент брандмауэра Windows можно открыть на панели управления.

    Это важно

    Изменения, внесенные в элемент брандмауэра Windows на панели управления, влияют только на текущий профиль. Мобильные устройства, например ноутбук, не должны использовать элемент брандмауэра Windows на панели управления, так как профиль может измениться при подключении в другой конфигурации. После этого ранее настроенный профиль не будет в силе. Дополнительные сведения о профилях см. в руководстве по началу работы с брандмауэром Windows с расширенной безопасностью.

    Элемент брандмауэра Windows на панели управления позволяет настроить базовые параметры. К ним относятся следующие:

    • Включение или отключение элемента брандмауэра Windows на панели управления

    • Включение и отключение правил

    • Предоставление исключений для портов и программ

    • Настройка некоторых ограничений области

    Элемент брандмауэра Windows на панели управления наиболее подходит для пользователей, которые не имеют опыта в настройке брандмауэра, и которые настраивают базовые параметры брандмауэра для компьютеров, которые не являются мобильными. Вы также можете открыть элемент брандмауэра Windows на панели управления из run команды с помощью следующей процедуры:

    Открытие элемента брандмауэра Windows

    1. В меню "Пуск " нажмите кнопку "Выполнить", а затем введите firewall.cpl.

    2. Нажмите кнопку ОК.

  • Консоль управления Майкрософт (MMC)

    Оснастка MMC «Брандмауэр Windows с расширенными функциями безопасности» позволяет настраивать более продвинутые параметры брандмауэра. Эта оснастка в удобной форме представляет большинство параметров брандмауэра, а также все профили брандмауэра. Дополнительные сведения см. в разделе «Использование брандмауэра Windows с оснасткой расширенной безопасности» в дальнейшем разделе этой темы.

  • netsh

    Средство netsh.exe может использоваться администратором для настройки и мониторинга компьютеров под управлением Windows в командной строке или с помощью пакетного файла**.** С помощью средства netsh можно направлять команды контекста, которые вы вводите в соответствующую вспомогатель, а вспомогательный элемент затем выполняет команду. Вспомогательный файл — это файл библиотеки динамического канала (.dll), который расширяет функциональные возможности средства netsh , предоставляя конфигурацию, мониторинг и поддержку одной или нескольких служб, служебных программ или протоколов. Все операционные системы, поддерживающие SQL Server, имеют помощника с настройкой брандмауэра. Windows Server 2008 также имеет расширенное средство для работы с файрволом под названием advfirewall. Сведения об использовании netsh не рассматриваются в этом разделе. Однако многие описанные параметры конфигурации можно настроить с помощью netsh. Например, выполните в командной строке следующий скрипт, чтобы открыть TCP-порт 1433:

    netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT

    Аналогичный пример использования вспомогательного средства брандмауэра Windows для расширенной безопасности:

    netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN

    Дополнительные сведения о средстве netsh см. в следующих ссылках:

Порты, используемые SQL Server

В следующих таблицах можно определить порты, используемые SQL Server.

Порты, используемые ядром СУБД

В следующей таблице перечислены порты, которые часто используются движком СУБД.

