Bagikan melalui


Mengonfigurasi Windows Firewall untuk mengizinkan akses SQL Server

Berlaku untuk: SQL Server - Hanya Windows

Sistem firewall membantu mencegah akses tidak sah ke sumber daya komputer. Jika firewall diaktifkan tetapi tidak dikonfigurasi dengan benar, upaya untuk tersambung ke SQL Server mungkin diblokir.

Untuk mengakses instans SQL Server melalui firewall, Anda harus mengonfigurasi firewall di komputer yang menjalankan SQL Server. Firewall adalah komponen dari Microsoft Windows. Anda juga dapat menginstal firewall dari vendor lain. Artikel ini membahas cara mengonfigurasi Windows Firewall, tetapi prinsip dasar berlaku untuk program firewall lainnya.

Catatan

Artikel ini menyediakan gambaran umum konfigurasi firewall dan meringkas informasi yang menarik bagi administrator SQL Server. Untuk informasi selengkapnya tentang firewall dan untuk informasi firewall otoritatif, lihat dokumentasi firewall, seperti panduan penyebaran keamanan Windows Firewall.

Pengguna yang terbiasa mengelola Windows Firewall, dan mengetahui pengaturan firewall mana yang ingin mereka konfigurasi dapat berpindah langsung ke artikel yang lebih canggih:

Informasi firewall dasar

Firewall bekerja dengan memeriksa paket masuk, dan membandingkannya dengan seperangkat aturan berikut:

  • Paket memenuhi standar yang ditentukan oleh aturan, kemudian firewall meneruskan paket ke protokol TCP/IP untuk pemrosesan lebih lanjut.

  • Paket tidak memenuhi standar yang ditentukan oleh aturan.

    • Firewall kemudian membuang paket.

    • Jika pengelogan diaktifkan, entri dibuat dalam file pengelogan firewall.

Daftar lalu lintas yang diizinkan diisi dengan salah satu cara berikut:

  • Secara otomatis: Ketika komputer dengan firewall diaktifkan memulai komunikasi, firewall membuat entri dalam daftar sehingga respons diizinkan. Respons dianggap sebagai lalu lintas yang diminta, dan tidak ada yang perlu dikonfigurasi.

  • Secara manual: Administrator mengonfigurasi pengecualian ke firewall. Ini memungkinkan akses ke program atau porta yang ditentukan pada komputer Anda. Dalam hal ini, komputer menerima lalu lintas masuk yang tidak diminta saat bertindak sebagai server, pendengar, atau serekan. Konfigurasi harus diselesaikan untuk menyambungkan ke SQL Server.

Memilih strategi firewall lebih kompleks daripada hanya memutuskan apakah port tertentu harus terbuka atau ditutup. Saat merancang strategi firewall untuk perusahaan Anda, pastikan Anda mempertimbangkan semua aturan dan opsi konfigurasi yang tersedia untuk Anda. Artikel ini tidak meninjau semua opsi firewall yang mungkin. Kami sarankan Anda meninjau dokumen berikut:

Pengaturan firewall default

Langkah pertama dalam merencanakan konfigurasi firewall Anda adalah menentukan status firewall saat ini untuk sistem operasi Anda. Jika sistem operasi ditingkatkan dari versi sebelumnya, pengaturan firewall sebelumnya mungkin dipertahankan. Kebijakan Grup atau Administrator dapat mengubah pengaturan firewall di domain.

Catatan

Mengaktifkan tembok api mempengaruhi program lain yang mengakses komputer ini, seperti berkas dan berbagi cetak, dan sambungan desktop jarak jauh. Administrator harus mempertimbangkan semua aplikasi yang berjalan di komputer sebelum menyesuaikan pengaturan firewall.

Program untuk mengonfigurasi firewall

Konfigurasikan pengaturan Windows Firewall dengan Microsoft Management Console, PowerShell, atau netsh.

Microsoft Management Console (MMC)

Snap-in MMC Windows Firewall dengan Keamanan Tingkat Lanjut memungkinkan Anda mengonfigurasi pengaturan firewall yang lebih canggih. Snap-in ini menyajikan sebagian besar opsi firewall dengan cara yang mudah digunakan, dan menyajikan semua profil firewall. Untuk informasi selengkapnya, lihat Menggunakan Windows Firewall dengan Snap-in Keamanan Tingkat Lanjut nanti di artikel ini.

