Настройка брандмауэра Windows для разрешения доступа к SQL ServerConfigure the Windows Firewall to Allow SQL Server Access

Системы брандмауэров предотвращают несанкционированный доступ к ресурсам компьютера.Firewall systems help prevent unauthorized access to computer resources. Если брандмауэр включен, но настроен неправильно, попытка соединения с SQL ServerSQL Server может оказаться заблокированной.If a firewall is turned on but not correctly configured, attempts to connect to SQL ServerSQL Server might be blocked.

Чтобы разрешить доступ к экземпляру SQL ServerSQL Server через брандмауэр, его необходимо настроить на компьютере, на котором работает SQL ServerSQL Server .To access an instance of the SQL ServerSQL Server through a firewall, you must configure the firewall on the computer that is running SQL ServerSQL Server to allow access. Брандмауэр является компонентом MicrosoftMicrosoft Windows.The firewall is a component of MicrosoftMicrosoft Windows. Вместо него можно установить брандмауэр другой компании.You can also install a firewall from another company. В данном разделе обсуждается настройка брандмауэра Windows, однако общие принципы применимы к любым другим брандмауэрам.This topic discusses how to configure the Windows firewall, but the basic principles apply to other firewall programs.

Примечание

В разделе содержатся общие сведения о настройке брандмауэра и сводные сведения, представляющие интерес для администратора SQL ServerSQL Server .This topic provides an overview of firewall configuration and summarizes information of interest to a SQL ServerSQL Server administrator. Дополнительные сведения и официальные данные о брандмауэрах см. в документации по брандмауэру, например в разделе Брандмауэр Windows в режиме повышенной безопасности и IPsec.For more information about the firewall and for authoritative firewall information, see the firewall documentation, such as Windows Firewall with Advanced Security and IPsec.

Пользователи, хорошо знакомые с элементом Брандмауэр Windows на панели управления и оснасткой "Брандмауэр Windows в режиме повышенной безопасности" консоли управления (MMC) и умеющие настраивать параметры брандмауэра, могут перейти непосредственно к разделам, приведенным в списке ниже.Users familiar with the Windows Firewall item in Control Panel and with the Windows Firewall with Advanced Security Microsoft Management Console (MMC) snap-in and who know which firewall settings they want to configure can move directly to the topics in the following list:

Основные сведения о брандмауэрахBasic Firewall Information

Брандмауэр проверяет входящие пакеты на соответствие набору правил.Firewalls work by inspecting incoming packets, and comparing them against a set of rules. Если правила разрешают передачу пакета, то брандмауэр передает его протоколу TCP/IP для дальнейшей обработки.If the rules allow the packet, the firewall passes the packet to the TCP/IP protocol for additional processing. Если передача пакета правилами не разрешена, то брандмауэр отвергает его и, если включено ведение журнала, создает в файле журнала соответствующую запись.If the rules do not allow the packet, the firewall discards the packet and, if logging is enabled, creates an entry in the firewall logging file.

Список разрешенного трафика заполняется одним из следующих способов.The list of allowed traffic is populated in one of the following ways:

  • Когда защищенный брандмауэром компьютер открывает соединение, брандмауэр добавляет в список элемент, разрешающий ответ по этому соединению.When the computer that has the firewall enabled initiates communication, the firewall creates an entry in the list so that the response is allowed. Полученный ответ рассматривается как ожидаемый и не требует настройки.The incoming response is considered solicited traffic and you do not have to configure this.

  • Работа администратора заключается в настройке исключений в работе брандмауэра.An administrator configures exceptions to the firewall. Это дает возможность разрешать доступ определенным программам, запущенным на компьютере, либо доступ к определенным портам.This allows either access to specified programs running on your computer, or access to specified connection ports on your computer. В этом случае компьютер принимает весь входящий трафик, выполняя роль сервера, прослушивателя или однорангового узла.In this case, the computer accepts unsolicited incoming traffic when acting as a server, a listener, or a peer. Для соединения с SQL ServerSQL Serverдолжна быть выполнена именно такая настройка.This is the type of configuration that must be completed to connect to SQL ServerSQL Server.

Выбор стратегии брандмауэра является более сложной задачей и не сводится лишь к открытию или закрытию портов.Choosing a firewall strategy is more complex than just deciding if a given port should be open or closed. При выборе стратегии брандмауэра для предприятия необходимо обязательно рассмотреть все доступные правила и параметры конфигурации.When designing a firewall strategy for your enterprise, make sure that you consider all the rules and configuration options available to you. В этом разделе все возможные параметры брандмауэра не рассматриваются.This topic does not review all the possible firewall options. Рекомендуется ознакомиться со следующими документами.We recommend that you review the following documents:

Руководство по началу работы с брандмауэром Windows в режиме повышенной безопасностиWindows Firewall with Advanced Security Getting Started Guide

Руководство разработчика по брандмауэру Windows в режиме повышенной безопасностиWindows Firewall with Advanced Security Design Guide

Основные сведения об изоляции серверов и доменовIntroduction to Server and Domain Isolation

Параметры брандмауэра по умолчаниюDefault Firewall Settings

Первым шагом при планировании конфигурации брандмауэра является определение его текущего состояния в операционной системе.The first step in planning your firewall configuration is to determine the current status of the firewall for your operating system. Если операционная система была обновлена с предыдущей версии, в ней могли сохраниться старые настройки брандмауэра.If the operating system was upgraded from a previous version, the earlier firewall settings may have been preserved. Кроме того, параметры брандмауэра могли быть изменены другим администратором или групповой политикой домена.Also, the firewall settings could have been changed by another administrator or by a Group Policy in your domain.

Примечание

Включение брандмауэра может повлиять на общий доступ к файлам и принтерам, подключения к удаленному рабочему столу и работу других программ, которым необходим доступ к компьютеру.Turning on the firewall will affect other programs that access this computer, such as file and print sharing, and remote desktop connections. Администратор должен просмотреть все приложения, которые работают на компьютере, прежде чем приступать к настройке параметров брандмауэра.Administrators should consider all applications that are running on the computer before adjusting the firewall settings.

Программы для настройки брандмауэраPrograms to Configure the Firewall

Существует три способа настройки параметров брандмауэра Windows.There are three ways to configure the Windows Firewall settings.

  • Элемент «Брандмауэр Windows» на панели управленияWindows Firewall item in Control Panel

    Элемент Брандмауэр Windows можно открыть с панели управления.The Windows Firewall item can be opened from Control Panel.

    Важно!

    Изменения, произведенные в элементе Брандмауэр Windows на панели управления, применяются только к текущему профилю.Changes made in the Windows Firewall item in Control Panel only affect the current profile. На переносных компьютерах и других мобильных устройствах пользоваться элементом Брандмауэр Windows на панели управления нельзя, так как профиль может измениться при установлении соединения в другой конфигурации,Mobile devices, for example a laptop, should not use the Windows Firewall item in Control Panel as the profile might change when it is connected in a different configuration. в результате чего ранее настроенный профиль станет недоступен.Then the previously-configured profile will not be in effect. Дополнительные сведения о профилях см. в разделе Руководство по началу работы с брандмауэром Windows в режиме повышенной безопасности.For more information about profiles, see Windows Firewall with Advanced Security Getting Started Guide.

