Configurazione di Windows Firewall per consentire l'accesso a SQL Server

I sistemi firewall impediscono l'accesso non autorizzato alle risorse del computer. Se un firewall viene attivato ma non configurato correttamente, i tentativi di connessione a SQL Server potrebbero essere bloccati.

Per accedere a un'istanza di SQL Server attraverso un firewall, è necessario configurare il firewall nel computer in cui viene eseguito SQL Server per consentire l'accesso. Il firewall è un componente di Microsoft Windows. È possibile anche installare un firewall di un altro produttore. In questo argomento viene illustrato come configurare Windows Firewall, ma i principi di base si applicano anche ad altri tipi di firewall.

[!NOTA]

In questo argomento viene fornita una panoramica della configurazione del firewall e vengono riepilogate le informazioni utili a un amministratore di SQL Server. Per ulteriori informazioni sul firewall, vedere la documentazione di riferimento, ad esempio Windows Firewall with Advanced Security and IPsec e Windows Firewall with Advanced Security - Content Roadmap.

Gli utenti che già conoscono l'elemento Windows Firewall del Pannello di controllo, lo snap-in MMC Windows Firewall con protezione avanzata e le impostazioni da configurare possono passare direttamente agli argomenti elencati di seguito:

In questo argomento

Questo argomento contiene le sezioni seguenti:

Informazioni di base sul firewall

Impostazioni del firewall predefinite

Programmi di configurazione del firewall

Porte utilizzate dal Motore di database

Porte utilizzate da Analysis Services

Porte utilizzate da Reporting Services

Porte utilizzate da Integration Services

Porte e servizi aggiuntivi

Interazione con altre regole del firewall

Cenni preliminari sui profili del firewall

Impostazioni aggiuntive del firewall mediante l'elemento Windows Firewall del Pannello di controllo

Utilizzo dello snap-in Windows Firewall con protezione avanzata

Risoluzione dei problemi relativi alle impostazioni del firewall

Informazioni di base sul firewall

Il meccanismo alla base del funzionamento dei firewall è il controllo dei pacchetti in ingresso seguito dal confronto rispetto a un set di regole. Se le regole consentono il pacchetto, esso viene passato al protocollo TCP/IP per un'elaborazione ulteriore. Se non lo consentono, il pacchetto viene ignorato e, se la registrazione è abilitata, viene creata una voce nel file di registrazione del firewall.

L'elenco del traffico consentito viene creato in uno dei modi seguenti:

  • Quando il computer che include il firewall abilitato avvia la comunicazione, il firewall crea una voce nell'elenco in modo da consentire la risposta. La risposta in ingresso è considerata traffico richiesto e non è necessario effettuare alcuna configurazione.

  • Le eccezioni per il firewall vengono configurate dall'amministratore. In questo modo è possibile accedere a programmi specificati in esecuzione o a porte di connessione specificate nel computer. In questo caso, il computer accetta il traffico in ingresso non richiesto quando svolge le funzioni di server, listener o peer. Questo è il tipo di configurazione che è necessario completare per connettersi a SQL Server.

La scelta del tipo di firewall più adatto alle proprie esigenze non si limita alla decisione relativa alla necessità di aprire o chiudere una determinata porta e presuppone che vengano prese in considerazione tutte le regole e le opzioni di configurazione disponibili. In questo argomento non verranno esaminate tutte le possibili opzioni del firewall. Si consiglia di consultare i documenti seguenti:

Getting Started with Windows Firewall with Advanced Security in Windows Vista and Windows Server 2008

Windows Firewall with Advanced Security Design Guide

Introduction to Server and Domain Isolation

Impostazioni del firewall predefinite

Il primo passaggio della pianificazione della configurazione del firewall consiste nel determinare lo stato corrente del firewall per il sistema operativo in uso. Se quest'ultimo è stato aggiornato da una versione precedente, è possibile che le impostazioni del firewall siano state conservate o che siano state modificate da un altro amministratore o da un Criterio di gruppo nel dominio. Le impostazioni predefinite sono tuttavia le seguenti:

  • Windows Server 2008

    Il firewall è attivo e sta bloccando le connessioni remote.

  • Windows Server 2003

    Il firewall non è attivo ed è opportuno che venga attivato dagli amministratori.

  • Windows Vista

    Il firewall è attivo e sta bloccando le connessioni remote.

  • Windows XP, Service Pack 2 o versione successiva

    Il firewall è attivo e sta bloccando le connessioni remote.

