Konfigurasikan Windows Firewall untuk Mengizinkan Akses SQL Server

Sistem firewall membantu mencegah akses tidak sah ke sumber daya komputer. Jika firewall diaktifkan tetapi tidak dikonfigurasi dengan benar, upaya untuk tersambung ke SQL Server mungkin diblokir.

Untuk mengakses instans SQL Server melalui firewall, Anda harus mengonfigurasi firewall di komputer yang berjalan SQL Server untuk mengizinkan akses. Firewall adalah komponen dari Microsoft Windows. Anda juga dapat menginstal firewall dari perusahaan lain. Topik ini membahas cara mengonfigurasi firewall Windows, tetapi prinsip-prinsip dasar berlaku untuk program firewall lainnya.

Catatan

Topik ini memberikan gambaran umum tentang konfigurasi firewall dan meringkas informasi yang menarik bagi administrator SQL Server. Untuk informasi selengkapnya tentang firewall dan untuk informasi firewall otoritatif, lihat dokumentasi firewall, seperti Windows Firewall dengan Keamanan Tingkat Lanjut dan IPsec.

Pengguna yang terbiasa dengan item Windows Firewall di Panel Kontrol dan dengan snap-in Windows Firewall dengan Advanced Security Microsoft Management Console (MMC) dan siapa yang tahu pengaturan firewall mana yang ingin mereka konfigurasi dapat berpindah langsung ke topik dalam daftar berikut:

• Mengonfigurasi Windows Firewall untuk Database Engine Access

• Mengonfigurasi Firewall Windows untuk Mengizinkan Akses Analysis Services

• Mengonfigurasi Firewall untuk Akses Server Laporan

Informasi Firewall Dasar

Firewall bekerja dengan memeriksa paket masuk, dan membandingkannya dengan seperangkat aturan. Jika aturan mengizinkan paket, firewall meneruskan paket ke protokol TCP/IP untuk pemrosesan tambahan. Jika aturan tidak mengizinkan paket, firewall membuang paket dan, jika pengelogan diaktifkan, membuat entri dalam file pengelogan firewall.

Daftar lalu lintas yang diizinkan diisi dengan salah satu cara berikut:

• Ketika komputer yang mengaktifkan firewall memulai komunikasi, firewall membuat entri dalam daftar sehingga respons diizinkan. Respons masuk dianggap sebagai lalu lintas yang diminta dan Anda tidak perlu mengonfigurasi ini.

• Administrator mengonfigurasi pengecualian untuk firewall. Ini memungkinkan akses ke program yang ditentukan yang berjalan pada komputer Anda, atau akses ke port koneksi yang ditentukan pada komputer Anda. Dalam hal ini, komputer menerima lalu lintas masuk yang tidak diminta saat bertindak sebagai server, pendengar, atau serekan. Ini adalah jenis konfigurasi yang harus diselesaikan untuk terhubung ke SQL Server.

Memilih strategi firewall lebih kompleks daripada hanya memutuskan apakah port tertentu harus terbuka atau ditutup. Saat merancang strategi firewall untuk perusahaan Anda, pastikan Anda mempertimbangkan semua aturan dan opsi konfigurasi yang tersedia untuk Anda. Topik ini tidak meninjau semua opsi firewall yang mungkin. Kami menyarankan agar Anda meninjau dokumen berikut:

Panduan Memulai Windows Firewall dengan Keamanan Tingkat Lanjut

Windows Firewall dengan Panduan Desain Keamanan Tingkat Lanjut

Pengantar Isolasi Server dan Domain

Pengaturan Firewall Default

Langkah pertama dalam merencanakan konfigurasi firewall Anda adalah menentukan status firewall saat ini untuk sistem operasi Anda. Jika sistem operasi ditingkatkan dari versi sebelumnya, pengaturan firewall sebelumnya mungkin telah dipertahankan. Selain itu, pengaturan firewall bisa saja diubah oleh administrator lain atau oleh Kebijakan Grup di domain Anda.

Catatan

Mengaktifkan tembok api akan mempengaruhi program lain yang mengakses komputer ini, seperti berbagi berkas dan cetak, dan sambungan desktop jarak jauh. Administrator harus mempertimbangkan semua aplikasi yang berjalan di komputer sebelum menyesuaikan pengaturan firewall.

Program untuk Mengonfigurasi Firewall

Ada tiga cara untuk mengonfigurasi pengaturan Windows Firewall.

• Item Windows Firewall dalam Panel Kontrol

  Item Windows Firewall bisa dibuka dari Panel Kontrol.

