Configure the Windows Firewall to Allow SQL Server Access

Применимо к: даSQL Server (все поддерживаемые версии)  — только Windows ДаУправляемый экземпляр SQL Azure

Системы брандмауэров предотвращают несанкционированный доступ к ресурсам компьютера. Если брандмауэр включен, но настроен неправильно, попытка соединения с SQL Server может оказаться заблокированной.

Чтобы разрешить доступ к экземпляру SQL Server через брандмауэр, его необходимо настроить на компьютере, на котором работает SQL Server. Брандмауэр является компонентом Microsoft Windows. Вместо него можно установить брандмауэр другой компании. В этой статье обсуждается настройка брандмауэра Windows, однако общие принципы применимы к любым другим брандмауэрам.

Примечание

В статье содержатся общие сведения о настройке брандмауэра и сводные сведения, представляющие интерес для администратора SQL Server. Дополнительные сведения и официальные данные о брандмауэрах см. в документации по брандмауэру, например в разделе Руководство по безопасности для развертывания брандмауэра Windows.

Пользователи, знакомые с управлением брандмауэром Windows и знающие, какие параметры брандмауэра они хотят настроить, могут перейти напрямую к более сложным статьям:

Основные сведения о брандмауэрах

Брандмауэр проверяет входящие пакеты на соответствие следующему набору правил:

  • Если пакет соответствует стандартам, заданным правилами, то брандмауэр передает его протоколу TCP/IP для дальнейшей обработки.
  • Пакет не соответствует стандартам, заданным в правилах.
    • В этом случае брандмауэр отклоняет пакет. Если включено ведение журнала, в файле журнала брандмауэра создается соответствующая запись.

Список разрешенного трафика заполняется одним из следующих способов.

  • Автоматически. Когда защищенный брандмауэром компьютер инициирует соединение, брандмауэр добавляет в список запись, чтобы разрешить ответ. Ответ считается запрашиваемым трафиком, и ничего настраивать не требуется.

  • Вручную. Работа администратора заключается в настройке исключений в работе брандмауэра. Это открывает доступ к определенным программам или портам на вашем компьютере. В этом случае компьютер принимает весь входящий трафик, выполняя роль сервера, прослушивателя или однорангового узла. Настройку необходимо выполнить для подключения к SQL Server.

Выбор стратегии брандмауэра является более сложной задачей и не сводится лишь к открытию или закрытию портов. При выборе стратегии брандмауэра для предприятия необходимо обязательно рассмотреть все доступные правила и параметры конфигурации. В этой статье не рассматриваются все возможные параметры брандмауэра. Рекомендуем ознакомиться со следующими документами:

Руководство по развертыванию брандмауэра Windows
Руководство по проектированию для брандмауэра Windows
Основные сведения об изоляции серверов и доменов

Параметры брандмауэра по умолчанию

Первым шагом при планировании конфигурации брандмауэра является определение его текущего состояния в операционной системе. Если операционная система была обновлена с предыдущей версии, в ней могли сохраниться старые настройки брандмауэра. Изменять параметры брандмауэра в домене может групповая политика или администратор.

Примечание

Включение брандмауэра может повлиять на общий доступ к файлам и принтерам, подключения к удаленному рабочему столу и работу других программ, которым необходим доступ к компьютеру. Администратор должен просмотреть все приложения, которые работают на компьютере, прежде чем приступать к настройке параметров брандмауэра.

Программы для настройки брандмауэра

Настройте параметры брандмауэра Windows с помощью консоли управления (MMC) или netsh.

  • Консоль управления (MMC)

    Оснастка «Брандмауэр Windows в режиме повышенной безопасности» позволяет настраивать дополнительные параметры брандмауэра. Эта оснастка представляет большинство параметров брандмауэра и в удобной форме, а также все профили брандмауэра. Дополнительные сведения см. в разделе Использование оснастки "Брандмауэр Windows в режиме повышенной безопасности" далее в этой статье.