    Элемент Брандмауэр Windows на панели управления позволяет настроитьThe Windows Firewall item in Control Panel allows you to configure basic options. следующие основные параметры.These include the following:

    • Включение и отключение элемента Брандмауэр Windows на панели управления.Turning the Windows Firewall item in Control Panel on or off

    • Включение и отключение правил.Enabling and disabling rules

    • Предоставление исключений для портов и программ.Granting exceptions for ports and programs

    • Задание некоторых ограничений области действия.Setting some scope restrictions

    Элемент Брандмауэр Windows на панели управления лучше всего подходит пользователям, которые не имеют опыта в настройке конфигурации брандмауэра, если необходимо настроить основные параметры брандмауэра для стационарного компьютера.The Windows Firewall item in Control Panel is most appropriate for users who are not experienced in firewall configuration, and who are configuring basic firewall options for computers that are not mobile. Также можно открыть элемент Брандмауэр Windows на панели управления из команды run с помощью следующей процедуры:You can also open the Windows Firewall item in Control Panel from the run command by using the following procedure:

    Открытие элемента «Брандмауэр Windows»To open the Windows Firewall item

    1. В меню Пуск выберите команду Выполнитьи введите команду firewall.cpl.On the Start menu, click Run, and then enter firewall.cpl.

    2. Нажмите кнопку ОК.Click OK.

  • Консоль управления (MMC)Microsoft Management Console (MMC)

    Оснастка «Брандмауэр Windows в режиме повышенной безопасности» позволяет настраивать дополнительные параметры брандмауэра.The Windows Firewall with Advanced Security MMC snap-in lets you configure more advanced firewall settings. Эта оснастка представляет большинство параметров брандмауэра и в удобной форме, а также все профили брандмауэра.This snap-in presents most of the firewall options in an easy-to-use manner, and presents all firewall profiles. Дополнительные сведения см. в подразделе Использование оснастки "Брандмауэр Windows в режиме повышенной безопасности" далее в этом разделе.For more information, see Using the Windows Firewall with Advanced Security Snap-in later in this topic.

  • netshnetsh

    Средство netsh.exe позволяет администратору настраивать компьютеры с ОС Windows и наблюдать за ними из командной строки или с помощью пакетного файла .The netsh.exe tool can be used by an administrator to configure and monitor Windows-based computers at a command prompt or using a batch file . При использовании средства netsh вводимые команды направляются соответствующим помощникам, которые выполняют их.By using the netsh tool, you can direct the context commands you enter to the appropriate helper, and the helper then performs the command. Помощник представляет собой файл библиотеки DLL, которая расширяет функциональность средства netsh , предоставляя возможности настройки, мониторинга и поддержки других служб, служебных программ или протоколов.A helper is a Dynamic Link Library (.dll) file that extends the functionality of the netsh tool by providing configuration, monitoring, and support for one or more services, utilities, or protocols. Все операционные системы, поддерживающие SQL ServerSQL Server , имеют модуль поддержки брандмауэра.All operating systems that support SQL ServerSQL Server have a firewall helper. Windows Server 2008Windows Server 2008 также содержит расширенный помощник брандмауэра advfirewall.also has an advanced firewall helper called advfirewall. В этом разделе не приведены сведения об использовании netsh .The details of using netsh are not discussed in this topic. Однако многие из описанных параметров конфигурации можно настроить с помощью средства netsh.However, many of the configuration options described can be configured by using netsh. Например, выполните в командной строке следующий скрипт, чтобы открыть TCP-порт 1433:For example, run the following script at a command prompt to open TCP port 1433:

    netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT  
    

    Аналогичный пример, использующий брандмауэр Windows для модуля поддержки повышенной безопасности:A similar example using the Windows Firewall for Advanced Security helper:

    netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN  
    

    Дополнительные сведения о средстве netshсм. в следующих разделах:For more information about netsh, see the following links:

Порты, используемые SQL ServerSQL ServerPorts Used By SQL ServerSQL Server

Следующие таблицы помогут выяснить, какие порты использует SQL ServerSQL Server.The following tables can help you identify the ports being used by SQL ServerSQL Server.

Ports Used By the Database EnginePorts Used By the Database Engine

В следующей таблице перечислены порты, обычно используемые компонентом Database EngineDatabase Engine.The following table lists the ports that are frequently used by the Database EngineDatabase Engine.

СценарийScenario ПортPort КомментарииComments
SQL ServerSQL Server по умолчанию, работающий по протоколу TCPdefault instance running over TCP TCP-порт 1433TCP port 1433 Этот порт открывают в брандмауэре чаще всего.This is the most common port allowed through the firewall. Он применяется для программных соединений с экземпляром компонента Database EngineDatabase Engineпо умолчанию или именованным экземпляром, который является единственным на данном компьютереIt applies to routine connections to the default installation of the Database EngineDatabase Engine, or a named instance that is the only instance running on the computer. (для именованных экземпляров следует учитывать ряд особых требований,(Named instances have special considerations. подробнее о которых см. в подразделе Динамические порты далее в этом разделе).See Dynamic Ports later in this topic.)
SQL ServerSQL Server в конфигурации по умолчаниюnamed instances in the default configuration TCP-порт выделяется динамически в момент запуска компонента Database EngineDatabase Engine .The TCP port is a dynamic port determined at the time the Database EngineDatabase Engine starts. См. подраздел Динамические портыдалее в этом разделе.See the discussion below in the section Dynamic Ports. При использовании именованных экземпляров службе браузера SQL ServerSQL Server может потребоваться UDP-порт 1434.UDP port 1434 might be required for the SQL ServerSQL Server Browser Service when you are using named instances.
SQL ServerSQL Server , если они настроены для использования фиксированного портаnamed instances when they are configured to use a fixed port Номер порта настраивается администратором.The port number configured by the administrator. См. подраздел Динамические портыдалее в этом разделе.See the discussion below in the section Dynamic Ports.
Выделенное административное соединениеDedicated Admin Connection TCP-порт 1434 предназначен для экземпляра по умолчанию.TCP port 1434 for the default instance. Другие порты используются для именованных экземпляров.Other ports are used for named instances. Номер порта проверьте по журналу ошибок.Check the error log for the port number. По умолчанию удаленные соединения по выделенному административному соединению (DAC) запрещены.By default, remote connections to the Dedicated Administrator Connection (DAC) are not enabled. Разрешить удаленное выделенное административное соединение можно при помощи средства настройки контактной зоны.To enable remote DAC, use the Surface Area Configuration facet. Дополнительные сведения см. в разделе Surface Area Configuration.For more information, see Surface Area Configuration.
SQL ServerSQL Server Служба браузераBrowser service UDP-порт 1434UDP port 1434 Служба « SQL ServerSQL Server , браузер» прослушивает входящие соединения к именованному экземпляру и возвращает клиенту номер TCP-порта, соответствующего именованному экземпляру.The SQL ServerSQL Server Browser service listens for incoming connections to a named instance and provides the client the TCP port number that corresponds to that named instance. Обычно служба « SQL ServerSQL Server , браузер» запускается при использовании именованного экземпляра компонента Database EngineDatabase Engine .Normally the SQL ServerSQL Server Browser service is started whenever named instances of the Database EngineDatabase Engine are used. Если клиент настроен для соединения с именованным экземпляром по заданному порту, то службу « SQL ServerSQL Server , браузер» запускать не обязательно.The SQL ServerSQL Server Browser service does not have to be started if the client is configured to connect to the specific port of the named instance.
SQL ServerSQL Server , работающий через конечную точку HTTPinstance running over an HTTP endpoint. Может указываться во время создания конечной точки HTTP.Can be specified when an HTTP endpoint is created. По умолчанию используется TCP-порт 80 для данных CLEAR_PORT и порт 443 для данных SSL_PORT.The default is TCP port 80 for CLEAR_PORT traffic and 443 for SSL_PORT traffic. Используется для HTTP-соединения по URL-адресу.Used for an HTTP connection through a URL.
SQL ServerSQL Server по умолчанию, работающий через конечную точку HTTPSdefault instance running over an HTTPS endpoint. TCP-порт 443TCP port 443 Используется для HTTPS-соединения по URL-адресу.Used for an HTTPS connection through a URL. HTTPS представляет собой HTTP-соединение, защищенное по протоколу SSL.HTTPS is an HTTP connection that uses secure sockets layer (SSL).
Компонент Service BrokerService Broker TCP-порт 4022.TCP port 4022. Чтобы проверить используемый порт, выполните следующий запрос:To verify the port used, execute the following query:

SELECT name, protocol_desc, port, state_desc

FROM sys.tcp_endpoints

WHERE type_desc = 'SERVICE_BROKER'
Для компонента SQL ServerSQL ServerКомпонент Service BrokerService Brokerнет порта по умолчанию, но эта конфигурация принята в электронной документации для использования в примерах.There is no default port for SQL ServerSQL ServerКомпонент Service BrokerService Broker, but this is the conventional configuration used in Books Online examples.
Зеркальное отображение базы данныхDatabase Mirroring Порт, выбранный администратором.Administrator chosen port. Чтобы определить порт, выполните следующий запрос.To determine the port, execute the following query:

SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints

WHERE type_desc = 'DATABASE_MIRRORING'
Для зеркального отображения базы данных нет порта по умолчанию, однако в примерах электронной документации используется TCP-порт 7022.There is no default port for database mirroring however Books Online examples use TCP port 7022. Очень важно избегать прерывания используемой конечной точки зеркального отображения, особенно в режиме высокой безопасности с автоматической отработкой отказа.It is very important to avoid interrupting an in-use mirroring endpoint, especially in high-safety mode with automatic failover. Конфигурация брандмауэра должна избегать прерывания кворума.Your firewall configuration must avoid breaking quorum. Дополнительные сведения см. в разделе Указание сетевого адреса сервера (зеркальное отображение базы данных).For more information, see Specify a Server Network Address (Database Mirroring).
РепликацияReplication Соединения с SQL ServerSQL Server для репликации используют порты, которые обычно использует компонент Database EngineDatabase Engine (TCP-порт 1433 для экземпляра по умолчанию и т. д.)Replication connections to SQL ServerSQL Server use the typical regular Database EngineDatabase Engine ports (TCP port 1433 for the default instance, etc.)

Веб-синхронизация и доступ через FTP/UNC к моментальному снимку репликации потребуют открытия в брандмауэре других портов.Web synchronization and FTP/UNC access for replication snapshot require additional ports to be opened on the firewall. Передачу начальных данных и схемы из одного места в другое репликация осуществляет по протоколу FTP (TCP-порт 21) либо с помощью синхронизации через HTTP (TCP-порт 80) или общего доступа к файлам.To transfer initial data and schema from one location to another, replication can use FTP (TCP port 21), or sync over HTTP (TCP port 80) or File Sharing. Для общего доступа к файлам используются UDP-порты 137 и 138 и TCP-порт 139 (если используется NetBIOS).File sharing uses UDP port 137 and 138, and TCP port 139 if it using NetBIOS. Совместное использование файлов использует TCP-порт 445.File Sharing uses TCP port 445.
Для синхронизации по протоколу HTTP в репликации используется конечная точка IIS (порты которой являются настраиваемыми, но порт 80 применяется по умолчанию), однако процесс IIS подключается к серверу базы данных SQL ServerSQL Server через стандартные порты (1433 для экземпляра по умолчанию).For sync over HTTP, replication uses the IIS endpoint (ports for which are configurable but is port 80 by default), but the IIS process connects to the backend SQL ServerSQL Server through the standard ports (1433 for the default instance.

При веб-синхронизации через FTP-порт передача данных выполняется между службами IIS и издателем SQL ServerSQL Server , а не между подписчиком и службами IIS.During Web synchronization using FTP, the FTP transfer is between IIS and the SQL ServerSQL Server publisher, not between subscriber and IIS.
Transact-SQLTransact-SQL отладчикdebugger TCP-порт 135TCP port 135

См. раздел Особые замечания относительно порта 135See Special Considerations for Port 135

Также может потребоваться исключение IPsec .The IPsec exception might also be required.
При использовании среды Visual StudioVisual Studioна Visual StudioVisual Studio главном компьютере в список исключений необходимо также добавить программу Devenv.exe и открыть TCP-порт 135.If using Visual StudioVisual Studio, on the Visual StudioVisual Studio host computer, you must also add Devenv.exe to the Exceptions list and open TCP port 135.

При использовании среды Среда Management StudioManagement Studioна Среда Management StudioManagement Studio главном компьютере необходимо также добавить в список исключений программу ssms.exe и открыть TCP-порт 135.If using Среда Management StudioManagement Studio, on the Среда Management StudioManagement Studio host computer, you must also add ssms.exe to the Exceptions list and open TCP port 135. Дополнительные сведения см. в разделе Настройка отладчика Transact-SQL.For more information, see Configure the Transact-SQL Debugger.

Пошаговые инструкции по настройке брандмауэра Windows для компонента Database EngineDatabase Engineсм. в разделе Настройка брандмауэра Windows для доступа к компоненту Database Engine.For step by step instructions to configure the Windows Firewall for the Database EngineDatabase Engine, see Configure a Windows Firewall for Database Engine Access.