Сценарий Порт Комментарии
По умолчанию SQL Server работает с использованием протокола TCP. TCP-порт 1433 Это наиболее распространенный порт, разрешенный через брандмауэр. Он применяется к стандартным подключениям к установке ядра СУБД по умолчанию или к именованному экземпляру, который является единственным экземпляром, запущенным на компьютере. (Именованные экземпляры требуют особого внимания. См. динамические порты в дальнейшем в этом разделе.)
Именованные экземпляры SQL Server в конфигурации по умолчанию TCP-порт — это динамический порт, определенный во время запуска ядро СУБД. См. обсуждение ниже в разделе "Динамические порты". Порт UDP 1434 может потребоваться для службы браузера SQL Server при использовании именованных экземпляров.
Именованные экземпляры SQL Server при настройке использования фиксированного порта Номер порта настраивается администратором. См. обсуждение ниже в разделе "Динамические порты".
Выделенное административное соединение TCP-порт 1434 предназначен для экземпляра по умолчанию. Другие порты используются для именованных экземпляров. Номер порта проверьте по журналу ошибок. По умолчанию удаленные подключения к выделенному подключению администратора (DAC) не включены. Разрешение удаленного доступа к DAC осуществляется через фасет конфигурации области взаимодействия. Дополнительные сведения см. в разделе Surface Area Configuration.
служба браузера SQL Server UDP-порт 1434 Служба браузера SQL Server прослушивает входящие подключения к именованным экземплярам и предоставляет клиенту номер TCP-порта, соответствующий указанному экземпляру. Обычно служба SQL Server Browser запускается всякий раз, когда используются именованные экземпляры СУБД. Служба браузера SQL Server не должна запускаться, если клиент настроен для подключения к конкретному порту именованного экземпляра.
Экземпляр SQL Server, работающий через конечную точку HTTP. Может указываться во время создания конечной точки HTTP. По умолчанию используется TCP-порт 80 для трафика CLEAR_PORT и 443 для SSL_PORT трафика. Используется для HTTP-соединения по URL-адресу.
Экземпляр SQL Server по умолчанию, работающий через конечную точку HTTPS. TCP-порт 443 Используется для HTTPS-соединения по URL-адресу. HTTPS — это HTTP-подключение, использующее уровень безопасных сокетов (SSL).
Сервисный брокер TCP-порт 4022. Чтобы проверить используемый порт, выполните следующий запрос:

SELECT name, protocol_desc, port, state_desc

FROM sys.tcp_endpoints

WHERE type_desc = 'SERVICE_BROKER'		 Для SQL Server Service Broker нет порта по умолчанию, но это общепринятая конфигурация, используемая в примерах онлайн-документации.
Зеркалирование баз данных Порт, выбранный администратором. Чтобы определить порт, выполните следующий запрос.

SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints

WHERE type_desc = 'DATABASE_MIRRORING'		 Нет порта по умолчанию для зеркального отображения базы данных, однако в примерах электронной документации используется TCP-порт 7022. Очень важно избежать прерывания работы текущей конечной точки зеркалирования, особенно в режиме высокой безопасности с автоматическим переключением при отказе. Конфигурация брандмауэра должна избегать прерывания кворума. Дополнительные сведения см. в статье Указание сетевого адреса сервера (зеркальное отображение базы данных).
Репликация Подключения репликации к SQL Server используют типичные обычные порты ядра СУБД (TCP-порт 1433 для экземпляра по умолчанию и т. д.)

Для веб-синхронизации и доступа через FTP/UNC для моментального снимка репликации требуется открыть дополнительные порты на брандмауэре. Передачу начальных данных и схемы из одного места в другое репликация осуществляет по протоколу FTP (TCP-порт 21) либо с помощью синхронизации через HTTP (TCP-порт 80) или общего доступа к файлам. Общий доступ к файлам использует порт UDP 137 и 138 и TCP-порт 139, если он использует NetBIOS. Совместное использование файлов использует TCP-порт 445.		 Для синхронизации по протоколу HTTP репликация использует конечную точку IIS (порты, для которых можно настроить, но по умолчанию — порт 80), но процесс IIS подключается к серверной части SQL Server через стандартные порты (1433 для экземпляра по умолчанию).

Во время веб-синхронизации с помощью FTP передача FTP выполняется между IIS и издателем SQL Server, а не между подписчиком и IIS.
Отладчик Transact-SQL TCP-порт 135

См. раздел Особые замечания относительно порта 135

Также может потребоваться исключение IPsec .		 При использовании Visual Studio на хост-компьютере Visual Studio необходимо также добавить Devenv.exe в список исключений и открыть TCP-порт 135.

