Configure the Windows Firewall to Allow SQL Server Access

Aplica-se a: simSQL Server (todas as versões compatíveis) – Somente Windows SimInstância Gerenciada do Azure SQL

Os sistemas de Firewall ajudam a impedir o acesso não autorizado aos recursos do computador. Se um firewall estiver ativado mas não corretamente configurado, as tentativas de conexão ao SQL Server poderão ser bloqueadas.

Para acessar uma instância do SQL Server através de um firewall, é necessário configurar o firewall no computador que está executando o SQL Server. O firewall é um componente do Microsoft Windows. Você também pode instalar um firewall de outra empresa. Este artigo discute como configurar o Firewall do Windows, mas os princípios básicos se aplicam a outros programas de firewall.

Observação

Este artigo apresenta uma visão geral da configuração do firewall e resume informações de interesse de um administrador do SQL Server. Para saber mais sobre o firewall e o firewall autoritativo, confira a documentação do firewall, como Guia de implantação de segurança do Firewall do Windows.

Os usuários que já sabem gerenciar o Firewall do Windows e quais configurações querem definir podem acessar diretamente os artigos mais avançados:

Informações básicas sobre o firewall

Os firewalls inspecionam pacotes recebidos e os comparam ao seguinte conjunto de regras:

  • O pacote está de acordo com os padrões definidos pelas regras, o firewall o transmite ao protocolo TCP/IP para processamento adicional.
  • O pacote não está de acordo com os padrões especificados pelas regras.
    • O firewall descarta o pacote. Se o registro em log estiver habilitado, uma entrada será criada no arquivo de log do firewall.

A lista de tráfego permitido é preenchida de uma das seguintes maneiras:

  • Automaticamente: quando o computador com o firewall habilitado inicia a comunicação, o firewall cria uma entrada na lista de modo que a resposta seja permitida. A resposta é considerada tráfego solicitado e não é necessário definir configurações.

  • Manualmente: Um administrador configura as exceções do firewall. Isso permite acesso a programas ou portas específicos no computador. Nesse caso, o computador aceita tráfego de entrada não solicitado quando funciona como servidor, ouvinte ou item par. A configuração precisa ser concluída para se conectar a SQL Server.

Escolher a estratégia de firewall é uma tarefa mais complexa do que simplesmente decidir se uma dada porta deve ficar aberta ou fechada. Ao elaborar uma estratégia de firewall para sua empresa, é importante que você considere todas as regras e opções de configuração disponíveis. Este artigo não examina todas as possíveis opções de firewall. É recomendável examinar os seguintes documentos:

Guia de Implantação do Firewall do Windows
Guia de Design do Firewall do Windows
Introduction to Server and Domain Isolation

Configurações padrão do firewall

A primeira etapa do planejamento da configuração do firewall é determinar o status atual do firewall do sistema operacional. Se o sistema operacional foi atualizado de uma versão anterior, as configurações de firewall anteriores podem ter sido preservadas. O Política de Grupo ou o administrador pode alterar as configurações de firewall no domínio.

Observação

A ativação do firewall afetará outros programas que acessam este computador, como o compartilhamento de arquivos e impressoras, e conexões de área de trabalho remota. Os administradores devem considerar todos os aplicativos que estão em execução no computador antes de ajustar as configurações do firewall.

Programas para configurar o firewall

Defina as configurações do Firewall do Windows com o Console de Gerenciamento Microsoft ou netsh.

  • Console de Gerenciamento Microsoft (MMC)

    O snap-in do MMC Firewall do Windows com Segurança Avançada permite definir configurações de firewall mais avançadas. Este snap-in apresenta a maioria das opções de firewall de um jeito fácil de usar, além de todos os perfis de firewall. Para obter mais informações, veja Usando o snap-in Firewall do Windows com Segurança Avançada, mais adiante neste artigo.