Динамические портыDynamic Ports

По умолчанию именованные экземпляры (включая SQL Server ExpressSQL Server Express) используют динамические порты.By default, named instances (including SQL Server ExpressSQL Server Express) use dynamic ports. Это означает, что при каждом запуске компонент Database EngineDatabase Engine находит доступный порт и занимает его.That means that every time that the Database EngineDatabase Engine starts, it identifies an available port and uses that port number. Если именованный экземпляр является единственным установленным экземпляром компонента Database EngineDatabase Engine , то, скорее всего, он будет использовать TCP-порт 1433.If the named instance is the only instance of the Database EngineDatabase Engine installed, it will probably use TCP port 1433. При установке других экземпляров компонента Database EngineDatabase Engine они будут использовать другие TCP-порты.If other instances of the Database EngineDatabase Engine are installed, it will probably use a different TCP port. Поскольку выбираемый порт может меняться при каждом запуске компонента Database EngineDatabase Engine , настроить брандмауэр для разрешения доступа к нужному порту сложно.Because the port selected might change every time that the Database EngineDatabase Engine is started, it is difficult to configure the firewall to enable access to the correct port number. Поэтому, если используется брандмауэр, рекомендуется настроить компонент Database EngineDatabase Engine на постоянное использование одного и того же порта.Therefore, if a firewall is used, we recommend reconfiguring the Database EngineDatabase Engine to use the same port number every time. Такой порт называется фиксированным или статическим.This is called a fixed port or a static port. Дополнительные сведения см. в разделе Настройка сервера для прослушивания указанного TCP-порта (диспетчер конфигурации SQL Server).For more information, see Configure a Server to Listen on a Specific TCP Port (SQL Server Configuration Manager).

В качестве альтернативы настройке именованного экземпляра для прослушивания фиксированного порта можно создать в брандмауэре исключение для программы SQL ServerSQL Server , например sqlservr.exe (для компонента Database EngineDatabase Engine).An alternative to configuring a named instance to listen on a fixed port is to create an exception in the firewall for a SQL ServerSQL Server program such as sqlservr.exe (for the Database EngineDatabase Engine). Это хороший выход из положения, однако номер порта не будет отображаться в столбце Локальный порт на странице Правила для входящих подключений оснастки "Брандмауэр Windows в режиме повышенной безопасности".This can be convenient, but the port number will not appear in the Local Port column of the Inbound Rules page when you are using the Windows Firewall with Advanced Security MMC snap-in. В результате аудит открытых портов станет сложнее.This can make it more difficult to audit which ports are open. Еще один нюанс заключается в том, что при применении совокупного обновления или пакета обновления может измениться путь к исполняемому файлу SQL ServerSQL Server , что сделает правило брандмауэра недействительным.Another consideration is that a service pack or cumulative update can change the path to the SQL ServerSQL Server executable which will invalidate the firewall rule.

Примечание

Следующая процедура выполняется с помощью элемента Брандмауэр Windows на панели управления.The following procedure uses the Windows Firewall item in Control Panel. В оснастке MMC «Брандмауэр Windows в режиме повышенной безопасности» поддерживается настройка дополнительных параметров брандмауэра.The Windows Firewall with Advanced Security MMC snap-in can configure a more complex rule. В их число входит настройка исключение службы, которая может оказаться полезной при обеспечении углубленной защиты.This includes configuring a service exception which can be useful for providing defense in depth. См. подраздел Использование оснастки "Брандмауэр Windows в режиме повышенной безопасности" ниже.See Using the Windows Firewall with Advanced Security Snap-in below.

Добавление в брандмауэр исключения для программы при помощи элемента «Брандмауэр Windows» на панели управленияTo add a program exception to the firewall using the Windows Firewall item in Control Panel.
  1. На вкладке Исключения элемента Брандмауэр Windows на панели управления нажмите кнопку Добавить программу.On the Exceptions tab of the Windows Firewall item in Control Panel, click Add a program.

  2. Перейдите в расположение экземпляра SQL ServerSQL Server, который вы хотите разрешить через брандмауэр, например C:\Program FILES\MICROSOFT SQL Server\MSSQL12. < instance_name > \MSSQL\Binn, выберите файл sqlservr. exeи нажмите кнопку Открыть. .Browse to the location of the instance of SQL ServerSQL Server that you want to allow through the firewall, for example C:\Program Files\Microsoft SQL Server\MSSQL12.<instance_name>\MSSQL\Binn, select sqlservr.exe, and then click Open.

  3. Нажмите кнопку ОК.Click OK.

Дополнительные сведения о конечных точках см. в разделах Настройка компонента Database Engine на прослушивание нескольких портов TCP и Представления каталога конечных точек (Transact-SQL).For more information about endpoints, see Configure the Database Engine to Listen on Multiple TCP Ports and Endpoints Catalog Views (Transact-SQL).

Порты, используемые службами Analysis ServicesPorts Used By Analysis Services

В следующей таблице перечислены порты, обычно используемые службами Службы Analysis ServicesAnalysis Services.The following table lists the ports that are frequently used by Службы Analysis ServicesAnalysis Services.

КомпонентFeature ПортPort КомментарииComments
Службы Analysis ServicesAnalysis Services TCP-порт 2383 для экземпляра по умолчаниюTCP port 2383 for the default instance Стандартный порт для экземпляра служб Службы Analysis ServicesAnalysis Servicesпо умолчанию.The standard port for the default instance of Службы Analysis ServicesAnalysis Services.
SQL ServerSQL Server Служба браузераBrowser service Для именованного экземпляра служб Службы Analysis ServicesAnalysis Services необходим только TCP-порт 2382TCP port 2382 only needed for an Службы Analysis ServicesAnalysis Services named instance Запросы клиентского соединения к именованному экземпляру служб Службы Analysis ServicesAnalysis Services , в которых не указан номер порта, направляются на порт 2382, который прослушивает служба « SQL ServerSQL Server , браузер».Client connection requests for a named instance of Службы Analysis ServicesAnalysis Services that do not specify a port number are directed to port 2382, the port on which SQL ServerSQL Server Browser listens. SQL ServerSQL Server затем перенаправляет запрос на порт, используемый запрошенным именованным экземпляром.Browser then redirects the request to the port that the named instance uses.
Службы Analysis ServicesAnalysis Services настроены для работы через протокол IIS/HTTPconfigured for use through IIS/HTTP

(Сводная таблица??(The PivotTable?? Служба использует HTTP или HTTPS)Service uses HTTP or HTTPS)
TCP-порт 80TCP port 80 Используется для HTTP-соединения по URL-адресу.Used for an HTTP connection through a URL.
Службы Analysis ServicesAnalysis Services настроены для работы через протокол IIS/HTTPSconfigured for use through IIS/HTTPS

(Сводная таблица??(The PivotTable?? Служба использует HTTP или HTTPS)Service uses HTTP or HTTPS)
TCP-порт 443TCP port 443 Используется для HTTPS-соединения по URL-адресу.Used for an HTTPS connection through a URL. HTTPS представляет собой HTTP-соединение, защищенное по протоколу SSL.HTTPS is an HTTP connection that uses secure sockets layer (SSL).