При использовании Management Studio на хост-компьютере Management Studio необходимо также добавить ssms.exe в список исключений и открыть TCP-порт 135. Дополнительные сведения см. в разделе "Настройка отладчика Transact-SQL".

Пошаговые инструкции по настройке брандмауэра Windows для ядра СУБД см. в разделе "Настройка брандмауэра Windows для доступа к ядрам СУБД".

Динамические порты

По умолчанию именованные экземпляры (включая SQL Server Express) используют динамические порты. Это означает, что при каждом запуске ядра СУБД он определяет доступный порт и использует этот номер порта. Если именованный экземпляр является единственным экземпляром установленного ядра СУБД, он, вероятно, будет использовать TCP-порт 1433. Если установлены другие экземпляры ядра СУБД, он, вероятно, будет использовать другой TCP-порт. Так как выбранный порт может изменяться при каждом запуске ядра СУБД, сложно настроить брандмауэр для включения доступа к правильному номеру порта. Таким образом, если используется брандмауэр, мы рекомендуем перенастроить ядро СУБД для использования одного и того же номера порта каждый раз. Это называется фиксированным портом или статическим портом. Дополнительные сведения см. в разделе Настройка сервера для прослушивания указанного TCP-порта (диспетчер конфигурации SQL Server).

Альтернативой настройке именованного экземпляра для прослушивания фиксированного порта является создание исключения в брандмауэре для программы SQL Server, например sqlservr.exe (для ядра СУБД). Это может быть удобно, но номер порта не будет отображаться в столбце "Локальный порт " страницы правил входящего трафика при использовании брандмауэра Windows с оснасткой MMC advanced Security. Это может затруднить аудит открытых портов. Следует учитывать, что пакет обновлений или накопительное обновление может изменить путь к исполняемому файлу SQL Server, что сделает правило брандмауэра недействительным.

Замечание

В следующей процедуре используется элемент брандмауэра Windows на панели управления. Оснастка брандмауэра Windows с расширенной безопасностью MMC может настроить более сложное правило. Это включает настройку исключения сервиса, которое может быть полезно для обеспечения глубинной защиты. См. ниже раздел "Использование брандмауэра Windows с надстройкой расширенной безопасности".

Добавление исключения программы в брандмауэр с помощью элемента брандмауэра Windows на панели управления.

  1. На вкладке "Исключения" элемента брандмауэра Windows на панели управления нажмите кнопку "Добавить программу".

  2. Перейдите к расположению экземпляра SQL Server, который требуется разрешить через брандмауэр, например C:\Program Files\Microsoft SQL Server\MSSQL12.<>instance_name\MSSQL\Binn, выберите sqlservr.exeи нажмите кнопку "Открыть".

  3. Нажмите кнопку ОК.

Дополнительные сведения о конечных точках см. в разделах Настройка ядра СУБД на прослушивание нескольких портов TCP и Представления каталога конечных точек (Transact-SQL).

Порты, используемые службами Analysis Services

В следующей таблице перечислены порты, которые часто используются службами Analysis Services.

Функция Порт Комментарии
Службы анализа TCP-порт 2383 для экземпляра по умолчанию Стандартный порт для экземпляра служб Analysis Services по умолчанию.
служба браузера SQL Server TCP-порт 2382 нужен только для именованного экземпляра анализирующих служб Analysis Services. Запросы подключения клиента для именованного экземпляра службы Analysis Services, которые не указывают номер порта, направляются в порт 2382, порт, который прослушивается браузером SQL Server. Затем браузер SQL Server перенаправляет запрос на порт, используемый именованным экземпляром.
Службы Analysis Services, настроенные для использования с помощью IIS/HTTP

Служба работы со сводными таблицами использует HTTP или HTTPS		 TCP-порт 80 Используется для HTTP-соединения по URL-адресу.
Службы Analysis Services, настроенные для использования с помощью IIS/HTTPS

(Служба сводных таблиц использует HTTP или HTTPS)		 TCP-порт 443 Используется для HTTPS-соединения по URL-адресу. HTTPS — это HTTP-подключение, использующее уровень безопасных сокетов (SSL).

