Configure the Windows Firewall to Allow SQL Server Access

适用于: 是SQL Server(所有支持的版本) - 仅限 Windows 是Azure SQL 托管实例

防火墙系统有助于阻止对计算机资源进行未经授权的访问。 如果防火墙已打开但却未正确配置,则可能会阻止连接 SQL Server 。

若要通过防火墙访问 SQL Server 实例,必须在运行 SQL Server。 防火墙是 Microsoft Windows 的一个组件。 也可以安装其他公司的防火墙。 本文讨论如何配置 Windows 防火墙,不过所述基本原理也适用于其他防火墙程序。

备注

本文概述了防火墙配置并汇总了 SQL Server 管理员所需的信息。 有关防火墙的详细信息以及权威防火墙信息,请参阅 Windows 防火墙安全部署指南等防火墙文档。

熟悉如何管理 Windows 防火墙的用户,以及对想要配置的防火墙设置有所了解的用户,可直接转而参阅更高级的文章 :

基本防火墙信息

防火墙的工作原理是检查传入的数据包并将其与下面这组规则进行比较:

  • 数据包符合规则所规定的标准,然后防火墙会将该数据包传递给 TCP/IP 协议进行其他处理。
  • 数据包不符合规则所规定的标准。
    • 防火墙随后会丢弃该数据包。-如果启用了日志记录,则会在防火墙日志记录文件中创建一个条目。

允许的通信的列表采用以下某种方式进行填充:

  • 自动:启用了防火墙的计算机开始通信时,防火墙会在列表中创建一个条目以便允许响应。 此响应被视为已请求的流量,无需进行任何配置。

  • 手动:管理员可配置防火墙例外。 这样就可访问计算机上的指定程序或端口。 在此情况下,当计算机充当服务器、侦听器或对等方时,将会接受未经请求的传入通信。 必须完成配置才能连接到 SQL Server。

选择防火墙策略远较只是确定应打开还是关闭给定端口复杂。 当为企业设计防火墙策略时,请确保考虑所有可供使用的规则和配置选项。 本文并未完整讨论所有可能的防火墙选项。 建议查看以下文档:

Windows 防火墙部署指南
Windows 防火墙设计指南
Introduction to Server and Domain Isolation(服务器和域隔离简介)

默认防火墙设置

规划防火墙配置的第一步是确定操作系统的防火墙的当前状态。 如果操作系统是从早期版本升级而来,则可能已保留以前的防火墙设置。 组策略或管理员可以更改域中的防火墙设置。

备注

打开防火墙将影响访问此计算机的其他程序,例如文件和打印共享以及远程桌面连接。 在调整防火墙设置之前,管理员应对计算机上运行的所有应用程序加以考虑。

用于配置防火墙的程序

通过 Microsoft 管理控制台netsh 配置 Windows 防火墙设置。

  • Microsoft 管理控制台 (MMC)

    使用高级安全 Windows 防火墙 MMC 管理单元可以配置更高级的防火墙设置。 此管理单元以一种易于使用的方式呈现大多数防火墙选项,并且会显示所有防火墙配置文件。 有关详细信息,请参阅本文后面的使用高级安全 Windows 防火墙管理单元

  • netsh

    netsh.exe 是供管理员使用的工具,用于在命令提示符下配置和监视基于 Windows 的计算机,也可以使用批处理文件执行此操作 。 通过使用 netsh 工具,可以将输入的上下文命令定向到相应帮助程序,然后由帮助程序执行此命令。 帮助程序是可扩展功能的动态链接库 (.dll) 文件。 该帮助程序可提供:对 netsh 工具的一个或多个服务、实用工具或协议的配置、监视和支持。

    所有支持 SQL Server 的操作系统都具有防火墙帮助器。 Windows Server 2008 也具有称作 advfirewall 的高级防火墙帮助器。 所述配置选项中的许多选项都可以通过使用 netsh 加以配置。 例如,在命令提示符下运行以下脚本,以打开 TCP 端口 1433:

    netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT  
    

    使用高级安全 Windows 防火墙帮助器的一个类似示例:

    netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN  
    

    有关 netsh 的详细信息,请参阅以下链接:

  • PowerShell

    请参阅下面的示例,打开 SQL Server 默认实例和 SQL Server Browser 服务的 TCP 端口 1433 和 UDP 端口 1434:

    New-NetFirewallRule -DisplayName "SQLServer default instance" -Direction Inbound -LocalPort 1433 -Protocol TCP -Action Allow
    New-NetFirewallRule -DisplayName "SQLServer Browser service" -Direction Inbound -LocalPort 1434 -Protocol UDP -Action Allow
    

    如需获取更多示例,请参阅 New-NetFirewallRule

  • 对于 Linux:在 Linux 上,还需要打开与需要访问的服务关联的端口。 不同的 Linux 分发和不同的防火墙具有各自的过程。 如需了解两个示例,请参阅 Red Hat 上的 SQL ServerSUSE 上的 SQL Server

使用的端口 SQL Server

下面几个表可有助于您确定 SQL Server所使用的端口。

Ports Used By the Database Engine

默认情况下,SQL Server 使用的典型端口和关联的数据库引擎服务是:TCP 143340221351434、UDP 1434。 下表更为详细地介绍了这些端口。 命名实例使用动态端口

下表列出了 数据库引擎经常使用的端口。

场景 端口 注释
通过 TCP 运行的默认实例 TCP 端口 1433 这是允许通过防火墙的最常用端口。 它适用于与默认 数据库引擎安装或作为计算机上唯一运行实例的命名实例之间的例行连接。 (命名实例具有特殊的注意事项。 请参阅本文后面的 动态端口。)
具有默认端口的命名实例 此 TCP 端口是在启动 数据库引擎 时确定的动态端口。 请参阅下面 动态端口部分中的描述。 当使用命名实例时,SQL Server 浏览器服务可能需要 UDP 端口 1434。
具有固定端口的命名实例 由管理员配置的端口号。 请参阅下面 动态端口部分中的描述。
专用管理连接 对于默认实例,为 TCP 端口 1434。 其他端口用于命名实例。 有关端口号,请查看错误日志。 默认情况下,不会启用与专用管理员连接 (DAC) 的远程连接。 若要启用远程 DAC,请使用外围应用配置器方面。 有关详细信息,请参阅 Surface Area Configuration
SQL Server Browser 服务 UDP 端口 1434 SQL Server 浏览器服务会侦听到命名实例的传入连接。
该服务为客户端提供与该命名实例对应的 TCP 端口号。 通常,只要使用 SQL Server 的命名实例,就会启动 数据库引擎 Browser 服务。 如果客户端配置为连接到命名实例的特定端口,则不需要 SQL Server 浏览器服务。
具有 HTTP 终结点的实例。 可以在创建 HTTP 端点时指定。 对于 CLEAR_PORT 通信,默认端口为 TCP 端口 80,对于 SSL_PORT 通信,默认端口为 443。 用于通过 URL 实现的 HTTP 连接。
具有 HTTPS 终结点的默认实例 TCP 端口 443 用于通过 URL 实现的 HTTPS 连接。 HTTPS 是使用传输层安全性 (TLS)(旧称为“安全套接字层 (SSL)”)的 HTTP 连接。
Service Broker TCP 端口 4022。 若要验证使用的端口,请执行下面的查询:

SELECT name, protocol_desc, port, state_desc

FROM sys.tcp_endpoints

WHERE type_desc = 'SERVICE_BROKER'
对于 SQL ServerService Broker,没有默认端口,联机丛书示例使用常规配置。
数据库镜像 管理员选择的端口。 若要确定此端口,请执行以下查询:

SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints

WHERE type_desc = 'DATABASE_MIRRORING'
对于数据库镜像,没有默认端口,但联机丛书示例使用 TCP 端口 5022 或 7022。 请务必不要中断正在使用的镜像终结点,尤其是在处于带有自动故障转移功能的高安全模式下时。 防火墙配置必须避免破坏仲裁。 有关详细信息,请参阅 指定服务器网络地址(数据库镜像)
复制 与 SQL Server 的复制连接使用典型的常规 数据库引擎 端口(默认实例使用 TCP 端口 1433)

复制快照的 Web 同步和 FTP/UNC 访问要求在防火墙上打开更多端口。 为了将初始数据和架构从一个位置传输到另一个位置,复制可以使用 FTP(TCP 端口 21)或者通过 HTTP(TCP 端口 80)或文件共享进行的同步。 文件共享使用 UDP 端口 137 和 138,如果与 NetBIOS 一起使用,则还有 TCP 端口 139。 文件共享使用 TCP 端口 445。
对于通过 HTTP 进行的同步,复制使用 IIS 终结点(可配置;默认端口为 80),但 IIS 进程会通过标准端口(对于默认实例为 1433)连接到后端 SQL Server。