  • Windows XP, Service Pack 1 o versione precedente

    Il firewall non è attivo e deve essere attivato.

[!NOTA]

L'attivazione del firewall influisce su altri programmi che accedono al computer, ad esempio la condivisione di file e stampanti e le connessioni desktop remoto. Prima di modificare le impostazioni del firewall, gli amministratori devono tener conto di tutte le applicazioni in esecuzione nel computer.

Programmi di configurazione del firewall

Sono disponibili tre metodi per configurare le impostazioni di Windows Firewall.

  • Elemento Windows Firewall nel Pannello di controllo

    L'elemento Windows Firewall può essere aperto dal Pannello di controllo.

    Nota importanteImportante

    Le modifiche apportate all'elemento Windows Firewall nel Pannello di controllo influiscono solo sul profilo corrente. È preferibile non utilizzare questa modalità di configurazione nei dispositivi mobili, ad esempio i laptop, in quanto il profilo potrebbe subire delle modifiche quando è connesso in una configurazione diversa. Se ciò accade, il profilo configurato in precedenza non è più attivo. Per ulteriori informazioni sui profili, vedere Getting Started with Windows Firewall with Advanced Security in Windows Vista and Windows Server 2008.

    L'elemento Windows Firewall nel Pannello di controllo consente di configurare le opzioni di base, tra cui:

    • Attivazione e disattivazione dell'elemento Windows Firewall nel Pannello di controllo.

    • Abilitazione e disabilitazione delle regole

    • Concessione di eccezioni relative a porte e programmi

    • Impostazione di alcune restrizioni dell'ambito

    L'elemento Windows Firewall del Pannello di controllo risulta particolarmente adatto agli utenti che hanno scarsa familiarità con la configurazione del firewall e che effettuano la configurazione delle opzioni di base del firewall per computer non portatili. L'apertura di Windows Firewall nel Pannello di controllo può essere eseguita anche dal comando run tramite la procedura riportata di seguito:

    Per aprire l'elemento Windows Firewall

    1. Fare clic sul pulsante Start, scegliere Esegui, quindi immettere firewall.cpl.

    2. Fare clic su OK.

  • Microsoft Management Console (MMC)

    Lo snap-in MMC Windows Firewall con protezione avanzata consente di configurare impostazioni del firewall più avanzate. Questo snap-in è disponibile solo per Microsoft Vista e Windows Server 2008. Contiene tuttavia tutti i profili e la maggior parte delle opzioni del firewall in una modalità di facile utilizzo. Per ulteriori informazioni, vedere Utilizzo dello snap-in Windows Firewall con protezione avanzata più avanti in questo argomento.

  • netsh

    Lo strumento netsh.exe può essere utilizzato da un amministratore per configurare e monitorare i computer basati su Windows in un prompt dei comandi o tramite un file batch**.** Tramite netsh, è possibile indirizzare i comandi contestuali all'helper adatto per far sì che l'helper esegua il comando desiderato. Un helper è un file DLL (Dynamic Link Library, libreria di collegamento dinamico) che estende la funzionalità dello strumento netsh e fornisce configurazione, monitoraggio e supporto per uno o più servizi, utilità o protocolli. Tutti i sistemi operativi che supportano SQL Server dispongono di un helper del firewall. MicrosoftWindows Vista e Windows Server 2008 dispongono anche di un helper del firewall avanzato chiamato advfirewall. I dettagli sull'utilizzo di netsh non vengono descritti in questo argomento. Tuttavia, molte delle opzioni di configurazione descritte possono essere configurate tramite netsh. Ad esempio, eseguire lo script seguente al prompt dei comandi per aprire la porta TCP 1433:

    netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT
    

    Esempio simile utilizzando l'helper Windows Firewall con protezione avanzata:

    netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN
    

    Per gli script di configurazione di SQL Server tramite netsh, vedere How to use a script to programmatically open ports for SQL Server to use on systems that are running Windows XP Service Pack. Per ulteriori informazioni su netsh, vedere i collegamenti seguenti:

Porte utilizzate da SQL Server

Le tabelle seguenti consentono di identificare le porte utilizzate da SQL Server.

Porte utilizzate dal Motore di database

Nella tabella seguente sono indicate le porte più utilizzate dal Motore di database.