  • netsh

    O netsh.exe é uma ferramenta de administrador para configurar e monitorar computadores baseados no Windows em um prompt de comando ou por meio de um arquivo em lotes . Com a ferramenta netsh, você pode direcionar os comandos de contexto inseridos para o auxiliar apropriado que, em seguida, executará o comando. Um auxiliar é um arquivo .dll (biblioteca de vínculo dinâmico) que estende a funcionalidade. O auxiliar fornece: configuração, monitoramento e suporte para um ou mais serviços, utilitários ou protocolos para a ferramenta netsh.

    Todos os sistemas operacionais que dão suporte ao SQL Server têm um auxiliar de firewall. Windows Server 2008 também possui um auxiliar avançado de firewall chamado advfirewall. Muitas das opções de configuração descritas podem ser configuradas usando o netsh. Por exemplo, execute o seguinte script em um prompt de comando para abrir a porta TCP 1433:

    netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT  
    

    Um exemplo semelhante usando o auxiliar do Firewall do Windows para Segurança Avançada:

    netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN  
    

    Para obter mais informações sobre o netsh, consulte os seguintes links:

  • PowerShell

    Consulte o exemplo a seguir para abrir a porta TCP 1433 e a porta UDP 1434 para a instância padrão do SQL Server e para o serviço de SQL Server Browser:

    New-NetFirewallRule -DisplayName "SQLServer default instance" -Direction Inbound -LocalPort 1433 -Protocol TCP -Action Allow
    New-NetFirewallRule -DisplayName "SQLServer Browser service" -Direction Inbound -LocalPort 1434 -Protocol UDP -Action Allow
    

    Para mais exemplos, consulte New-NetFirewallRule.

  • Para Linux: no Linux, também é necessário abrir as portas associadas aos serviços que você precisa acessar. Distribuições diferentes do Linux e firewalls diferentes têm seus próprios procedimentos. Confira dois exemplos em SQL Server no Red Hat e SQL Server no SUSE.

Portas usadas pelo SQL Server

As tabelas a seguir podem ajudar a identificar as portas que são usadas pelo SQL Server.

Ports Used By the Database Engine

Por padrão, as portas normais usadas pelo SQL Server e os serviços de mecanismo de banco de dados associados são: TCP 1433, 4022, 135, 1434, UDP 1434. A tabela abaixo explica essas portas mais detalhadamente. Uma instância nomeada usa portas dinâmicas.

A tabela a seguir lista as portas que são mais usadas pelo Mecanismo de Banco de Dados.

Cenário Porta Comentários
Instância padrão executada no TCP Porta TCP 1433 A porta mais comum permitida pelo firewall. Ela se aplica a conexões de rotina com a instalação padrão do Mecanismo de Banco de Dadosou com uma instância nomeada, que é a única em execução no computador. (Existem considerações especiais para instâncias nomeadas. Veja Portas Dinâmicas mais adiante neste artigo.)
Instâncias nomeadas com a porta padrão A porta TCP é uma porta dinâmica determinada no momento em que o Mecanismo de Banco de Dados é iniciado. Consulte a discussão abaixo, na seção Portas dinâmicas. A porta UDP 1434 pode ser necessária para o Serviço Navegador do SQL Server quando você usa instâncias nomeadas.
Instâncias nomeadas com a porta fixa O número de porta configurado pelo administrador. Consulte a discussão abaixo, na seção Portas dinâmicas.
Conexão de Administrador Dedicada Porta TCP 1434 para a instância padrão. Outras portas são usadas para instâncias nomeadas. Verifique o número da porta no log de erros. Por padrão, as conexões remotas com a DAC (Conexão de Administrador Dedicada) não são habilitadas. Para habilitar a DAC remota, use a faceta Configuração da Área da Superfície. Para obter mais informações, consulte Surface Area Configuration.
SQL Server Serviço Navegador Porta UDP 1434 O serviço navegador do SQL Server escuta conexões de entrada para uma instância nomeada.
O serviço fornece ao cliente o número da porta TCP que corresponde a essa instância nomeada. Normalmente o serviço Navegador do SQL Server é iniciado sempre que são usadas instâncias nomeadas do Mecanismo de Banco de Dados . O serviço Navegador do SQL Server não é exigido se o cliente está configurado para se conectar à porta específica da instância nomeada.
Instância com ponto de extremidade HTTP. Pode ser especificada quando um ponto de extremidade HTTP é criado. O padrão é a porta TCP 80 para tráfego CLEAR_PORT e 443 para tráfego SSL_PORT. Usada para uma conexão HTTP por meio de uma URL.
Instância padrão com ponto de extremidade HTTP Porta TCP 443 Usada para uma conexão HTTPS por meio de uma URL. HTTPS é uma conexão HTTP que usa o protocolo TLS, anteriormente conhecido como protocolo SSL.
Agente de Serviço Porta TCP 4022. Para verificar a porta usada, execute a seguinte consulta:

SELECT name, protocol_desc, port, state_desc

FROM sys.tcp_endpoints

WHERE type_desc = 'SERVICE_BROKER'
Não existe uma porta padrão para SQL ServerAgente de Serviço. Os exemplos dos Manuais Online usam a configuração convencional.
Espelhamento de banco de dados Porta escolhida pelo administrador. Para determinar a porta, execute a seguinte consulta:

SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints

WHERE type_desc = 'DATABASE_MIRRORING'
Não existe uma porta padrão para o espelhamento de banco de dados, mas os exemplos dos Manuais Online usam a porta TCP 5022 ou 7022. É importante evitar interromper um ponto de extremidade de espelhamento em uso, principalmente no modo de alta segurança com failover automático. Sua configuração de firewall deve evitar dividir o quorum. Para obter mais informações, consulte Especificar um endereço de rede do servidor (Espelhamento de banco de dados).
Replicação As conexões de replicação com o SQL Server usam as portas normais típicas do Mecanismo de Banco de Dados (a porta TCP 1433 é a instância padrão)

A sincronização da Web e o acesso FTP/UNC para instantâneo de replicação exigem a abertura de mais portas no firewall. Para transferir o esquema e os dados iniciais de um local para outro, a replicação pode usar o FTP (porta TCP 21) ou sincronizar via HTTP (porta TCP 80) ou Compartilhamento de Arquivos. O compartilhamento de arquivos usa as portas UDP 137 e 138, e a porta TCP 139 caso esteja usando o NetBIOS. O compartilhamento de arquivos usa a porta TCP 445.
Para sincronização por HTTP, a replicação usa o ponto de extremidade do IIS (configurável; a porta 80 é o padrão), mas o processo do IIS se conecta ao SQL Server back-end através das portas padrão (1433 para a instância padrão).

Durante a sincronização da Web usando FTP, a transferência por FTP ocorre entre o IIS e o publicador do SQL Server , e não entre o assinante e o IIS.
Transact-SQL depurador Porta TCP 135

Consulte Considerações especiais sobre a porta 135

A exceção IPsec também pode ser necessária.
Se estiver usando Visual Studio, no computador host Visual Studio , você também deverá adicionar Devenv.exe à lista Exceções e abrir a porta TCP 135.

Se estiver usando o Management Studio, no computador host Management Studio , você também deverá adicionar ssms.exe à lista Exceções e abrir a porta TCP 135. Para obter mais informações, veja Configurar regras de firewall antes de executar o Depurador TSQL.

Para obter instruções passo a passo e configurar o Firewall do Windows para o Mecanismo de Banco de Dados, confira Configurar um Firewall do Windows para acesso ao Mecanismo de Banco de Dados.

Portas dinâmicas

Por padrão, as instâncias nomeadas (incluindo SQL Server Express) usam portas dinâmicas. Isso significa que sempre que o Mecanismo de Banco de Dados é iniciado, ele identifica uma porta disponível e usa esse número de porta. Se a instância nomeada for a única instância do Mecanismo de Banco de Dados instalada, provavelmente ele usará a porta TCP 1433. Se outras instâncias do Mecanismo de Banco de Dados estiverem instaladas, provavelmente ele usará outra porta TCP. Como a porta selecionada pode mudar cada vez que o Mecanismo de Banco de Dados é iniciado, é difícil configurar o firewall para permitir acesso ao número de porta correto. Se um firewall for usado, é recomendável reconfigurar o Mecanismo de Banco de Dados para usar sempre o mesmo número de porta. Uma porta fixa ou estática é recomendada. Para obter mais informações, veja Configurar um servidor para escuta em uma porta TCP específica (SQL Server Configuration Manager).

Uma alternativa à configuração de uma instância nomeada para escutar em uma porta fixa é criar uma exceção no firewall para um programa do SQL Server como o sqlservr.exe (para o Mecanismo de Banco de Dados). O número da porta não será exibido na coluna Porta Local da página Regras de Entrada quando você usar o snap-in do MMC Firewall do Windows com Segurança Avançada. Isso pode dificultar a auditoria de quais portas estão abertas. Outra consideração é que um service pack ou uma atualização cumulativa pode alterar o caminho para o arquivo executável do SQL Server e invalidar a regra de firewall.

Para adicionar uma exceção de programa ao firewall usando o Windows Defender Firewall com Segurança Avançada
  1. No menu Iniciar, digite wf.msc. Pressione Enter ou selecione o resultado da pesquisa de wf.msc para abrir o Windows Defender Firewall com Segurança Avançada.

  2. No painel esquerdo, clique em Regras de Entrada.

  3. No painel direito, em Ações, selecione Nova regra... . O Assistente de Nova Regra de Entrada é aberto.

  4. Em Tipo de regra, clique em Programa. Selecione Avançar.

  5. Em Programa, clique em Este caminho de programa. Clique em Procurar para localizar a instância do SQL Server. O programa é chamado sqlservr.exe. Normalmente, ele está localizado em:

    C:\Program Files\Microsoft SQL Server\MSSQL15.<InstanceName>\MSSQL\Binn\sqlservr.exe

    Selecione Avançar.

  6. Em Ação, selecione Permitir a conexão. Selecione Avançar.

  7. Em Perfil, inclua todos os três perfis. Selecione Avançar.

  8. Em Nome, digite um nome para a regra. Selecione Concluir.

Para obter mais informações sobre pontos de extremidade, veja Configurar o Mecanismo de Banco de Dados para escutar em várias portas TCP e Exibições de catálogo de pontos de extremidade (Transact-SQL).

Portas usadas pelo Analysis Services

Por padrão, as portas normais usadas pelo SQL Server Analysis Services e os serviços associados são: TCP 2382, 2383, 80, 443. A tabela abaixo explica essas portas mais detalhadamente.

A tabela a seguir lista as portas que são mais usadas pelo Serviços de análise.

Recurso Porta Comentários
Serviços de análise Porta TCP 2383 para a instância padrão A porta padrão para a instância padrão do Serviços de análise.
SQL Server Serviço Navegador A porta TCP 2382 só é necessária para uma instância nomeada do Serviços de análise As solicitações de conexão de clientes para uma instância nomeada do Serviços de análise que não especificam um número de porta são direcionadas para a 2382, que é a porta em que o Navegador do SQL Server escuta. SQL Server redireciona a solicitação à porta usada pela instância nomeada.
Serviços de análise configurado para uso por IIS/HTTP

(O Serviço PivotTable® usa HTTP ou HTTPS)
Porta TCP 80 Usada para uma conexão HTTP por meio de uma URL.
Serviços de análise configurado para uso por IIS/HTTPS

(O Serviço PivotTable® usa HTTP ou HTTPS)
Porta TCP 443 Usada para uma conexão HTTPS por meio de uma URL. HTTPS é uma conexão HTTP que usa o protocolo TSL.

Se usuários acessarem o Serviços de análise por meio do IIS ou da Internet, você precisará abrir a porta em que o IIS está escutando. Em seguida, especifique a porta na cadeia de conexão do cliente. Nesse caso, nenhuma porta deve ser aberta para acessar diretamente o Serviços de análise. A porta padrão 2389 e a porta 2382 devem ser limitadas juntas com todas as outras portas que não são necessárias.

Para obter instruções passo a passo e configurar o Firewall do Windows para o Serviços de análise, confira Configurar o Firewall do Windows para permitir acesso ao Analysis Services.

Portas usadas pelo Reporting Services

Por padrão, as portas normais usadas pelo SQL Server Reporting Services e os serviços associados são: TCP 80, 443. A tabela abaixo explica essas portas mais detalhadamente.

A tabela a seguir lista as portas que são mais usadas pelo Reporting Services.

Recurso Porta Comentários
Reporting Services Serviços Web Porta TCP 80 Usada para uma conexão HTTP com o Reporting Services por meio de uma URL. Não é recomendável usar a regra pré-configurada Serviços da World Wide Web (HTTP) . Para obter mais informações, consulte a seção Interação com outras regras do firewall abaixo.
Reporting Services configurado para uso por HTTPS Porta TCP 443 Usada para uma conexão HTTPS por meio de uma URL. HTTPS é uma conexão HTTP que usa o protocolo TSL. Não é recomendável usar a regra pré-configurada Serviços Seguros da World Wide Web (HTTPS) . Para obter mais informações, consulte a seção Interação com outras regras do firewall abaixo.

Quando o Reporting Services se conecta a uma instância do Mecanismo de Banco de Dados ou Serviços de análise, você também deve abrir as portas apropriadas para esses serviços. Para obter instruções passo a passo para configurar o Firewall do Windows para o Reporting Services, veja Configurar um Firewall para acesso ao Servidor de Relatório.

Portas usadas pelo Integration Services

A tabela a seguir lista as portas que são usadas pelo serviço Integration Services .

Recurso Porta Comentários
Microsoft chamadas de procedimento remoto (MS RPC)

Usada pelo runtime do Integration Services .
Porta TCP 135

Consulte Considerações especiais sobre a porta 135
O serviço Integration Services usa o DCOM na porta 135. O Gerenciador de Controle de Serviço usa a porta 135 para executar tarefas como iniciar e parar o serviço Integration Services e transmitir solicitações de controle ao serviço em execução. O número da porta não pode ser alterado.

Esta porta só precisa ser aberta se você está se conectando a uma instância remota do serviço Integration Services do Management Studio ou de um aplicativo personalizado.

Para obter instruções passo a passo para configurar o Firewall do Windows para o Integration Services, consulte Serviço do Integration Services (Serviço SSIS).

Outras portas e serviços

A tabela a seguir lista portas e serviços dos quais o SQL Server pode depender.

Cenário Porta Comentários
Instrumentação de Gerenciamento do Windows

Para obter mais informações sobre a WMI (Instrumentação de Gerenciamento do Windows) , confira Provedor WMI para conceitos de gerenciamento de configuração
A WMI é executada como parte de um host de serviço compartilhado com portas atribuídas por DCOM. A WMI pode estar usando a porta TCP 135.

Consulte Considerações especiais sobre a porta 135
SQL Server Configuration Manager usa a WMI para listar e gerenciar serviços. É recomendável usar o grupo de regras pré-configuradas WMI (Instrumentação de Gerenciamento do Windows) . Para obter mais informações, consulte a seção Interação com outras regras do firewall abaixo.
Microsoft MS DTC (Coordenador de Transações Distribuídas) Porta TCP 135

Consulte Considerações especiais sobre a porta 135
Se o seu aplicativo usa transações distribuídas, talvez seja necessário configurar o firewall para permitir que o tráfego do Coordenador de Transações Distribuídas da Microsoft (MS DTC) flua entre instâncias separadas do MS DTC e entre o MS DTC e gerenciadores de recursos, como o SQL Server. É recomendável usar o grupo de regras pré-configuradas Coordenador de Transações Distribuídas .

Quando um único MS DTC compartilhado é configurado para o cluster inteiro em um grupo de recursos separado, adicione sqlservr.exe como uma exceção ao firewall.
O botão Procurar do Management Studio usa UDP para se conectar ao Serviço Navegador do SQL Server . Para obter mais informações, veja Serviço SQL Server Browser (Mecanismo de Banco de Dados e SSAS). Porta UDP 1434 UDP é um protocolo sem-conexão.

O firewall tem uma configuração, (propriedade UnicastResponsesToMulticastBroadcastDisabled da interface INetFwProfile), que controla seu comportamento e as respostas unicast para uma solicitação UDP de difusão (ou multicast). Ele tem dois comportamentos:

Se a configuração for TRUE, não serão permitidas respostas unicast para uma difusão. A enumeração de serviços falhará.

Se a configuração for FALSE (padrão), serão permitidas respostas unicast durante 3 segundos. O período de tempo não é configurável. Em uma rede congestionada ou de alta latência, ou para servidores com grandes cargas, as tentativas de enumerar instâncias do SQL Server podem retornar uma lista parcial, o que pode enganar os usuários.
Tráfego IPsec Portas UDP 500 e 4500 Se a política do domínio exigir que as comunicações de rede sejam feitas por meio de IPsec, você também deverá adicionar as portas UDP 4500 e 500 à lista de exceções. IPsec é uma opção que usa o Assistente para Nova Regra de Entrada no snap-in Firewall do Windows. Para obter mais informações, veja Usando o snap-in Firewall do Windows com Segurança Avançada abaixo.
Usando a Autenticação do Windows com domínios confiáveis Os firewalls devem ser configurados para permitir solicitações de autenticação. Para obter mais informações, consulte Como configurar um firewall para domínios e relações de confiança.
SQL Server e clustering do Windows O clustering requer portas extras que não estão diretamente relacionadas ao SQL Server. Para obter mais informações, consulte Enable a network for cluster use.
Namespaces URL reservados na API de servidor HTTP (HTTP.SYS) Provavelmente a porta TCP 80, mas podem ser configurados para outras portas. Para obter informações gerais, consulte Configuring HTTP and HTTPS. Para obter informações específicas do SQL Server sobre como reservar um ponto de extremidade HTTP.SYS usando HttpCfg.exe, veja Sobre reservas e registro de URL (SSRS Configuration Manager).

Considerações especiais sobre a porta 135

Quando você usa RPC com TCP/IP ou com UDP/IP como o transporte, as portas de entrada são atribuídas dinamicamente aos serviços do sistema, conforme necessário. As portas TCP/IP e UDP/IP maiores que a porta 1024 são usadas. As portas são chamadas de "portas RPC aleatórias". Nesses casos, os clientes RPC dependem do mapeador de ponto de extremidade RPC para saber quais portas dinâmicas foram atribuídas ao servidor. Para alguns serviços baseados em RPC, você pode configurar uma porta específica em vez de deixar que a RPC atribua uma dinamicamente. Também é possível restringir o intervalo de portas que a RPC atribui dinamicamente a um intervalo pequeno, independentemente do serviço. Como a porta 135 é usada para muitos serviços, ela é invadida por usuários mal-intencionados com bastante frequência. Quando abrir a porta 135, considere a possibilidade de restringir o escopo da regra do firewall.

Para obter mais informações sobre a porta 135, consulte as seguintes referências:

Interação com outras regras do firewall

O Firewall do Windows usa regras e grupos de regras para estabelecer sua configuração. Cada regra ou grupo de regras está associado a um determinado programa ou serviço, que, por sua vez, pode modificar ou excluir a regra sem que você saiba. Por exemplo, o grupo de regras Serviços da World Wide Web (HTTP) e Serviços Seguros da World Wide Web (HTTPS) está associado ao IIS. Se essas regras foram habilitadas, as portas 80 e 443 serão abertas, e os recursos do SQL Server que dependem delas funcionarão corretamente. Porém, os administradores que configuram o IIS podem modificar ou desabilitar essas regras. Se você estiver usando as portas 80 ou 443 para o SQL Server, deverá criar a própria regra ou o próprio grupo de regras que mantenha a configuração de porta preferida, independentemente das outras regras do IIS.

O snap-in Firewall do Windows com Segurança Avançada do MMC permite qualquer tráfego que corresponda a qualquer regra de permissão aplicável. Portanto, se houver duas regras que se apliquem à porta 80 (com parâmetros diferentes), o tráfego que corresponde a qualquer regra será permitido. Portanto, se uma regra permitir o tráfego pela porta 80 da sub-rede local e outra regra permitir o tráfego de qualquer endereço, o resultado é que todo o tráfego para a porta 80 será independente da origem. Para gerenciar o acesso ao SQL Servercom eficiência, os administradores devem revisar periodicamente todas as regras de firewall habilitadas no servidor.

Visão geral de perfis do firewall

Os perfis de firewall são usados pelos sistemas operacionais para identificar e memorizar cada uma das redes por: conectividade, conexões e categoria.

Há três tipos de local de rede no Firewall do Windows com Segurança Avançada:

  • Domínio: O Windows pode autenticar o acesso ao controlador de domínio do domínio em que o computador ingressou.
  • Público: Diferentemente das redes de domínio, todas as redes são inicialmente classificadas como públicas. Redes que representam conexões diretas à Internet ou estão em locais públicos, como aeroportos e cafés, devem ser configuradas como públicas.
  • Privado: Uma rede identificada por um usuário ou aplicativo como privada. Somente redes confiáveis devem ser identificadas como redes privadas. Os usuários normalmente desejam identificar redes domésticas ou de pequena empresa como privadas.

O administrador pode criar um perfil para cada tipo de local de rede, com cada perfil contendo políticas de firewall diferentes. Somente um perfil é aplicado a qualquer momento. A ordem de perfis é aplicada da seguinte maneira:

  1. O perfil de domínio será aplicado se todas as interfaces forem autenticadas no controlador de domínio do qual o computador é membro.
  2. Se todas as interfaces forem autenticadas no controlador de domínio ou conectadas a redes classificadas como locais de rede privados, será aplicado o perfil privado.
  3. Caso contrário, será aplicado o perfil público.

Use o snap-in Firewall do Windows com Segurança Avançada do MMC para exibir e configurar todos os perfis do firewall. O item Firewall do Windows no Painel de Controle configura apenas o perfil atual.

Configurações adicionais do firewall usando o item Firewall do Windows no Painel de Controle

O firewall pode restringir a abertura da porta a conexões de entrada de computadores específicos ou da sub-rede local. O limite do escopo da abertura de porta pode reduzir o nível de exposição do seu computador a usuários mal-intencionados.

Observação

Se você usar o item Firewall do Windows no Painel de Controle configurará apenas o perfil do firewall.

Para alterar o escopo de uma exceção do firewall usando o item Firewall do Windows no Painel de Controle

  1. No item Firewall do Windows do Painel de Controle, selecione um programa ou porta na guia Exceções e escolha Propriedades ou em Editar.

  2. Na caixa de diálogo Editar um Programa ou Editar uma Porta, selecione Alterar Escopo.

  3. Selecione uma das seguintes opções:

    • Qualquer computador (inclusive na Internet) : não recomendável. Qualquer computador que pode se dirigir a seu computador para se conectar ao programa ou à porta especificada. Esta configuração pode ser necessária para permitir a apresentação de informações a usuários anônimos na Internet, mas aumenta sua exposição a usuários mal-intencionados. Habilitar essa configuração e permitir a NAT (conversão de endereços de rede) transversal, como a opção Permitir percurso de borda, aumentará a exposição.

    • Somente minha rede (sub-rede) : a configuração é mais segura do que Qualquer computador. Somente computadores da sub-rede local da sua rede podem se conectar ao programa ou à porta.

    • Lista personalizada: somente computadores que têm os endereços IP na lista podem se conectar. Uma configuração segura pode ser mais segura do que Somente minha rede (sub-rede) ; no entanto, os computadores cliente que usam DHCP podem alterar o endereço IP ocasionalmente; desabilitará a capacidade de se conectar. Outro computador, que você não pretendia autorizar, pode aceitar o endereço IP listado e se conectar a ele. A Lista personalizada é adequada para listar outros servidores configurados para usar um endereço IP fixo. Os endereços IP podem ser falsificados por um intruso. Restringir regras de firewall é um procedimento apenas tão seguro quanto sua infraestrutura de rede.

Usando o snap-in Firewall do Windows com Segurança Avançada

As configurações avançadas do firewall podem ser definidas usando o snap-in do MMC Firewall do Windows com Segurança Avançada. O snap-in inclui um assistente de regra e configurações que não estão disponíveis no item Firewall do Windows do Painel de Controle. Essas configurações incluem:

  • Configurações de criptografia
  • Restrições de serviços
  • Restrição de conexões de computadores por nome
  • Restrição de conexões para usuários ou perfis específicos
  • Percurso de borda que permita que o tráfego ignore os roteadores de conversão de endereço de rede (NAT)
  • Configuração de regras de saída
  • Configuração de regras de segurança
  • Exigência de IPsec para conexões de entrada

Para criar uma nova regra de firewall usando o assistente de Nova Regra

  1. No menu Iniciar, clique em Executar, digite WF.msc e clique em OK.
  2. No painel esquerdo do Firewall do Windows com Segurança Avançada, clique com o botão direito do mouse em Regras de Entrada e em Nova Regra.
  3. Complete o Assistente de Nova Regra de Entrada usando as configurações desejadas.

Solucionando problemas de configurações do firewall

As seguintes ferramentas e técnicas podem ser úteis para solucionar problemas de firewall:

  • O status efetivo da porta é a combinação de todas as regras relacionadas a ela. Isso pode ser útil para examinar todas as regras que citam o número da porta ao tentar bloquear acesso a uma porta. Examine as regras com o snap-in do MMC Firewall do Windows com Segurança Avançada e classifique as regras de entrada e de saída por número de porta.

  • Revise as portas que estão ativas no computador em que o SQL Server está em execução. O processo de revisão inclui a verificar quais portas TCP/IP estão sendo escutadas e verificar o status das portas.

    Para verificar quais portas estão escutando, exiba as conexões TCP ativas e estatísticas de IP que usam o utilitário de linha de comando netstat.

    Para listar quais portas TCP/IP estão escutando

    1. Abra a janela do prompt de comando.

    2. No prompt de comando, digite netstat -n -a.

      A opção -n instrui o netstat para exibir numericamente o endereço e o número da porta das conexões TCP ativas. A opção -a instrui o netstat a exibir as portas TCP e UDP escutadas pelo computador.

  • O utilitário PortQry pode ser usado para relatar o status das portas TCP/IP como escutando, não escutando ou filtrado. (O utilitário pode não receber resposta da porta se ela tiver um status filtrado.) O utilitário PortQry está disponível para download no Centro de Download da Microsoft.

Consulte Também

Visão geral de serviços e requisitos de porta de rede para o sistema do Windows Server
Como: definir as configurações do firewall (Banco de Dados SQL do Azure)