在使用 FTP 进行 Web 同步期间,FTP 传输是在 IIS 和 SQL Server 发布服务器之间进行,而非在订阅服务器和 IIS 之间进行。
Transact-SQL 调试器 TCP 端口 135

请参阅 端口 135 的特殊注意事项

可能还需要 IPsec 例外。
如果使用 Visual Studio,则在 Visual Studio 主机计算机上,还必须将 Devenv.exe 添加到“例外”列表中并打开 TCP 端口 135。

如果使用 Management Studio,则在 Management Studio 主机计算机上,还必须将 ssms.exe 添加到“例外”列表中并打开 TCP 端口 135。 有关详细信息,请参阅 运行 TSQL 调试器之前配置防火墙规则

有关为 数据库引擎 配置 Windows 防火墙的分步说明,请参阅为数据库引擎访问配置 Windows 防火墙

动态端口

默认情况下,命名实例(包括 SQL Server Express)使用动态端口。 也就是说,每次启动 数据库引擎 时,它都会确定一个可用端口并使用该端口号。 如果命名实例是安装的唯一 数据库引擎 实例,则它可能使用 TCP 端口 1433。 如果还安装了其他 数据库引擎 实例,则它可能会使用其他 TCP 端口。 由于每次启动 数据库引擎 时所选的端口可能会更改,因而很难配置防火墙以启用对正确端口号的访问。 如果使用防火墙,则建议重新配置 数据库引擎 以每次都使用同一端口号。 建议使用固定端口或静态端口。 有关详细信息,请参阅将服务器配置为侦听特定 TCP 端口(SQL Sever 配置管理器)

另一种配置命名实例以侦听固定端口的方法是在防火墙中为诸如 SQL Server sqlservr.exe 之类的 程序创建例外(针对 数据库引擎)。 当使用高级安全 Windows 防火墙 MMC 管理单元时,端口号将不会显示在“入站规则”页的“本地端口”列中 。 要审核哪些端口处于打开状态很困难。 另一个注意事项是,服务包或累积更新可能会更改 SQL Server 可执行文件的路径,使防火墙规则作废。

使用高级安全 Windows Defender 防火墙向防火墙添加程序例外
  1. 从“开始”菜单键入 wf.msc 。 按 Enter 或选择搜索结果 wf.msc 打开“高级安全 Windows Defender 防火墙”。

  2. 在左窗格中,选择“入站规则” 。

  3. 在右窗格的“操作”下,选择“新建规则...”。“新建入站规则向导”随即打开。

  4. 在“规则类型”中,选择“程序” 。 选择“下一页”。

  5. 在“程序”中,选择“此程序路径” 。 选择“浏览”,找到 SQL Server 实例 。 该程序名为 sqlservr.exe。 通常位于:

    C:\Program Files\Microsoft SQL Server\MSSQL15.<InstanceName>\MSSQL\Binn\sqlservr.exe

    选择“下一页”。

  6. 在“操作”上,选择“允许连接”。 选择“下一页”。

  7. 在“配置文件”上,包括所有三个配置文件。 选择“下一页”。

  8. 在“名称” 中键入规则的名称。 选择“完成” 。

有关终结点的详细信息,请参阅将数据库引擎配置为侦听多个 TCP 端口终结点目录视图 (Transact-SQL)

Analysis Services 使用的端口

默认情况下,SQL Server Analysis Services 使用的典型端口和关联的服务是:TCP 2382238380443。 下表更为详细地介绍了这些端口。

下表列出了 Analysis Services经常使用的端口。

Feature 端口 注释
Analysis Services 对于默认实例,为 TCP 端口 2383。 默认 Analysis Services实例的标准端口。
SQL Server Browser 服务 仅 Analysis Services 命名实例需要的 TCP 端口 2382 客户端向 Analysis Services 命名实例发出不指定端口号的连接请求时,该连接请求会被定向到端口 2382,即 SQL Server 浏览器侦听的端口。 SQL Server Browser 将此请求重定向到该命名实例所使用的端口。
Analysis Services 配置为通过 IIS/HTTP 使用

(PivotTable® Service 使用 HTTP 或 HTTPS)
TCP 端口 80 用于通过 URL 实现的 HTTP 连接。
Analysis Services 配置为通过 IIS/HTTPS 使用

(PivotTable® Service 使用 HTTP 或 HTTPS)
TCP 端口 443 用于通过 URL 实现的 HTTPS 连接。 HTTPS 是使用 TLS 的 HTTP 连接。