  • netsh

    Средство netsh.exe позволяет администратору настраивать и отслеживать компьютеры с Windows из командной строки или с помощью пакетного файла . При использовании средства netsh вводимые контекстные команды направляются соответствующим вспомогательным приложениям, которые их выполняют. Вспомогательное приложение — это файл библиотеки динамической компоновки (DLL) для расширения функциональных возможностей. Вспомогательное приложение обеспечивает настройку, мониторинг и поддержку различных служб, служебных программ и протоколов для средства netsh.

    Все операционные системы, поддерживающие SQL Server , имеют модуль поддержки брандмауэра. Windows Server 2008 также содержит расширенный помощник брандмауэра advfirewall. Многие из описанных параметров конфигурации можно настроить с помощью средства netsh. Например, выполните в командной строке следующий скрипт, чтобы открыть TCP-порт 1433:

    netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT  
    

    Аналогичный пример, использующий брандмауэр Windows для модуля поддержки повышенной безопасности:

    netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN  
    

    Дополнительные сведения о средстве netsh см. в следующих разделах:

  • PowerShell

    В следующем примере показано, как открыть TCP-порт 1433 и UDP-порт 1434 для экземпляра по умолчанию SQL Server и службы обозревателя SQL Server:

    New-NetFirewallRule -DisplayName "SQLServer default instance" -Direction Inbound -LocalPort 1433 -Protocol TCP -Action Allow
    New-NetFirewallRule -DisplayName "SQLServer Browser service" -Direction Inbound -LocalPort 1434 -Protocol UDP -Action Allow
    

    Дополнительные примеры см. в разделе New-NetFirewallRule.

  • Для Linux. В Linux необходимо также открыть порты, связанные со службами, к которым вам нужен доступ. Различные дистрибутивы Linux и брандмауэры имеют свои процедуры. Примеры см. в руководствах по использованию SQL Server в Red Hat и SUSE.

Порты, используемые SQL Server

Следующие таблицы помогут выяснить, какие порты использует SQL Server.

Ports Used By the Database Engine

По умолчанию приведены типичные порты, используемые службами SQL Server и связанными службами ядра СУБД. TCP 1433, 4022, 135, 1434, UDP 1434. В таблице ниже эти порты описаны подробно. Именованный экземпляр использует динамические порты.

В следующей таблице перечислены порты, обычно используемые компонентом Компонент Database Engine.

Сценарий Порт Комментарии
Экземпляр по умолчанию, работающий по протоколу TCP TCP-порт 1433 Этот порт открывают в брандмауэре чаще всего. Он применяется для программных соединений с экземпляром компонента Компонент Database Engineпо умолчанию или именованным экземпляром, который является единственным на данном компьютере (для именованных экземпляров следует учитывать ряд особых требований, подробнее о которых см. в разделе Динамические порты далее в этой статье).
Именованные экземпляры с портом по умолчанию TCP-порт выделяется динамически в момент запуска компонента Компонент Database Engine . См. подраздел Динамические портыдалее в этом разделе. При использовании именованных экземпляров службе обозревателя SQL Server может потребоваться UDP-порт 1434.
Именованные экземпляры с фиксированным портом Номер порта настраивается администратором. См. подраздел Динамические портыдалее в этом разделе.
Выделенное административное соединение TCP-порт 1434 предназначен для экземпляра по умолчанию. Другие порты используются для именованных экземпляров. Номер порта проверьте по журналу ошибок. По умолчанию удаленные подключения по выделенному административному соединению (DAC) не активированы. Разрешить удаленное выделенное административное соединение можно при помощи средства настройки контактной зоны. Дополнительные сведения см. в разделе Surface Area Configuration.
SQL Server Служба браузера UDP-порт 1434 Служба обозревателя SQL Server ожидает передачи данных с входящих подключений к именованному экземпляру.
Служба предоставляет клиенту номер TCP-порта, соответствующий этому именованному экземпляру. Обычно служба « SQL Server , браузер» запускается при использовании именованного экземпляра компонента Компонент Database Engine . Если клиент настроен на подключение к конкретному порту именованного экземпляра, служба обозревателя SQL Server не требуется.
Экземпляр с конечной точкой HTTP. Может указываться во время создания конечной точки HTTP. По умолчанию используется TCP-порт 80 для данных CLEAR_PORT и порт 443 для данных SSL_PORT. Используется для HTTP-соединения по URL-адресу.
Экземпляр по умолчанию с конечной точкой HTTPS. TCP-порт 443 Используется для HTTPS-соединения по URL-адресу. HTTPS — это HTTP-соединение, которое использует протокол TLS, ранее называемый SSL.
Компонент Service Broker TCP-порт 4022. Чтобы проверить используемый порт, выполните следующий запрос:

SELECT name, protocol_desc, port, state_desc

FROM sys.tcp_endpoints

WHERE type_desc = 'SERVICE_BROKER'
Для компонента SQL ServerКомпонент Service Broker порт по умолчанию отсутствует. В примерах электронной документации используется стандартная конфигурация.
Зеркальное отображение базы данных Порт, выбранный администратором. Чтобы определить порт, выполните следующий запрос.

SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints

WHERE type_desc = 'DATABASE_MIRRORING'
Для зеркального отображения базы данных порт по умолчанию отсутствует, однако в примерах электронной документации используется TCP-порт 5022 или 7022. Важно избегать прерывания работы используемой конечной точки зеркального отображения, особенно в режиме высокого уровня безопасности с автоматической отработкой отказа. Конфигурация брандмауэра должна избегать прерывания кворума. Дополнительные сведения см. в разделе Указание сетевого адреса сервера (зеркальное отображение базы данных).
Репликация Соединения репликации с SQL Server используют порты, которые обычно использует компонент Компонент Database Engine (TCP-порт 1433 для экземпляра по умолчанию).

Веб-синхронизация и доступ через FTP/UNC для моментального снимка репликации требуют открытия в брандмауэре дополнительных портов. Передачу начальных данных и схемы из одного места в другое репликация осуществляет по протоколу FTP (TCP-порт 21) либо с помощью синхронизации через HTTP (TCP-порт 80) или общего доступа к файлам. Для общего доступа к файлам применяются UDP-порты 137 и 138, а также TCP-порт 139 при использовании совместно с NetBIOS. Совместное использование файлов использует TCP-порт 445.
Для синхронизации по протоколу HTTP в репликации используется конечная точка служб IIS (настраиваемая, по умолчанию — порт 80), однако процесс IIS подключается к внутреннему интерфейсу SQL Server через стандартные порты (1433 для экземпляра по умолчанию).

При веб-синхронизации через FTP-порт передача данных выполняется между службами IIS и издателем SQL Server , а не между подписчиком и службами IIS.
Transact-SQL отладчик TCP-порт 135

См. раздел Особые замечания относительно порта 135

Также может потребоваться исключение IPsec .
При использовании среды Visual Studioна Visual Studio главном компьютере в список исключений необходимо также добавить программу Devenv.exe и открыть TCP-порт 135.

При использовании среды Среда Management Studioна Среда Management Studio главном компьютере необходимо также добавить в список исключений программу ssms.exe и открыть TCP-порт 135. Дополнительные сведения см. в разделе Настройка правил брандмауэра перед запуском отладчика TSQL.

Пошаговые инструкции по настройке брандмауэра Windows для Компонент Database Engine см. в разделе Настройка брандмауэра Windows для доступа к компоненту Database Engine.

