Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A következőkre vonatkozik:
SQL Server Windows rendszeren
A tűzfalrendszerek segítenek megakadályozni a számítógép erőforrásaihoz való jogosulatlan hozzáférést. Ha egy tűzfal be van kapcsolva, de nincs megfelelően konfigurálva, előfordulhat, hogy az SQL Serverhez való kapcsolódási kísérletek le lesznek tiltva.
Az SQL Server egy példányának tűzfalon keresztüli eléréséhez konfigurálnia kell a tűzfalat az SQL Servert futtató számítógépen. A tűzfal a Microsoft Windows egyik összetevője. Másik gyártótól is telepíthet tűzfalat. Ez a cikk a Windows tűzfal konfigurálását ismerteti, de az alapelvek más tűzfalprogramokra is érvényesek.
Jegyzet
Ez a cikk áttekintést nyújt a tűzfal konfigurációjáról, és összefoglalja az SQL Server-rendszergazdák számára fontos információkat. A tűzfalról és a mérvadó tűzfaladatokról további információt a tűzfal dokumentációjában talál, például Windows tűzfal biztonsági üzembe helyezési útmutatóját.
A Windows tűzfal kezelő felhasználók, és tudják, hogy mely tűzfalbeállításokat szeretnék konfigurálni, közvetlenül a speciálisabb cikkekre léphetnek:
- A Windows tűzfal konfigurálása az adatbázis-motorhoz való hozzáféréshez
- A Windows tűzfal konfigurálása az Analysis Services hozzáférési engedélyezéséhez
- Tűzfal konfigurálása a jelentéskiszolgáló hozzáféréséhez
Alapszintű tűzfalinformációk
A tűzfalak a bejövő csomagok vizsgálatával és az alábbi szabályokkal való összehasonlításával működnek:
A csomag megfelel a szabályok által diktált szabványoknak, majd a tűzfal továbbadja a csomagot a TCP/IP protokollnak további feldolgozás céljából.
A csomag nem felel meg a szabályok által meghatározott szabványoknak.
A tűzfal ezután elveti a csomagot.
Ha a naplózás engedélyezve van, a rendszer létrehoz egy bejegyzést a tűzfalnaplózási fájlban.
Az engedélyezett forgalom listája az alábbi módok egyikével van feltöltve:
Automatikus: Amikor egy tűzfalat engedélyező számítógép elindítja a kommunikációt, a tűzfal létrehoz egy bejegyzést a listában, hogy a válasz engedélyezve legyen. A válasz kért forgalomnak minősül, és nincs szükség további konfigurációra.
Manuálisan: A rendszergazda a tűzfal kivételeit konfigurálja. Lehetővé teszi a számítógép megadott programjaihoz vagy portjához való hozzáférést. Ebben az esetben a számítógép fogadja a kéretlen bejövő forgalmat kiszolgálóként, figyelőként vagy társként való működéskor. Az SQL Serverhez való csatlakozáshoz a konfigurációt végre kell hajtani.
A tűzfalstratégia kiválasztása összetettebb, mint egy adott port megnyitása vagy bezárása. A vállalati tűzfalstratégia tervezésekor mindenképpen vegye figyelembe az összes elérhető szabályt és konfigurációs lehetőséget. Ez a cikk nem tekinti át az összes lehetséges tűzfalbeállítást. Javasoljuk, hogy tekintse át a következő dokumentumokat:
- Windows tűzfal üzembe helyezési útmutatója
- Windows tűzfal tervezési útmutatója
- A kiszolgáló- és tartományelkülönítési bemutatása
Alapértelmezett tűzfalbeállítások
A tűzfalkonfiguráció tervezésének első lépése az operációs rendszer tűzfalának aktuális állapotának meghatározása. Ha az operációs rendszert egy korábbi verzióról frissítették, előfordulhat, hogy a korábbi tűzfalbeállítások megmaradnak. A csoportházirend vagy a rendszergazda módosíthatja a tartomány tűzfalbeállítását.
Jegyzet
A tűzfal bekapcsolása hatással van a számítógéphez hozzáférő egyéb programokra, például a fájl- és nyomtatómegosztásra, valamint a távoli asztali kapcsolatokra. A tűzfalbeállítások módosítása előtt a rendszergazdáknak érdemes megfontolni a számítógépen futó összes alkalmazást.
Programok a tűzfal konfigurálásához
Konfigurálja a Windows tűzfal beállításait Microsoft Management Console, PowerShellvagy netsh.
Microsoft Management Console (MMC)
Az Advanced Security MMC beépülő modullal ellátott Windows Tűzfal engedélyezi a haladó tűzfalbeállítások konfigurálását. Ez a beépülő modul a legtöbb tűzfalbeállítást egyszerűen használható módon jeleníti meg, és az összes tűzfalprofilt megjeleníti. További információ: A Windows tűzfal használata speciális biztonsági beépülő modullal a cikk későbbi részében.