Scenario

Porta

Commenti

Istanza predefinita di SQL Server in esecuzione su TCP

Porta TCP 1433

Si tratta della porta più comune consentita dal firewall. Viene utilizzata nelle connessioni di routine all'installazione predefinita del Motore di databaseo a un'istanza denominata che rappresenta l'unica istanza in esecuzione nel computer. Le istanze denominate presuppongo alcune considerazioni speciali. Vedere Porte dinamiche più avanti in questo argomento.

Istanze denominate di SQL Server nella configurazione predefinita

La porta TCP è una porta dinamica determinata all'avvio del Motore di database.

Vedere la discussione che segue nella sezione Porte dinamiche. La porta UDP 1434 potrebbe essere richiesta per il servizio SQL Server Browser durante l'utilizzo di istanze denominate.

Istanze denominate di SQL Server quando vengono configurate per l'utilizzo di una porta fissa

Il numero di porta configurato dall'amministratore.

Vedere la discussione che segue nella sezione Porte dinamiche.

Dedicated Admin Connection

Porta TCP 1434 per l'istanza predefinita. Per le istanze denominate vengono utilizzate altre porte. Per informazioni sul numero di porta, controllare il log degli errori.

Per impostazione predefinita, le connessioni amministrative dedicate (DAC, Dedicated Administrator Connection) remote non sono abilitate. Per abilitare le connessioni DAC remote, utilizzare il facet Configurazione superficie di attacco. Per ulteriori informazioni, vedere Informazioni su Configurazione superficie di attacco.

Servizio SQL Server Browser

Porta UDP 1434

Il servizio SQL Server Browser è in attesa delle connessioni in ingresso a un'istanza denominata e fornisce al client il numero di porta TCP corrispondente. In genere il servizio SQL Server Browser viene avviato ogni volta che si utilizzano istanze denominate del Motore di database e non è necessario avviarlo se il client è configurato per la connessione alla porta specifica dell'istanza denominata.

Istanza di SQL Server in esecuzione su un endpoint HTTP.

Può essere specificata quando viene creato un endpoint HTTP. Le impostazioni predefinite sono la porta TCP 80 per il traffico CLEAR_PORT e la porta 443 per il traffico SSL_PORT.

Utilizzata per una connessione HTTP tramite un URL.

Istanza predefinita di SQL Server in esecuzione su un endpoint HTTPS.

Porta TCP 443

Utilizzata per una connessione HTTPS tramite un URL. HTTPS è una connessione HTTP che utilizza il protocollo SSL (Secure Sockets Layer).

Service Broker

Porta TCP 4022. Per verificare la porta utilizzata, eseguire la query seguente:

SELECT name, protocol_desc, port, state_desc

FROM sys.tcp_endpoints

WHERE type_desc = 'SERVICE_BROKER'

Per SQL ServerService Broker non sono disponibili porte predefinite, ma questa è la configurazione convenzionale utilizzata negli esempi della documentazione in linea.

Mirroring del database

Porta scelta dall'amministratore. Per determinare la porta, eseguire la query seguente:

SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints

WHERE type_desc = 'DATABASE_MIRRORING'

Per il mirroring del database non sono disponibili porte predefinite, tuttavia negli esempi della documentazione in linea viene utilizzata la porta TCP 7022. È molto importante evitare di interrompere un endpoint del mirroring in uso, soprattutto in modalità a protezione elevata con failover automatico. La configurazione del firewall deve evitare di interrompere il quorum. Per ulteriori informazioni, vedere Impostazione di un indirizzo di rete del server (mirroring del database).

Replica

Per le connessioni di replica a SQL Server vengono utilizzate le tipiche porte standard del Motore di database (porta TCP 1433 per l'istanza predefinita e così via).

La sincronizzazione Web e l'accesso FTP/UNC per snapshot di replica richiedono l'apertura di porte aggiuntive sul firewall. Per trasferire lo schema e i dati iniziali da una posizione all'altra, la replica può utilizzare il protocollo FTP (porta TCP 21), la sincronizzazione su HTTP (porta TCP 80) o Condivisione file e stampanti (porta TCP 137, 138 o 139).

Per la sincronizzazione su HTTP, la replica utilizza l'endpoint IIS, ovvero le porte per le quali è configurabile, anche se la porta 80 rappresenta l'impostazione predefinita, ma il processo IIS si connette al back-end SQL Server tramite le porte standard (1433 per l'istanza predefinita).