  Penting

  Perubahan yang dibuat di item Windows Firewall di Panel Kontrol hanya mempengaruhi profil saat ini. Perangkat seluler, misalnya laptop, tidak boleh menggunakan item Windows Firewall di Panel Kontrol karena profil mungkin berubah ketika terhubung dalam konfigurasi yang berbeda. Maka profil yang dikonfigurasi sebelumnya tidak akan berlaku. Untuk informasi selengkapnya tentang profil, lihat Panduan Memulai Windows Firewall dengan Keamanan Tingkat Lanjut.

  Item Windows Firewall di Panel Kontrol memungkinkan Anda mengonfigurasi opsi dasar. Manfaatnya meliputi:

  • Mengaktifkan atau menonaktifkan item Windows Firewall di Panel Kontrol

  • Mengaktifkan dan menonaktifkan aturan

  • Memberikan pengecualian untuk port dan program

  • Mengatur beberapa pembatasan cakupan

  Item Windows Firewall di Panel Kontrol paling tepat untuk pengguna yang tidak berpengalaman dalam konfigurasi firewall, dan yang mengonfigurasi opsi firewall dasar untuk komputer yang tidak seluler. Anda juga dapat membuka item Windows Firewall di Panel Kontrol dari run perintah dengan menggunakan prosedur berikut:

  Untuk membuka item Windows Firewall

  1. Pada menu Mulai , klik Jalankan, lalu masukkan firewall.cpl.

  2. Klik OK.

• Konsol Manajemen Microsoft (MMC)

  Firewall Windows dengan snap-in MMC Keamanan Tingkat Lanjut memungkinkan Anda mengonfigurasi pengaturan firewall yang lebih canggih. Snap-in ini menyajikan sebagian besar opsi firewall dengan cara yang mudah digunakan, dan menyajikan semua profil firewall. Untuk informasi selengkapnya, lihat Menggunakan Windows Firewall dengan Snap-in Keamanan Tingkat Lanjut nanti dalam topik ini.

• Netsh

  Alat netsh.exe dapat digunakan oleh administrator untuk mengonfigurasi dan memantau komputer berbasis Windows pada prompt perintah atau menggunakan file batch**.** Dengan menggunakan alat netsh , Anda dapat mengarahkan perintah konteks yang Anda masukkan ke pembantu yang sesuai, dan pembantu kemudian melakukan perintah. Pembantu adalah file Pustaka Dynamic Link (.dll) yang memperluas fungsionalitas alat netsh dengan menyediakan konfigurasi, pemantauan, dan dukungan untuk satu atau beberapa layanan, utilitas, atau protokol. Semua sistem operasi yang mendukung SQL Server memiliki pembantu firewall. Windows Server 2008 juga memiliki pembantu firewall tingkat lanjut yang disebut advfirewall. Detail penggunaan netsh tidak dibahas dalam topik ini. Namun, banyak opsi konfigurasi yang dijelaskan dapat dikonfigurasi dengan menggunakan netsh. Misalnya, jalankan skrip berikut pada perintah untuk membuka port TCP 1433:

  netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT  
  

  Contoh serupa menggunakan Windows Firewall untuk pembantu Keamanan Tingkat Lanjut:

  netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN  
  

  Untuk informasi selengkapnya tentang netsh, lihat tautan berikut ini:

  • Cara Menggunakan Alat Netsh.exe dan Sakelar Command-Line

  • Cara menggunakan konteks "netsh advfirewall firewall" alih-alih konteks "netsh firewall" untuk mengontrol perilaku Windows Firewall di Windows Server 2008 dan di Windows Vista

  • Perintah "netsh firewall" bersama dengan parameter "profile=all" tidak mengonfigurasi profil publik pada komputer berbasis Windows Vista

Port yang Digunakan oleh SQL Server

Tabel berikut ini dapat membantu Anda mengidentifikasi port yang digunakan oleh SQL Server.

Port yang Digunakan Oleh Mesin Database

Tabel berikut ini mencantumkan port yang sering digunakan oleh Mesin Database.

