Configurare Windows Firewall per consentire l'accesso a SQL Server

  • Articolo

Si applica a:SQL Server - Solo Windows

I sistemi firewall consentono di impedire l'accesso non autorizzato alle risorse del computer. Se un firewall è attivato, ma non configurato correttamente, i tentativi di connessione a SQL Server potrebbero essere bloccati.

Per accedere a un'istanza di SQL Server tramite un firewall, è necessario configurare il firewall sul computer che esegue SQL Server. Il firewall è un componente di Microsoft Windows. È possibile anche installare un firewall di un altro fornitore. Questo articolo illustra come configurare Windows Firewall, ma i principi di base si applicano anche ad altri programmi firewall.

Nota

Questo articolo offre una panoramica della configurazione del firewall e riepiloga le informazioni utili a un amministratore di SQL Server. Per altre informazioni sul firewall e per informazioni sul firewall autorevole, vedere la documentazione di riferimento, ad esempio la Guida alla distribuzione di sicurezza di Windows Firewall.

Gli utenti esperti nella gestione di Windows Firewall e che sanno quali impostazioni del firewall vogliono configurare possono passare direttamente agli articoli più avanzati:

Informazioni di base sul firewall

Il meccanismo alla base del funzionamento dei firewall è il controllo dei pacchetti in ingresso seguito dal confronto con il set di regole seguente:

  • Se il pacchetto soddisfa gli standard specificati dalle regole, il firewall lo passa al protocollo TCP/IP per un'elaborazione ulteriore.
  • Il pacchetto non soddisfa gli standard specificati dalle regole.
    • Il firewall rimuove quindi il pacchetto. Se la registrazione è abilitata, viene creata una voce nel file di registrazione del firewall.

L'elenco del traffico consentito viene creato in uno dei modi seguenti:

  • Automatico: quando un computer con un firewall abilitato avvia la comunicazione, il firewall crea una voce nell'elenco in modo da consentire la risposta. La risposta è considerata traffico richiesto e non è necessario eseguire alcuna configurazione.

  • Manuale: le eccezioni per il firewall vengono configurate dall'amministratore. Ciò consente di accedere a programmi o porte specificati nel computer. In questo caso, il computer accetta il traffico in ingresso non richiesto quando svolge le funzioni di server, listener o peer. La configurazione deve essere completata per connettersi a SQL Server.

La scelta del tipo di firewall più adatto alle proprie esigenze non si limita alla decisione relativa alla necessità di aprire o chiudere una determinata porta e presuppone che vengano prese in considerazione tutte le regole e le opzioni di configurazione disponibili. Questo articolo non prende in esame tutte le opzioni possibili del firewall. Si consiglia di consultare i documenti seguenti:

Impostazioni del firewall predefinite

Il primo passaggio della pianificazione della configurazione del firewall consiste nel determinare lo stato corrente del firewall per il sistema operativo in uso. Se quest'ultimo è stato aggiornato da una versione precedente, è possibile che le impostazioni del firewall siano state conservate. L'amministratore può modificare le impostazioni del firewall nel dominio oppure è possibile farlo usando Criteri di gruppo.

Nota

L'attivazione del firewall influisce su altri programmi a cui è consentito l'accesso al computer, ad esempio la condivisione di file e stampanti e le connessioni desktop remoto. Prima di modificare le impostazioni del firewall, gli amministratori devono tener conto di tutte le applicazioni in esecuzione nel computer.

Programmi di configurazione del firewall

Configurare le impostazioni di Windows Firewall con Microsoft Management Console o netsh.

  • Microsoft Management Console (MMC)

    Lo snap-in MMC Windows Firewall con sicurezza avanzata consente di configurare impostazioni del firewall più avanzate. Questo snap-in presenta la maggior parte delle opzioni di firewall in una modalità di facile utilizzo e presenta tutti i profili firewall. Per altre informazioni, vedere Utilizzo dello snap-in Windows Firewall con sicurezza avanzata più avanti in questo articolo.

  • netsh

    Lo strumento netsh.exe può essere usato da un amministratore per configurare e monitorare i computer basati su Windows in un prompt dei comandi o con un file batch. Usando lo strumento netsh è possibile indirizzare i comandi contestuali all'helper adatto per far sì che questo esegua il comando desiderato. Un helper è un file della libreria di collegamento dinamico (DLL) che estende la funzionalità. L'helper offre configurazione, monitoraggio e supporto per uno o più servizi, utilità o protocolli per lo strumento netsh.

    Tutti i sistemi operativi che supportano SQL Server dispongono di un helper del firewall. Windows Server 2008 ha anche un helper del firewall avanzato denominato advfirewall. Molte delle opzioni di configurazione descritte possono essere configurate con netsh. Ad esempio, eseguire lo script seguente al prompt dei comandi per aprire la porta TCP 1433:

    netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT

    Esempio simile utilizzando l'helper Windows Firewall con sicurezza avanzata:

    netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN

    Per altre informazioni su netsh, vedere i collegamenti seguenti:

  • PowerShell

    Vedere l'esempio seguente per aprire la porta TCP 1433 e la porta UDP 1434 per l'istanza predefinita di SQL Server e il servizio SQL Server Browser:

    New-NetFirewallRule -DisplayName "SQLServer default instance" -Direction Inbound -LocalPort 1433 -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "SQLServer Browser service" -Direction Inbound -LocalPort 1434 -Protocol UDP -Action Allow

    Per altri esempi, vedere New-NetFirewallRule.