Durante la sincronizzazione Web tramite FTP, il trasferimento FTP avviene tra IIS e il server di pubblicazione SQL Server, non tra il sottoscrittore e IIS.

Per ulteriori informazioni, vedere Configuring Microsoft Internet Security and Acceleration Server for Microsoft SQL Server 2000 Replication over the Internet.

Debugger Transact-SQL

Porta TCP 135

Vedere Considerazioni speciali per la porta 135

Potrebbe essere necessaria anche l'eccezione IPsec.

Se si utilizza Visual Studio, nel computer host di Visual Studio, è necessario aggiungere anche Devenv.exe all'elenco di eccezioni e aprire la porta TCP 135.

Se si utilizza Management Studio, nel computer host di Management Studio, è necessario aggiungere anche ssms.exe all'elenco di eccezioni e aprire la porta TCP 135. Per ulteriori informazioni, vedere Configurazione e avvio del debugger Transact-SQL.

Per istruzioni dettagliate su come configurare Windows Firewall per il Motore di database, vedere Procedura: Configurazione di Windows Firewall per l'accesso al Motore di database.

Porte dinamiche

Per impostazione predefinita, per le istanze denominate, inclusa SQL Server Express, vengono utilizzate porte dinamiche. Ciò significa che ogni volta che il Motore di database viene avviato, identifica una porta disponibile e ne utilizza il numero. Se l'istanza denominata è l'unica istanza del Motore di database installata, è probabile che venga utilizzata la porta TCP 1433. Se sono installate altre istanze del Motore di database, è probabile che venga utilizzata una porta TCP diversa. Poiché la porta selezionata potrebbe cambiare ogni volta che il Motore di database viene avviato, è difficile configurare il firewall per abilitare l'accesso al numero di porta corretto. Pertanto, se si utilizza un firewall, è consigliabile riconfigurare il Motore di database affinché utilizzi ogni volta lo stesso numero di porta. In questi casi si parla quindi di porta fissa o porta statica. Per ulteriori informazioni, vedere Configurazione di una porta fissa.

Un'alternativa alla configurazione di un'istanza denominata affinché si metta in attesa su una porta fissa consiste nel creare un'eccezione nel firewall per un programma di SQL Server, ad esempio sqlservr.exe per il Motore di database. Anche se può risultare utile, il numero di porta non verrà visualizzato nella colonna Porta locale della pagina Regole in entrata quando si utilizza lo snap-in MMC Windows Firewall con protezione avanzata. Questa operazione può rendere più difficile il controllo delle porte aperte. È inoltre necessario tenere presente che un Service Pack o un aggiornamento cumulativo può modificare il percorso del file eseguibile di SQL Server, invalidando la regola del firewall.

[!NOTA]

La procedura riportata di seguito utilizza l'elemento Windows Firewall del Pannello di controllo. Lo snap-in MMC Windows Firewall con protezione avanzata consente di configurare una regola più complessa, inclusa la configurazione di un'eccezione del servizio che può risultare utile per offrire una difesa più avanzata. Vedere Utilizzo dello snap-in Windows Firewall con protezione avanzata più avanti.

Per aggiungere un'eccezione del programma al firewall utilizzando l'elemento Windows Firewall nel Pannello di controllo

  1. Nella scheda Eccezioni dell'elemento Windows Firewall nel Pannello di controllo fare clic su Aggiungi programma.

  2. Passare al percorso dell'istanza di SQL Server che si desidera consentire nel firewall, ad esempio C:\Programmi\Microsoft SQL Server\MSSQL10.<nome_istanza>\MSSQL\Binn, selezionare sqlservr.exe, quindi fare clic su Apri.

  3. Fare clic su OK.

Per ulteriori informazioni sugli endpoint, vedere Protocolli di rete ed endpoint TDS e Viste del catalogo degli endpoint (Transact-SQL).

Porte utilizzate da Analysis Services

Nella tabella seguente sono indicate le porte più utilizzate da Analysis Services.

Funzionalità

Porta

Commenti

Analysis Services

Porta TCP 2383 per l'istanza predefinita

La porta standard per l'istanza predefinita di Analysis Services.

Servizio SQL Server Browser

Porta TCP 2382 necessaria solo per un'istanza denominata di Analysis Services

Le richieste di connessione client per un'istanza denominata di Analysis Services che non specificano un numero di porta vengono indirizzate alla porta 2382, ovvero la porta su cui è in attesa SQL Server Browser. Tramite SQL Server Browser la richiesta viene quindi reindirizzata alla porta utilizzata dall'istanza denominata.