Если пользователи получают доступ к службам Analysis Services через IIS и Интернет, необходимо открыть порт, на котором IIS прослушивает, и указать этот порт в строке подключения клиента. В этом случае для прямого доступа к службам Analysis Services не нужно открывать порты. Порт 2389 по умолчанию и порт 2382 должны быть ограничены вместе со всеми другими портами, которые не требуются.

Пошаговые инструкции по настройке брандмауэра Windows для служб Analysis Services см. в разделе "Настройка брандмауэра Windows для разрешения доступа к службам Analysis Services".

Порты, используемые службами отчетности.

В следующей таблице перечислены порты, которые часто используются службами Reporting Services.

Функция Порт Комментарии
Веб-службы служб отчётности Reporting Services TCP-порт 80 Используется для HTTP-подключения к службам Reporting Services по URL-адресу. Рекомендуется не использовать предварительно настроенное правило World Wide Web Services (HTTP). Дополнительные сведения см. в разделе "Взаимодействие с другими правилами брандмауэра " ниже.
Службы отчётности, настроенные для использования через HTTPS TCP-порт 443 Используется для HTTPS-соединения по URL-адресу. HTTPS — это HTTP-подключение, использующее уровень безопасных сокетов (SSL). Рекомендуется не использовать предварительно настроенное правило Secure World Wide Web Services (HTTPS). Дополнительные сведения см. в разделе "Взаимодействие с другими правилами брандмауэра " ниже.

При подключении Reporting Services к экземпляру СУБД или службам Analysis Services необходимо также открыть соответствующие порты для этих служб. Для получения пошаговых инструкций по настройке брандмауэра Windows для служб Reporting Services см. Настройка брандмауэра для доступа к серверу отчетов.

Порты, используемые службами Integration Services

В следующей таблице перечислены порты, используемые службой Integration Services.

Функция Порт Комментарии
Вызовы удаленной процедуры Майкрософт (MS RPC)

Используется средой выполнения служб интеграции.		 TCP-порт 135

См. раздел Особые замечания относительно порта 135		 Служба Integration Services использует DCOM на порту 135. Диспетчер управления службами использует порт 135 для выполнения таких задач, как запуск и остановка службы Integration Services и передача запросов управления в запущенную службу. Номер порта нельзя изменить.

Этот порт должен быть открыт только при подключении к удаленному экземпляру службы Integration Services из Management Studio или пользовательского приложения.

Пошаговые инструкции по настройке брандмауэра Windows для служб Integration Services см. в разделе "Настройка брандмауэра Windows для доступа к службе SSIS".

Дополнительные порты и службы

В следующей таблице перечислены порты и службы, от которые может зависеть SQL Server.

Сценарий Порт Комментарии
Инструментарий управления Windows (WMI)

Дополнительные сведения о WMI см. в разделе "Поставщик WMI для концепций управления конфигурацией"		 Инструментарий WMI запускается в составе общего узла службы с назначением портов через DCOM. Инструментарий WMI может использовать TCP-порт 135.

См. раздел Особые замечания относительно порта 135		 диспетчер конфигурации SQL Server использует WMI для перечисления служб и управления ими. Рекомендуется использовать стандартную группу правил Инструментарий управления Windows (WMI). Дополнительные сведения см. в разделе "Взаимодействие с другими правилами брандмауэра " ниже.
Координатор распределенных транзакций Майкрософт (MS DTC) TCP-порт 135

См. раздел Особые замечания относительно порта 135		 Если приложение использует распределенные транзакции, возможно, потребуется настроить брандмауэр, чтобы разрешить трафик координатора распределенных транзакций (MS DTC) между отдельными экземплярами MS DTC и диспетчерами ресурсов MS DTC, такими как SQL Server. Рекомендуется использовать стандартную группу правил Координатор распределенных транзакций .