Динамические порты

По умолчанию именованные экземпляры (включая SQL Server Express) используют динамические порты. Это означает, что при каждом запуске компонент Компонент Database Engine находит доступный порт и использует его номер. Если именованный экземпляр является единственным установленным экземпляром компонента Компонент Database Engine , то, скорее всего, он будет использовать TCP-порт 1433. При установке других экземпляров компонента Компонент Database Engine они будут использовать другие TCP-порты. Поскольку выбираемый порт при каждом запуске компонента Компонент Database Engine может меняться, трудно настроить брандмауэр на разрешение доступа к нужному порту. Если используется брандмауэр, рекомендуем перенастроить компонент Компонент Database Engine на постоянное использование одного и того же порта. Рекомендуется использовать фиксированный или статический порт. Дополнительные сведения см. в разделе Настройка сервера для прослушивания указанного TCP-порта (диспетчер конфигурации SQL Server).

В качестве альтернативы настройке именованного экземпляра для прослушивания фиксированного порта можно создать в брандмауэре исключение для программы SQL Server, например sqlservr.exe (для компонента Компонент Database Engine). Номер порта не будет отображаться в столбце Локальный порт на странице Правила для входящего трафика при использовании оснастки MMC "Брандмауэр Windows в режиме повышенной безопасности". Аудит открытых портов может быть сложной задачей. Также нужно учитывать, что простой или накопительный пакет обновления может изменить путь к исполняемому файлу SQL Server, что сделает правило брандмауэра недействительным.

Добавление в брандмауэр исключения для программы при помощи элемента "Брандмауэр Защитника Windows в режиме повышенной безопасности"
  1. В меню "Пуск" наберите wf.msc. Нажмите клавишу ВВОД или выберите результат поиска "wf.msc", чтобы открыть Брандмауэр Защитника Windows в режиме повышенной безопасности.

  2. В левой панели щелкните Правила для входящих подключений.

  3. В правой панели в разделе Действия нажмите кнопку Создать правило... . Откроется мастер создания правила для нового входящего подключения.

  4. В разделе Тип правила выберите Программа. Выберите Далее.

  5. В разделе Программа выберите Путь к программе. Нажмите кнопку Обзор и найдите файл программы SQL Server. Этот файл называется sqlservr.exe. Обычно он находится здесь:

    C:\Program Files\Microsoft SQL Server\MSSQL15.<InstanceName>\MSSQL\Binn\sqlservr.exe

    Выберите Далее.

  6. В разделе Действие выберите вариант Разрешить подключение. Выберите Далее.

  7. В разделе Профиль включите все три профиля. Выберите Далее.

  8. В поле Имя введите имя правила. Нажмите кнопку Готово.

Дополнительные сведения о конечных точках см. в разделах Настройка ядра СУБД на прослушивание нескольких портов TCP и Представления каталога конечных точек (Transact-SQL).

Порты, используемые службами Analysis Services

По умолчанию типичные порты, используемые SQL Server Analysis Services и связанными службами, — это: TCP 2382, 2383, 80, 443. В таблице ниже эти порты описаны подробно.

В следующей таблице перечислены порты, обычно используемые службами Службы Analysis Services.

Компонент Порт Комментарии
Службы Analysis Services TCP-порт 2383 для экземпляра по умолчанию Стандартный порт для экземпляра служб Службы Analysis Servicesпо умолчанию.
SQL Server Служба браузера Для именованного экземпляра служб Службы Analysis Services необходим только TCP-порт 2382 Запросы клиентов на подключение к именованному экземпляру Службы Analysis Services, в которых не указан номер порта, направляются на порт 2382, на котором ожидает передачи данных служба обозревателя SQL Server. SQL Server затем перенаправляет запрос на порт, используемый запрошенным именованным экземпляром.
Службы Analysis Services настроены для работы через протокол IIS/HTTP

(служба PivotTable® Service использует протокол HTTP или HTTPS)
TCP-порт 80 Используется для HTTP-соединения по URL-адресу.
Службы Analysis Services настроены для работы через протокол IIS/HTTPS

(служба PivotTable® Service использует протокол HTTP или HTTPS)
TCP-порт 443 Используется для HTTPS-соединения по URL-адресу. HTTPS представляет собой HTTP-соединение, защищенное по протоколу TSL.