Если пользователи производят доступ к службам Службы Analysis ServicesAnalysis Services через Интернет и службы IIS, необходимо открыть порт, который прослушивают службы IIS, и указать этот порт в строке соединения клиента.If users access Службы Analysis ServicesAnalysis Services through IIS and the Internet, you must open the port on which IIS is listening and specify that port in the client connection string. В этом случае необязательно иметь открытые порты для прямого доступа к службам Службы Analysis ServicesAnalysis Services.In this case, no ports have to be open for direct access to Службы Analysis ServicesAnalysis Services. Необходимо ограничить доступ к порту по умолчанию 2389, порту 2382 и другим портам, которые не нужны для осуществления доступа.The default port 2389, and port 2382, should be restricted together with all other ports that are not required.

Пошаговые инструкции по настройке брандмауэра Windows для компонента Службы Analysis ServicesAnalysis Servicesсм. в разделе Настройка брандмауэра Windows на разрешение доступа к службам Analysis Services.For step by step instructions to configure the Windows Firewall for Службы Analysis ServicesAnalysis Services, see Configure the Windows Firewall to Allow Analysis Services Access.

Порты, используемые службами Reporting ServicesPorts Used By Reporting Services

В следующей таблице перечислены порты, обычно используемые службами Reporting ServicesReporting Services.The following table lists the ports that are frequently used by Reporting ServicesReporting Services.

КомпонентFeature ПортPort КомментарииComments
Reporting ServicesReporting Services Веб-службыWeb Services TCP-порт 80TCP port 80 Используется для HTTP-соединения со службами Reporting ServicesReporting Services по URL-адресу.Used for an HTTP connection to Reporting ServicesReporting Services through a URL. Не рекомендуется использовать стандартное правило Службы Интернета (HTTP) .We recommend that you do not use the preconfigured rule World Wide Web Services (HTTP). Дополнительные сведения см. в разделе Взаимодействие с другими правилами брандмауэра ниже.For more information, see the Interaction with Other Firewall Rules section below.
Reporting ServicesReporting Services настроены для работы через протокол HTTPSconfigured for use through HTTPS TCP-порт 443TCP port 443 Используется для HTTPS-соединения по URL-адресу.Used for an HTTPS connection through a URL. HTTPS представляет собой HTTP-соединение, защищенное по протоколу SSL.HTTPS is an HTTP connection that uses secure sockets layer (SSL). Не рекомендуется использовать стандартное правило Защищенные службы Интернета (HTTPS) .We recommend that you do not use the preconfigured rule Secure World Wide Web Services (HTTPS). Дополнительные сведения см. в разделе Взаимодействие с другими правилами брандмауэра ниже.For more information, see the Interaction with Other Firewall Rules section below.

Для соединения служб Reporting ServicesReporting Services с экземпляром компонента Database EngineDatabase Engine или служб Службы Analysis ServicesAnalysis Servicesнеобходимо также открыть соответствующие порты для этих служб.When Reporting ServicesReporting Services connects to an instance of the Database EngineDatabase Engine or Службы Analysis ServicesAnalysis Services, you must also open the appropriate ports for those services. Пошаговые инструкции по настройке брандмауэра Windows для компонента Reporting ServicesReporting Servicesсм. в разделе Настройка брандмауэра для доступа к серверу отчетов.For step-by-step instructions to configure the Windows Firewall for Reporting ServicesReporting Services, Configure a Firewall for Report Server Access.

Порты, используемые службами Integration ServicesPorts Used By Integration Services

В следующей таблице перечислены порты, используемые службой Службы Integration ServicesIntegration Services .The following table lists the ports that are used by the Службы Integration ServicesIntegration Services service.

КомпонентFeature ПортPort КомментарииComments
MicrosoftMicrosoft удаленные вызовы процедур (MS RPC)remote procedure calls (MS RPC)

Используется средой выполнения служб Службы Integration ServicesIntegration Services .Used by the Службы Integration ServicesIntegration Services runtime.
TCP-порт 135TCP port 135

См. раздел Особые замечания относительно порта 135See Special Considerations for Port 135
Служба Службы Integration ServicesIntegration Services обращается к DCOM по порту 135.The Службы Integration ServicesIntegration Services service uses DCOM on port 135. Диспетчер управления службами использует порт 135 для запуска и остановки службы Службы Integration ServicesIntegration Services , передачи управляющих запросов запущенной службе и выполнения других задач.The Service Control Manager uses port 135 to perform tasks such as starting and stopping the Службы Integration ServicesIntegration Services service and transmitting control requests to the running service. Номер порта не может быть изменен.The port number cannot be changed.

Это единственный порт, который должен быть открыт при соединении с удаленным экземпляром службы Службы Integration ServicesIntegration Services из среды Среда Management StudioManagement Studio или прикладной программы.This port is only required to be open if you are connecting to a remote instance of the Службы Integration ServicesIntegration Services service from Среда Management StudioManagement Studio or a custom application.

Пошаговые инструкции по настройке брандмауэра Windows для компонента Службы Integration ServicesIntegration Servicesсм. в разделе Настройка параметров брандмауэра Windows для доступа к службам SSIS.For step-by-step instructions to configure the Windows Firewall for Службы Integration ServicesIntegration Services, see Configure a Windows Firewall for Access to the SSIS Service.

Другие порты и службыAdditional Ports and Services

В следующей таблице перечислены порты и службы, от которых может зависеть SQL ServerSQL Server .The following table lists ports and services that SQL ServerSQL Server might depend on.

СценарийScenario ПортPort КомментарииComments
Инструментарий управления Windows (WMI)Windows Management Instrumentation

Дополнительные сведения о WMI см. в разделе WMI Provider for Configuration Management ConceptsFor more information about WMI, see WMI Provider for Configuration Management Concepts
Инструментарий WMI запускается в составе общего узла службы с назначением портов через DCOM.WMI runs as part of a shared service host with ports assigned through DCOM. Инструментарий WMI может пользовать TCP-порт 135.WMI might be using TCP port 135.