Если один общий MS DTC настроен для всего кластера в отдельной группе ресурсов, необходимо добавить sqlservr.exe в качестве исключения в брандмауэр.
Кнопка "Обзор" в Management Studio использует UDP для подключения к службе браузера SQL Server. Дополнительные сведения см. в разделе Служба обозревателя SQL Server (ядро СУБД и SSAS). UDP-порт 1434 Протокол UDP является протоколом без установления соединений.

Брандмауэр имеет настройку, которая называется "UnicastResponsesToMulticastBroadcastDisabled Property Интерфейса INetFwProfile", управляющую поведением брандмауэра в отношении одноадресных ответов на UDP-запросы широковещательной или многоадресной рассылки. У него два поведения.

Если параметр имеет значение TRUE, не допускаются одноадресные ответы на широковещательный запрос. Перечисление служб завершится ошибкой.

Если параметр имеет значение FALSE (по умолчанию), одноадресные ответы разрешены в течение 3 секунд. Длительность времени не настраивается. в случае сети с высокой задержкой или сильно загруженных серверов попытки перечислить экземпляры SQL Server могут вернуть частичный список, который способен ввести пользователей в заблуждение.
Трафик IPsec UDP-порты 500 и 4500 Если политика домена требует выполнения сетевых соединения через протокол IPsec, необходимо добавить в список исключений UDP-порты 4500 и 500. Протокол IPsec можно включить с помощью мастера создания нового правила для входящих подключений в оснастке "Брандмауэр Windows". Дополнительные сведения см. в разделе «Использование брандмауэра Windows с надстройкой расширенной безопасности», расположенного ниже.
Использование проверки подлинности Windows с доверенными доменами Брандмауэр можно настроить для разрешения запросов проверки подлинности. Дополнительные сведения см. в разделе "Настройка брандмауэра для доменов и доверия".
Кластеризация SQL Server и Windows Кластеризация требует дополнительных портов, которые не связаны напрямую с SQL Server. Дополнительные сведения см. в разделе Подготовка сети для работы кластера.
Пространства имен URL-адресов, зарезервированные в HTTP Server API (HTTP.SYS) Обычно TCP-порт 80, однако можно настроить для использования любого другого порта. Общие сведения см. в разделе Настройка протоколов HTTP и HTTPS. Для получения сведений SQL Server о резервировании конечной точки HTTP.SYS с помощью HttpCfg.exeсм. раздел "Сведения о резервировании URL-адресов и регистрации" (SSRS Configuration Manager).

Особые вопросы для порта 135

При использовании RPC с TCP/IP или с UDP/IP в качестве транспорта входящие порты часто динамически назначаются системным службам по мере необходимости; Используются порты TCP/IP и UDP/IP, превышающие порт 1024. Они часто называются "случайными портами RPC". В таких случаях клиенты RPC полагаются на сопоставитель конечных точек RPC, чтобы узнать, какие динамические порты были назначены серверу. Для некоторых служб на основе RPC, вы можете настроить использовать конкретный порт вместо предоставления RPC управления назначением порта динамически. Также можно ограничить диапазон портов, к которому RPC динамически применяет назначение, до небольшого диапазона вне зависимости от типа службы. Так как порт 135 используется для многих служб, он часто атакуется вредоносными пользователями. В случае открытия порта 135 рекомендуется ограничить область действия правила брандмауэра.

Дополнительные сведения о порте 135 см. в следующих ресурсах.

Взаимодействие с другими правилами брандмауэра

Настройка брандмауэра Windows производится на основе правил и групп правил. Каждая группа правил или правил обычно связана с определенной программой или службой, и эта программа или служба может изменить или удалить это правило без ваших знаний. Например, группы правил Службы Интернета (HTTP) и Защищенные службы Интернета (HTTPS) связаны со службами IIS. Включение этих правил открывает порты 80 и 443, а функции SQL Server, зависящие от портов 80 и 443, будут работать, если эти правила включены. Однако администратор в процессе настройки служб IIS может изменить или отключить эти правила. Поэтому при использовании порта 80 или порта 443 для SQL Server необходимо создать собственное правило или группу правил, которая поддерживает нужную конфигурацию портов независимо от других правил IIS.