Analysis Services configurato per l'utilizzo tramite IIS/HTTP

Il Servizio PivotTable® utilizza HTTP o HTTPS

Porta TCP 80

Utilizzata per una connessione HTTP tramite un URL.

Analysis Services configurato per l'utilizzo tramite IIS/HTTPS

Il Servizio PivotTable® utilizza HTTP o HTTPS

Porta TCP 443

Utilizzata per una connessione HTTPS tramite un URL. HTTPS è una connessione HTTP che utilizza il protocollo SSL (Secure Sockets Layer).

Se gli utenti accedono a Analysis Services tramite IIS e Internet, è necessario aprire la porta su cui IIS è in attesa e specificare la porta nella stringa di connessione client. In questo caso, non è necessario aprire alcuna porta per l'accesso diretto ad Analysis Services. È consigliabile limitare la porta predefinita 2389 e la porta 2382 insieme a tutte le altre porte non necessarie.

Per istruzioni dettagliate su come configurare Windows Firewall per Analysis Services, vedere Procedura: Configurazione di Windows Firewall per l'accesso ad Analysis Services.

Porte utilizzate da Reporting Services

Nella tabella seguente sono indicate le porte più utilizzate da Reporting Services.

Funzionalità

Porta

Commenti

Servizi Web Reporting Services

Porta TCP 80

Utilizzata per una connessione HTTP a Reporting Services tramite un URL. È consigliabile non utilizzare la regola preconfigurata Servizi Web (HTTP). Per ulteriori informazioni, vedere la sezione Interazione con altre regole del firewall più avanti.

Reporting Services configurato per l'utilizzo tramite HTTPS

Porta TCP 443

Utilizzata per una connessione HTTPS tramite un URL. HTTPS è una connessione HTTP che utilizza il protocollo SSL (Secure Sockets Layer). È consigliabile non utilizzare la regola preconfigurata Servizi Web protetti (HTTP). Per ulteriori informazioni, vedere la sezione Interazione con altre regole del firewall più avanti.

Quando Reporting Services si connette a un'istanza del Motore di database o di Analysis Services, è necessario aprire anche le porte adatte per quei servizi. Per istruzioni dettagliate su come configurare Windows Firewall per Reporting Services, vedere Procedura: Configurazione di un firewall per l'accesso al server di report.

Porte utilizzate da Integration Services

Nella tabella seguente sono indicate le porte utilizzate dal servizio Integration Services.

Funzionalità

Porta

Commenti

Microsoft Remote Procedure Calls (MS RPC)

Utilizzate dal runtime di Integration Services.

Porta TCP 135

Vedere Considerazioni speciali per la porta 135

Il servizio Integration Services utilizza il protocollo DCOM sulla porta 135. Gestione controllo servizi utilizza la porta 135 per eseguire operazioni come l'avvio e l'interruzione del servizio Integration Services e la trasmissione di richieste di controllo al servizio in esecuzione. Il numero di porta non può essere modificato.

Questa porta deve essere aperta solo se si sta effettuando la connessione a un'istanza remota del servizio Integration Services da Management Studio o da un'applicazione personalizzata.

Per istruzioni dettagliate su come configurare Windows Firewall per Integration Services, vedere Configurazione di Windows Firewall per l'accesso a Integration Services e Procedura: Configurazione di Windows Firewall per Integration Services.

Porte e servizi aggiuntivi

Nella tabella riportata di seguito sono elencati i servizi e le porte da cui potrebbe dipendere SQL Server.

Scenario

Porta

Commenti

Strumentazione gestione Windows (WMI)

Per ulteriori informazioni su Strumentazione gestione Windows (WMI), vedere Concetti relativi al provider WMI per Gestione configurazione.

WMI viene eseguito come parte di un host del servizio condiviso con porte assegnate tramite DCOM e potrebbe utilizzare la porta TCP 135.

Vedere Considerazioni speciali per la porta 135

Gestione configurazione SQL Server utilizza WMI per elencare e gestire servizi. È consigliabile utilizzare il gruppo di regole preconfigurate Strumentazione gestione Windows (WMI). Per ulteriori informazioni, vedere la sezione Interazione con altre regole del firewall più avanti.