PowerShell
Kövesse az alábbi példát az SQL Server alapértelmezett példányához tartozó TCP 1433-as port és az SQL Server Browser Service-hez tartozó UDP 1434-es port megnyitásához.
New-NetFirewallRule -DisplayName "SQLServer default instance" -Direction Inbound -LocalPort 1433 -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "SQLServer Browser service" -Direction Inbound -LocalPort 1434 -Protocol UDP -Action Allow
További példákért lásd: New-NetFirewallRule.
A netsh parancssor
A netsh.exe egy rendszergazdai eszköz, a windowsos számítógépek parancssorban vagy kötegelt fájl használatával történő konfigurálására és figyelésére. A netsh eszközzel a megadott környezeti parancsokat a megfelelő segítőhöz irányíthatja, a segítő pedig elvégzi a parancsot. A segéd egy dinamikus csatolt könyvtár (.dll) fájl, amely kibővíti a funkcionalitást. A segítő a következőket nyújtja: konfigurálás, monitorozás és támogatás egy vagy több szolgáltatáshoz, segédprogramhoz vagy protokollhoz a netsh eszközhöz.
Használhatja a Windows Tűzfal haladó biztonságért segédprogramot, az úgynevezett advfirewall. A leírt konfigurációs beállítások közül számos konfigurálható a parancssorból a netsh advfirewallhasználatával. Futtassa például a következő szkriptet egy parancssorban a TCP 1433-as port megnyitásához.
netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN
A netshtovábbi információért tekintse meg az alábbi hivatkozásokat:
- A Netsh parancs szintaxisa, környezete és formázása
- Netsh advfirewall tűzfal használata netsh tűzfal helyett a Windows tűzfal viselkedésének szabályozásához
Linux esetén
Linuxon meg kell nyitnia azokhoz a szolgáltatásokhoz társított portokat is, amelyekhez hozzá kell férnie. A Linux és a különböző tűzfalak különböző disztribúciói saját eljárásokkal rendelkeznek. Két példa:
- rövid útmutató: Az SQL Server telepítése és adatbázis létrehozása a Red Hat
- rövid útmutató: Az SQL Server telepítése és adatbázis létrehozása a SUSE Linux Enterprise Server
Az SQL Server által használt portok
Az alábbi táblázatok segítenek azonosítani az SQL Server által használt portokat.
Az adatbázismotor által használt portok
Alapértelmezés szerint az SQL Server és a társított adatbázismotor-szolgáltatások által használt tipikus portok a következők: TCP 1433, 4022, 135, 1434, UDP 1434. Az alábbi táblázat részletesebben ismerteti ezeket a portokat. A névvel ellátott példány dinamikus portokathasznál.
Az alábbi táblázat az adatbázismotor által gyakran használt portokat sorolja fel.
| Forgatókönyv | Kikötő | Megjegyzések |
|---|---|---|
| Tcp protokollon futó alapértelmezett példány | 1433-os TCP-port | A tűzfalon keresztül engedélyezett leggyakoribb port. Az adatbázismotor alapértelmezett telepítésével létesített rutinkapcsolatokra vonatkozik, vagy egy nevesített példányra, amely az egyetlen, a számítógépen futó példány. (Az elnevezett példányok különleges szempontokat is figyelembe vesznek. Lásd a cikk későbbi részében dinamikus portok.) |
| Elnevezett példányok alapértelmezett porttal | A TCP-port az adatbázismotor indításakor meghatározott dinamikus port. | A Dinamikus portok című szakaszban megtekintheti a következő vitát. Az UDP 1434-s portja szükséges lehet az SQL Server Browser Service-hez nevesített példányok használatakor. |
| Elnevezett példányok rögzített porttal | A rendszergazda által konfigurált portszám. | A Dinamikus portok című szakaszban megtekintheti a következő vitát. |
| Dedikált rendszergazdai kapcsolat | Az alapértelmezett példány TCP-portja 1434. A névvel ellátott példányokhoz más portok is használhatók. Ellenőrizze a hibanaplót a portszám miatt. | Alapértelmezés szerint a dedikált rendszergazdai kapcsolat (DAC) távoli kapcsolatai nincsenek engedélyezve. A távoli DAC engedélyezéséhez használja a Surface Area Configuration aspektust. További információ: Felület konfiguráció. |
| SQL Server Browser szolgáltatás | UDP-port 1434 | Az SQL Server böngészőszolgáltatás figyeli a névvel ellátott példányhoz érkező bejövő kapcsolatokat. A szolgáltatás biztosítja az ügyfélnek az adott elnevezett példánynak megfelelő TCP-portszámot. Az SQL Server Browser szolgáltatás általában az adatbázismotor nevesített példányainak használatakor indul el. Az SQL Server Browser szolgáltatás nem szükséges, ha az ügyfél úgy van konfigurálva, hogy a névvel ellátott példány adott portjához csatlakozzon. |