Брандмауэр Windows с расширенной оснасткой безопасности MMC разрешает любой трафик, соответствующий любой применимой разрешающей политике. Таким образом, если есть два правила, которые оба применяются к порту 80 (с разными параметрами), трафик, соответствующий обоим правилам, будет разрешен. Поэтому если одно правило разрешает трафик через порт 80 из локальной подсети и одно правило разрешает трафик из любого адреса, то чистый эффект заключается в том, что весь трафик через порт 80 разрешен независимо от источника. Чтобы эффективно управлять доступом к SQL Server, администраторы должны периодически проверять все правила брандмауэра, включенные на сервере.

Обзор профилей брандмауэра

Профили брандмауэра рассматриваются в руководстве по началу работы с расширенной безопасностью Windows Firewall в разделе "Брандмауэр узла, учитывающий сетевое расположение". В общем, операционные системы определяют и запоминают каждую из сетей, к которым они подключаются, в отношении подключения, соединений и категории.

Брандмауэр Windows в режиме повышенной безопасности делит сети на три типа.

  • Домен. Windows может проверять подлинность доступа к контроллеру домена для домена, к которому присоединен компьютер.

  • Открытая. Кроме доменных сетей, все сети изначально классифицируются как общедоступные. Сети, которые представляют собой прямые соединения с Интернетом или находятся в общественных местах, таких как аэропорты и кафе, следует оставлять открытыми.

  • Приватность. Сеть, определяемая пользователем или приложением как частная. Только доверенные сети могут быть определены как частные. Пользователи, скорее всего, хотят определить домашние или малые бизнес-сети как частные.

Администратор может создать профиль для каждого типа сети и задать для этих профилей разные политики брандмауэра. Одновременно может быть применен только один профиль. Последовательность профилей применяется следующим образом.

  1. Если все интерфейсы проходят проверку подлинности в контроллере домена для домена, в котором компьютер является членом, применяется профиль домена.

  2. Если все интерфейсы проходят проверку подлинности на контроллере домена или подключены к сетям, которые классифицируются как расположения частной сети, применяется частный профиль.

  3. В противном случае применяется открытый профиль.

Просмотреть и настроить профили брандмауэра можно с помощью оснастки «Брандмауэр Windows в режиме повышенной безопасности». Элемент Брандмауэр Windows на панели управления позволяет настраивать только текущий профиль.

Дополнительные параметры брандмауэра с помощью элемента брандмауэра Windows на панели управления

Исключения, добавляемые в брандмауэр, могут ограничить открытие порта входящими подключениями с определенных компьютеров или локальной подсети. Это ограничение области открытия порта может уменьшить объем доступа компьютера к вредоносным пользователям и рекомендуется.

Замечание

Элемент Брандмауэр Windows на панели управления позволяет настроить только текущий профиль.

Изменение области исключения брандмауэра с помощью элемента брандмауэра Windows на панели управления

  1. В элементе брандмауэра Windows на панели управления выберите программу или порт на вкладке "Исключения" , а затем нажмите кнопку "Свойства " или "Изменить".

  2. В диалоговом окне "Изменить программу " или " Изменить порт" нажмите кнопку "Изменить область".

  3. Выберите один из следующих параметров:

    • Любой компьютер (включая компьютеры в Интернете)

      Не рекомендуется. Это позволит любому компьютеру, который может обращаться к вашему компьютеру, подключиться к указанной программе или порту. Этот параметр может пригодиться для передачи данных анонимным пользователям Интернета, однако он повышает уязвимость компьютера. Если вы включите этот параметр и разрешите обход сетевых адресов (NAT), например параметр "Разрешить обход краевого маршрута", можно дополнительно увеличить подверженность.