PowerShell

Lihat contoh berikut untuk membuka port TCP 1433 dan port UDP 1434 untuk instans default SQL Server, dan Layanan Browser SQL Server:

New-NetFirewallRule -DisplayName "SQLServer default instance" -Direction Inbound -LocalPort 1433 -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "SQLServer Browser service" -Direction Inbound -LocalPort 1434 -Protocol UDP -Action Allow

Untuk contoh selengkapnya, lihat New-NetFirewallRule.

Baris perintah dengan netsh

netsh.exe adalah alat Administrator untuk mengonfigurasi dan memantau komputer berbasis Windows pada prompt perintah atau menggunakan file batch. Dengan menggunakan alat netsh , Anda dapat mengarahkan perintah konteks yang Anda masukkan ke pembantu yang sesuai, dan pembantu melakukan perintah . Pembantu adalah file Pustaka Dynamic Link (.dll) yang memperluas fungsionalitas. Pembantu menyediakan: konfigurasi, pemantauan, dan dukungan untuk satu atau beberapa layanan, utilitas, atau protokol untuk alat netsh .

Anda dapat menggunakan pembantu Windows Firewall for Advanced Security, yang disebut advfirewall. Banyak opsi konfigurasi yang dijelaskan dapat dikonfigurasi dari baris perintah menggunakan netsh advfirewall. Misalnya, jalankan skrip berikut pada prompt perintah untuk membuka port TCP 1433:

netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN

Untuk informasi selengkapnya tentang netsh, lihat tautan berikut ini:

Untuk Linux

Di Linux, Anda juga perlu membuka port yang terkait dengan layanan yang perlu Anda akses. Distribusi Linux yang berbeda dan firewall yang berbeda memiliki prosedurnya sendiri. Untuk dua contoh, lihat:

Port yang digunakan oleh SQL Server

Tabel berikut ini dapat membantu Anda mengidentifikasi port yang digunakan oleh SQL Server.

Port yang digunakan oleh Mesin Database

Secara default, port umum yang digunakan oleh SQL Server dan layanan mesin database terkait adalah: TCP , , , 1351434, UDP 1434. 40221433 Tabel berikut menjelaskan port ini secara lebih rinci. Instans bernama menggunakan port Dinamis.

Tabel berikut ini mencantumkan port yang sering digunakan oleh Mesin Database.

Skenario Port Komentar
Instans default yang berjalan melalui TCP Port TCP 1433 Port yang paling umum diizinkan melalui firewall. Ini berlaku untuk koneksi rutin ke penginstalan default Mesin Database, atau instans bernama yang merupakan satu-satunya instans yang berjalan di komputer. (Instans bernama memiliki pertimbangan khusus. Lihat Port dinamis nanti di artikel ini.)
Instans bernama dengan port default Port TCP adalah port dinamis yang ditentukan pada saat Mesin Database dimulai. Lihat diskusi berikut di bagian Port dinamis. Port UDP 1434 mungkin diperlukan untuk Layanan Browser SQL Server saat Anda menggunakan instans bernama.
Instans bernama dengan port tetap Nomor port yang dikonfigurasi oleh administrator. Lihat diskusi berikut di bagian Port dinamis.
Koneksi Admin Khusus Port TCP 1434 untuk instans default. Port lain digunakan untuk instans bernama. Periksa log kesalahan untuk nomor port. Secara default, koneksi jarak jauh ke Koneksi Administrator Khusus (DAC) tidak diaktifkan. Untuk mengaktifkan DAC jarak jauh, gunakan faset Konfigurasi Area Permukaan. Untuk informasi selengkapnya, lihat Konfigurasi area permukaan.
Layanan Browser SQL Server Port UDP 1434 Layanan browser SQL Server mendengarkan koneksi masuk ke instans bernama.