Microsoft Distributed Transaction Coordinator (MS DTC)

Porta TCP 135

Vedere Considerazioni speciali per la porta 135

Se l'applicazione utilizza transazioni distribuite, può essere necessario configurare il firewall in modo da consentire il flusso del traffico di Microsoft Distributed Transaction Coordinator (MS DTC) tra istanze MS DTC separate e tra MS DTC e strumenti di gestione delle risorse come SQL Server. È consigliabile utilizzare il gruppo di regole preconfigurato Distributed Transaction Coordinator.

Quando è configurato un solo oggetto MS DTC condiviso per l'intero cluster in un gruppo di risorse distinto, è necessario aggiungere sqlservr.exe come eccezione al firewall.

Il pulsante Sfoglia in Management Studio utilizza il protocollo UDP per connettersi al servizio SQL Server Browser. Per ulteriori informazioni, vedere Servizio SQL Server Browser.

Porta UDP 1434

UDP è un protocollo senza connessione.

Il firewall include un'impostazione, denominata UnicastResponsesToMulticastBroadcastDisabled Property of the INetFwProfile Interface che controlla il comportamento del firewall relativamente alle risposte unicast a una richiesta UDP di trasmissione (o multicast).  Sono possibili due comportamenti:

  • Se l'impostazione è TRUE, non sono consentite risposte unicast a una trasmissione. I servizi di enumerazione non possono essere eseguiti correttamente.

  • Se l'impostazione è FALSE (impostazione predefinita), le risposte unicast sono consentite per 3 secondi. La durata non è configurabile. In una rete congestionata o ad alta latenza o nei server con carico elevato i tentativi di enumerazione delle istanze di SQL Server potrebbero restituire un elenco parziale e fuorviante per gli utenti.

Traffico IPsec

Porta UDP 500 e porta UDP 4500

Se i criteri di dominio richiedono che le comunicazioni di rete vengano eseguite tramite IPsec, è necessario aggiungere anche le porte UDP 4500 e UDP 500 all'elenco delle eccezioni. IPsec è un'opzione che utilizza la Creazione guidata nuova regola connessioni in entrata nello snap-in Windows Firewall. Per ulteriori informazioni, vedere Utilizzo dello snap-in Windows Firewall con protezione avanzata più avanti.

Utilizzo dell'autenticazione di Windows con domini trusted

Per consentire le richieste di autenticazione, è necessario configurare i firewall.

Per ulteriori informazioni, vedere Configurazione di un firewall per domini e trust.

SQL Server e servizio cluster di Windows

Il clustering richiede porte aggiuntive non direttamente correlate a SQL Server.

Per ulteriori informazioni, vedere Enable a network for cluster use.

Spazi dei nomi URL riservati in HTTP Server API (HTTP.SYS)

Probabilmente la porta TCP 80, ma può essere configurata su altre porte. Per informazioni generali, vedere Configuring HTTP and HTTPS.

Per informazioni specifiche di SQL Server su come riservare un endpoint HTTP.SYS mediante HttpCfg.exe, vedere Prenotazione degli spazi dei nomi URL tramite Http.sys.

Considerazioni speciali per la porta 135

Quando si utilizza RPC con TCP/IP o UDP/IP come trasporto, le porte in ingresso spesso vengono assegnate dinamicamente ai servizi di sistema, se necessario. Vengono utilizzate le porte TCP/IP e UDP/IP che sono più grandi della porta 1024 e spesso vengono definite in modo informale "porte RPC casuali". In questi casi, i client RPC si basano sull'Agente mapping endpoint RPC per indicare le porte dinamiche assegnate al server. Per alcuni servizi basati su RPC è possibile configurare una porta specifica anziché consentire a RPC un'assegnazione dinamica. È inoltre possibile limitare l'intervallo di porte assegnate dinamicamente da RPC a un piccolo intervallo, indipendentemente dal servizio. Poiché la porta 135 viene utilizzata per molti servizi, viene attaccata di frequente da utenti malintenzionati. Quando si apre la porta 135, limitare l'ambito della regola del firewall.