Skenario	Port	Komentar
SQL Server instans default yang berjalan melalui TCP	Port TCP 1433	Ini adalah port paling umum yang diizinkan melalui firewall. Ini berlaku untuk koneksi rutin ke penginstalan default Mesin Database, atau instans bernama yang merupakan satu-satunya instans yang berjalan di komputer. (Instans bernama memiliki pertimbangan khusus. Lihat Port Dinamis nanti dalam topik ini.)
SQL Server instans bernama dalam konfigurasi default	Port TCP adalah port dinamis yang ditentukan pada saat Mesin Database dimulai.	Lihat diskusi di bawah ini di bagian Port Dinamis. Port UDP 1434 mungkin diperlukan untuk SQL Server Browser Service saat Anda menggunakan instans bernama.
SQL Server instans bernama saat dikonfigurasi untuk menggunakan port tetap	Nomor port yang dikonfigurasi oleh administrator.	Lihat diskusi di bawah ini di bagian Port Dinamis.
Koneksi Admin Khusus	Port TCP 1434 untuk instans default. Port lain digunakan untuk instans bernama. Periksa log kesalahan untuk nomor port.	Secara default, koneksi jarak jauh ke Koneksi Administrator Khusus (DAC) tidak diaktifkan. Untuk mengaktifkan DAC jarak jauh, gunakan faset Konfigurasi Area Permukaan. Untuk informasi selengkapnya, lihat Konfigurasi Area Permukaan.
layanan browser SQL Server	Port UDP 1434	Layanan browser SQL Server mendengarkan koneksi masuk ke instans bernama dan memberi klien nomor port TCP yang sesuai dengan instans bernama tersebut. Biasanya layanan browser SQL Server dimulai setiap kali instans bernama Mesin Database digunakan. Layanan browser SQL Server tidak harus dimulai jika klien dikonfigurasi untuk terhubung ke port tertentu dari instans bernama.
SQL Server instans yang berjalan melalui titik akhir HTTP.	Dapat ditentukan ketika titik akhir HTTP dibuat. Defaultnya adalah port TCP 80 untuk lalu lintas CLEAR_PORT dan 443 untuk lalu lintas SSL_PORT.	Digunakan untuk koneksi HTTP melalui URL.
SQL Server instans default yang berjalan melalui titik akhir HTTPS.	Port TCP 443	Digunakan untuk koneksi HTTPS melalui URL. HTTPS adalah koneksi HTTP yang menggunakan lapisan soket aman (SSL).
Service Broker	Port TCP 4022. Untuk memverifikasi port yang digunakan, jalankan kueri berikut: SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'SERVICE_BROKER'	Tidak ada port default untuk SQL ServerService Broker, tetapi ini adalah konfigurasi konvensional yang digunakan dalam contoh Books Online.
Pencerminan Database	Port yang dipilih administrator. Untuk menentukan port, jalankan kueri berikut: SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'DATABASE_MIRRORING'	Tidak ada port default untuk pencerminan database namun contoh Books Online menggunakan port TCP 7022. Sangat penting untuk menghindari gangguan titik akhir pencerminan yang digunakan, terutama dalam mode keamanan tinggi dengan failover otomatis. Konfigurasi firewall Anda harus menghindari melanggar kuorum. Untuk informasi selengkapnya, lihat Menentukan Alamat Jaringan Server (Pencerminan Database).
Replikasi	Koneksi replikasi untuk SQL Server menggunakan port Mesin Database biasa (port TCP 1433 untuk instans default, dll.) Sinkronisasi web dan akses FTP/UNC untuk rekam jepret replikasi memerlukan port tambahan untuk dibuka pada firewall. Untuk mentransfer data dan skema awal dari satu lokasi ke lokasi lain, replikasi dapat menggunakan FTP (port TCP 21), atau menyinkronkan melalui HTTP (port TCP 80) atau Berbagi File. Berbagi file menggunakan port UDP 137 dan 138, dan port TCP 139 jika menggunakan NetBIOS. Berbagi File menggunakan port TCP 445.	Untuk sinkronisasi melalui HTTP, replikasi menggunakan titik akhir IIS (port yang dapat dikonfigurasi tetapi secara default adalah port 80), tetapi proses IIS terhubung ke backend SQL Server melalui port standar (1433 untuk instans default. Selama sinkronisasi Web menggunakan FTP, transfer FTP adalah antara IIS dan penerbit SQL Server, bukan antara pelanggan dan IIS.
Debugger Transact-SQL	Port TCP 135 Lihat Pertimbangan Khusus untuk Port 135 Pengecualian IPsec mungkin juga diperlukan.	Jika menggunakan Visual Studio, di komputer host Visual Studio, Anda juga harus menambahkan Devenv.exe ke daftar Pengecualian dan membuka port TCP 135. Jika menggunakan Management Studio, di komputer host Management Studio, Anda juga harus menambahkan ssms.exe ke daftar Pengecualian dan membuka port TCP 135. Untuk informasi selengkapnya, lihat Mengonfigurasi Debugger Transact-SQL.

Untuk instruksi langkah demi langkah untuk mengonfigurasi Windows Firewall untuk Mesin Database, lihat Mengonfigurasi Windows Firewall untuk Akses Mesin Database.