Layanan ini memberi klien nomor port TCP yang sesuai dengan instans bernama tersebut. Biasanya layanan Browser SQL Server dimulai setiap kali instans bernama Mesin Database digunakan. Layanan Browser SQL Server tidak diperlukan jika klien dikonfigurasi untuk terhubung ke port tertentu dari instans bernama.
Instans dengan titik akhir HTTP. Dapat ditentukan ketika titik akhir HTTP dibuat. Defaultnya adalah port TCP 80 untuk CLEAR_PORT lalu lintas dan 443 untuk SSL_PORT lalu lintas. Digunakan untuk koneksi HTTP melalui URL.
Instans default dengan titik akhir HTTPS Port TCP 443 Digunakan untuk koneksi HTTPS melalui URL. HTTPS adalah koneksi HTTP yang menggunakan Transport Layer Security (TLS), sebelumnya dikenal sebagai Secure Sockets Layer (SSL).
Service Broker Port TCP 4022. Untuk memverifikasi port yang digunakan, jalankan kueri berikut:

SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'SERVICE_BROKER'
Tidak ada port default untuk SQL Server Service Broker, contoh Books Online menggunakan konfigurasi konvensional.
Pencerminan Database Port yang dipilih administrator. Untuk menentukan port, jalankan kueri berikut:

SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'DATABASE_MIRRORING'
Tidak ada port default untuk pencerminan database namun contoh Books Online menggunakan port TCP 5022 atau 7022. Penting untuk menghindari gangguan titik akhir pencerminan yang digunakan, terutama dalam mode keamanan tinggi dengan failover otomatis. Konfigurasi firewall Anda harus menghindari melanggar kuorum. Untuk informasi selengkapnya, lihat Menentukan Alamat Jaringan Server (Pencerminan Database).
Replikasi Koneksi replikasi ke SQL Server menggunakan port Mesin Database biasa (port TCP 1433 adalah instans default)

Sinkronisasi web dan akses FTP/UNC untuk rekam jepret replikasi memerlukan lebih banyak port untuk dibuka pada firewall. Untuk mentransfer data awal dan skema dari satu lokasi ke lokasi lain, replikasi dapat menggunakan FTP (port TCP 21), atau menyinkronkan melalui HTTP (port TCP 80) atau Berbagi File. Berbagi file menggunakan port UDP 137 dan 138, dan port TCP 139 jika digunakan bersama dengan NetBIOS. Berbagi File menggunakan port TCP 445.
Untuk sinkronisasi melalui HTTP, replikasi menggunakan titik akhir IIS (dapat dikonfigurasi; port 80 default), tetapi proses IIS terhubung ke SQL Server backend melalui port standar (1433 untuk instans default.

Selama sinkronisasi Web menggunakan FTP, transfer FTP adalah antara IIS dan penerbit SQL Server, bukan antara pelanggan dan IIS.
Debugger Transact-SQL Port TCP 135

Lihat Pertimbangan Khusus untuk Port 135

Pengecualian IPsec mungkin juga diperlukan.
Jika menggunakan Visual Studio, pada komputer host Visual Studio, Anda juga harus menambahkan devenv.exe ke daftar Pengecualian dan membuka port TCP 135.

Jika menggunakan Management Studio, pada komputer host Management Studio, Anda juga harus menambahkan ssms.exe ke daftar Pengecualian dan membuka port TCP 135. Untuk informasi selengkapnya, lihat Mengonfigurasi aturan firewall sebelum menjalankan debugger Transact-SQL.

Untuk instruksi langkah demi langkah untuk mengonfigurasi Windows Firewall untuk Mesin Database, lihat Mengonfigurasi Windows Firewall untuk akses Mesin Database.

Port dinamis

Secara default, instans bernama (termasuk SQL Server Express) menggunakan port dinamis. Setiap kali Mesin Database dimulai, Mesin Database mengidentifikasi port yang tersedia dan menggunakan nomor port tersebut. Jika instans bernama adalah satu-satunya instans Mesin Database yang diinstal, instans tersebut mungkin menggunakan port TCP 1433. Jika instans lain dari Mesin Database diinstal, mungkin menggunakan port TCP yang berbeda. Karena port yang dipilih mungkin berubah setiap kali Mesin Database dimulai, sulit untuk mengonfigurasi firewall untuk mengaktifkan akses ke nomor port yang benar. Jika firewall digunakan, sebaiknya konfigurasi ulang Mesin Database untuk menggunakan nomor port yang sama setiap saat. Port tetap atau port statis disarankan. Untuk informasi selengkapnya, lihat Mengonfigurasi SQL Server untuk mendengarkan port TCP tertentu.