Per ulteriori informazioni sulla porta 135, consultare i riferimenti seguenti:

Interazione con altre regole del firewall

Per effettuare la configurazione di Windows Firewall, è necessario utilizzare regole e gruppi di regole. Ogni regola o gruppo di regole in genere è associato a un particolare programma o un servizio ed è possibile che tale programma o servizio modifichi o elimini la regola all'insaputa dell'utente. I gruppi di regole Servizi Web (HTTP) e Servizi Web (HTTPS), ad esempio, sono associati a IIS. L'abilitazione di queste due regole comporterà l'apertura delle porte 80 e 443 e l'attivazione delle funzionalità di SQL Server che dipendono da tali porte. È tuttavia possibile che gli amministratori che configurano IIS le modifichino o disabilitino. Pertanto, se si utilizza la porta 80 o la porta 443 per SQL Server, è necessario creare una regola o un gruppo di regole personalizzate che mantenga la configurazione delle porte desiderata, indipendentemente dalle altre regole IIS.

Lo snap-in MMC Windows Firewall con protezione avanzata consente tutto il traffico che corrisponde alle regole di concessione applicabili. Pertanto, se esistono due regole applicabili entrambe alla porta 80 (con parametri diversi), il traffico che corrisponde all'una o all'altra verrà consentito. Se una regola consente il traffico sulla porta 80 da una subnet locale e l'altra il traffico da qualsiasi indirizzo, l'effetto finale è che tutto il traffico verso la porta 80 verrà consentito, indipendentemente dall'origine. Per gestire efficacemente l'accesso a SQL Server, gli amministratori devono verificare periodicamente tutte le regole del firewall abilitate sul server.

Cenni preliminari sui profili del firewall

I profili del firewall vengono discussi in Getting Started with Windows Firewall with Advanced Security in Windows Vista and Windows Server 2008 nella sezione Network location-aware host firewall. Per riepilogare, Windows Vista e Windows Server 2008 identificano e ricordano ciascuna delle reti alle quali si connettono per tutto quello che riguarda la connettività, le connessioni e la categoria.

Sono disponibili tre tipi di percorsi di rete in Windows Firewall con protezione avanzata:

  • Dominio. Windows può autenticare l'accesso al controller di dominio per il dominio al quale il computer viene unito.

  • Pubblica. Ad eccezione di quelle del dominio, tutte le reti sono inizialmente classificate come pubbliche. Le reti che rappresentano connessioni dirette a Internet o che si trovano in luoghi pubblici, ad esempio aeroporti e Internet café, dovrebbero essere sempre pubbliche.

  • Privata. Una rete identificata da un utente o da un'applicazione come privata. Solo le reti attendibili devono essere identificate come reti private. In genere gli utenti desiderano identificare come private le reti domestiche o di piccole aziende.

L'amministratore può creare un profilo per ogni tipo di percorso di rete, contenente diversi criteri del firewall. È possibile applicare un solo profilo alla volta. L'ordine di applicazione è il seguente:

  1. Se tutte le interfacce vengono autenticate nel controller di dominio per il dominio del quale il computer è membro, il profilo del dominio viene applicato.

  2. Se tutte le interfacce sono autenticate nel controller di dominio o sono connesse a reti classificate come percorsi di rete privati, viene applicato il profilo privato.

  3. In caso contrario, viene applicato il profilo pubblico.

Utilizzare lo snap-in MMC Windows Firewall con protezione avanzata per visualizzare e configurare tutti i profili del firewall. L'elemento Windows Firewall del Pannello di controllo configura solo il profilo corrente.

Impostazioni aggiuntive del firewall mediante l'elemento Windows Firewall del Pannello di controllo

Le eccezioni aggiunte al firewall possono limitare l'apertura della porta alle connessioni in ingresso da computer specifici o dalla subnet locale. Questa restrizione dell'ambito di apertura della porta è consigliata e può ridurre il livello di esposizione del computer agli utenti malintenzionati.

[!NOTA]

L'utilizzo dell'elemento Windows Firewall del Pannello di controllo configura solo il profilo del firewall corrente.

Per modificare l'ambito dell'eccezione di un firewall mediante l'elemento Windows Firewall del Pannello di controllo

  1. Nell'elemento Windows Firewall del Pannello di controllo selezionare un programma o una porta nella scheda Eccezioni, quindi fare clic su Proprietà o Modifica.

  2. Nella finestra di dialogo Modifica programma o Modifica porta fare clic su Cambia ambito.

  3. Selezionare una delle opzioni seguenti:

    • Tutti i computer (compresi quelli in Internet)

      Non consigliata. Questa opzione consente a tutti i computer che riescono a comunicare con il computer dell'utente di connettersi al programma o alla porta specificata. Questa impostazione potrebbe essere necessaria per consentire la presentazione delle informazioni a utenti anonimi su Internet, ma aumenta l'esposizione a utenti malintenzionati. L'esposizione può essere ulteriormente aumentata se insieme a questa impostazione viene abilitato anche l'attraversamento NAT (Network Address Translation), ad esempio l'opzione Consenti attraversamento confini.