Port Dinamis

Secara default, instans bernama (termasuk SQL Server Express) menggunakan port dinamis. Itu berarti bahwa setiap kali Mesin Database dimulai, mesin database mengidentifikasi port yang tersedia dan menggunakan nomor port tersebut. Jika instans bernama adalah satu-satunya instans Mesin Database yang diinstal, instans tersebut mungkin akan menggunakan port TCP 1433. Jika instans lain dari Mesin Database diinstal, mungkin akan menggunakan port TCP yang berbeda. Karena port yang dipilih mungkin berubah setiap kali Mesin Database dimulai, sulit untuk mengonfigurasi firewall untuk mengaktifkan akses ke nomor port yang benar. Oleh karena itu, jika firewall digunakan, sebaiknya konfigurasi ulang Mesin Database untuk menggunakan nomor port yang sama setiap saat. Ini disebut port tetap atau port statis. Untuk informasi selengkapnya, lihat Mengonfigurasi Server untuk Mendengarkan Port TCP Tertentu (Pengelola Konfigurasi SQL Server).

Alternatif untuk mengonfigurasi instans bernama untuk mendengarkan pada port tetap adalah dengan membuat pengecualian di firewall untuk program SQL Server seperti sqlservr.exe (untuk Mesin Database). Ini bisa nyaman, tetapi nomor port tidak akan muncul di kolom Port Lokal halaman Aturan Masuk saat Anda menggunakan Windows Firewall dengan snap-in MMC Keamanan Tingkat Lanjut. Ini dapat membuatnya lebih sulit untuk mengaudit port mana yang terbuka. Pertimbangan lain adalah bahwa paket layanan atau pembaruan kumulatif dapat mengubah jalur ke SQL Server dapat dieksekusi yang akan membatalkan aturan firewall.

Catatan

Prosedur berikut menggunakan item Windows Firewall dalam Panel Kontrol. Snap-in MMC Windows Firewall dengan Keamanan Tingkat Lanjut dapat mengonfigurasi aturan yang lebih kompleks. Ini termasuk mengonfigurasi pengecualian layanan yang dapat berguna untuk memberikan pertahanan secara mendalam. Lihat Menggunakan Windows Firewall dengan Snap-in Keamanan Tingkat Lanjut di bawah ini.

Untuk menambahkan pengecualian program ke firewall menggunakan item Windows Firewall di Panel Kontrol.

1. Pada tab Pengecualian item Windows Firewall di Panel Kontrol, klik Tambahkan program.

2. Telusuri ke lokasi instans SQL Server yang ingin Anda izinkan melalui firewall, misalnya C:\Program Files\Microsoft SQL Server\MSSQL12.<>instance_name\MSSQL\Binn, pilih sqlservr.exe, lalu klik Buka.

3. Klik OK.

Untuk informasi selengkapnya tentang titik akhir, lihat Mengonfigurasi Mesin Database untuk Mendengarkan Beberapa Port TCP dan Tampilan Katalog Titik Akhir (Transact-SQL).

Port yang Digunakan Oleh Analysis Services

Tabel berikut mencantumkan port yang sering digunakan oleh Analysis Services.

Fitur	Port	Komentar
Analysis Services	Port TCP 2383 untuk instans default	Port standar untuk instans default Analysis Services.
layanan browser SQL Server	Port TCP 2382 hanya diperlukan untuk instans bernama Analysis Services	Permintaan koneksi klien untuk instans bernama Analysis Services yang tidak menentukan nomor port diarahkan ke port 2382, port tempat browser SQL Server mendengarkan. SQL Server Browser kemudian mengalihkan permintaan ke port yang digunakan instans bernama.
Analysis Services dikonfigurasi untuk digunakan melalui IIS/HTTP (PivotTable?? Layanan menggunakan HTTP atau HTTPS)	Port TCP 80	Digunakan untuk koneksi HTTP melalui URL.
Analysis Services dikonfigurasi untuk digunakan melalui IIS/HTTPS (PivotTable?? Layanan menggunakan HTTP atau HTTPS)	Port TCP 443	Digunakan untuk koneksi HTTPS melalui URL. HTTPS adalah koneksi HTTP yang menggunakan lapisan soket aman (SSL).

Jika pengguna mengakses Analysis Services melalui IIS dan Internet, Anda harus membuka port tempat IIS mendengarkan dan menentukan port tersebut dalam string koneksi klien. Dalam hal ini, tidak ada port yang harus terbuka untuk akses langsung ke Analysis Services. Port default 2389, dan port 2382, harus dibatasi bersama dengan semua port lain yang tidak diperlukan.

Untuk instruksi langkah demi langkah untuk mengonfigurasi Windows Firewall untuk Analysis Services, lihat Mengonfigurasi Firewall Windows untuk Mengizinkan Akses Analysis Services.

Port yang Digunakan Oleh Reporting Services

Tabel berikut ini mencantumkan port yang sering digunakan oleh Reporting Services.

Fitur	Port	Komentar
Reporting Services Web Services	Port TCP 80	Digunakan untuk koneksi HTTP ke Reporting Services melalui URL. Kami menyarankan agar Anda tidak menggunakan aturan yang telah dikonfigurasi sebelumnya World Wide Web Services (HTTP). Untuk informasi selengkapnya, lihat bagian Interaksi dengan Aturan Firewall Lainnya di bawah ini.
Reporting Services dikonfigurasi untuk digunakan melalui HTTPS	Port TCP 443	Digunakan untuk koneksi HTTPS melalui URL. HTTPS adalah koneksi HTTP yang menggunakan lapisan soket aman (SSL). Kami menyarankan agar Anda tidak menggunakan aturan yang telah dikonfigurasi sebelumnya Secure World Wide Web Services (HTTPS). Untuk informasi selengkapnya, lihat bagian Interaksi dengan Aturan Firewall Lainnya di bawah ini.

Saat Reporting Services tersambung ke instans Mesin Database atau Analysis Services, Anda juga harus membuka port yang sesuai untuk layanan tersebut. Untuk instruksi langkah demi langkah untuk mengonfigurasi Windows Firewall untuk Reporting Services, Konfigurasikan Firewall untuk Akses Server Laporan.

Port yang Digunakan Oleh Layanan Integrasi

Tabel berikut mencantumkan port yang digunakan oleh layanan Layanan Integrasi.

Fitur	Port	Komentar
Panggilan prosedur jarak jauh Microsoft (MS RPC) Digunakan oleh runtime Layanan Integrasi.	Port TCP 135 Lihat Pertimbangan Khusus untuk Port 135	Layanan Layanan Integrasi menggunakan DCOM pada port 135. Service Control Manager menggunakan port 135 untuk melakukan tugas seperti memulai dan menghentikan layanan Layanan Integrasi dan mengirimkan permintaan kontrol ke layanan yang sedang berjalan. Nomor port tidak dapat diubah. Port ini hanya diperlukan untuk terbuka jika Anda terhubung ke instans jarak jauh layanan Layanan Integrasi dari Management Studio atau aplikasi kustom.

Untuk instruksi langkah demi langkah untuk mengonfigurasi Windows Firewall untuk Layanan Integrasi, lihat Mengonfigurasi Firewall Windows untuk Akses ke Layanan SSIS.

Port dan Layanan Tambahan

Tabel berikut ini mencantumkan port dan layanan yang mungkin bergantung pada SQL Server.

