データベース エンジン アクセスを有効にするための Windows ファイアウォールを構成する

適用対象: はいSQL Server (サポートされているすべてのバージョン)

このトピックでは、 SQL Server で SQL Server 構成マネージャーを使用して、データベース エンジン アクセスのための Windows ファイアウォールを構成する方法について説明します。 ファイアウォール システムは、コンピューター リソースへの不正アクセスを防ぐのに役立ちます。 ファイアウォールを経由して SQL Server データベース エンジン のインスタンスにアクセスするには、 SQL Server を実行しているコンピューターで、アクセスを許可するようにファイアウォールを構成する必要があります。

Windows ファイアウォールの既定の設定の詳細と、 データベース エンジン、Analysis Services、Reporting Services、および Integration Services に影響する TCP ポートの説明については、「 SQL Server のアクセスを許可するための Windows ファイアウォールの構成」をご覧ください。 多くのファイアウォール システムが市販されています。 システム固有の情報については、ファイアウォールのマニュアルを参照してください。

アクセスを許可するための主な手順を次に示します。

  1. 特定の TCP/IP ポートを使用するように データベース エンジン を構成します。 データベース エンジン の既定のインスタンスはポート 1433 を使用しますが、使用するポートは変更できます。 データベース エンジン で使用されているポートは、 SQL Server エラー ログに記録されます。 SQL Server Express と SQL Server Compact のインスタンス、およびデータベース エンジンの名前付きインスタンスは動的ポートを使用します。 特定のポートを使うようにこれらのインスタンスを構成する方法については、「特定の TCP ポートで受信待ちするようにサーバーを構成する方法 (SQL Server 構成マネージャー)」をご覧ください。

  2. 認証済みのユーザーまたはコンピューターが上記で構成したポートにアクセスできるように、ファイアウォールを構成します。

注意

SQL Server Browser サービスを使用すると、ユーザーはポート番号を意識することなく、ポート 1433 でリッスンしていない データベース エンジン のインスタンスに接続できます。 SQL Server Browser を使用するには、UDP ポート 1434 を開く必要があります。 環境のセキュリティを最大限に強化するには、 SQL Server Browser サービスを停止した状態で、ポート 1434 を使用して接続するようにクライアントを構成します。

注意

Microsoft Windows では、既定で Windows ファイアウォールが有効になっており、ポート 1433 が閉じられ、インターネットからコンピューターの SQL Server の既定のインスタンスに接続できない状態になっています。 TCP/IP を使用して既定のインスタンスに接続するには、再度ポート 1433 を開く必要があります。 Windows ファイアウォールの基本的な構成手順を次に示します。 詳細については、Windows のマニュアルを参照してください。

上記の方法のように、特定のポートでリッスンするように SQL Server を構成してそのポートを開く代わりに、ブロックするプログラムの例外の一覧に SQL Server の実行可能ファイル (Sqlservr.exe) を追加することもできます。 この方法は、引き続き動的ポートを使用するときに使用します。 この方法でアクセスできる SQL Server のインスタンスは 1 つだけです。

このトピックの内容

  • 作業を開始する準備:

    Security

  • データベース エンジン アクセスを有効にするように Windows ファイアウォールを構成するには、次のものを使用します。

    SQL Server 構成マネージャー

はじめに

セキュリティ

ファイアウォールのポートを開くと、サーバーが攻撃を受けやすくなります。 ポートを開く前に、ファイアウォール システムについて理解しておいてください。 詳細については、「 Security Considerations for a SQL Server Installation」をご覧ください。

SQL Server 構成マネージャーの使用

Windows Vista、Windows 7、および Windows Server 2008 に適用されます。

次の手順では、セキュリティが強化された Windows ファイアウォールの Microsoft 管理コンソール (MMC) スナップインを使用して Windows ファイアウォールを構成します。 セキュリティが強化された Windows ファイアウォールでは、現在のプロファイルのみを構成できます。 セキュリティが強化された Windows ファイアウォールの詳細については、「 SQL Server のアクセスを許可するための Windows ファイアウォールの構成」をご覧ください。

TCP アクセス用に Windows ファイアウォールのポートを開くには

  1. [スタート] ボタンをクリックし、 [ファイル名を指定して実行] をクリックして 「WF.msc」 と入力し、 [OK] をクリックします。

  2. [セキュリティが強化された Windows ファイアウォール] の左ペインの [受信の規則] をクリックし、[操作] ペインの [新規の規則] をクリックします。

  3. [規則の種類] ダイアログ ボックスで、 [ポート] をクリックし、 [次へ] をクリックします。

  4. [プロトコルおよびポート] ダイアログ ボックスで、 [TCP] をクリックします。 [特定のローカル ポート] をクリックし、 データベース エンジンのインスタンスのポート番号を入力します。たとえば、既定のインスタンスの場合は「 1433 」と入力します。 [次へ] をクリックします。

  5. [操作] ダイアログ ボックスで、 [接続を許可する] をクリックし、 [次へ] をクリックします。

  6. [プロファイル] ダイアログ ボックスで、 データベース エンジンに接続するときのコンピューター接続環境を表すプロファイルをすべて選択し、 [次へ] をクリックします。

  7. [名前] ダイアログ ボックスで、この規則の名前と説明を入力し、 [完了] をクリックします。

動的ポートの使用時に SQL Server にアクセスするには

  1. [スタート] ボタンをクリックし、 [ファイル名を指定して実行] をクリックして 「WF.msc」 と入力し、 [OK] をクリックします。

  2. [セキュリティが強化された Windows ファイアウォール] の左ペインの [受信の規則] をクリックし、[操作] ペインの [新規の規則] をクリックします。

  3. [規則の種類] ダイアログ ボックスで、 [プログラム] をクリックし、 [次へ] をクリックします。

  4. [プログラム] ダイアログ ボックスで、 [このプログラムのパス] をクリックします。 [参照] をクリックし、ファイアウォール経由でアクセスする SQL Server のインスタンスに移動して、 [開く] をクリックします。 既定では、 SQL Server は C:\Program Files\Microsoft SQL Server\MSSQL13.MSSQLSERVER\MSSQL\Binn\Sqlservr.exe にあります。 [次へ] をクリックします。

  5. [操作] ダイアログ ボックスで、 [接続を許可する] をクリックし、 [次へ] をクリックします。

  6. [プロファイル] ダイアログ ボックスで、 データベース エンジンに接続するときのコンピューター接続環境を表すプロファイルをすべて選択し、 [次へ] をクリックします。

  7. [名前] ダイアログ ボックスで、この規則の名前と説明を入力し、 [完了] をクリックします。

参照

方法: ファイアウォール設定を構成する (Azure SQL Database)