| HTTP-végponttal rendelkező példány. | HTTP-végpont létrehozásakor adható meg. Az alapértelmezett tcp-port a 80-at CLEAR_PORT forgalomhoz, a 443-at pedig SSL_PORT forgalomhoz. |
URL-címen keresztüli HTTP-kapcsolathoz használatos. |
| Alapértelmezett példány HTTPS-végponttal | 443-os TCP-port | URL-címen keresztüli HTTPS-kapcsolathoz használatos. A HTTPS egy OLYAN HTTP-kapcsolat, amely a Transport Layer Security (TLS) protokollt használja, amelyet korábban Secure Sockets Layer (SSL) néven ismertek. |
| Szolgáltatásközvetítő | 4022-s TCP-port. A használt port ellenőrzéséhez hajtsa végre a következő lekérdezést:SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'SERVICE_BROKER' |
Nincs alapértelmezett port az SQL Server Service Brokerhez, a Books Online-példák a hagyományos konfigurációt használják. |
| Adatbázis-tükrözés | A rendszergazda a portot választotta. A port meghatározásához hajtsa végre a következő lekérdezést:SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'DATABASE_MIRRORING' |
Az adatbázis-tükrözéshez nincs alapértelmezett port, a Books Online-példák azonban az 5022-s vagy a 7022-s TCP-portot használják. Fontos elkerülni a használaton belüli tükrözési végpont megszakítását, különösen magas biztonsági módban, automatikus feladatátvétellel. A tűzfal konfigurációjának kerülnie kell a kvórumtörést. További információ: Kiszolgáló hálózati címének megadása (adatbázis-tükrözés). |
| Replikáció | Az SQL Serverrel létesített replikációs kapcsolatok a szokásos adatbázismotor-portokat használják (az alapértelmezett példány az 1433-as TCP-port) A replikáció pillanatképének webes szinkronizálásához és FTP/UNC-hozzáféréséhez több portot kell megnyitni a tűzfalon. A kezdeti adatok és sémák egyik helyről a másikra való átviteléhez a replikáció ftp-t (21-ös TCP-portot) vagy HTTP-n (80-os TCP-porton) vagy fájlmegosztáson keresztüli szinkronizálást használhat. A fájlmegosztás az UDP 137-ös és 138-os portját, valamint a 139-s TCP-portot használja, ha a NetBIOS-val együtt használják. A fájlmegosztás a 445-ös TCP-portot használja. |
A HTTP-en keresztüli szinkronizáláshoz a replikáció az IIS-végpontot használja (konfigurálható; alapértelmezés szerint a 80-at), de az IIS-folyamat a szabványos portokon keresztül csatlakozik a háttérrendszeri SQL Serverhez (az alapértelmezett példány esetében a 1433-at). Az FTP-vel végzett webszinkronizálás során az FTP-átvitel az IIS és az SQL Server közzétevője között történik, nem az előfizető és az IIS között. |
| Transact-SQL hibakereső | 135-ös TCP-port Lásd 135-ös port különleges szempontjait Előfordulhat, hogy a IPsec kivételre is szükség lehet. |
Amennyiben a Visual Studio-t használja, a Visual Studio hosztgépen a devenv.exe-t is fel kell vennie a Kivételek listájára, és meg kell nyitnia a 135-ös TCP-portot.A Management Studio használata esetén a Management Studio gazdagépén ssms.exe is fel kell vennie a Kivételek listára, és meg kell nyitnia a 135-ös TCP-portot. További információ: Tűzfalszabályok konfigurálása a Transact-SQL hibakeresőfuttatása előtt. |
A Windows tűzfal adatbázismotorhoz való konfigurálására vonatkozó részletes útmutatásért lásd: Windows tűzfal konfigurálása adatbázismotor-hozzáféréshez.
Dinamikus portok
Alapértelmezés szerint az elnevezett példányok (beleértve az SQL Server Expresst is) dinamikus portokat használnak. Az adatbázismotor minden indításakor azonosít egy elérhető portot, és ezt a portszámot használja. Ha a névvel ellátott példány az SQL Server adatbázismotor egyetlen telepített példánya, akkor valószínűleg a 1433-as TCP portot használja. Ha az adatbázismotor más példányai is telepítve vannak, valószínűleg egy másik TCP-portot használ. Mivel a kiválasztott port minden alkalommal változhat, amikor az adatbázismotor elindul, nehéz konfigurálni a tűzfalat a megfelelő portszám elérésének engedélyezéséhez. Ha tűzfalat használ, javasoljuk, hogy minden alkalommal konfigurálja újra az adatbázismotort, hogy ugyanazt a portszámot használja. Rögzített vagy statikus port használata ajánlott. További információért lásd: SQL Server konfigurálása adott TCP-portfigyelésére.