Если пользователи обращаются к Службы Analysis Services через IIS и Интернет, необходимо открыть порт, где IIS ожидает передачи данных. Затем нужно указать порт в строке подключения клиента. В этом случае необязательно иметь открытые порты для прямого доступа к службам Службы Analysis Services. Необходимо ограничить доступ к порту по умолчанию 2389, порту 2382 и другим портам, доступ к которым не требуется.

Пошаговые инструкции по настройке брандмауэра Windows для Службы Analysis Services см. в разделе Настройка брандмауэра Windows на разрешение доступа к службам Analysis Services.

Порты, используемые службами Reporting Services

По умолчанию SQL Server Reporting Services и связанные службы обычно используют порты TCP 80 и 443. В таблице ниже эти порты описаны подробно.

В следующей таблице перечислены порты, обычно используемые службами Службы Reporting Services.

Компонент Порт Комментарии
Службы Reporting Services Веб-службы TCP-порт 80 Используется для HTTP-соединения со службами Службы Reporting Services по URL-адресу. Не рекомендуется использовать предварительно настроенное правило Службы Интернета (HTTP) . Дополнительные сведения см. в разделе Взаимодействие с другими правилами брандмауэра ниже.
Службы Reporting Services настроены для работы через протокол HTTPS TCP-порт 443 Используется для HTTPS-соединения по URL-адресу. HTTPS представляет собой HTTP-соединение, защищенное по протоколу TSL. Не рекомендуется использовать предварительно настроенное правило Защищенные службы Интернета (HTTP) . Дополнительные сведения см. в разделе Взаимодействие с другими правилами брандмауэра ниже.

Для соединения служб Службы Reporting Services с экземпляром компонента Компонент Database Engine или служб Службы Analysis Servicesнеобходимо также открыть соответствующие порты для этих служб. Пошаговые инструкции по настройке брандмауэра Windows для компонента Службы Reporting Servicesсм. в разделе Настройка брандмауэра для доступа к серверу отчетов.

Порты, используемые службами Integration Services

В следующей таблице перечислены порты, используемые службой Службы Integration Services .

Компонент Порт Комментарии
Microsoft удаленные вызовы процедур (MS RPC)

Используется средой выполнения служб Службы Integration Services .
TCP-порт 135

См. раздел Особые замечания относительно порта 135
Служба Службы Integration Services обращается к DCOM по порту 135. Диспетчер служб использует порт 135 для запуска и остановки службы Службы Integration Services, передачи работающей службе запросов управления и для других задач. Номер порта не может быть изменен.

Этот порт должен быть открыт только при подключении к удаленному экземпляру службы Службы Integration Services из среды Среда Management Studio или пользовательского приложения.

Пошаговые инструкции по настройке брандмауэра Windows для служб Службы Integration Services см. в статье Службы Integration Services (службы SSIS).

Другие порты и службы

В следующей таблице перечислены порты и службы, от которых может зависеть SQL Server .

Сценарий Порт Комментарии
Инструментарий управления Windows (WMI)

Дополнительные сведения об инструментарии управления Windows (WMI) см. в разделе основных принципов поставщика WMI для управления конфигурацией.
Инструментарий WMI запускается в составе общего узла службы с назначением портов через DCOM. Инструментарий WMI может пользовать TCP-порт 135.