如果用户通过 IIS 和 Internet 访问 Analysis Services,则必须打开 IIS 侦听的端口。 接下来,在客户端连接字符串中指定端口。 在这种情况下,不需要打开任何端口就能直接访问 Analysis Services。 默认端口 2389 和端口 2382 应当与所有其他并非必需的端口一起受到限制。

有关为 Analysis Services 配置 Windows 防火墙的分步说明,请参阅将 Windows 防火墙配置为允许 Analysis Services 访问

Reporting Services 使用的端口

默认情况下,SQL Server Reporting Services 和关联的服务使用的典型端口是:TCP 80、443 。 下表更为详细地介绍了这些端口。

下表列出了 Reporting Services经常使用的端口。

Feature 端口 注释
Reporting Services Web 服务 TCP 端口 80 用于通过 URL 实现的与 Reporting Services 之间的 HTTP 连接。 建议不要使用预配置的规则“万维网服务 (HTTP)”。 有关详细信息,请参阅下面的 与其他防火墙规则的交互 部分。
Reporting Services 配置为通过 HTTPS 使用 TCP 端口 443 用于通过 URL 实现的 HTTPS 连接。 HTTPS 是使用 TLS 的 HTTP 连接。 建议不要使用预配置的规则“安全万维网服务 (HTTPS)”。 有关详细信息,请参阅下面的 与其他防火墙规则的交互 部分。

当 Reporting Services 连接到 数据库引擎 或 Analysis Services实例时,还必须为这些服务打开相应的端口。 有关为 Reporting Services配置 Windows 防火墙的分步说明,请参阅 将防火墙配置为允许报表服务器访问

Integration Services 使用的端口

下表列出了 Integration Services 服务经常使用的端口。

Feature 端口 注释
Microsoft 远程过程调用 (MS RPC)

由 Integration Services 运行时使用。
TCP 端口 135

请参阅 端口 135 的特殊注意事项
Integration Services 服务在端口 135 上使用 DCOM。 服务控制管理器使用端口 135 来执行诸如启动和停止 Integration Services 服务以及将控制请求传送到正在运行的服务等任务。 此端口号无法更改。

仅当从 Management Studio 或自定义应用程序连接到远程 Integration Services 服务实例时,才需要打开此端口。

有关为 Integration Services 配置 Windows 防火墙的分步说明,请参阅 Integration Services 服务 (SSIS 服务)

其他端口和服务

下表列出了 SQL Server 可能依赖的一些端口和服务。

场景 端口 注释
Windows Management Instrumentation

有关 Windows Management Instrumentation (WMI) 的详细信息,请参阅用于配置管理的 WMI 提供程序的概念
WMI 作为共享服务主机的一部分使用通过 DCOM 分配的端口运行。 WMI 可能使用 TCP 端口 135。

请参阅 端口 135 的特殊注意事项
SQL Server 配置管理器使用 WMI 列出和管理各个服务。 建议使用预配置规则组 Windows 管理规范 (WMI) 。 有关详细信息,请参阅下面的 与其他防火墙规则的交互 部分。
Microsoft 分布式事务处理协调器 (MS DTC) TCP 端口 135

请参阅 端口 135 的特殊注意事项
如果应用程序使用分布式事务处理,可能必须要将防火墙配置为允许 Microsoft 分布式事务处理协调器 (MS DTC) 在不同的 MS DTC 实例之间以及在 MS DTC 和资源管理器(如 SQL Server)之间进行通信。 建议使用预配置的 “分布式事务处理协调器” 规则组。

当在单独的资源组中为整个群集配置单个共享 MS DTC 时,应当将 sqlservr.exe 作为异常添加到防火墙。
Management Studio 中的浏览按钮使用 UDP 连接到 SQL Server Browser 服务。 有关详细信息,请参阅 SQL Server Browser 服务(数据库引擎和 SSAS) UDP 端口 1434 UDP 是一种无连接协议。

防火墙具有一个名为 INetFwProfile 接口的 UnicastResponsesToMulticastBroadcastDisabled 属性 的设置,用于控制防火墙的行为以及对广播(或多播)UDP 请求的单播响应。 它有以下两种行为:

如果此设置为 TRUE,则根本不允许对广播进行任何单播响应。 枚举服务将失败。

如果此设置为 FALSE(默认值),则允许单播响应 3 秒钟。 此时间长度不可配置。 在堵塞或长时间滞后的网络中,或者对于负载很重的服务器,尝试枚举 SQL Server 实例可能会返回部分列表,这可能会误导用户。
IPsec 通信 UDP 端口 500 和 UDP 端口 4500 如果域策略要求通过 IPSec 进行网络通信,还必须将 UDP 端口 4500 和 UDP 端口 500 添加到例外列表。 使用 Windows 防火墙管理单元中的“新建入站规则向导” 可以选择 IPsec。 有关详细信息,请参阅下面的 使用高级安全 Windows 防火墙管理单元
将 Windows 身份验证用于可信域 必须将防火墙配置为允许身份验证请求。 有关详细信息,请参阅 如何为域和信任关系配置防火墙
SQL Server 和 Windows 群集 群集需要与 SQL Server 不直接相关的其他端口。 有关详细信息,请参阅 Enable a network for cluster use(启用网络以供群集使用)。
HTTP 服务器 API (HTTP.SYS) 中保留的 URL 命名空间 很可能为 TCP 端口 80,但可以配置为其他端口。 有关常规信息,请参阅 配置 HTTP 和 HTTPS 有关使用 HttpCfg.exe 预留 HTTP.SYS 端点的 SQL Server 特定信息,请参阅关于 URL 预留和注册(SSRS 配置管理器)

端口 135 的特殊注意事项

将 RPC 与 TCP/IP 或 UDP/IP 一起用作传输方式时,会根据需要为系统服务动态分配入站端口。 将使用端口号大于 1024 的 TCP/IP 和 UDP/IP 端口。 这些端口称为“随机 RPC 端口”。 在这些情况下,RPC 客户端依赖 RPC 端点映射程序来通知它们为服务器分配了哪些动态端口。 对于一些基于 RPC 的服务,可以配置特定端口,而非让 RPC 动态分配一个端口。 此外,还可以将 RPC 动态分配的端口范围限制为一个较小的范围,不管何种服务均可如此。 由于许多服务都使用端口 135,它经常受到恶意用户的攻击。 当打开端口 135 时,请考虑限制防火墙规则的作用范围。

有关端口 135 的详细信息,请参阅以下参考内容:

与其他防火墙规则的交互

Windows 防火墙使用规则和规则组建立其配置。 每个规则或规则组都与特定程序或服务相关,并且该程序和服务可以在你不知道的情况下修改或删除相应规则。 例如,规则组“万维网服务 (HTTP)” 和“万维网服务 (HTTPS)” 与 IIS 相关。 启用这些规则将打开端口 80 和 443,并且如果启用这些规则,则依赖端口 80 和 443 的 SQL Server 功能将能正常工作。 不过,配置 IIS 的管理员可能会修改或禁用这些规则。 如果你为 SQL Server 使用端口 80 或端口 443,则应创建自己的规则或规则组,这样就可以独立于其他 IIS 规则来维护首选端口配置。

高级安全 Windows 防火墙 MMC 管理单元允许符合任何适用允许规则的所有通信。 因此,如果有两个均应用于端口 80 的规则(具有不同的参数), 则符合任一规则的流量都将得到允许。 因此,如果一个规则允许从本地子网通过端口 80 发送的流量,而另一个规则允许来自任意地址的流量,则实际结果是不管流量来源是什么,所有通向端口 80 的流量都将得到允许。 若要有效地管理对 SQL Server的访问,管理员应定期查看服务器上启用的所有防火墙规则。

防火墙配置文件概述

操作系统使用防火墙配置文件按照连接性、连接数和类别来识别并记住每个网络。

在高级安全 Windows 防火墙中有三种网络位置类型:

  • :Windows 可以验证对计算机所联接域的域控制器的访问。
  • 公共:除域网络之外,其他所有网络最初都归为公共网络一类。 直接连到 Internet 的网络或者位于公共场所(如机场和咖啡店)的网络应保留为公共网络。
  • 专用:由用户或应用程序标识为专用的网络。 只应将可信网络标识为专用网络。 用户很可能希望将家庭网络或小型企业网络标识为专用网络。

管理员可以为每种网络位置类型创建一个配置文件,每个配置文件均包含不同的防火墙策略。 在任何时候只能应用一个配置文件。 应用配置文件的顺序如下:

  1. 如果所有接口都向计算机所属的域控制器进行身份验证,则应用域配置文件。
  2. 如果要向域控制器验证所有接口或者所有接口均连接到归为专用网络位置一类的网络,则应用专用配置文件。
  3. 否则,应用公共配置文件。