A névvel ellátott példányok rögzített porton való figyeléshez való konfigurálásának alternatívájaként a tűzfalban kivételt állíthat be egy SQL Server program számára, például a sqlservr.exe (az adatbázismotorhoz). A portszám nem jelenik meg a Bejövő szabályok lap Helyi port oszlopában, amikor a Windows tűzfal speciális biztonsági MMC beépülő modult használja. Nehéz lehet ellenőrizni, hogy mely portok vannak nyitva. Egy másik szempont, hogy egy szervizcsomag vagy kumulatív frissítés megváltoztathatja az SQL Server végrehajtható fájl elérési útját, és érvénytelenítheti a tűzfalszabályt.
Ha kivételt szeretne hozzáadni az SQL Serverhez a Windows tűzfal speciális biztonsági szolgáltatásaival, olvassa el a cikk későbbi részében található A Windows tűzfal speciális biztonsági bővítményének használata részt.
Az Analysis Services által használt portok
Alapértelmezés szerint az SQL Server Analysis Services és a társított szolgáltatások által használt tipikus portok a következők: TCP 2382, 2383, 80, 443. Az alábbi táblázat részletesebben ismerteti ezeket a portokat.
Az alábbi táblázat az Analysis Services által gyakran használt portokat sorolja fel.
| Funkció | Kikötő | Megjegyzések |
|---|---|---|
| Analysis Services | Az alapértelmezett példány TCP 2383-as portja | Az Analysis Services alapértelmezett példányának szabványos portja. |
| SQL Server Browser szolgáltatás | A 2382-s TCP-port csak egy Analysis Services által elnevezett példányhoz szükséges | Az Analysis Services nevesített példányának ügyfélkapcsolati kérelmei, amelyek nem adnak meg portszámot, a rendszer a 2382-es portra irányítja, amelyre az SQL Server Browser figyel. Az SQL Server Browser ezután átirányítja a kérelmet a nevesített példány által használt portra. |
| Az Analysis Services IIS/HTTP-n keresztül történő használatra van konfigurálva (A kimutatásszolgáltatás® HTTP-t vagy HTTPS-t használ) |
80-os TCP-port | URL-címen keresztüli HTTP-kapcsolathoz használatos. |
| Az Analysis Services IIS/HTTPS-n keresztül történő használatra konfigurálva (A kimutatásszolgáltatás® HTTP-t vagy HTTPS-t használ) |
443-os TCP-port | URL-címen keresztüli HTTPS-kapcsolathoz használatos. A HTTPS egy TLS-t használó HTTP-kapcsolat. |
Ha a felhasználók az IIS-en és az interneten keresztül férnek hozzá az Analysis Serviceshez, meg kell nyitnia azt a portot, amelyen az IIS figyel. Ezután adja meg a portot az ügyfélkapcsolati sztringben. Ebben az esetben egyetlen portnak sem kell nyitva lennie az Analysis Serviceshez való közvetlen hozzáféréshez. Az alapértelmezett 2389-s portot és a 2382-s portot a nem kötelező összes többi porttal együtt kell korlátozni.
A Windows tűzfal Analysis Serviceshez való konfigurálására vonatkozó részletes útmutatásért lásd: A Windows tűzfal konfigurálása az Analysis Services-hozzáférésengedélyezéséhez.
A Reporting Services által használt portok
Alapértelmezés szerint az SQL Server Reporting Services és a társított szolgáltatások által használt tipikus portok a következők: TCP 80, 443. Az alábbi táblázat részletesebben ismerteti ezeket a portokat.
Az alábbi táblázat a Reporting Services által gyakran használt portokat sorolja fel.
| Funkció | Kikötő | Megjegyzések |
|---|---|---|
| Jelentési szolgáltatások webszolgáltatások | 80-os TCP-port | A Reporting Services url-címen keresztüli HTTP-kapcsolatához használatos. Javasoljuk, hogy ne használja az előre konfigurált szabályt World Wide Web Services (HTTP). További információért lásd a jelen cikk Egyéb tűzfalszabályokkal való kapcsolatról szóló szakaszát. |
| HTTPS-kapcsolaton keresztül történő használatra konfigurált Reporting Services | 443-os TCP-port | URL-címen keresztüli HTTPS-kapcsolathoz használatos. A HTTPS egy TLS-t használó HTTP-kapcsolat. Javasoljuk, hogy ne használja az előre konfigurált szabályt Biztonságos világszintű webszolgáltatások (HTTPS). További információért lásd a jelen cikk Egyéb tűzfalszabályokkal való kapcsolatról szóló szakaszát. |
Amikor a Reporting Services az adatbázismotor vagy az Analysis Services egy példányához csatlakozik, meg kell nyitnia a megfelelő portokat is ezekhez a szolgáltatásokhoz. A Jelentéskészítési szolgáltatásokhoz készült Windows tűzfal konfigurálására vonatkozó részletes utasításokért, tűzfal konfigurálása a jelentéskészítő kiszolgálóhoz való hozzáféréshez.
Az Integration Services által használt portok
Az alábbi táblázat az Integration Services szolgáltatás által használt portokat sorolja fel.
| Funkció | Kikötő | Megjegyzések |
|---|---|---|
| Microsoft távoli eljáráshívások (MS RPC) Az Integration Services futtatókörnyezete használja. |
135-ös TCP-port Lásd 135-ös port különleges szempontjait |
Az Integration Services szolgáltatás a DCOM-t használja a 135-ös porton. A Service Control Manager a 135-ös portot használja olyan feladatok végrehajtásához, mint az Integration Services szolgáltatás indítása és leállítása, valamint a vezérlési kérések továbbítása a futó szolgáltatásnak. A portszám nem módosítható. Ezt a portot csak akkor kell megnyitni, ha a Management Studióból vagy egy egyéni alkalmazásból csatlakozik az Integration Services szolgáltatás távoli példányához. |
A Windows tűzfal integrációs szolgáltatásokhoz való konfigurálására vonatkozó részletes útmutatásért lásd Integration Services Service (SSIS Service).
Egyéb portok és szolgáltatások
Az alábbi táblázat az SQL Servertől függő portokat és szolgáltatásokat sorolja fel.
| Forgatókönyv | Kikötő | Megjegyzések |
|---|---|---|
| Windows Management Instrumentation További információért a Windows Management Instrumentation (WMI)megoldásról lásd: a WMI szolgáltató konfigurációkezeléshez. |
A WMI egy megosztott szolgáltatás gazdagépének részeként fut, és a portok a DCOM-on keresztül vannak hozzárendelve. Előfordulhat, hogy a WMI a 135-ös TCP-portot használja. Lásd 135-ös port különleges szempontjait |
Az SQL Server Configuration Manager WMI-t használ a szolgáltatások listázására és kezelésére. Javasoljuk, hogy használja az előre konfigurált szabálycsoportot Windows Management Instrumentation (WMI). További információért lásd a jelen cikk Egyéb tűzfalszabályokkal való kapcsolatról szóló szakaszát. |
| Microsoft Distributed Transaction Coordinator (MS DTC) | 135-ös TCP-port Lásd 135-ös port különleges szempontjait |
Ha az alkalmazás elosztott tranzakciókat használ, előfordulhat, hogy a tűzfalat úgy kell konfigurálnia, hogy a Microsoft Distributed Transaction Coordinator (MS DTC) forgalma a különálló MS DTC-példányok, valamint az MS DTC és az erőforrás-kezelők, például az SQL Server között áramolhasson. Javasoljuk, hogy az előre konfigurált elosztott tranzakciókoordinátor szabálycsoportot használja. Ha egyetlen megosztott MS DTC van konfigurálva a teljes fürthöz egy külön erőforráscsoportban, sqlservr.exe kell hozzáadnia kivételként a tűzfalhoz. |
| A Management Studio tallózás gombja UDP használatával csatlakozik az SQL Server Browser Service-hez. További információ: SQL Server Browser service (Adatbázismotor és SSAS). | UDP-port 1434 | Az UDP kapcsolat nélküli protokoll. A tűzfal rendelkezik egy beállítással (UnicastResponsesToMulticastBroadcastDisabled tulajdonság az INetFwProfile interface), amely szabályozza a tűzfal viselkedését és az egyedi (unicast) válaszokat a szórásos (broadcast) vagy csoportos küldésű (multicast) UDP-kérésekre. Két viselkedése van: Ha a beállítás TRUE, akkor a közvetítésre adott egyedi válaszok egyáltalán nem engedélyezettek. A szolgáltatások számbavétele sikertelen.Ha a beállítás FALSE (alapértelmezett), az egycímes válaszok 3 másodpercig engedélyezettek. Az időtartam nem konfigurálható. Túlterhelt vagy nagy késésű hálózatokban, illetve nagy terhelésű kiszolgálók esetén az SQL Server példányainak számbavétele részleges listát eredményezhet, ami félrevezetheti a felhasználókat. |
| IPsec-forgalom | UDP port 500 és UDP port 4500 | Ha a tartományi szabályzat megköveteli, hogy a hálózati kommunikáció az IPsecen keresztül legyen végrehajtva, akkor az UDP 4500-os portját és az 500-os UDP-portot is fel kell vennie a kivétellistára. IPsec választható a Windows tűzfal beépülő modul Új bejövő szabály varázsló segítségével. További információkért lásd: Használja a Windows tűzfalat a speciális biztonsági beépülő modullal a cikk későbbi részében. |
| Windows-hitelesítés használata megbízható tartományokkal | A tűzfalakat úgy kell konfigurálni, hogy engedélyezve legyenek a hitelesítési kérések. | További információkért lásd: Tűzfal konfigurálása Active Directory-tartományokhoz és megbízhatósági kapcsolatokhoz. |
| SQL Server és Windows klaszterezés | A fürtözéshez olyan többlet portok szükségesek, amelyek nem kapcsolódnak közvetlenül az SQL Serverhez. | További információk: Hálózat engedélyezése clusterhasználatra. |
| A HTTP Server API-ban fenntartott URL-névterek (HTTP.SYS) | Valószínűleg 80-os TCP-port, de más portokon is konfigurálható. Általános információ: HTTP és HTTPSkonfigurálása. | Az SQL Server HTTP.SYS végpontjának HttpCfg.exehasználatával történő megőrzéséről további információt az Az URL-foglalások és a regisztráció (Jelentéskészítő kiszolgáló konfigurációkezelője)című témakörben talál. |
A 135-ös port különleges szempontjai
Ha az RPC-t TCP/IP-címmel vagy UDP/IP-címmel használja átvitelként, a bejövő portok szükség szerint dinamikusan lesznek hozzárendelve a rendszerszolgáltatásokhoz. Az 1024-nél nagyobb TCP/IP- és UDP-/IP-portok használhatók. A portokat véletlenszerű RPC-portoknaknevezik. Ezekben az esetekben az RPC-ügyfelek az RPC-végpontleképezőre támaszkodva állapítják meg, hogy mely dinamikus portok lettek hozzárendelve a kiszolgálóhoz. Egyes RPC-alapú szolgáltatások esetében konfigurálhat egy adott portot ahelyett, hogy lehetővé teszi az RPC számára, hogy dinamikusan rendeljen hozzá egyet. Azt is megteheti, hogy a távoli eljáráshívás (RPC) által dinamikusan hozzárendelt portok tartományát egy szűkebb tartományra korlátozza, függetlenül a szolgáltatástól. Mivel a 135-ös portot számos szolgáltatáshoz használják, rosszindulatú felhasználók gyakran támadják meg. A 135-ös port megnyitásakor fontolja meg a tűzfalszabály hatókörének korlátozását.
További információ a 135-ös portról:
- Windows szolgáltatásáttekintő és hálózati portkövetelményei
- távoli eljáráshívás (RPC)
- Az RPC dinamikus portfoglalásának konfigurálása, hogy együttműködjön a tűzfalakkal
Interakció más tűzfalszabályokkal
A Windows tűzfal szabályok és szabálycsoportok használatával hozza létre a konfigurációját. Minden szabály vagy szabálycsoport egy adott programhoz vagy szolgáltatáshoz van társítva, és az adott program vagy szolgáltatás az Ön tudta nélkül módosíthatja vagy törölheti a szabályt. A szabálycsoportok például World Wide Web Services (HTTP) és World Wide Web Services (HTTPS) az IIS-hez vannak társítva. A szabályok engedélyezése megnyitja a 80-at és a 443-at, és az SQL Server azon funkcióit, amelyek a 80-s és a 443-as porttól függenek, ha ezek a szabályok engedélyezve vannak. Az IIS-t konfiguráló rendszergazdák azonban módosíthatják vagy letilthatják ezeket a szabályokat. Ha az SQL Serverhez a 80-at vagy a 443-at használja, létre kell hoznia egy saját szabályt vagy szabálycsoportot, amely a többi IIS-szabálytól függetlenül tartja fenn az előnyben részesített portkonfigurációt.
Az Advanced Security MMC beépülő modullal rendelkező Windows tűzfal beépülő minden olyan forgalmat engedélyez, amely megfelel a vonatkozó engedélyezési szabálynak. Tehát ha két szabály vonatkozik a 80-es portra (különböző paraméterekkel). A szabálynak megfelelő forgalom engedélyezett. Ha tehát egy szabály engedélyezi a forgalmat a 80-as porton keresztül a helyi alhálózatról, és egy szabály engedélyezi a forgalmat bármely címről, a nettó hatás az, hogy a 80-as portra érkező összes forgalom független a forrástól. Az SQL Serverhez való hozzáférés hatékony kezeléséhez a rendszergazdáknak rendszeresen át kell tekintenie a kiszolgálón engedélyezett összes tűzfalszabályt.
A tűzfalprofilok áttekintése
Az operációs rendszerek tűzfalprofilokat használnak az egyes hálózatok azonosításához és megjegyzéséhez: kapcsolat, kapcsolatok és kategória alapján.
A Fokozott biztonságú Windows tűzfal három hálózati helytípust használ:
tartomány: A Windows hitelesítheti a tartományvezérlő hozzáférését ahhoz a tartományhoz, amelyhez a számítógép csatlakozik.
nyilvános: A tartományhálózatok kivételével az összes hálózat kezdetben nyilvánosként van kategorizálva. A közvetlen internetkapcsolatot jelképező vagy nyilvános helyeken , például repülőtereken és kávézókban lévő hálózatokat nyilvánosan kell hagyni.
privát: Egy felhasználó vagy alkalmazás által privátként azonosított hálózat. Csak megbízható hálózatok azonosíthatók magánhálózatként. A felhasználók valószínűleg magánhálózatként szeretnék azonosítani az otthoni vagy kisvállalati hálózatokat.
A rendszergazda minden hálózati helytípushoz létrehozhat profilt, és mindegyik profil különböző tűzfalszabályzatokat tartalmaz. A rendszer egyszerre csak egy profilt alkalmaz. A profilrendelést az alábbiak szerint alkalmazzuk:
A tartományprofil akkor lesz alkalmazva, ha az összes interfész hitelesítve van azon a tartományvezérlőn, amelyhez a számítógép tartozik.
Ha az összes interfész vagy hitelesítve van a tartományvezérlőnél, vagy magánhálózati helyként besorolt hálózatokhoz kapcsolódik, a privát profil kerül alkalmazásra.
Ellenkező esetben a rendszer alkalmazza a nyilvános profilt.
A Windows tűzfal speciális biztonsági MMC beépülő moduljával megtekintheti és konfigurálhatja az összes tűzfalprofilt. A Vezérlőpult Windows tűzfal eleme csak az aktuális profilt konfigurálja.
További tűzfalbeállítások a Vezérlőpult Windows tűzfalelemével
A hozzáadott tűzfal korlátozhatja a port megnyitását az adott számítógépekről vagy helyi alhálózatról érkező bejövő kapcsolatokra. Korlátozza a port megnyitásának hatókörét, hogy csökkentse, hogy a számítógép mennyi kártékony felhasználónak legyen kitéve.
A Vezérlőpult Windows tűzfal elemének használata csak az aktuális tűzfalprofilt konfigurálja.
Tűzfalkivétel hatókörének módosítása a Vezérlőpult Windows tűzfalelemével
A Vezérlőpult Windows tűzfal elemében jelöljön ki egy programot vagy portot a Kivételek lapon, majd válassza Tulajdonságok vagy szerkesztése lehetőséget.
A Program szerkesztése vagy Port szerkesztése párbeszédpanelen válassza a Hatókör módosításalehetőséget.
Válasszon az alábbi lehetőségek közül:
Bármely számítógép (beleértve az internetes számítógépeket is): Nem ajánlott. Bármely számítógép, amely elérheti az Ön számítógépét a megadott programhoz vagy porthoz való csatlakozás érdekében. Ez a beállítás szükséges lehet ahhoz, hogy az információk névtelen felhasználók számára is megjelenhessenek az interneten, de növeli a rosszindulatú felhasználók számára való kitettséget. Ennek a beállításnak az engedélyezése lehetővé teszi a hálózati címfordítás (NAT) bejárását, például az Edge-bejárási lehetőség növeli az expozíciót.
A hálózatom (alhálózata) csak: Biztonságosabb beállítás, mint Bármely számítógép. A programhoz vagy porthoz csak a hálózat helyi alhálózatán lévő számítógépek csatlakozhatnak.
egyéni lista: Csak a felsorolt IP-címekkel rendelkező számítógépek csatlakozhatnak. A biztonságos beállítás biztonságosabb lehet, mint A hálózatom (alhálózat) csak, azonban a DHCP-t használó ügyfélszámítógépek időnként módosíthatják az IP-címüket, ami letiltja a kapcsolódási képességet. Egy másik számítógép, amelyet nem kívánt engedélyezni, elfogadhatja a felsorolt IP-címet, és csatlakozhat hozzá. Az egyéni lista a rögzített IP-cím használatára konfigurált egyéb kiszolgálók listázására alkalmas.