См. раздел Особые замечания относительно порта 135
SQL Server использует инструментарий WMI для просмотра и управления службами. Рекомендуется использовать стандартную группу правил Инструментарий управления Windows (WMI) . Дополнительные сведения см. в разделе Взаимодействие с другими правилами брандмауэра ниже.
Microsoft Координатор распределенных транзакций (Майкрософт) (MS DTC) TCP-порт 135

См. раздел Особые замечания относительно порта 135
Если приложение использует распределенные транзакции, то может потребоваться настройка брандмауэра таким образом, чтобы разрешить передачу данных координатора распределенных транзакций (Microsoft) (MS DTC) между отдельными экземплярами MS DTC и между MS DTC и диспетчерами ресурсов (например, SQL Server). Рекомендуется использовать стандартную группу правил Координатор распределенных транзакций .

Если для всего кластера настроен единственный общий координатор MS DTC в отдельной группе ресурсов, следует добавить программу sqlservr.exe в список исключений брандмауэра.
Кнопка обзора в среде Среда Management Studio соединяется со службой SQL Server, браузер по протоколу UDP. Дополнительные сведения см. в разделе Служба обозревателя SQL Server (ядро СУБД и SSAS). UDP-порт 1434 Протокол UDP не сохраняет соединения.

Свойство UnicastResponsesToMulticastBroadcastDisabled интерфейса INetFwProfile управляет работой брандмауэра и одноадресными ответами на широковещательные (или многоадресные) UDP-запросы. Возможны два варианта.

Если этот параметр имеет значение TRUE, то одноадресные ответы на широковещательные запросы запрещены. Перечисление служб завершится ошибкой.

Если этот параметр имеет значение FALSE (по умолчанию), то одноадресные ответы разрешены в течение 3 секунд. Эта длительность не настраивается. Если сеть переполнена, каналы имеют задержки или сервер работает в режиме высокой нагрузки, то при построении списка экземпляров SQL Server список может быть возвращен лишь частично и ввести пользователя в заблуждение.
Трафик по протоколу IPsec UDP-порты 500 и 4500 Если политика домена требует выполнения сетевых соединения через протокол IPsec, необходимо добавить в список исключений UDP-порты 4500 и 500. Протокол IPsec можно включить с помощью мастера создания правила для входящего подключения в оснастке "Брандмауэр Windows". Дополнительные сведения см. в разделе Использование оснастки "Брандмауэр Windows в режиме повышенной безопасности" ниже.
Использование проверки подлинности Windows в надежных доменах Брандмауэр можно настроить для разрешения запросов проверки подлинности. Дополнительные сведения см. в разделе Настройка брандмауэра для работы с доменами и отношениями доверия.
SQL Server и кластеризация Windows Для кластеризации требуется открыть дополнительные порты, не связанные с SQL Server напрямую. Дополнительные сведения см. в разделе Подготовка сети для работы кластера.
Пространства имен URL-адресов, зарезервированные в компоненте HTTP.SYS Обычно TCP-порт 80, однако можно настроить для использования любого другого порта. Общие сведения см. в разделе Настройка протоколов HTTP и HTTPS. Сведения о резервировании конечной точки компонента HTTP.SYS с помощью программы HttpCfg.exe, относящиеся к SQL Server, см. в разделе Сведения о резервировании и регистрации URL-адресов (диспетчер конфигурации служб SSRS).

Особые замечания относительно порта 135

При использовании RPC с транспортным протоколом TCP/IP или UDP/IP входящие порты динамически назначаются системным службам по мере надобности. Используются порты TCP/IP и UDP/IP с номерами выше 1024. Эти порты называются "случайными RPC-портами". В этом случае RPC-клиент определяет порт, назначенный серверу, через модуль конечной точки RPC. Для некоторых служб, работающих через протокол RPC, можно настроить использование определенного фиксированного порта. Можно также ограничить диапазон портов, динамически назначаемых RPC и не зависящих от службы. Поскольку порт 135 используется для многих служб, он часто подвергается атакам злоумышленников. В случае открытия порта 135 рекомендуется ограничить область действия правила брандмауэра.

Дополнительные сведения о порте 135 см. в следующих ресурсах.