Alternatif untuk mengonfigurasi instans bernama untuk mendengarkan pada port tetap adalah membuat pengecualian di firewall untuk program SQL Server seperti sqlservr.exe (untuk Mesin Database). Nomor port tidak akan muncul di kolom Port Lokal halaman Aturan Masuk saat Anda menggunakan Windows Firewall dengan snap-in MMC Keamanan Tingkat Lanjut. Mungkin sulit untuk mengaudit port mana yang terbuka. Pertimbangan lain adalah bahwa paket layanan atau pembaruan kumulatif dapat mengubah jalur ke file yang dapat dieksekusi SQL Server dan membatalkan aturan firewall.

Untuk menambahkan pengecualian untuk SQL Server menggunakan Windows Firewall dengan Keamanan Tingkat Lanjut, lihat Menggunakan Windows Firewall dengan snap-in Keamanan Tingkat Lanjut nanti di artikel ini.

Port yang digunakan oleh Analysis Services

Secara default, port umum yang digunakan oleh SQL Server Analysis Services dan layanan terkait adalah: TCP 2382, 2383, 80, 443. Tabel berikut menjelaskan port ini secara lebih rinci.

Tabel berikut mencantumkan port yang sering digunakan oleh Analysis Services.

Fitur Port Komentar
Analysis Services Port TCP 2383 untuk instans default Port standar untuk instans default Analysis Services.
Layanan Browser SQL Server Port TCP 2382 hanya diperlukan untuk instans bernama Analysis Services Permintaan koneksi klien untuk instans bernama Analysis Services yang tidak menentukan nomor port diarahkan ke port 2382, port tempat Browser SQL Server mendengarkan. Browser SQL Server kemudian mengalihkan permintaan ke port yang digunakan instans bernama.
Analysis Services dikonfigurasi untuk digunakan melalui IIS/HTTP

(Layanan PivotTableĀ® menggunakan HTTP atau HTTPS)
Port TCP 80 Digunakan untuk koneksi HTTP melalui URL.
Analysis Services dikonfigurasi untuk digunakan melalui IIS/HTTPS

(Layanan PivotTableĀ® menggunakan HTTP atau HTTPS)
Port TCP 443 Digunakan untuk koneksi HTTPS melalui URL. HTTPS adalah koneksi HTTP yang menggunakan TLS.

Jika pengguna mengakses Analysis Services melalui IIS dan Internet, Anda harus membuka port tempat IIS mendengarkan. Selanjutnya, tentukan port di string koneksi klien. Dalam hal ini, tidak ada port yang harus terbuka untuk akses langsung ke Analysis Services. Port default 2389, dan port 2382, harus dibatasi bersama dengan semua port lain yang tidak diperlukan.

Untuk instruksi langkah demi langkah untuk mengonfigurasi Windows Firewall for Analysis Services, lihat Mengonfigurasi Windows Firewall untuk Mengizinkan Akses Analysis Services.

Port yang digunakan Oleh Reporting Services

Secara default, port umum yang digunakan oleh SQL Server Reporting Services dan layanan terkait adalah: TCP 80, 443. Tabel berikut menjelaskan port ini secara lebih rinci.

Tabel berikut mencantumkan port yang sering digunakan oleh Reporting Services.

Fitur Port Komentar
Reporting Services Web Services Port TCP 80 Digunakan untuk koneksi HTTP ke Reporting Services melalui URL. Kami menyarankan agar Anda tidak menggunakan aturan yang telah dikonfigurasi sebelumnya World Wide Web Services (HTTP). Untuk informasi selengkapnya, lihat bagian Interaksi dengan Aturan Firewall Lainnya nanti di artikel ini.
Reporting Services dikonfigurasi untuk digunakan melalui HTTPS Port TCP 443 Digunakan untuk koneksi HTTPS melalui URL. HTTPS adalah koneksi HTTP yang menggunakan TLS. Kami menyarankan agar Anda tidak menggunakan aturan yang telah dikonfigurasi sebelumnya Secure World Wide Web Services (HTTPS). Untuk informasi selengkapnya, lihat bagian Interaksi dengan Aturan Firewall Lainnya nanti di artikel ini.