Skenario	Port	Komentar
Windows Management Instrumentation Untuk informasi selengkapnya tentang WMI, lihat Penyedia WMI untuk Konsep Manajemen Konfigurasi	WMI berjalan sebagai bagian dari host layanan bersama dengan port yang ditetapkan melalui DCOM. WMI mungkin menggunakan port TCP 135. Lihat Pertimbangan Khusus untuk Port 135	Pengelola Konfigurasi SQL Server menggunakan WMI untuk mencantumkan dan mengelola layanan. Kami menyarankan agar Anda menggunakan grup aturan yang telah dikonfigurasi sebelumnya Windows Management Instrumentation (WMI). Untuk informasi selengkapnya, lihat bagian Interaksi dengan Aturan Firewall Lainnya di bawah ini.
Koordinator Transaksi Terdistribusi Microsoft (MS DTC)	Port TCP 135 Lihat Pertimbangan Khusus untuk Port 135	Jika aplikasi Anda menggunakan transaksi terdistribusi, Anda mungkin harus mengonfigurasi firewall untuk memungkinkan lalu lintas Koordinator Transaksi Terdistribusi Microsoft (MS DTC) mengalir di antara instans MS DTC terpisah, dan antara MS DTC dan manajer sumber daya seperti SQL Server. Kami menyarankan agar Anda menggunakan grup aturan Koordinator Transaksi Terdistribusi yang telah dikonfigurasi sebelumnya. Ketika satu MS DTC bersama dikonfigurasi untuk seluruh kluster dalam grup sumber daya terpisah, Anda harus menambahkan sqlservr.exe sebagai pengecualian ke firewall.
Tombol telusuri di Management Studio menggunakan UDP untuk menyambungkan ke SQL Server Browser Service. Untuk informasi selengkapnya, lihat SQL Server Browser Service (Mesin Database dan SSAS).	Port UDP 1434	UDP adalah protokol tanpa koneksi. Firewall memiliki pengaturan, yang bernama UnicastResponsesToMulticastBroadcastDisabled Property dari Antarmuka INetFwProfile yang mengontrol perilaku firewall sehubungan dengan respons unicast terhadap permintaan UDP siaran (atau multicast). Ini memiliki dua perilaku: Jika pengaturannya TRUE, tidak ada respons siaran yang diizinkan sama sekali. Menghitung layanan akan gagal. Jika pengaturannya FALSE (default), respons unicast diizinkan selama 3 detik. Lamanya waktu tidak dapat dikonfigurasi. dalam jaringan padat atau latensi tinggi, atau untuk server yang dimuat dengan berat, mencoba menghitung instans SQL Server mungkin mengembalikan daftar parsial, yang mungkin menyesatkan pengguna.
Lalu lintas IPsec	Port UDP 500 dan port UDP 4500	Jika kebijakan domain mengharuskan komunikasi jaringan dilakukan melalui IPsec, Anda juga harus menambahkan port UDP 4500 dan port UDP 500 ke daftar pengecualian. IPsec adalah opsi menggunakan Wizard Aturan Masuk Baru di snap-in Windows Firewall. Untuk informasi selengkapnya, lihat Menggunakan Windows Firewall dengan Snap-in Keamanan Tingkat Lanjut di bawah ini.
Menggunakan Autentikasi Windows dengan Domain Tepercaya	Firewall harus dikonfigurasi untuk mengizinkan permintaan autentikasi.	Untuk informasi selengkapnya, lihat Cara mengonfigurasi firewall untuk domain dan kepercayaan.
SQL Server dan Pengklusteran Windows	Pengklusteran memerlukan port tambahan yang tidak terkait langsung dengan SQL Server.	Untuk informasi selengkapnya, lihat Mengaktifkan jaringan untuk penggunaan kluster.
Namespace URL yang dicadangkan di HTTP Server API (HTTP.SYS)	Mungkin port TCP 80, tetapi dapat dikonfigurasi ke port lain. Untuk informasi umum, lihat Mengonfigurasi HTTP dan HTTPS.	Untuk SQL Server informasi spesifik tentang memesan titik akhir HTTP.SYS menggunakan HttpCfg.exe, lihat Tentang Reservasi dan Pendaftaran URL (Configuration Manager SSRS).

Pertimbangan Khusus untuk Port 135

Ketika Anda menggunakan RPC dengan TCP/IP atau dengan UDP/IP sebagai transportasi, port masuk sering ditetapkan secara dinamis ke layanan sistem sesuai kebutuhan; Port TCP/IP dan UDP/IP yang lebih besar dari port 1024 digunakan. Ini sering disebut secara informal sebagai "port RPC acak." Dalam kasus ini, klien RPC mengandalkan pemeta titik akhir RPC untuk memberi tahu mereka port dinamis mana yang ditetapkan ke server. Untuk beberapa layanan berbasis RPC, Anda dapat mengonfigurasi port tertentu alih-alih membiarkan RPC menetapkan satu secara dinamis. Anda juga dapat membatasi rentang port yang ditetapkan RPC secara dinamis ke rentang kecil, terlepas dari layanannya. Karena port 135 digunakan untuk banyak layanan, port 135 sering diserang oleh pengguna berbahaya. Saat membuka port 135, pertimbangkan untuk membatasi cakupan aturan firewall.

Untuk informasi selengkapnya tentang port 135, lihat referensi berikut ini:

• Gambaran umum layanan dan persyaratan port jaringan untuk sistem Windows Server

• Pemecahan masalah kesalahan Pemeta Titik Akhir RPC menggunakan Alat Dukungan Windows Server 2003 dari CD produk

• Panggilan prosedur jarak jauh (RPC)

• Cara mengonfigurasi alokasi port dinamis RPC untuk bekerja dengan firewall

Interaksi dengan Aturan Firewall Lainnya

Windows Firewall menggunakan aturan dan grup aturan untuk membuat konfigurasinya. Setiap aturan atau grup aturan umumnya dikaitkan dengan program atau layanan tertentu, dan program atau layanan tersebut dapat mengubah atau menghapus aturan tersebut tanpa sepengetahuan Anda. Misalnya, grup aturan World Wide Web Services (HTTP) dan World Wide Web Services (HTTPS) dikaitkan dengan IIS. Mengaktifkan aturan tersebut akan membuka port 80 dan 443, dan SQL Server fitur yang bergantung pada port 80 dan 443 akan berfungsi jika aturan tersebut diaktifkan. Namun, administrator yang mengonfigurasi IIS mungkin mengubah atau menonaktifkan aturan tersebut. Oleh karena itu, jika Anda menggunakan port 80 atau port 443 untuk SQL Server, Anda harus membuat aturan atau grup aturan Anda sendiri yang mempertahankan konfigurasi port yang Anda inginkan secara independen dari aturan IIS lainnya.

Firewall Windows dengan snap-in MMC Keamanan Tingkat Lanjut memungkinkan lalu lintas apa pun yang cocok dengan aturan yang diizinkan yang berlaku. Jadi, jika ada dua aturan yang berlaku untuk port 80 (dengan parameter yang berbeda), lalu lintas yang cocok dengan salah satu aturan akan diizinkan. Jadi, jika satu aturan mengizinkan lalu lintas melalui port 80 dari subnet lokal dan satu aturan memungkinkan lalu lintas dari alamat apa pun, efek bersihnya adalah bahwa semua lalu lintas ke port 80 diizinkan terlepas dari sumbernya. Untuk mengelola akses ke SQL Server secara efektif, administrator harus secara berkala meninjau semua aturan firewall yang diaktifkan di server.

Gambaran Umum Profil Firewall

Profil firewall dibahas di Windows Firewall dengan Panduan Memulai Keamanan Tingkat Lanjut di bagian Firewall host yang sadar lokasi jaringan. Untuk meringkas, sistem operasi mengidentifikasi dan mengingat setiap jaringan yang terhubung dengannya sehubungan dengan konektivitas, koneksi, dan kategori.

Ada tiga jenis lokasi jaringan di Windows Firewall dengan Keamanan Tingkat Lanjut:

• Domain. Windows bisa mengautentikasi akses ke pengendali domain untuk domain tempat komputer bergabung.

• Publik. Selain jaringan domain, semua jaringan awalnya dikategorikan sebagai publik. Jaringan yang mewakili koneksi langsung ke Internet atau berada di lokasi publik, seperti bandara dan kedai kopi harus dibiarkan publik.

• Privat. Jaringan yang diidentifikasi oleh pengguna atau aplikasi sebagai privat. Hanya jaringan tepercaya yang harus diidentifikasi sebagai jaringan privat. Pengguna mungkin ingin mengidentifikasi jaringan bisnis rumah atau kecil sebagai pribadi.

Administrator dapat membuat profil untuk setiap jenis lokasi jaringan, dengan setiap profil berisi kebijakan firewall yang berbeda. Hanya satu profil yang diterapkan kapan saja. Urutan profil diterapkan sebagai berikut:

1. Jika semua antarmuka diautentikasi ke pengendali domain untuk domain tempat komputer menjadi anggota, profil domain diterapkan.

2. Jika semua antarmuka diautentikasi ke pengendali domain atau terhubung ke jaringan yang diklasifikasikan sebagai lokasi jaringan privat, profil privat diterapkan.

3. Jika tidak, profil publik diterapkan.

Gunakan Windows Firewall dengan snap-in MMC Keamanan Tingkat Lanjut untuk melihat dan mengonfigurasi semua profil firewall. Item Windows Firewall di Panel Kontrol hanya mengonfigurasi profil saat ini.

Pengaturan Firewall Tambahan Menggunakan Item Firewall Windows di Panel Kontrol

Pengecualian yang Anda tambahkan ke firewall dapat membatasi pembukaan port ke koneksi masuk dari komputer tertentu atau subnet lokal. Pembatasan cakupan pembukaan port ini dapat mengurangi seberapa banyak komputer Anda terpapar oleh pengguna berbahaya, dan disarankan.

Catatan

Menggunakan item Windows Firewall di Panel Kontrol hanya mengonfigurasi profil firewall saat ini.

Untuk mengubah cakupan pengecualian firewall menggunakan item Windows Firewall di Panel Kontrol

1. Di item Windows Firewall di Panel Kontrol, pilih program atau port pada tab Pengecualian, lalu klik Properti atau Edit.

2. Dalam kotak dialog Edit Program atau Edit Port , klik Ubah Cakupan.

3. Anda dapat memilih salah satu opsi berikut ini:

   • Komputer apa pun (termasuk yang ada di Internet)

     Tidak direkomendasikan. Ini akan memperbolehkan komputer mana pun yang bisa mengatasi komputer Anda untuk tersambung ke program atau porta yang ditentukan. Pengaturan ini mungkin diperlukan untuk memungkinkan informasi disajikan kepada pengguna anonim di internet, tetapi meningkatkan paparan Anda terhadap pengguna berbahaya. Paparan Anda dapat ditingkatkan lebih lanjut jika Anda mengaktifkan pengaturan ini dan juga memungkinkan traversal Network Address Translation (NAT), seperti opsi Izinkan traversal tepi.