使用高级安全 Windows 防火墙 MMC 管理单元查看和配置所有防火墙配置文件。 “控制面板”中的 “Windows 防火墙” 项仅可配置当前配置文件。

使用“控制面板”中的“Windows 防火墙”项进行其他防火墙设置

添加的防火墙可以限制端口仅对来自特定计算机或本地子网的传入连接打开。 限制端口的打开范围可以大大减少计算机对恶意用户的暴露程度。

备注

使用控制面板中的“Windows 防火墙” 项仅可配置当前防火墙配置文件。

使用“控制面板”中的“Windows 防火墙”项更改防火墙例外的范围

  1. 在“控制面板”中的“Windows 防火墙”项的“例外”选项卡上,选择一个程序或端口,然后选择“属性”或“编辑” 。

  2. 在“编辑程序”或“编辑端口”对话框中,选择“更改范围” 。

  3. 选择下列选项之一:

    • 任何计算机(包括 Internet 上的计算机):建议不要使用。 任何可寻址到你的计算机的计算机都可以连接到指定程序或端口。 如果要允许向 Internet 上的匿名用户呈现信息,则此设置可能是必需的,不过这会增加您对于恶意用户的暴露程度。 如果启用此设置,并且允许网络地址转换 (NAT) 遍历(例如“允许边缘遍历”选项),则会增加暴露程度。

    • 仅我的网络(子网):比“任何计算机”更安全的设置 。 只有网络的本地子网中的计算机可以连接到相应程序或端口。

    • 自定义列表:只有具有列表中的 IP 地址的计算机可以连接。 比“仅我的网络(子网)”更安全的设置,但使用 DHCP 的客户端计算机有时候会更改它们的 IP 地址,届时将会禁用连接功能。 另一台你未打算授权的计算机可能会接受这一列出的 IP 地址,从而连接到它。 “自定义列表”适用于列出配置为使用固定 IP 地址的其他服务器。 IP 地址可能是入侵者伪装的。 限制防火墙规则的作用大小取决于网络基础结构的优劣。

使用高级安全 Windows 防火墙管理单元

可以通过使用高级安全 Windows 防火墙 MMC 管理单元来配置高级防火墙设置。 此管理单元包括规则向导以及“控制面板”的“Windows 防火墙”项中未提供的设置。 这些设置包括:

  • 加密设置
  • 服务限制
  • 按名称限制计算机的连接
  • 限制连接到特定用户或配置文件
  • 边缘遍历允许通信绕过网络地址转换 (NAT) 路由器
  • 配置出站规则
  • 配置安全规则
  • 传入连接需要 IPsec

使用新建规则向导创建新防火墙规则

  1. 在“开始”菜单上,选择“运行”,键入 WF.msc,然后选择“确定” 。
  2. 在“高级安全 Windows 防火墙”的左窗格中,右键单击“入站规则”,然后选择“新建规则” 。
  3. 使用所需设置完成 “新建入站规则向导”

解决防火墙设置问题

以下工具和方法对于解决防火墙问题会非常有用:

  • 有效端口状态是与端口相关的所有规则的总体作用结果。 试图阻止访问某一端口时,查看引用该端口号的所有规则会非常有用。 使用高级安全 Windows 防火墙 MMC 管理单元查看规则,并按端口号对入站和出站规则进行排序。

  • 查看在运行 SQL Server 的计算机上处于活动状态的端口。 此查看过程包括确认正在侦听的 TCP/IP 端口,同时确认这些端口的状态。

    若要验证正在侦听哪些端口,请使用 netstat 命令行实用工具显示活动的 TCP 连接和 IP 统计信息。

    列出正在侦听的 TCP/IP 端口

    1. 打开命令提示符窗口。

    2. 在命令提示符下,键入 netstat -n -a

      -n 开关指示 netstat 以数字方式显示活动 TCP 连接的地址和端口号。 -a 开关指示 netstat 显示计算机正在侦听的 TCP 和 UDP 端口。

  • PortQry 实用工具可用于报告 TCP/IP 端口的状态(正在侦听、未在侦听或已筛选)。 (如果实用工具处于已筛选状态,则该实用工具可能不会收到来自端口的响应。)PortQry 实用工具可从 Microsoft 下载中心进行下载。

另请参阅

Windows Server 系统的服务概述和网络端口要求
如何:配置防火墙设置(Azure SQL 数据库)