Saat Reporting Services tersambung ke instans Mesin Database atau Analysis Services, Anda juga harus membuka port yang sesuai untuk layanan tersebut. Untuk instruksi langkah demi langkah untuk mengonfigurasi Windows Firewall for Reporting Services, Konfigurasikan firewall untuk akses server laporan.

Port yang digunakan oleh Integration Services

Tabel berikut mencantumkan port yang digunakan oleh layanan Layanan Integrasi.

Fitur Port Komentar
Panggilan prosedur jarak jauh Microsoft (MS RPC)

Digunakan oleh runtime Layanan Integrasi.
Port TCP 135

Lihat Pertimbangan Khusus untuk Port 135
Layanan Integration Services menggunakan DCOM pada port 135. Manajer Kontrol Layanan menggunakan port 135 untuk melakukan tugas seperti memulai dan menghentikan layanan Layanan Integrasi dan mengirimkan permintaan kontrol ke layanan yang sedang berjalan. Nomor port tidak dapat diubah.

Port ini hanya diperlukan untuk terbuka jika Anda menyambungkan ke instans jarak jauh layanan Layanan Integrasi dari Management Studio atau aplikasi kustom.

Untuk instruksi langkah demi langkah untuk mengonfigurasi Windows Firewall untuk Layanan Integrasi, lihat Layanan Layanan Integrasi (Layanan SSIS).

Port dan layanan lainnya

Tabel berikut ini mencantumkan port dan layanan yang mungkin bergantung pada SQL Server.

Skenario Port Komentar
Windows Management Instrumentation

Untuk informasi selengkapnya tentang Instrumentasi Manajemen Windows (WMI), lihat Penyedia WMI untuk Manajemen Konfigurasi
WMI berjalan sebagai bagian dari host layanan bersama dengan port yang ditetapkan melalui DCOM. WMI mungkin menggunakan port TCP 135.

Lihat Pertimbangan Khusus untuk Port 135
Pengelola Konfigurasi SQL Server menggunakan WMI untuk mencantumkan dan mengelola layanan. Kami menyarankan agar Anda menggunakan grup aturan yang telah dikonfigurasi sebelumnya Windows Management Instrumentation (WMI). Untuk informasi selengkapnya, lihat bagian Interaksi dengan Aturan Firewall Lainnya nanti di artikel ini.
Koordinator Transaksi Terdistribusi Microsoft (MS DTC) Port TCP 135

Lihat Pertimbangan Khusus untuk Port 135
Jika aplikasi Anda menggunakan transaksi terdistribusi, Anda mungkin harus mengonfigurasi firewall untuk memungkinkan lalu lintas Koordinator Transaksi Terdistribusi Microsoft (MS DTC) mengalir di antara instans MS DTC terpisah, dan antara MS DTC dan manajer sumber daya seperti SQL Server. Kami menyarankan agar Anda menggunakan grup aturan Koordinator Transaksi Terdistribusi yang telah dikonfigurasi sebelumnya.

Ketika satu MS DTC bersama dikonfigurasi untuk seluruh kluster dalam grup sumber daya terpisah, Anda harus menambahkan sqlservr.exe sebagai pengecualian ke firewall.
Tombol telusuri di Management Studio menggunakan UDP untuk menyambungkan ke SQL Server Browser Service. Untuk informasi selengkapnya, lihat Layanan Browser SQL Server (Mesin Database dan SSAS). Port UDP 1434 UDP adalah protokol tanpa koneksi.

Firewall memiliki pengaturan (UnicastResponsesToMulticastBroadcastDisabled Property dari Antarmuka INetFwProfile) yang mengontrol perilaku firewall dan respons unicast terhadap permintaan UDP siaran (atau multicast). Ini memiliki dua perilaku:

Jika pengaturannya adalah TRUE, tidak ada respons unicast terhadap siaran yang diizinkan sama sekali. Menghitung layanan gagal.