   • Jaringan saya (subnet) saja

     Ini adalah pengaturan yang lebih aman daripada komputer mana pun. Hanya komputer pada subnet lokal jaringan Anda yang bisa tersambung ke program atau porta.

   • Daftar kustom:

   Hanya komputer yang memiliki alamat IP yang dapat Anda daftarkan yang dapat tersambung. Ini bisa menjadi pengaturan yang lebih aman daripada Jaringan saya (subnet) saja, namun, komputer klien yang menggunakan DHCP terkadang dapat mengubah alamat IP mereka. Maka komputer yang dimaksudkan tidak akan dapat tersambung. Komputer lain, yang tidak ingin Anda otorisasi, mungkin menerima alamat IP yang tercantum dan kemudian dapat tersambung. Opsi Daftar kustom mungkin sesuai untuk mencantumkan server lain yang dikonfigurasi untuk menggunakan alamat IP tetap; namun, alamat IP mungkin disusupi oleh penyusup. Membatasi aturan firewall hanya sekuat infrastruktur jaringan Anda.

Menggunakan Windows Firewall dengan Snap-in Keamanan Tingkat Lanjut

Pengaturan firewall tingkat lanjut tambahan dapat dikonfigurasi dengan menggunakan Firewall Windows dengan snap-in MMC Keamanan Tingkat Lanjut. Snap-in menyertakan wizard aturan dan mengekspos pengaturan tambahan yang tidak tersedia di item Windows Firewall di Panel Kontrol. Pengaturan ini mencakup hal-hal berikut:

• Pengaturan enkripsi

• Pembatasan layanan

• Membatasi koneksi untuk komputer menurut nama

• Membatasi koneksi ke pengguna atau profil tertentu

• Traversal Edge memungkinkan lalu lintas melewati router Network Address Translation (NAT)

• Mengonfigurasi aturan keluar

• Mengonfigurasi aturan keamanan

• Mengharuskan IPsec untuk koneksi masuk

Untuk membuat aturan firewall baru menggunakan wizard Aturan Baru

1. Pada menu Mulai, klik Jalankan, ketik WF.msc, lalu klik OK.

2. Di Windows Firewall dengan Keamanan Tingkat Lanjut, di panel kiri, klik kanan Aturan Masuk, lalu klik Aturan Baru.

3. Selesaikan Panduan Aturan Masuk Baru menggunakan pengaturan yang Anda inginkan.

Pemecahan Masalah Pengaturan Firewall

Alat dan teknik berikut dapat berguna dalam memecahkan masalah firewall:

• Status port efektif adalah penggabungan semua aturan yang terkait dengan port. Ketika mencoba memblokir akses melalui port, akan sangat membantu untuk meninjau semua aturan yang mengutip nomor port. Untuk melakukan ini, gunakan Windows Firewall dengan snap-in MMC Keamanan Tingkat Lanjut dan urutkan aturan masuk dan keluar menurut nomor port.

• Tinjau port yang aktif pada komputer tempat SQL Server dijalankan. Proses peninjauan ini termasuk memverifikasi port TCP/IP mana yang mendengarkan dan juga memverifikasi status port.

  Untuk memverifikasi port mana yang mendengarkan, gunakan utilitas baris perintah netstat . Selain menampilkan koneksi TCP aktif, utilitas netstat juga menampilkan berbagai statistik dan informasi IP.

  Untuk mencantumkan port TCP/IP mana yang mendengarkan

  1. Buka jendela Wantian Perintah.

  2. Pada prompt perintah, ketik netstat -n -a.

     Sakelar -n menginstruksikan netstat untuk menampilkan alamat dan nomor port koneksi TCP aktif secara numerik. Tombol -a menginstruksikan netstat untuk menampilkan port TCP dan UDP tempat komputer mendengarkan.

• Utilitas PortQry dapat digunakan untuk melaporkan status port TCP/IP sebagai mendengarkan, tidak mendengarkan, atau difilter. (Dengan status terfilter, port mungkin atau mungkin tidak mendengarkan; status ini menunjukkan bahwa utilitas tidak menerima respons dari port.) Utilitas PortQry tersedia untuk diunduh dari Pusat Unduhan Microsoft.

Lihat juga

Gambaran umum layanan dan persyaratan port jaringan untuk sistem Windows Server