    • Только моя сеть (подсеть)

      Это более безопасный параметр, чем любой компьютер. Только компьютеры локальной подсети могут производить соединение с программой или портом.

    • Пользовательский список:

    Только компьютеры с указанными вами IP-адресами смогут подключаться. Это может быть более безопасный параметр, чем только моя сеть (подсеть), однако клиентские компьютеры, использующие DHCP, могут иногда изменять их IP-адрес. Затем предполагаемый компьютер не сможет подключиться. Другой компьютер, который вы не намеревались авторизовать, может принять указанный IP-адрес, а затем подключиться. Параметр "Настраиваемый список " может быть подходящим для перечисления других серверов, настроенных для использования фиксированного IP-адреса; однако IP-адреса могут быть спуфинированы злоумышленником. Эффект ограничения правил брандмауэра напрямую зависит от уровня защиты сетевой инфраструктуры.

Использование брандмауэра Windows с оснасткой расширенной безопасности

Дополнительные расширенные параметры брандмауэра можно настроить с помощью оснастки MMC "Брандмауэр Windows с расширенной безопасностью". Оснастка включает в себя мастер правил и предоставляет дополнительные параметры, недоступные в элементе брандмауэр Windows в Панели управления. В их число входят следующие параметры.

  • Параметры шифрования

  • Ограничения служб.

  • Ограничение соединений для компьютеров по именам.

  • Ограничение соединений для определенных пользователей или профилей.

  • Обход сетевых адресных трансляторов (NAT) с помощью сквозного маршрута.

  • Настройка правил исходящих соединений.

  • Настройка правил безопасности.

  • Требование протокола IPsec для входящих соединений.

Создание правила брандмауэра с помощью мастера создания правил

  1. В меню "Пуск" нажмите кнопку "Выполнить", введите WF.msc и нажмите кнопку "ОК".

  2. В брандмауэре Windows с расширенной безопасностью в левой области щелкните правой кнопкой мыши правила входящего трафика и выберите пункт "Создать правило".

  3. Завершите Мастер создания нового входящего правила с нужными вам параметрами.

Устранение неполадок параметров брандмауэра

Следующие средства и методы могут оказаться полезными при устранении неполадок брандмауэра.

  • Действующее состояние порта является объединением всех правил, связанных с этим портом. При попытке заблокировать доступ через порт можно ознакомиться со всеми правилами, которые ссылаются на номер порта. Для этого используйте брандмауэр Windows с оснасткой MMC расширенной безопасности и отсортируйте правила для входящего и исходящего трафика по номеру порта.

  • Просмотрите порты, активные на компьютере, на котором работает SQL Server. Этот процесс проверки включает проверку того, какие порты TCP/IP прослушивают, а также проверку состояния портов.

    Чтобы проверить, какие порты прослушиваются, используйте служебную программу командной строки netstat . Помимо отображения активных TCP-подключений, служебная программа netstat также отображает различные статистические данные и сведения о IP-адресах.

    Чтобы перечислить порты TCP/IP, которые прослушиваются

    1. Откройте окно командной строки.

    2. В командной строке введите netstat -n -a.

      Параметр -n указывает netstat числовым образом отображать адрес и номер порта активных TCP-подключений. Ключ -a инструктирует netstat отображать эти порты TCP и UDP, на которых компьютер слушает.

  • Служебную программу PortQry можно использовать для вывода состояния портов TCP/IP (прослушивается, не прослушивается, фильтруется). (С отфильтрованным состоянием порт может или не прослушивался; это состояние указывает, что программа не получила ответ от порта.) Программа PortQry доступна для скачивания из Центра загрузки Майкрософт.

См. также

Общие сведения о службах и требования к сетевому порту для системы Windows Server

  • Last updated on