Jika pengaturannya adalah FALSE (default), respons unicast diizinkan selama 3 detik. Lamanya waktu tidak dapat dikonfigurasi. Dalam jaringan yang padat atau latensi tinggi, atau untuk server yang sangat dimuat, mencoba menghitung instans SQL Server mungkin mengembalikan daftar parsial, yang mungkin menyesatkan pengguna.
Lalu lintas IPsec Port UDP 500 dan port UDP 4500 Jika kebijakan domain mengharuskan komunikasi jaringan dilakukan melalui IPsec, Anda juga harus menambahkan port UDP 4500 dan port UDP 500 ke daftar pengecualian. IPsec adalah opsi menggunakan Wizard Aturan Masuk Baru di snap-in Windows Firewall. Untuk informasi selengkapnya, lihat Menggunakan Windows Firewall dengan snap-in Keamanan Tingkat Lanjut nanti di artikel ini.
Menggunakan Autentikasi Windows dengan Domain Tepercaya Firewall harus dikonfigurasi untuk mengizinkan permintaan autentikasi. Untuk informasi selengkapnya, lihat Cara mengonfigurasi firewall untuk domain dan kepercayaan Direktori Aktif.
Pengklusteran SQL Server dan Windows Pengklusteran memerlukan port tambahan yang tidak terkait langsung dengan SQL Server. Untuk informasi selengkapnya, lihat Mengaktifkan jaringan untuk penggunaan kluster.
Namespace URL yang dicadangkan di HTTP Server API (HTTP.SYS) Mungkin port TCP 80, tetapi dapat dikonfigurasi ke port lain. Untuk informasi umum, lihat Mengonfigurasi HTTP dan HTTPS. Untuk informasi spesifik SQL Server tentang memesan titik akhir HTTP.SYS menggunakan HttpCfg.exe, lihat Tentang reservasi dan pendaftaran URL (Manajer Konfigurasi Server Laporan).

Pertimbangan khusus untuk port 135

Saat Anda menggunakan RPC dengan TCP/IP atau dengan UDP/IP sebagai transportasi, port masuk secara dinamis ditetapkan ke layanan sistem sesuai kebutuhan. Port TCP/IP dan UDP/IP yang lebih besar dari port 1024 digunakan. Port disebut sebagai port RPC acak. Dalam kasus ini, klien RPC mengandalkan pemeta titik akhir RPC untuk memberi tahu mereka port dinamis mana yang ditetapkan ke server. Untuk beberapa layanan berbasis RPC, Anda dapat mengonfigurasi port tertentu alih-alih membiarkan RPC menetapkan satu secara dinamis. Anda juga dapat membatasi rentang port yang ditetapkan RPC secara dinamis ke rentang kecil, terlepas dari layanan. Karena port 135 digunakan untuk banyak layanan, port 135 sering diserang oleh pengguna berbahaya. Saat membuka port 135, pertimbangkan untuk membatasi cakupan aturan firewall.

Untuk informasi selengkapnya tentang port 135, lihat referensi berikut ini:

Interaksi dengan aturan firewall lainnya

Windows Firewall menggunakan aturan dan grup aturan untuk membuat konfigurasinya. Setiap aturan atau grup aturan dikaitkan dengan program atau layanan tertentu, dan program atau layanan tersebut dapat mengubah atau menghapus aturan tersebut tanpa sepengetahuan Anda. Misalnya, grup aturan World Wide Web Services (HTTP) dan World Wide Web Services (HTTPS) dikaitkan dengan IIS. Mengaktifkan aturan tersebut membuka port 80 dan 443, dan fitur SQL Server yang bergantung pada port 80 dan 443 fungsi jika aturan tersebut diaktifkan. Namun, administrator yang mengonfigurasi IIS dapat mengubah atau menonaktifkan aturan tersebut. Jika Anda menggunakan port 80 atau port 443 untuk SQL Server, Anda harus membuat aturan atau grup aturan Anda sendiri yang mempertahankan konfigurasi port pilihan Anda secara independen dari aturan IIS lainnya.

Firewall Windows dengan snap-in MMC Keamanan Tingkat Lanjut memungkinkan lalu lintas apa pun yang cocok dengan aturan izin yang berlaku. Jadi jika ada dua aturan yang berlaku untuk port 80 (dengan parameter yang berbeda). Lalu lintas yang cocok dengan salah satu aturan diizinkan. Jadi, jika satu aturan mengizinkan lalu lintas melalui port 80 dari subnet lokal, dan satu aturan memungkinkan lalu lintas dari alamat apa pun, efek bersihnya adalah bahwa semua lalu lintas ke port 80 tidak bergantung pada sumbernya. Untuk mengelola akses ke SQL Server secara efektif, administrator harus secara berkala meninjau semua aturan firewall yang diaktifkan di server.