A behatolók meghamisítást végezhetnek az IP-címeken. A tűzfalszabályok korlátozása csak olyan erős, mint a hálózati infrastruktúra.
A Windows tűzfal használata speciális biztonsági beépülő modullal
A speciális tűzfalbeállítások a Windows tűzfal speciális biztonsági MMC beépülő modullal konfigurálhatók. A beépülő modul tartalmaz egy szabályvarázslót és olyan beállításokat, amelyek nem érhetők el a Vezérlőpult Windows tűzfal elemében. Ezek a beállítások a következők:
- Titkosítási beállítások
- Szolgáltatások korlátozásai
- Számítógépek kapcsolatainak korlátozása név szerint
- Kapcsolatok korlátozása adott felhasználókra vagy profilokra
- Peremhálózati bejárás, amely lehetővé teszi, hogy a forgalom megkerülje a hálózati címfordítási (NAT-) útválasztókat
- Kimenő szabályok konfigurálása
- Biztonsági szabályok konfigurálása
- IPsec megkövetelése bejövő kapcsolatokhoz
Új tűzfalszabály létrehozása az Új szabály varázslóval
- A Start menüben válassza a Futtatáslehetőséget, írja be
wf.msc-t, majd válassza az OKlehetőséget. - A Speciális biztonságiwindowsos tűzfal bal oldali ablaktábláján kattintson a jobb gombbal a Bejövő szabályokelemre, majd válassza Új szabálylehetőséget.
- Töltse ki az Új bejövő szabály varázslót a kívánt beállításokkal.
SQL Server végrehajtható állományához programkivétel hozzáadása
A start menübe írja be a
wf.msc. Nyomja le az Enter billentyűt, vagy válassza ki a találatiwf.mscSpeciális biztonságiwindows defender tűzfal megnyitásához.A bal oldali panelen válassza Bejövő szabályoklehetőséget.
A jobb oldali ablaktáblán, a Műveletekalatt válassza Új szabály...lehetőséget. megnyílik Új bejövő szabály varázsló.
Szabálytípusterületen válassza a Programlehetőséget. Válassza Következő.
A Programlapon válassza ki az Ez a programútvonallehetőséget. Válassza a Tallózás lehetőséget az SQL Server-példány megkereséséhez. A programot
sqlservr.exe-nak hívják. Általában aC:\Program Files\Microsoft SQL Server\MSSQL<VersionNumber>.<InstanceName>\MSSQL\Binn\sqlservr.exe-n található. Válassza Következő.A Műveletpontnál válassza a Kapcsolat engedélyezéselehetőséget. Válassza Következő.
A Profiltartalmazza mind a három profilt. Válassza Következő.
A Névmezőbe írja be a szabály nevét. Válassza Befejezéslehetőséget.
A végpontokkal kapcsolatos további információkért lásd:
Tűzfalbeállítások hibaelhárítása
A következő eszközök és technikák hasznosak lehetnek a tűzfalproblémák elhárításában:
A port tényleges állapota a porthoz kapcsolódó összes szabály egyesítője. Hasznos lehet áttekinteni a portszámot idéző összes szabályt, amikor megpróbálja letiltani a porthoz való hozzáférést. Tekintse át a szabályokat az Advanced Security MMC beépülő modullal rendelkező Windows tűzfallal, és rendezze a bejövő és kimenő szabályokat portszám alapján.
Tekintse át azokat a portokat, amelyek aktívak azon a számítógépen, amelyen az SQL Server fut. A felülvizsgálati folyamat magában foglalja annak ellenőrzését, hogy mely TCP/IP-portok figyelik, valamint a portok állapotát is.
A PortQry segédprogram a TCP/IP-portok állapotának figyelésként, nem figyeltként vagy szűrtként való jelentésére használható. (Előfordulhat, hogy a segédprogram nem kap választ a porttól, ha szűrt állapotú.) A PortQry segédprogram letölthető a Microsoft Letöltőközpontból.
A figyelt TCP/IP-portok listázása
Annak ellenőrzéséhez, hogy mely portok figyelnek, az aktív TCP-kapcsolatok és AZ IP-statisztikák megjelenítéséhez használja a netstat parancssori segédprogramot.
Nyissa meg a Parancssor ablakot.
Parancssorba írja be:
netstat -n -a.A
-nkapcsoló arra utasítja netstat, hogy numerikusan jelenítse meg az aktív TCP-kapcsolatok címét és portszámát. A-akapcsoló arra utasítja netstat, hogy jelenítse meg azokat a TCP- és UDP-portokat, amelyeken a számítógép figyel.
Kapcsolódó tartalom
- Windows szolgáltatásáttekintő és hálózati portkövetelményei
- Azure SQL Database és az Azure Synapse IP-tűzfalszabályok