См. раздел Особые замечания относительно порта 135See Special Considerations for Port 135
SQL ServerSQL Server использует инструментарий WMI для просмотра и управления службами.Configuration Manager uses WMI to list and manage services. Рекомендуется использовать стандартную группу правил Инструментарий управления Windows (WMI) .We recommend that you use the preconfigured rule group Windows Management Instrumentation (WMI). Дополнительные сведения см. в разделе Взаимодействие с другими правилами брандмауэра ниже.For more information, see the Interaction with Other Firewall Rules section below.
MicrosoftMicrosoft Координатор распределенных транзакций (Майкрософт) (MS DTC)Distributed Transaction Coordinator (MS DTC) TCP-порт 135TCP port 135

См. раздел Особые замечания относительно порта 135See Special Considerations for Port 135
Если приложение использует распределенные транзакции, то может потребоваться настройка брандмауэра таким образом, чтобы разрешить передачу данных координатора распределенных транзакций (MicrosoftMicrosoft) (MS DTC) между отдельными экземплярами MS DTC и между MS DTC и диспетчерами ресурсов (например, SQL ServerSQL Server).If your application uses distributed transactions, you might have to configure the firewall to allow MicrosoftMicrosoft Distributed Transaction Coordinator (MS DTC) traffic to flow between separate MS DTC instances, and between the MS DTC and resource managers such as SQL ServerSQL Server. Рекомендуется использовать стандартную группу правил Координатор распределенных транзакций .We recommend that you use the preconfigured Distributed Transaction Coordinator rule group.

Если для всего кластера настроен единственный общий координатор MS DTC в отдельной группе ресурсов, следует добавить программу sqlservr.exe в список исключений брандмауэра.When a single shared MS DTC is configured for the entire cluster in a separate resource group you should add sqlservr.exe as an exception to the firewall.
Кнопка обзора в среде Среда Management StudioManagement Studio соединяется со службой SQL ServerSQL Server , браузер по протоколу UDP.The browse button in Среда Management StudioManagement Studio uses UDP to connect to the SQL ServerSQL Server Browser Service. Дополнительные сведения см. в разделе Служба обозревателя SQL Server (ядро СУБД и SSAS).For more information, see SQL Server Browser Service (Database Engine and SSAS). UDP-порт 1434UDP port 1434 Протокол UDP не сохраняет соединения.UDP is a connectionless protocol.

Свойство UnicastResponsesToMulticastBroadcastDisabled интерфейса INetFwProfile управляет работой брандмауэра по отношению к одноадресным ответам на широковещательные (или многоадресные) UDP-запросы.The firewall has a setting, which is named UnicastResponsesToMulticastBroadcastDisabled Property of the INetFwProfile Interface which controls the behavior of the firewall with respect to unicast responses to a broadcast (or multicast) UDP request. Возможны два варианта.It has two behaviors:

Если этот параметр имеет значение TRUE, то одноадресные ответы на широковещательные запросы запрещены.If the setting is TRUE, no unicast responses to a broadcast are permitted at all. Перечисление служб завершится ошибкой.Enumerating services will fail.

Если этот параметр имеет значение FALSE (по умолчанию), то одноадресные ответы разрешены в течение 3 секунд.If the setting is FALSE (default), unicast responses are permitted for 3 seconds. Время ожидания не настраивается.The length of time is not configurable. Если сеть переполнена, каналы имеют задержки или сервер работает в режиме высокой нагрузки, то при построении списка экземпляров SQL ServerSQL Server список может быть возвращен лишь частично и ввести пользователя в заблуждение.in a congested or high-latency network, or for heavily loaded servers, tries to enumerate instances of SQL ServerSQL Server might return a partial list, which might mislead users.
Трафик по протоколу IPsecIPsec traffic UDP-порты 500 и 4500UDP port 500 and UDP port 4500 Если политика домена требует выполнения сетевых соединения через протокол IPsec, необходимо добавить в список исключений UDP-порты 4500 и 500.If the domain policy requires network communications to be done through IPsec, you must also add UDP port 4500 and UDP port 500 to the exception list. Протокол IPsec можно включить с помощью мастера создания правила для входящего подключения в оснастке "Брандмауэр Windows".IPsec is an option using the New Inbound Rule Wizard in the Windows Firewall snap-in. Дополнительные сведения см. в разделе Использование оснастки "Брандмауэр Windows в режиме повышенной безопасности" ниже.For more information, see Using the Windows Firewall with Advanced Security Snap-in below.
Использование проверки подлинности Windows в надежных доменахUsing Windows Authentication with Trusted Domains Брандмауэр можно настроить для разрешения запросов проверки подлинности.Firewalls must be configured to allow authentication requests. Дополнительные сведения см. в разделе Настройка брандмауэра для работы с доменами и отношениями доверия.For more information, see How to configure a firewall for domains and trusts.
SQL ServerSQL Server и кластеризация Windowsand Windows Clustering Кластеризация требует открытия дополнительных портов, не связанных с SQL ServerSQL Serverнапрямую.Clustering requires additional ports that are not directly related to SQL ServerSQL Server. Дополнительные сведения см. в разделе Подготовка сети для работы кластера.For more information, see Enable a network for cluster use.
Пространства имен URL-адресов, зарезервированные в компоненте HTTP.SYSURL namespaces reserved in the HTTP Server API (HTTP.SYS) Обычно TCP-порт 80, однако можно настроить для использования любого другого порта.Probably TCP port 80, but can be configured to other ports. Общие сведения см. в разделе Настройка протоколов HTTP и HTTPS.For general information, see Configuring HTTP and HTTPS. Сведения о резервировании конечной точки компонента HTTP.SYS с помощью программы HttpCfg.exe, относящиеся к SQL ServerSQL Server, см. в разделе Сведения о резервировании и регистрации URL-адресов (диспетчер конфигурации служб SSRS).For SQL ServerSQL Server specific information about reserving an HTTP.SYS endpoint using HttpCfg.exe, see About URL Reservations and Registration (SSRS Configuration Manager).

Особые замечания относительно порта 135Special Considerations for Port 135

При использовании в качестве транспортного протокола RPC через TCP/IP или UDP/IP входящие порты для системных служб часто выделяются динамически с номерами выше 1024.When you use RPC with TCP/IP or with UDP/IP as the transport, inbound ports are frequently dynamically assigned to system services as required; TCP/IP and UDP/IP ports that are larger than port 1024 are used. Иногда их называют «случайными RPC-портами».These are frequently informally referred to as "random RPC ports." В этом случае RPC-клиент определяет порт, назначенный серверу, через модуль конечной точки RPC.In these cases, RPC clients rely on the RPC endpoint mapper to tell them which dynamic ports were assigned to the server. Для некоторых служб, работающих через протокол RPC, можно настроить использование определенного фиксированного порта.For some RPC-based services, you can configure a specific port instead of letting RPC assign one dynamically. Можно также ограничить диапазон портов, которые могут быть динамически назначены службой RPC независимо от службы.You can also restrict the range of ports that RPC dynamically assigns to a small range, regardless of the service. Поскольку порт 135 используется для многих служб, он часто подвергается атакам злоумышленников.Because port 135 is used for many services it is frequently attacked by malicious users. В случае открытия порта 135 рекомендуется ограничить область действия правила брандмауэра.When opening port 135, consider restricting the scope of the firewall rule.

Дополнительные сведения о порте 135 см. в следующих ресурсах.For more information about port 135, see the following references:

Взаимодействие с другими правилами брандмауэраInteraction with Other Firewall Rules

Настройка брандмауэра Windows производится на основе правил и групп правил.The Windows Firewall uses rules and rule groups to establish its configuration. Каждое правило или группа правил обычно связаны с определенной программой или службой, которая может изменить или удалить это правило без участия пользователя.Each rule or rule group is generally associated with a particular program or service, and that program or service might modify or delete that rule without your knowledge. Например, группы правил Службы Интернета (HTTP) и Защищенные службы Интернета (HTTPS) связаны со службами IIS.For example, the rule groups World Wide Web Services (HTTP) and World Wide Web Services (HTTPS) are associated with IIS. При включении этих правил будут открыты порты 80 и 443 и разрешены функции SQL ServerSQL Server , зависящие от этих портов.Enabling those rules will open ports 80 and 443, and SQL ServerSQL Server features that depend on ports 80 and 443 will function if those rules are enabled. Однако администратор в процессе настройки служб IIS может изменить или отключить эти правила.However, administrators configuring IIS might modify or disable those rules. Поэтому, если SQL ServerSQL Serverиспользует порт 80 или 443, необходимо создать собственное правило или группу правил для поддержки необходимой конфигурации портов, не зависящей от служб IIS.Therefore, if you are using port 80 or port 443 for SQL ServerSQL Server, you should create your own rule or rule group that maintains your desired port configuration independently of the other IIS rules.

Оснастка «Брандмауэр Windows в режиме повышенной безопасности» пропускает весь трафик, соответствующий применимым разрешающим правилам.The Windows Firewall with Advanced Security MMC snap-in allows any traffic that matches any applicable allow rule. Если существует два правила для порта 80 (но с разными параметрами), будет разрешен любой трафик, соответствующий хотя бы одному из этих правил.So if there are two rules that both apply to port 80 (with different parameters), traffic that matches either rule will be permitted. Таким образом, если одно правило разрешает трафик по порту 80 из локальной подсети, а второе разрешает трафик с любого адреса, то будет разрешен любой трафик по порту 80, независимо от его источника.So if one rule allows traffic over port 80 from local subnet and one rule allows traffic from any address, the net effect is that all traffic to port 80 is permitted regardless of the source. Чтобы обеспечить эффективное управление доступом к SQL ServerSQL Server, администратор должен периодически проверять все правила брандмауэра, разрешенные на сервере.To effectively manage access to SQL ServerSQL Server, administrators should periodically review all firewall rules enabled on the server.

Общие сведения о профилях брандмауэраOverview of Firewall Profiles

Профили брандмауэра рассматриваются в разделе Руководство по началу работы с брандмауэром Windows в режиме повышенной безопасности в подразделе Брандмауэр узла, привязанный к местонахождению в сети.Firewall profiles are discussed in Windows Firewall with Advanced Security Getting Started Guide in the section Network location-aware host firewall. Подводя итоги, операционная система определяет и запоминает каждую из сетей, к которым осуществлялось подключение, по обмену данными, соединениям и категории.To summarize, the operating systems identify and remember each of the networks to which they connect with regard to connectivity, connections, and category.

Брандмауэр Windows в режиме повышенной безопасности делит сети на три типа.There are three network location types in Windows Firewall with Advanced Security:

  • Домен.Domain. Windows может выполнить проверку подлинности доступа к контроллеру домена, в который включен компьютер.Windows can authenticate access to the domain controller for the domain to which the computer is joined.

  • Открытая.Public. В эту категорию первоначально попадают все сети, не входящие в домены.Other than domain networks, all networks are initially categorized as public. Сети, которые представляют прямые соединения с Интернетом, являются открытыми (аэропорты, кафе и другие места открытого доступа).Networks that represent direct connections to the Internet or are in public locations, such as airports and coffee shops should be left public.

  • Частная.Private. Сеть, определенная пользователем или приложением как личная.A network identified by a user or application as private. Только доверенные сети могут быть определены как частные.Only trusted networks should be identified as private networks. Обычно в качестве частной сети определяется сеть малого предприятия, домашняя сеть и т. п.Users will likely want to identify home or small business networks as private.

Администратор может создать профиль для каждого типа сети и задать для этих профилей разные политики брандмауэра.The administrator can create a profile for each network location type, with each profile containing different firewall policies. Одномоментно применим только один профиль.Only one profile is applied at any time. Профили применяются в следующем порядке.Profile order is applied as follows:

  1. Если все интерфейсы прошли проверку подлинности к контроллеру домена, членом которого является компьютер, то применяется профиль домена.If all interfaces are authenticated to the domain controller for the domain of which the computer is a member, the domain profile is applied.

  2. Если все интерфейсы либо прошли проверку подлинности к контроллеру домена, либо соединены с сетями, которые определены как частные, применяется частный профиль.If all interfaces are either authenticated to the domain controller or are connected to networks that are classified as private network locations, the private profile is applied.

  3. В противном случае применяется открытый профиль.Otherwise, the public profile is applied.

Просмотреть и настроить профили брандмауэра можно с помощью оснастки «Брандмауэр Windows в режиме повышенной безопасности».Use the Windows Firewall with Advanced Security MMC snap-in to view and configure all firewall profiles. Элемент Брандмауэр Windows на панели управления позволяет настраивать только текущий профиль.The Windows Firewall item in Control Panel only configures the current profile.

Дополнительные параметры брандмауэра в элементе «Брандмауэр Windows» на панели управленияAdditional Firewall Settings Using the Windows Firewall Item in Control Panel

Исключения, добавляемые в брандмауэр, могут ограничить открытие портов для входящих соединений с определенных компьютеров или из локальной подсети.Exceptions that you add to the firewall can restrict the opening of the port to incoming connections from specific computers or the local subnet. Метод ограничения области действия открытия портов способен сократить зону уязвимости компьютера, и поэтому рекомендуется к применению.This restriction of the scope of the port opening can reduce how much your computer is exposed to malicious users, and is recommended.

Примечание

Элемент Брандмауэр Windows на панели управления позволяет настроить только текущий профиль.Using the Windows Firewall item in Control Panel only configures the current firewall profile.

Изменение области действия исключения брандмауэра с помощью «Брандмауэра Windows» на панели управленияTo change the scope of a firewall exception using the Windows Firewall item in Control Panel

  1. В элементе Брандмауэр Windows на панели управления выберите программу или порт на вкладке Исключения и нажмите кнопку Свойства или Изменить.In the Windows Firewall item in Control Panel, select a program or port on the Exceptions tab, and then click Properties or Edit.

  2. В диалоговом окне Изменение программы или Изменение порта нажмите кнопку Изменить область.In the Edit a Program or Edit a Port dialog box, click Change Scope.

  3. Выберите один из следующих параметров.Choose one of the following options:

    • Любой компьютер (включая Интернет)Any computer (including those on the Internet)

      Не рекомендуется.Not recommended. В этом режиме любой компьютер, который имеет доступ к данному узлу, сможет подключиться к программе или порту.This will allow any computer that can address your computer to connect to the specified program or port. Этот параметр может пригодиться для передачи данных анонимным пользователям Интернета, однако он повышает уязвимость компьютера.This setting might be necessary to allow information to be presented to anonymous users on the internet, but increases your exposure to malicious users. Уязвимость еще более повысится, если одновременно с этим параметром разрешить просмотр трансляции сетевых адресов (например при помощи параметра «Разрешить просмотр узлов»).Your exposure can be further increased if you enable this setting and also allow Network Address Translation (NAT) traversal, such as the Allow edge traversal option.

    • Только моя сеть (подсеть)My network (subnet) only

      Это более безопасный режим, чем Любой компьютер.This is a more secure setting than Any computer. Только компьютеры локальной подсети могут производить соединение с программой или портом.Only computers on the local subnet of your network can connect to the program or port.

    • Особый список.Custom list:

    Соединение разрешено только компьютерам, имеющим перечисленные IP-адреса.Only computers that have the IP addresses you list can connect. Это еще более безопасный режим, чем Только локальная сеть (подсеть) , хотя у клиентского компьютера, использующего DHCP, может измениться IP-адрес.This can be a more secure setting than My network (subnet) only, however, client computers using DHCP can occasionally change their IP address. После этого он уже не сможет установить соединение.Then the intended computer will not be able to connect. Другой компьютер, которому доступ не предоставлялся, может получить перечисленный в списке IP-адрес, что позволит ему установить соединение.Another computer, which you had not intended to authorize, might accept the listed IP address and then be able to connect. Параметр Особый список может пригодиться для хранения списка серверов, настроенных для использования фиксированного IP-адреса, однако эти адреса могут быть перехвачены злоумышленником.The Custom list option might be appropriate for listing other servers which are configured to use a fixed IP address; however, IP addresses might be spoofed by an intruder. Эффект ограничения правил брандмауэра напрямую зависит от уровня защиты сетевой инфраструктуры.Restricting firewall rules are only as strong as your network infrastructure.

Использование оснастки «Брандмауэр Windows в режиме повышенной безопасности»Using the Windows Firewall with Advanced Security Snap-in

Дополнительные параметры брандмауэра можно настроить при помощи оснастки «Брандмауэр Windows в режиме повышенной безопасности».Additional advanced firewall settings can be configured by using the Windows Firewall with Advanced Security MMC snap-in. Эта оснастка включает в себя мастер правил и дает доступ к дополнительным параметрам, которые недоступны через элемент Брандмауэр Windows на панели управления.The snap-in includes a rule wizard and exposes additional settings that are not available in the Windows Firewall item in Control Panel. В их число входят следующие параметры.These settings include the following:

  • Параметры шифрования.Encryption settings

  • Ограничения служб.Services restrictions

  • Ограничение соединений для компьютеров по именам.Restricting connections for computers by name

  • Ограничение соединений для определенных пользователей или профилей.Restricting connections to specific users or profiles

  • Разрешение просмотра узлов для исключения маршрутизаторов NAT.Edge traversal allowing traffic to bypass Network Address Translation (NAT) routers

  • Настройка правил исходящих соединений.Configuring outbound rules

  • Настройка правил безопасности.Configuring security rules

  • Требование протокола IPsec для входящих соединений.Requiring IPsec for incoming connections

Создание правила брандмауэра при помощи мастера создания правилTo create a new firewall rule using the New Rule wizard

  1. В меню «Пуск» выберите пункт Выполнить, введите WF.mscи нажмите кнопку ОК.On the Start menu, click Run, type WF.msc, and then click OK.

  2. В левой части панели Брандмауэр Windows в режиме повышенной безопасностищелкните правой кнопкой мыши элемент Правила для входящих подключенийи выберите пункт Создать правило.In the Windows Firewall with Advanced Security, in the left pane, right-click Inbound Rules, and then click New Rule.

  3. Завершите мастер создания правила для нового входящего подключения , задав все необходимые параметры.Complete the New Inbound Rule Wizard using the settings that you want.

Устранение неполадок настройки брандмауэраTroubleshooting Firewall Settings

Следующие средства и методы могут оказаться полезными при устранении неполадок брандмауэра.The following tools and techniques can be useful in troubleshooting firewall issues:

  • Действующее состояние порта является объединением всех правил, связанных с этим портом.The effective port status is the union of all rules related to the port. Чтобы заблокировать доступ к порту, бывает полезно просмотреть все правила, в которых он упоминается.When trying to block access through a port, it can be helpful to review all the rules which cite the port number. Чтобы сделать это, откройте оснастку «Брандмауэр Windows в режиме повышенной безопасности» и отсортируйте правила по номеру порта.To do this, use the Windows Firewall with Advanced Security MMC snap-in and sort the inbound and outbound rules by port number.

  • Просмотрите порты, которые активны на компьютере, где запущен SQL ServerSQL Server .Review the ports that are active on the computer on which SQL ServerSQL Server is running. В процессе анализа необходимо проверить, на каких TCP/IP-портах осуществляется прослушивание, а также проверить состояние этих портов.This review process includes verifying which TCP/IP ports are listening and also verifying the status of the ports.

    Чтобы проверить, на каких портах осуществляется прослушивание, используйте служебную программу командной строки netstat .To verify which ports are listening, use the netstat command-line utility. Помимо активных TCP-подключений, служебная программа netstat также отображает различную статистику и другие сведения о протоколе IP.In addition to displaying active TCP connections, the netstat utility also displays a variety of IP statistics and information.

    Получение списка прослушиваемых TCP/IP-портовTo list which TCP/IP ports are listening

    1. Откройте окно командной строки.Open the Command Prompt window.

    2. В командной строке введите netstat -n -a.At the command prompt, type netstat -n -a.

      При наличии параметра -n служебная программа netstat выводит адреса и номера портов активных подключений TCP в числовом виде.The -n switch instructs netstat to numerically display the address and port number of active TCP connections. При наличии параметра -a служебная программа netstat выводит порты TCP и UDP, которые прослушиваются компьютером.The -a switch instructs netstat to display the TCP and UDP ports on which the computer is listening.

  • Служебную программу PortQry можно использовать для вывода состояния портов TCP/IP (прослушивается, не прослушивается, фильтруется).The PortQry utility can be used to report the status of TCP/IP ports as listening, not listening, or filtered. В состоянии фильтрации порт может либо прослушиваться, либо не прослушиваться. Это состояние указывает, что программа не получила ответа от порта. Служебную программу PortQry можно скачать из Центра загрузки Майкрософт.(With a filtered status, the port might or might not be listening; this status indicates that the utility did not receive a response from the port.) The PortQry utility is available for download from the Microsoft Download Center.

См. также разделSee Also

Общие сведения о службе и требования к сетевым портам в системе Windows ServerService overview and network port requirements for the Windows Server system