Gambaran umum profil firewall

Profil firewall digunakan oleh sistem operasi untuk mengidentifikasi dan mengingat setiap jaringan dengan: konektivitas, koneksi, dan kategori.

Ada tiga jenis lokasi jaringan di Windows Firewall dengan Advanced Security:

  • Domain: Windows dapat mengautentikasi akses ke pengendali domain untuk domain tempat komputer bergabung.

  • Publik: Selain jaringan domain, semua jaringan awalnya dikategorikan sebagai publik. Jaringan yang mewakili koneksi langsung ke Internet atau berada di lokasi publik, seperti bandara dan kedai kopi harus dibiarkan publik.

  • Privat: Jaringan yang diidentifikasi oleh pengguna atau aplikasi sebagai privat. Hanya jaringan tepercaya yang harus diidentifikasi sebagai jaringan privat. Pengguna kemungkinan ingin mengidentifikasi jaringan rumah atau bisnis kecil sebagai privat.

Administrator dapat membuat profil untuk setiap jenis lokasi jaringan, dengan setiap profil berisi kebijakan firewall yang berbeda. Hanya satu profil yang diterapkan kapan saja. Urutan profil diterapkan sebagai berikut:

  1. Profil domain diterapkan jika semua antarmuka diautentikasi ke pengendali domain tempat komputer adalah anggota.

  2. Jika semua antarmuka diautentikasi ke pengendali domain, atau terhubung ke jaringan yang diklasifikasikan sebagai lokasi jaringan privat, profil privat diterapkan.

  3. Jika tidak, profil publik diterapkan.

Gunakan Firewall Windows dengan snap-in MMC Keamanan Tingkat Lanjut untuk melihat dan mengonfigurasi semua profil firewall. Item Windows Firewall di Panel Kontrol hanya mengonfigurasi profil saat ini.

Pengaturan firewall tambahan menggunakan item Firewall Windows di Panel Kontrol

Firewall yang ditambahkan dapat membatasi pembukaan port ke koneksi masuk dari komputer tertentu atau subnet lokal. Batasi cakupan pembukaan port untuk mengurangi berapa banyak komputer Anda yang terpapar oleh pengguna berbahaya.

Menggunakan item Windows Firewall di Panel Kontrol hanya mengonfigurasi profil firewall saat ini.

Mengubah cakupan pengecualian firewall menggunakan item Windows Firewall di Panel Kontrol

  1. Di item Windows Firewall di Panel Kontrol, pilih program atau port pada tab Pengecualian, lalu pilih Properti atau Edit.

  2. Dalam kotak dialog Edit Program atau Edit Port , pilih Ubah Cakupan.

  3. Pilih salah satu opsi berikut:

    • Komputer apa pun (termasuk komputer di Internet): Tidak disarankan. Komputer mana pun yang bisa mengatasi komputer Anda untuk tersambung ke program atau porta yang ditentukan. Pengaturan ini mungkin diperlukan untuk memungkinkan informasi disajikan kepada pengguna anonim di internet, tetapi meningkatkan paparan Anda terhadap pengguna berbahaya. Mengaktifkan pengaturan ini memungkinkan traversal Network Address Translation (NAT), seperti opsi Edge Traversal meningkatkan paparan.

    • Jaringan saya (subnet) saja: Pengaturan yang lebih aman daripada komputer mana pun. Hanya komputer pada subnet lokal jaringan Anda yang dapat tersambung ke program atau porta.

    • Daftar kustom: Hanya komputer yang memiliki alamat IP yang tercantum yang dapat tersambung. Pengaturan aman dapat lebih aman daripada Jaringan saya (subnet) saja, namun, komputer klien yang menggunakan DHCP terkadang dapat mengubah alamat IP mereka, yang menonaktifkan kemampuan untuk terhubung. Komputer lain, yang tidak ingin Anda otorisasi, mungkin menerima alamat IP yang tercantum dan menyambungkannya. Daftar Kustom sesuai untuk mencantumkan server lain yang dikonfigurasi untuk menggunakan alamat IP tetap.