Взаимодействие с другими правилами брандмауэра

Настройка брандмауэра Windows производится на основе правил и групп правил. Каждое правило или группа правил связывается с определенной программой или службой, которая может изменять или удалять это правило без вашего ведома. Например, группы правил Службы Интернета (HTTP) и Защищенные службы Интернета (HTTPS) связаны со службами IIS. При включении этих правил будут открыты порты 80 и 443 и разрешены функции SQL Server , зависящие от этих портов. Однако администратор в процессе настройки служб IIS может изменить или отключить эти правила. Если вы используете для SQL Server порт 80 или 443, создайте собственное правило или группу правил для поддержки необходимой конфигурации портов независимо от других правил IIS.

Оснастка «Брандмауэр Windows в режиме повышенной безопасности» пропускает весь трафик, соответствующий применимым разрешающим правилам. Таким образом, если существуют два правила для порта 80 (с разными параметрами), то будет пропускаться трафик, соответствующий любому из них. Например, если одно правило разрешает трафик по порту 80 из локальной подсети, а другое разрешает трафик с любого адреса, то в итоге на порту 80 будет разрешен любой трафик независимо от источника. Чтобы обеспечить эффективное управление доступом к SQL Server, администратор должен периодически проверять все правила брандмауэра, разрешенные на сервере.

Общие сведения о профилях брандмауэра

В соответствии с профилями брандмауэра операционная система определяет и запоминает каждую из сетей по следующим параметрам: возможность подключения, имеющиеся подключения и категория.

Брандмауэр Windows в режиме повышенной безопасности делит сети на три типа.

  • Домен. Windows может выполнить проверку подлинности доступа к контроллеру домена, в который включен компьютер.
  • Общедоступные. В эту категорию первоначально попадают все сети, не входящие в домены. Сети, которые представляют прямые соединения с Интернетом, являются открытыми (аэропорты, кафе и другие места открытого доступа).
  • Частные. Сеть, определенная пользователем или приложением как личная. Только доверенные сети могут быть определены как частные. Обычно в качестве частной сети определяется сеть малого предприятия, домашняя сеть и т. п.

Администратор может создать профиль для каждого типа сети и задать для этих профилей разные политики брандмауэра. Одномоментно применим только один профиль. Профили применяются в следующем порядке.

  1. Профиль домена применяется, когда все интерфейсы проходят проверку подлинности на контроллере домена, членом которого является компьютер.
  2. Если все интерфейсы либо прошли проверку подлинности к контроллеру домена, либо соединены с сетями, которые определены как частные, применяется частный профиль.
  3. В противном случае применяется открытый профиль.

Просмотреть и настроить профили брандмауэра можно с помощью оснастки «Брандмауэр Windows в режиме повышенной безопасности». Элемент Брандмауэр Windows на панели управления позволяет настраивать только текущий профиль.

Дополнительные параметры брандмауэра в элементе «Брандмауэр Windows» на панели управления

Добавление брандмауэра позволяет блокировать открытие порта для входящих подключений с определенных компьютеров или из локальной подсети. Ограничьте область открытия портов, чтобы сделать компьютер менее уязвимым для злоумышленников.

Примечание

Элемент Брандмауэр Windows на панели управления позволяет настроить только текущий профиль.

Изменение области действия исключения брандмауэра с помощью «Брандмауэра Windows» на панели управления

  1. В панели управления в элементе Брандмауэр Windows выберите на вкладке Исключения программу или порт, а затем нажмите Свойства или Изменить.

  2. В диалоговом окне Изменение программы или Изменение порта нажмите Изменить область.

  3. Выберите один из следующих вариантов.

    • Любой компьютер (включая компьютеры в Интернете) : не рекомендуется. В этом случае любой компьютер, способный обращаться к вашему, сможет подключаться к указанной программе или порту. Этот параметр может пригодиться для передачи данных анонимным пользователям Интернета, однако он повышает уязвимость компьютера. Уязвимость повысится, если одновременно с этим параметром разрешить обход с использованием преобразования сетевых адресов (NAT), например с помощью параметра "Разрешить обход узлов".

    • Только моя сеть (подсеть) : это более безопасный вариант по сравнению с режимом Любой компьютер. Только компьютеры локальной подсети могут производить соединение с программой или портом.

    • Особый список. Соединение разрешено только компьютерам, имеющим перечисленные здесь IP-адреса. Этот режим может быть более безопасным по сравнению с вариантом Только моя сеть (подсеть) , однако клиентские компьютеры, использующие протокол DHCP, могут иногда менять IP-адреса, что приводит к невозможности подключения. При этом другой компьютер, которому не предоставлялся доступ, может принять указанный в списке IP-адрес и подключиться к нему. Вариант Настраиваемый список подходит для получения списков других серверов, для которых настроены фиксированные IP-адреса. IP-адреса могут быть подделаны злоумышленником. Эффект ограничения правил брандмауэра напрямую зависит от уровня защиты сетевой инфраструктуры.

Использование оснастки «Брандмауэр Windows в режиме повышенной безопасности»

Оснастка MMC "Брандмауэр Windows в режиме повышенной безопасности" позволяет настроить расширенные параметры брандмауэра. Эта оснастка включает мастер настройки правил и позволяет изменять параметры, недоступные в элементе Брандмауэр Windows из панели управления. Эти параметры включают:

  • Параметры шифрования.
  • Ограничения служб.
  • Ограничение соединений для компьютеров по именам.
  • Ограничение соединений для определенных пользователей или профилей.
  • Разрешение просмотра узлов для исключения маршрутизаторов NAT.
  • Настройка правил исходящих соединений.
  • Настройка правил безопасности.
  • Требование протокола IPsec для входящих соединений.

Создание правила брандмауэра при помощи мастера создания правил

  1. В меню "Пуск" выберите пункт Выполнить, введите WF.msc и нажмите кнопку ОК.
  2. В левой части панели Брандмауэр Windows в режиме повышенной безопасности щелкните правой кнопкой мыши элемент Правила для входящих подключений и выберите пункт Создать правило.
  3. Завершите мастер создания правила для нового входящего подключения , задав все необходимые параметры.

Устранение неполадок настройки брандмауэра

Следующие средства и методы могут оказаться полезными при устранении неполадок брандмауэра.

  • Действующее состояние порта является объединением всех правил, связанных с этим портом. Чтобы заблокировать доступ к порту, бывает полезно просмотреть все правила, в которых он упоминается. Просмотрите правила с помощью оснастки MMC "Брандмауэр Windows в режиме повышенной безопасности" и отсортируйте правила для входящего и исходящего трафика по номеру порта.

  • Просмотрите порты, которые активны на компьютере, где запущен SQL Server . В процессе анализа необходимо проверить, на каких портах TCP/IP ожидается передача данных, а также проверить состояние этих портов.

    Для определения, на каких портах ожидается передача данных, отобразите активные TCP-подключения и статистику IP-адресов, используя программу командной строки netstat.

    Получение списка прослушиваемых TCP/IP-портов

    1. Откройте окно командной строки.

    2. В командной строке введите netstat -n -a.

      При наличии параметра -n служебная программа netstat выводит адреса и номера портов активных подключений TCP в числовом виде. При наличии параметра -a служебная программа netstat выводит порты TCP и UDP, которые прослушиваются компьютером.

  • Служебную программу PortQry можно использовать для вывода состояния портов TCP/IP (прослушивается, не прослушивается, фильтруется). Если порт фильтруется, служебная программа может не получить от него ответ. Скачать PortQry можно в Центре загрузки Майкрософт.

См. также:

Общие сведения о службе и требования к сетевым портам в системе Windows Server
Руководство. Настройка параметров брандмауэра (база данных SQL Microsoft Azure)