    • Solo la rete (subnet) locale

      Questa impostazione offre una protezione maggiore rispetto a Tutti i computer. Solo i computer che si trovano nella subnet locale della rete possono connettersi al programma o alla porta.

    • Elenco personalizzato:

    Solo i computer che dispongono degli indirizzi IP elencati possono connettersi. Questa opzione offre un livello di protezione ancora più elevato di Solo la rete (subnet) locale, anche se i computer client che utilizzano DHCP possono modificare occasionalmente l'indirizzo IP. Pertanto il computer desiderato non sarà in grado di connettersi. Un altro computer, a cui non è stata concessa l'autorizzazione, potrebbe accettare l'indirizzo IP elencato ed essere in grado di connettersi. L'opzione Elenco personalizzato può risultare adatta per elencare altri server configurati per l'utilizzo di un indirizzo IP fisso anche se gli indirizzi IP possono essere soggetti a spoofing da parte di un intruso. L'efficacia delle regole di limitazione del firewall equivale solo a quella dell'infrastruttura di rete.

Utilizzo dello snap-in Windows Firewall con protezione avanzata

Nei computer in cui è in esecuzione Vista o Windows Server 2008 è possibile configurare impostazioni del firewall avanzate aggiuntive tramite lo snap-in MMC Windows Firewall con protezione avanzata. Lo snap-in include una procedura guidata di creazione delle regole ed espone impostazioni aggiuntive non disponibili nell'elemento Windows Firewall del Pannello di controllo, tra cui:

  • Impostazioni di crittografia

  • Restrizioni dei servizi

  • Restrizione delle connessioni per i computer in base al nome

  • Restrizione delle connessioni a utenti o profili specifici

  • Attraversamento dei confini che consente al traffico di ignorare i router NAT (Network Address Translation)

  • Configurazione di regole in uscita

  • Configurazione di regole di protezione

  • Richiesta di IPsec per le connessioni in ingresso

Per creare una nuova regola del firewall utilizzando la Creazione guidata nuova regola connessioni in entrata

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare WF.msc e quindi fare clic su OK.

  2. In Windows Firewall con protezione avanzata, nel riquadro sinistro, fare clic con il pulsante destro del mouse su Regole in entrata, quindi scegliere Nuova regola.

  3. Completare la Creazione guidata nuova regola connessioni in entrata utilizzando le impostazioni desiderate.

Risoluzione dei problemi relativi alle impostazioni del firewall

Le tecniche e gli strumenti illustrati di seguito possono risultare utili per la risoluzione dei problemi del firewall.

  • Lo stato della porta più efficace è l'unione di tutte le regole relative alla porta. Quando si tenta di bloccare l'accesso attraverso una porta, può essere utile verificare tutte le regole in cui viene citato il numero della porta. A questo scopo, utilizzare lo snap-in MMC Windows Firewall con protezione avanzata e ordinare le regole in entrata e in uscita in base al numero della porta.

  • Verificare le porte attive nel computer su cui è in esecuzione SQL Server. Questo processo di verifica include l'individuazione delle porte TCP/IP in attesa, nonché dello stato delle porte.

    Per verificare quali porte siano in attesa, utilizzare l'utilità da riga di comando netstat. Oltre alle connessioni TCP attive, l'utilità netstat visualizza anche un'ampia gamma di statistiche e informazioni relative al protocollo IP.

    Per elencare le porte TCP/IP in attesa

    1. Aprire una finestra del prompt dei comandi.

    2. Al prompt dei comandi digitare netstat -n -a.

      L'opzione -n indica a netstat di visualizzare in valori numerici l'indirizzo e il numero di porta delle connessioni TCP attive. L'opzione -a indica a netstat di visualizzare le porte TCP e UDP su cui è in attesa il computer.

  • L'utilità PortQry può essere utilizzata per indicare lo stato delle porte come in attesa, non in attesa o filtrato. Uno stato filtrato non indica se la porta è o non è in attesa, bensì che l'utilità non ha ricevuto alcuna risposta dalla porta. È possibile scaricare l'utilità PortQry dall'Area download Microsoft.

Per ulteriori argomenti relativi alla risoluzione dei problemi, vedere: