Configure the Windows Firewall to Allow SQL Server Access
Les systèmes de pare-feu empêchent les accès non autorisés aux ressources de l'ordinateur. Si un pare-feu est activé alors qu'il n'est pas configuré correctement, les tentatives de connexion à SQL Server peuvent être bloquées.
Pour accéder à une instance du serveur SQL Server à travers un pare-feu, vous devez configurer le pare-feu sur l’ordinateur qui exécute SQL Server pour autoriser l’accès. Le pare-feu est un composant de Microsoft Windows. Vous pouvez également installer un pare-feu d'une autre société. Cette rubrique explique comment configurer le Pare-feu Windows, mais les principes de base s'appliquent à d'autres programmes de pare-feu.
Notes
Cette rubrique fournit une vue d’ensemble de la configuration du pare-feu et résume les informations qui intéressent un administrateur SQL Server. Pour plus d'informations sur le pare-feu et pour des informations rigoureuses sur le pare-feu, consultez la documentation de pare-feu, par exemple Pare-feu Windows avec fonctions avancées de sécurité et IPsec.
Les utilisateurs familiarisés avec l’élément Pare-feu Windows dans le Panneau de configuration et avec le composant logiciel enfichable MMC (Microsoft Management Console) du Pare-feu Windows avec fonctions avancées de sécurité et qui savent quels paramètres de pare-feu ils veulent configurer peuvent passer directement aux rubriques de la liste suivante :
Configurer un pare-feu Windows pour accéder au moteur de base de données
Configurer le Pare-feu Windows pour autoriser l’accès à Analysis Services
Informations de base sur le pare-feu
Les pare-feu fonctionnent en examinant les paquets entrants, et en les comparant à un jeu de règles. Si les règles autorisent le paquet, le pare-feu passe le paquet au protocole TCP/IP pour traitement supplémentaire. Si les règles n'autorisent pas le paquet, le pare-feu ignore le paquet et, si la journalisation est activée, crée une entrée dans le fichier journal du pare-feu.
La liste du trafic autorisé est remplie de l'une des façons suivantes :
Lorsque l'ordinateur dont le pare-feu est activé lance la communication, le pare-feu crée une entrée dans la liste afin que la réponse soit autorisée. La réponse entrante est considérée comme étant un trafic sollicité et vous n'avez pas à configurer cet élément.
Un administrateur configure les exceptions du pare-feu. Cela permet l'accès à des programmes spécifiés qui s'exécutent sur votre ordinateur, ou l'accès aux ports de connexion spécifiés sur votre ordinateur. Dans ce cas, l'ordinateur accepte le trafic entrant non sollicité lorsqu'il joue le rôle de serveur, d'écouteur ou d'homologue. Il s’agit du type de configuration qui doit être effectué pour se connecter à SQL Server.
Le choix d'une stratégie de pare-feu est plus complexe que le fait de déterminer si un port donné doit être ouvert ou fermé. Lors de la conception d'une stratégie de pare-feu pour votre entreprise, veillez à prendre en considération toutes les règles et les options de configuration disponibles. Cette rubrique n'examine pas toutes les options de pare-feu possibles. Nous vous recommandons de consulter les documents suivants :
Guide de prise en main du Pare-feu Windows avec fonctions avancées de sécurité
Introduction à l'isolation de serveur et de domaine
Paramètres du pare-feu par défaut
Pour planifier votre configuration de pare-feu, la première étape est de déterminer l'état en cours du pare-feu de votre système d'exploitation. Si le système d'exploitation a été mis à niveau à partir d'une version précédente, les anciens paramètres du pare-feu ont pu être conservés. De même, les paramètres du pare-feu ont peut-être été modifiés par un autre administrateur ou par une Stratégie de groupe dans votre domaine.
Notes
L'activation du pare-feu affectera d'autres programmes qui accèdent à cet ordinateur, comme le partage de fichiers et d'imprimantes, ainsi que les connexions Bureau à distance. Les administrateurs doivent tenir compte de toutes les applications qui s'exécutent sur l'ordinateur avant de définir les paramètres du pare-feu.
Programmes pour configurer le pare-feu
Il existe trois façons de configurer les paramètres du Pare-feu Windows.
Élément du Pare-feu Windows dans le Panneau de configuration
Le composant Pare-feu Windows peut être ouvert à partir du Panneau de configuration.
Important
Les modifications effectuées dans le Pare-feu Windows dans le Panneau de configuration affectent seulement le profil actuel. Les appareils mobiles, par exemple un ordinateur portable, ne doivent pas utiliser le Pare-feu Windows dans le Panneau de configuration car le profil peut changer lorsqu'il est connecté dans une configuration différente. Le profil configuré précédemment ne sera alors pas appliqué. Pour plus d'informations sur les profils, consultez le Guide de prise en main du Pare-feu Windows avec fonctions avancées de sécurité.
L'élément Pare-feu Windows dans le Panneau de configuration vous permet de configurer des options de base. Ces options en question sont les suivantes :
Activation ou désactivation du Pare-feu Windows dans le Panneau de configuration
Règles d'activation et de désactivation
Octroi d'exceptions pour les ports et les programmes
Définition de restrictions d'étendue
L'option Pare-feu Windows du Panneau de configuration est très appropriée pour les utilisateurs qui ne sont pas familiarisés avec la configuration du pare-feu, et qui configurent les options de base du pare-feu de base pour les ordinateurs qui ne sont pas mobiles. Vous pouvez également ouvrir l’élément Pare-feu Windows dans Panneau de configuration à partir de la
run
commande en procédant comme suit :Pour ouvrir le Pare-feu Windows
Dans le menu Démarrer , cliquez sur Exécuter, puis tapez
firewall.cpl
.Cliquez sur OK.
Microsoft Management Console (MMC)
Le composant logiciel enfichable MMC du Pare-feu Windows avec fonctions avancées de sécurité vous permet de configurer des paramètres du pare-feu plus avancés. Ce composant logiciel enfichable présente la plupart des options de pare-feu de façon simple et expose tous les profils de pare-feu. Pour plus d’informations, consultez Utilisation du composant logiciel Pare-feu Windows avec fonctions avancées de sécurité , plus loin dans cette rubrique.
netsh
L’outil netsh.exe peut être utilisé par un administrateur pour configurer et surveiller des ordinateurs Windows à l’invite de commandes ou à l’aide d’un fichier de lots**.** À l’aide de l’outil netsh , vous pouvez diriger les commandes de contexte que vous entrez vers l’assistance appropriée, puis l’assistance exécute la commande. Une application d’assistance est un fichier de bibliothèque de liens dynamiques (.dll, Dynamic Link Library) qui étend les fonctionnalités de l’outil netsh en fournissant la configuration, l’analyse et la prise en charge d’un ou plusieurs services, utilitaires ou protocoles. Tous les systèmes d'exploitation qui prennent en charge SQL Server ont un programme d'assistance de pare-feu. Windows Server 2008 possède également une application d’assistance de pare-feu avancée nommée advfirewall. Aucune information détaillée sur l’utilisation de netsh n’est fournie dans cette rubrique. Toutefois, un grand nombre des options de configuration décrites peuvent être configurées via netsh. Exécutez, par exemple, le script suivant à partir d'une invite de commandes pour ouvrir le port TCP 1433 :
netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT
Voici un exemple semblable qui utilise l'application auxiliaire Pare-feu Windows avec fonctions avancées de sécurité :
netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN
Pour plus d’informations sur netsh, consultez les liens suivants :
Ports utilisés par SQL Server
Les tableaux suivants peuvent vous aider à identifier les ports utilisés par SQL Server.
Ports utilisés par le moteur de base de données
Le tableau suivant répertorie les ports qui sont fréquemment utilisés par le Moteur de base de données.
Scénario | Port | Commentaires |
---|---|---|
SQL Server instance par défaut s’exécutant sur TCP | Port TCP 1433 | C'est le port le plus commun autorisé via le pare-feu. Il s'applique aux connexions de routine de l'installation par défaut du Moteur de base de données, ou une instance nommée qui est la seule instance qui s'exécute sur l'ordinateur. (Les instances nommées ont des considérations spéciales. Consultez Ports dynamiques plus loin dans cette rubrique.) |
SQL Server instances nommées dans la configuration par défaut | Le port TCP est un port dynamique déterminé au moment des démarrages du Moteur de base de données . | Consultez l'exposé ci-dessous dans la section Ports dynamiques. Le port UDP 1434 peut être requis pour le service de navigateur SQL Server lorsque vous utilisez des instances nommées. |
SQL Server instances nommées lorsqu’elles sont configurées pour utiliser un port fixe | Le numéro de port configuré par l'administrateur. | Consultez l'exposé ci-dessous dans la section Ports dynamiques. |
Connexion administrateur dédiée | Port TCP 1434 pour l'instance par défaut. D'autres ports sont utilisés pour les instances nommées. Recherchez le numéro de port dans le journal des erreurs. | Par défaut, les connexions distantes à la connexion administrateur dédiée ne sont pas activées. Pour activer une DAC distante, utilisez la facette Configuration de la surface d'exposition. Pour plus d'informations, consultez Surface Area Configuration. |
SQL Server Service Browser | Port UDP 1434 | Le service navigateur SQL Server écoute les connexions entrantes à un instance nommé et fournit au client le numéro de port TCP correspondant à celui nommé instance. Normalement le service SQL Server Browser est démarré toutes les fois que les instances nommées du Moteur de base de données sont utilisées. Le service navigateur SQL Server n’a pas besoin d’être démarré si le client est configuré pour se connecter au port spécifique du instance nommé. |
SQL Server instance s’exécutant sur un point de terminaison HTTP. | Peut être spécifié lors de la création d'un point de terminaison HTTP. La valeur par défaut est le port TCP 80 pour le trafic CLEAR_PORT et le port 443 pour le trafic SSL_PORT. | Utilisé pour une connexion HTTP via une URL. |
SQL Server instance par défaut s’exécutant sur un point de terminaison HTTPS. | Port TCP 443 | Utilisé pour une connexion HTTPS via une URL. HTTPS est une connexion HTTP qui utilise SSL (Secure Sockets Layer). |
Service Broker | Port TCP 4022. Pour vérifier le port utilisé, exécutez la requête suivante :SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'SERVICE_BROKER' |
Il n’existe aucun port par défaut pour SQL ServerService Broker, mais il s’agit de la configuration conventionnelle utilisée dans les exemples de la documentation en ligne. |
Mise en miroir de bases de données | Port choisi par l'administrateur. Pour déterminer le port, exécutez la requête suivante :SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'DATABASE_MIRRORING' |
Il n'y a aucun port par défaut pour la mise en miroir de bases de données ; cependant, les exemples de la documentation en ligne utilisent le port TCP 7022. Il est très important d'éviter d'interrompre un point de terminaison de mise en miroir en cours d'utilisation, en particulier en mode haute sécurité avec basculement automatique. Votre configuration du pare-feu doit éviter de rompre le quorum. Pour plus d’informations, consultez Spécifier une adresse réseau de serveur (Mise en miroir de bases de données). |
Réplication | Les connexions de réplication à SQL Server utilisent les ports standard du moteur de base de données (port TCP 1433 pour le instance par défaut, etc.) La synchronisation Web et l'accès de FTP/UNC pour l'instantané de réplication requièrent l'ouverture de ports supplémentaires sur le pare-feu. Pour transférer des données initiales et le schéma d'un emplacement à un autre, la réplication peut utiliser FTP (port TCP 21), ou la synchronisation via HTTP (port TCP 80) ou le partage de fichiers. Le partage de fichiers utilise les ports UDP 137 et 138, et le port TCP 139 avec NetBIOS. Le partage de fichiers utilise le port TCP 445. |
Pour la synchronisation via HTTP, la réplication utilise le point de terminaison IIS (dont les ports sont configurables mais qui sont le port 80 par défaut), mais le processus IIS se connecte au back-end SQL Server via les ports standard (1433 pour le instance par défaut. Pendant la synchronisation Web via FTP, le transfert FTP s'effectue entre IIS et le serveur de publication SQL Server , pas entre l'abonné et IIS. |
Débogueur Transact-SQL | Port TCP 135 Consultez Considérations spéciales relatives au port 135 L'exception IPsec peut également être requise. |
Si vous utilisez Visual Studio, sur l'ordinateur hôte Visual Studio , vous devez également ajouter Devenv.exe à la liste Exceptions et ouvrir le port TCP 135. Si vous utilisez Management Studio, sur l'ordinateur hôte Management Studio , vous devez également ajouter ssms.exe à la liste Exceptions et ouvrir le port TCP 135. Pour plus d’informations, consultez Configurer le débogueur Transact-SQL. |
Pour obtenir des instructions pas à pas sur la configuration du Pare-feu Windows pour le moteur de base de données, consultez Configurer un pare-feu Windows pour l’accès au moteur de base de données.
Ports dynamiques
Par défaut, les instances nommées (y compris SQL Server Express) utilisent des ports dynamiques. Cela signifie que chaque fois que le moteur de base de données démarre, il identifie un port disponible et utilise ce numéro de port. Si l'instance nommée est la seule instance du Moteur de base de données installée, elle utilisera probablement le port TCP 1433. Si d'autres instances du Moteur de base de données sont installées, le port utilisé sera probablement un port TCP différent. Étant donné que le port sélectionné peut changer chaque fois que le moteur de base de données est démarré, il est difficile de configurer le pare-feu pour permettre l’accès au numéro de port correct. Par conséquent, si un pare-feu est utilisé, nous vous recommandons de reconfigurer le moteur de base de données pour qu’il utilise le même numéro de port à chaque fois. Cela s'appelle port fixe ou port statique. Pour plus d’informations, consultez Configurer un serveur pour écouter sur un port TCP spécifique (Gestionnaire de configuration SQL Server).
L’alternative à la configuration d’une instance nommée pour l’écoute sur un port fixe est de créer une exception dans le pare-feu pour un programme SQL Server , tel que sqlservr.exe (pour le Moteur de base de données). Cette approche peut être pratique, mais le numéro de port n’apparaît pas dans la colonne Port local de la page Règles de trafic entrant quand vous utilisez le composant logiciel enfichable MMC du Pare-feu Windows avec fonctions avancées de sécurité. Cela peut rendre plus difficile le fait d'auditer quels ports sont ouverts. Une autre considération est qu’un Service Pack ou une mise à jour cumulative peut modifier le chemin d’accès à l’exécutable SQL Server, ce qui invalidera la règle de pare-feu.
Notes
La procédure suivante utilise l'élément Pare-feu Windows dans le Panneau de configuration. Le composant logiciel enfichable MMC du Pare-feu Windows avec fonctions avancées de sécurité peut configurer une règle plus complexe. Cela inclut la configuration d'une exception de service qui peut être utile pour assurer une défense en profondeur. Consultez ci-dessous Utilisation du composant logiciel enfichable Pare-feu Windows avec fonctions avancées de sécurité .
Pour ajouter une exception de programme au pare-feu à l'aide de l'élément Pare-feu Windows du Panneau de configuration.
Sous l'onglet Exceptions de l'élément du Pare-feu Windows dans Panneau de configuration, cliquez sur Ajouter un programme.
Accédez à l’emplacement du instance de SQL Server que vous souhaitez autoriser via le pare-feu, par exemple C:\Program Files\Microsoft SQL Server\MSSQL12.<>instance_name\MSSQL\Binn, sélectionnez sqlservr.exe, puis cliquez sur Ouvrir.
Cliquez sur OK.
Pour plus d’informations sur les points de terminaison, consultez Configurer le moteur de base de données pour écouter sur plusieurs ports TCP et Vue Catalogue des points de terminaison (Transact-SQL).
Ports utilisés par Analysis Services
Le tableau suivant répertorie les ports qui sont fréquemment utilisés par Analysis Services.
Fonctionnalité | Port | Commentaires |
---|---|---|
Analysis Services | Port TCP 238 pour l'instance par défaut | Port standard pour l'instance par défaut de Analysis Services. |
SQL Server Service Browser | Port TCP 2382 uniquement exigé pour une instance nommée Analysis Services | Les demandes de connexion client pour un instance nommé d’Analysis Services qui ne spécifient pas de numéro de port sont dirigées vers le port 2382, le port sur lequel SQL Server Browser écoute. SQL Server Browser redirige ensuite la demande vers le port utilisé par l'instance nommée. |
Analysis Services configuré pour une utilisation via IIS/HTTP (Le tableau croisé dynamique ?? Le service utilise HTTP ou HTTPS) |
Port TCP 80 | Utilisé pour une connexion HTTP via une URL. |
Analysis Services configuré pour une utilisation via IIS/HTTPS (Le tableau croisé dynamique ?? Le service utilise HTTP ou HTTPS) |
Port TCP 443 | Utilisé pour une connexion HTTPS via une URL. HTTPS est une connexion HTTP qui utilise SSL (Secure Sockets Layer). |
Si les utilisateurs accèdent à Analysis Services via IIS et Internet, vous devez ouvrir le port sur lequel IIS écoute et spécifier ce port dans la chaîne de connexion cliente. Dans ce cas, aucun port ne doit être ouvert pour l'accès direct à Analysis Services. Le port par défaut 2389 et le port 2382, ainsi que tous les ports qui ne sont pas nécessaires, doivent être soumis à des restrictions.
Pour obtenir des instructions pas à pas sur la configuration du Pare-feu Windows pour Analysis Services, consultez Configurer le Pare-feu Windows pour autoriser l’accès à Analysis Services.
Ports utilisés par Reporting Services
Le tableau suivant répertorie les ports qui sont fréquemment utilisés par Reporting Services.
Fonctionnalité | Port | Commentaires |
---|---|---|
Reporting Services Services Web | Port TCP 80 | Utilisé pour une connexion HTTP à Reporting Services via une URL. Nous vous recommandons de ne pas utiliser la règle préconfigurée Services World Wide Web (HTTP) . Pour plus d'informations, consultez ci-dessous la section Interaction avec d'autres règles de pare-feu . |
Reporting Services configuré pour une utilisation via HTTPS | Port TCP 443 | Utilisé pour une connexion HTTPS via une URL. HTTPS est une connexion HTTP qui utilise SSL (Secure Sockets Layer). Nous vous recommandons de ne pas utiliser la règle préconfigurée Services World Wide Web sécurisés (HTTPS) . Pour plus d'informations, consultez ci-dessous la section Interaction avec d'autres règles de pare-feu . |
Lorsque Reporting Services se connecte à une instance du Moteur de base de données ou Analysis Services, vous devez également ouvrir les ports appropriés pour ces services. Pour obtenir des instructions détaillées sur la manière de configurer le Pare-feu Windows pour Reporting Services, consultez Configurer un pare-feu pour accéder au serveur de rapports.
Ports utilisés par Integration Services
Le tableau suivant répertorie les ports qui sont utilisés par le service Integration Services .
Fonctionnalité | Port | Commentaires |
---|---|---|
Microsoft Appels de procédure distante (MS RPC) Utilisé par le runtime Integration Services . |
Port TCP 135 Consultez Considérations spéciales relatives au port 135 |
Le service Integration Services utilise DCOM sur le port 135. Le Gestionnaire de contrôle des services utilise le port 135 pour effectuer des tâches telles que le démarrage et l’arrêt du service Integration Services et la transmission des demandes de contrôle au service en cours d’exécution. Le numéro de port ne peut pas être modifié. Ce port ne doit être ouvert que si vous vous connectez à un instance distant du service Integration Services à partir de Management Studio ou d’une application personnalisée. |
Pour obtenir des instructions détaillées sur la configuration du Pare-feu Windows pour Integration Services, consultez Configurer un pare-feu Windows pour l’accès au service SSIS.
Ports et services supplémentaires
Le tableau suivant répertorie les ports et services dont SQL Server peut dépendre.
Scénario | Port | Commentaires |
---|---|---|
Windows Management Instrumentation Pour plus d'informations sur WMI, consultez WMI Provider for Configuration Management Concepts. |
WMI s'exécute dans le cadre d'un hôte de service partagé avec les ports attribués via DCOM. WMI peut utiliser le port TCP 135. Consultez Considérations spéciales relatives au port 135 |
SQL Server utilise WMI pour lister et gérer des services. Nous vous recommandons d’utiliser la règle préconfigurée Windows Management Instrumentation (WMI) . Pour plus d'informations, consultez ci-dessous la section Interaction avec d'autres règles de pare-feu . |
Microsoft Distributed Transaction Coordinator (MS DTC) | Port TCP 135 Consultez Considérations spéciales relatives au port 135 |
Si votre application utilise des transactions distribuées, vous devez éventuellement configurer le pare-feu pour autoriser le trafic MS DTC ( Microsoft Distributed Transaction Coordinator) entre des instances MS DTC distinctes, et entre MS DTC et les gestionnaires de ressources tels que SQL Server. Nous vous recommandons d'utiliser le groupe de règles préconfigurées Distributed Transaction Coordinator . Lorsqu'un MS DTC partagé unique est configuré pour l'intégralité du cluster dans un groupe de ressources distinct, vous devez ajouter sqlservr.exe comme exception au pare-feu. |
Le bouton Parcourir dans Management Studio utilise UDP pour se connecter au service SQL Server Browser. Pour plus d’informations, consultez Service SQL Server Browser (moteur de base de données et SSAS). | Port UDP 1434 | UDP est un protocole sans connexion. Le pare-feu a un paramètre, nommé Propriété UnicastResponsesToMulticastBroadcastDisabled de l’interface INetFwProfile , qui contrôle le comportement du pare-feu par rapport aux réponses de monodiffusion (unicast) à une demande UDP multidiffusion (ou multicast). Il a deux comportements : Si le paramètre est TRUE, aucune réponse de monodiffusion à une diffusion n'est autorisée. L'énumération des services échouera. Si le paramètre est FALSE (valeur par défaut), les réponses de monodiffusion sont autorisées pendant 3 secondes. La durée n'est pas configurable. dans un réseau encombré ou à latence élevée, ou pour les serveurs fortement chargés, tente d’énumérer des instances de SQL Server peut retourner une liste partielle, ce qui peut induire en erreur les utilisateurs. |
Trafic IPsec | Port UDP 500 et port UDP 4500 | Si la stratégie de domaine exige que les communications réseau s'effectuent par le biais du protocole IPsec, vous devez également ajouter les ports UDP 4500 et UDP 500 à la liste des exceptions. IPsec est une option de l’ Assistant Nouvelle règle de trafic entrant dans le composant logiciel enfichable Pare-feu Windows. Pour plus d’informations, consultez ci-dessous Utilisation du composant logiciel enfichable Pare-feu Windows avec fonctions avancées de sécurité . |
Utilisation de l'authentification Windows avec les domaines approuvés | Les pare-feu doivent être configurés pour autoriser des demandes d'authentification. | Pour plus d'informations, consultez Comment faire pour configurer un pare-feu pour les domaines et les approbations. |
SQL Server et le clustering Windows | Le clustering nécessite des ports supplémentaires qui ne sont pas directement liés à SQL Server. | Pour plus d'informations, consultez Activer un réseau pour une utilisation du cluster. |
Des espaces de noms réservés de l'URL dans l'API HTTP Server (HTTP.SYS) | Probablement le port TCP 80, mais la configuration d'autres ports est possible. Pour les informations générales, consultez Configuration de HTTP et HTTPS. | Pour des informations spécifiques à SQL Server en ce qui concerne la réservation d’un point de terminaison HTTP.SYS à l’aide de HttpCfg.exe, consultez À propos des réservations et de l’inscription d’URL (Gestionnaire de configuration de SSRS). |
Considérations spéciales relatives au port 135
Lorsque vous utilisez RPC avec TCP/IP ou avec UDP/IP comme transport, les ports entrants sont fréquemment attribués de manière dynamique aux services système en fonction des besoins ; les ports TCP/IP et UDP/IP qui sont supérieurs au port 1024 sont utilisés. Ces ports sont souvent appelés de façon informelle « ports RPC aléatoires ». Dans ces cas, les clients RPC comptent sur le mappeur de point de terminaison RPC pour leur indiquer quels ports dynamiques ont été attribués au serveur. Pour certains services basés sur RPC, vous pouvez configurer un port spécifique au lieu de laisser RPC en attribuer un dynamiquement. Vous pouvez également limiter la plage de ports que RPC attribue dynamiquement, indépendamment du service. Étant donné que le port 135 est utilisé pour de nombreux services, il est fréquemment attaqué par des utilisateurs malveillants. Lorsque vous ouvrez le port 135, pensez à restreindre l'étendue de la règle de pare-feu.
Pour plus d'informations sur le port 135, consultez les rubriques de référence suivantes :
Vue d'ensemble des services et exigences de ports réseau pour le système Windows Server
Comment faire pour configurer l'allocation de port dynamique RPC avec un pare-feu
Interaction avec d'autres règles de pare-feu
Le Pare-feu Windows utilise des règles et des groupes de règles pour établir sa configuration. Chaque règle ou groupe de règles est généralement associé à un programme ou service particulier, et ce programme ou service peut modifier ou supprimer qui règle à votre insu. Par exemple, les groupes de règles Services World Wide Web (HTTP) et Services World Wide Web (HTTPS) sont associés à IIS. L'activation de ces règles ouvrira les ports 80 et 443, et les fonctionnalités de SQL Server qui dépendent des ports 80 et 443 fonctionneront si ces règles sont activées. Toutefois, les administrateurs qui configurent IIS peuvent modifier ou désactiver ces règles. Par conséquent, si vous utilisez le port 80 ou le port 443 pour SQL Server, vous devez créer votre propre règle ou groupe de règles qui gère la configuration de port souhaitée indépendamment des autres règles IIS.
Le composant logiciel enfichable MMC du Pare-feu Windows avec fonctions avancées de sécurité autorise tout trafic qui correspond aux règles d'autorisation applicables. S'il existe deux règles qui s'appliquent toutes deux au port 80 (avec des paramètres différents), le trafic qui correspond à l'une ou l'autre règle sera autorisé. Si une règle autorise le trafic sur le port 80 du sous-réseau local et l'autre règle autorise le trafic à partir de n'importe quelle adresse, le résultat fait que tout le trafic vers le port 80 est autorisé indépendamment de la source. Pour gérer efficacement l'accès à SQL Server, les administrateurs doivent périodiquement examiner toutes les règles de pare-feu activées sur le serveur.
Vue d'ensemble des profils de pare-feu
Les profils de pare-feu sont examinés dans le Guide de prise en main du Pare-feu Windows avec fonctions avancées de sécurité de la section Pare-feu d’hôte prenant en charge l’emplacement réseau. Pour résumer, les systèmes d'exploitation identifient et gardent en mémoire chacun des réseaux auxquels ils se connectent (connectivité, connexions et catégorie).
Il existe trois types d'emplacements réseau dans le Pare-feu Windows avec fonctions avancées de sécurité :
Domaine. Windows peut authentifier l'accès au contrôleur de domaine pour le domaine auquel l'ordinateur est joint.
Public. En dehors des réseaux de domaine, tous les réseaux sont catégorisés initialement en tant que publics. Les réseaux qui représentent des connexions directes à l'Internet ou qui se trouvent à emplacements publics, tels que les aéroports et les cafés, doivent rester publics.
Privé. Réseau identifié par un utilisateur ou une application comme privé. Seuls les réseaux de confiance doivent être identifiés en tant que réseaux privés. Les utilisateurs identifient généralement comme privés les réseaux domestiques ou les réseaux pour petites entreprises.
L'administrateur peut créer un profil pour chaque type d'emplacement réseau, chaque profil contenant des stratégies de pare-feu différentes. Un seul profil est appliqué à la fois. L'ordre des profils est appliqué comme suit :
Si toutes les interfaces sont authentifiées au contrôleur de domaine pour le domaine dans lequel l'ordinateur est membre, le profil de domaine est appliqué.
Si toutes les interfaces sont authentifiées au contrôleur de domaine ou sont connectées à des réseaux classifiés comme emplacements de réseau privés, le profil privé est appliqué.
Autrement, le profil public est appliqué.
Utilisez le composant logiciel enfichable MMC du Pare-feu Windows avec fonctions avancées de sécurité pour afficher et configurer tous les profils de pare-feu. L'élément du Pare-feu Windows dans le Panneau de configuration configure seulement le profil actuel.
Paramètres de pare-feu supplémentaires utilisant l'élément Pare-feu Windows dans le Panneau de configuration
Les exceptions que vous ajoutez au pare-feu peuvent restreindre l'ouverture du port aux connexions entrantes à partir d'ordinateurs spécifiques ou du sous-réseau local. Cette restriction de la portée d'ouverture de port peut réduire la surface d'exposition de votre ordinateur aux utilisateurs malveillants, et elle est recommandée.
Notes
L’utilisation de l’élément Pare-feu Windows dans le Panneau de configuration configure seulement le profil de pare-feu actuel.
Pour modifier l'étendue d'une exception de pare-feu à l'aide de l'élément Pare-feu Windows dans le Panneau de configuration
Dans Pare-feu Windows du Panneau de configuration, sélectionnez un programme ou un port sous l'onglet Exceptions , puis cliquez sur Propriétés ou Modifier.
Dans la boîte de dialogue Modifier un programme ou Modifier un port , cliquez sur Modifier l'étendue.
Choisissez l’une des options suivantes :
N'importe quel ordinateur (y compris ceux présents sur Internet)
Non recommandé. Cela autorisera tout ordinateur qui peut adresser votre ordinateur à se connecter au programme ou port spécifié. Ce paramètre peut être nécessaire pour autoriser la présentation d'informations à des utilisateurs anonymes sur Internet, mais augmente votre exposition aux utilisateurs malveillants. Votre exposition peut être accrue encore plus si vous activez ce paramètre et également autorisez la traversée NAT (Network Address Translation), comme l'option Autoriser la traversée latérale.
Uniquement mon réseau (ou sous-réseau)
Il s’agit d’un paramètre plus sécurisé que n’importe quel ordinateur. Seuls les ordinateurs présents sur le sous-réseau local de votre réseau peuvent se connecter au programme ou port.
Liste personnalisée :
Seuls les ordinateurs qui correspondent aux adresses IP de votre liste peuvent se connecter. Ce paramètre peut être plus sécurisé que l’option Uniquement mon réseau (ou sous-réseau) ; toutefois, les ordinateurs clients utilisant DHCP peuvent parfois modifier leur adresse IP. L'ordinateur prévu ne sera alors pas en mesure de se connecter. Un autre ordinateur, que vous n'aviez pas projeté d'autoriser, peut accepter l'adresse IP répertoriée puis être en mesure de se connecter. L'option Liste personnalisée peut être appropriée pour lister des autres serveurs qui sont configurés pour utiliser une adresse IP fixe ; toutefois, les adresses IP peuvent être usurpées par un intrus. Les règles de pare-feu restrictives ne sont fortes que si votre infrastructure réseau l'est aussi.
Utilisation du composant logiciel enfichable Pare-feu Windows avec fonctions avancées de sécurité
Des paramètres de pare-feu avancés supplémentaires peuvent être configurés en utilisant le composant logiciel enfichable MMC du Pare-feu Windows avec fonctions avancées de sécurité. Le composant logiciel enfichable inclut un Assistant Règle et expose des paramètres supplémentaires qui ne sont pas disponibles dans l’élément Pare-feu Windows du Panneau de configuration. Les paramètres suivants sont inclus :
Paramètres de chiffrement
Restrictions de services
Restriction des connexions pour les ordinateurs par nom
Restriction des connexions à des utilisateurs ou profils spécifiques
Traversée latérale autorisant le trafic de contourner les routeurs NAT (Network Address Translation)
Configuration de règles de trafic sortant
Configuration de règles de sécurité
Présence nécessaire d'IPsec pour les connexions entrantes
Pour créer une règle de pare-feu à l'aide de l'Assistant Nouvelle règle
Dans le menu Démarrer , cliquez sur Exécuter, tapez WF.msc, puis cliquez sur OK.
Dans le Pare-feu Windows avec fonctions avancées de sécurité, dans le volet gauche, cliquez avec le bouton droit sur Règles de trafic entrant, puis cliquez sur Nouvelle règle.
Exécutez l' Assistant Nouvelle règle de trafic entrant à l'aide des paramètres que vous souhaitez.
Résolution des problèmes liés aux paramètres du pare-feu
Les outils et techniques suivants peuvent être utiles pour résoudre les problèmes liés au pare-feu :
L'état effectif du port repose sur l'union de toutes les règles en rapport avec le port. Lors de la tentative de bloquer l'accès via un port, il peut être utile d'examiner toutes les règles qui citent le numéro de port. Pour cela, utilisez le composant logiciel enfichable MMC du Pare-feu Windows avec fonctions avancées de sécurité et triez les règles du trafic entrant et sortant par numéro de port.
Examinez les ports qui sont actifs sur l'ordinateur sur lequel SQL Server s'exécute. Ce processus de vérification inclut l'identification des ports TCP/IP qui écoutent, ainsi que de l'état des ports.
Pour identifier les ports qui sont à l’écoute, utilisez l’utilitaire de ligne de commande netstat . l’utilitaire netstat affiche non seulement les connexions TCP actives, mais également diverses statistiques et informations IP.
Pour lister les ports TCP/IP qui sont à l'écoute
Ouvrez la fenêtre d'invite de commandes.
À l’invite de commandes, tapez
netstat -n -a
.Le commutateur -n demande à netstat d’afficher l’adresse numérique et le numéro de port des connexions TCP actives. Le commutateur -a demande à netstat d’afficher les ports TCP et UDP écoutés par l’ordinateur.
L’utilitaire PortQry peut être utilisé pour signaler l’état des ports TCP/IP comme à l’écoute, pas à l’écoute ou filtré. (Lorsque l'état est filtré, le port peut être à l'écoute ou non ; cet état indique que l'utilitaire n'a pas reçu de réponse du port.) l’utilitaire PortQry peut être téléchargé à partir du Centre de téléchargement Microsoft.
Voir aussi
Vue d'ensemble des services et exigences de ports réseau pour le système Windows Server