      Penyusup dapat melakukan spoof alamat IP. Membatasi aturan firewall hanya sekuat infrastruktur jaringan Anda.

Menggunakan Windows Firewall dengan snap-in Keamanan Tingkat Lanjut

Pengaturan firewall tingkat lanjut dapat dikonfigurasi dengan menggunakan Windows Firewall dengan snap-in MMC Keamanan Tingkat Lanjut. Snap-in menyertakan wizard aturan dan pengaturan yang tidak tersedia di item Windows Firewall di Panel Kontrol. Pengaturan ini meliputi:

  • Pengaturan enkripsi
  • Pembatasan layanan
  • Membatasi koneksi untuk komputer menurut nama
  • Membatasi koneksi ke pengguna atau profil tertentu
  • Traversal edge memungkinkan lalu lintas melewati router Network Address Translation (NAT)
  • Mengonfigurasi aturan keluar
  • Mengonfigurasi aturan keamanan
  • Membutuhkan IPsec untuk koneksi masuk

Membuat aturan firewall baru menggunakan wizard Aturan Baru

  1. Pada menu Mulai, pilih Jalankan, ketik wf.msc, lalu pilih OK.
  2. Di Windows Firewall dengan Keamanan Tingkat Lanjut, di panel kiri, klik kanan Aturan Masuk, lalu pilih Aturan Baru.
  3. Selesaikan Panduan Aturan Masuk Baru menggunakan pengaturan yang Anda inginkan.

Menambahkan pengecualian program untuk SQL Server yang dapat dieksekusi

  1. Dari menu mulai, ketik wf.msc. Tekan Enter atau pilih hasil wf.msc pencarian untuk membuka Windows Defender Firewall dengan Advanced Security.

  2. Di panel kiri, pilih Aturan masuk.

  3. Di panel kanan, di bawah Tindakan, pilih Aturan baru.... Wizard Aturan Masuk baru terbuka.

  4. Pada Jenis aturan, pilih Program. Pilih Selanjutnya.

  5. Pada Program, pilih Jalur program ini. Pilih Telusuri untuk menemukan instans SQL Server Anda. Program ini disebut sqlservr.exe. Biasanya terletak di C:\Program Files\Microsoft SQL Server\MSSQL<VersionNumber>.<InstanceName>\MSSQL\Binn\sqlservr.exe. Pilih Selanjutnya.

  6. Pada Tindakan, pilih Izinkan koneksi. Pilih Selanjutnya.

  7. Di Profil, sertakan ketiga profil. Pilih Selanjutnya.

  8. Pada Nama, ketikkan nama untuk aturan tersebut. Pilih Selesai.

Untuk informasi selengkapnya tentang titik akhir, lihat:

Memecahkan masalah pengaturan firewall

Alat dan teknik berikut dapat berguna dalam memecahkan masalah firewall:

  • Status port yang efektif adalah persatuan semua aturan yang terkait dengan port. Sangat membantu untuk meninjau semua aturan yang mengutip nomor port, saat mencoba memblokir akses ke port. Tinjau aturan dengan Windows Firewall dengan snap-in MMC Keamanan Tingkat Lanjut dan urutkan aturan masuk dan keluar menurut nomor port.

  • Tinjau port yang aktif pada komputer tempat SQL Server berjalan. Proses peninjauan termasuk memverifikasi port TCP/IP mana yang mendengarkan dan juga memverifikasi status port.

  • Utilitas PortQry dapat digunakan untuk melaporkan status port TCP/IP sebagai mendengarkan, tidak mendengarkan, atau difilter. (Utilitas mungkin tidak menerima respons dari port jika memiliki status terfilter.) Utilitas PortQry tersedia untuk diunduh dari Pusat Unduhan Microsoft.

Mencantumkan port TCP/IP mana yang mendengarkan

Untuk memverifikasi port mana yang mendengarkan, tampilkan koneksi TCP aktif dan statistik IP menggunakan utilitas baris perintah netstat .

  1. Buka jendela Wantian Perintah.

  2. Pada prompt perintah, ketik netstat -n -a.

    Sakelar -n menginstruksikan netstat untuk menampilkan alamat dan nomor port koneksi TCP aktif secara numerik. Sakelar -a menginstruksikan netstat untuk menampilkan port TCP dan UDP tempat komputer mendengarkan.