  • Per Linux

    in Linux è anche necessario aprire le porte associate ai servizi a cui è necessario accedere. Diverse distribuzioni di Linux e firewall diversi hanno procedure proprie. Per due esempi, vedere SQL Server in Red Hat e SQL Server in SUSE.

Porte usate da SQL Server

Le tabelle seguenti consentono di identificare le porte usate da SQL Server.

Porte utilizzate dal Motore di database

Per impostazione predefinita, le tipiche porte usate da SQL Server e dai servizi del motore di database associati sono: TCP 1433, 4022, 135, 1434, UDP 1434. La tabella seguente illustra queste porte in maggior dettaglio. Un'istanza denominata usa porte dinamiche.

Nella tabella seguente sono indicate le porte più usate dal motore di database.

Scenario Porta Commenti
Istanza predefinita in esecuzione su TCP Porta TCP 1433 Si tratta della porta più comune consentita dal firewall. Viene usata nelle connessioni di routine all'installazione predefinita del motore di database o a un'istanza denominata che rappresenta l'unica istanza in esecuzione nel computer. Le istanze denominate meritano considerazioni speciali. Vedere Porte dinamiche più avanti in questo articolo.
Istanze denominate con porta predefinita La porta TCP è una porta dinamica determinata all'avvio del motore di database. Vedere la discussione che segue nella sezione Porte dinamiche. La porta UDP 1434 potrebbe essere richiesta per il servizio SQL Server Browser durante l'utilizzo di istanze denominate.
Istanze denominate con porta fissa Il numero di porta configurato dall'amministratore. Vedere la discussione che segue nella sezione Porte dinamiche.
Dedicated Admin Connection Porta TCP 1434 per l'istanza predefinita. Per le istanze denominate vengono utilizzate altre porte. Per informazioni sul numero di porta, controllare il log degli errori. Per impostazione predefinita, le connessioni amministrative dedicate remote non sono abilitate. Per abilitare le connessioni DAC remote, utilizzare il facet Configurazione superficie di attacco. Per ulteriori informazioni, vedere Surface Area Configuration.
Servizio SQL Server Browser Porta UDP 1434 Il servizio SQL Server Browser è in ascolto delle connessioni in ingresso verso un'istanza denominata.

Genera il numero della porta TCP per il client, che corrisponde all'istanza denominata. In genere il servizio SQL Server Browser viene avviato ogni volta che si usano istanze denominate del motore di database. Il servizio SQL Server Browser non è necessario se il client è configurato per la connessione alla porta specifica dell'istanza denominata.
Istanza con endpoint HTTP. Può essere specificata quando viene creato un endpoint HTTP. Le impostazioni predefinite sono la porta TCP 80 per il traffico CLEAR_PORT e la porta 443 per il traffico SSL_PORT. Utilizzata per una connessione HTTP tramite un URL.
Istanza predefinita con endpoint HTTPS Porta TCP 443 Utilizzata per una connessione HTTPS tramite un URL. HTTPS è una connessione HTTP che usa Transport Layer Security (TLS), denominato in precedenza Secure Sockets Layer (SSL).
Service Broker Porta TCP 4022. Per verificare la porta utilizzata, eseguire la query seguente:

SELECT name, protocol_desc, port, state_desc

FROM sys.tcp_endpoints

WHERE type_desc = 'SERVICE_BROKER'		 Non esiste alcuna porta predefinita per SQL Server Service Broker. Gli esempi della documentazione online di SQL Server usano la configurazione convenzionale.
Mirroring del database Porta scelta dall'amministratore. Per determinare la porta, eseguire la query seguente:

SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints

WHERE type_desc = 'DATABASE_MIRRORING'		 Per il mirroring del database non sono disponibili porte predefinite, tuttavia negli esempi della documentazione online viene usata la porta TCP 5022 o 7022. È importante evitare di interrompere un endpoint del mirroring in uso, soprattutto in modalità di sicurezza elevata con failover automatico. La configurazione del firewall deve evitare di interrompere il quorum. Per altre informazioni, vedere Specificare un indirizzo di rete del server - Mirroring del database.
Replica Le connessioni di replica a SQL Server usano le normali porte del motore di database. La porta TCP 1433 è l'istanza predefinita.

La sincronizzazione Web e l'accesso FTP/UNC per snapshot di replica richiedono l'apertura di altre porte nel firewall. Per trasferire lo schema e i dati iniziali da una posizione all'altra, per la replica possono essere utilizzati il protocollo FTP (porta TCP 21), la sincronizzazione su HTTP (porta TCP 80) o la condivisione di file. Nella condivisione di file vengono usate le porte UDP 137 e 138 a la porta TCP 139 se usata con NetBios. La condivisione file utilizza la porta TCP 445.		 Per la sincronizzazione su HTTP, la replica usa l'endpoint IIS (configurabile; la porta 80 è quella predefinita), ma il processo IIS si connette a SQL Server di back-end tramite le porte standard (1433 per l'istanza predefinita).

Durante la sincronizzazione Web tramite FTP, il trasferimento FTP avviene tra IIS e il server di pubblicazione di SQL Server, non tra il sottoscrittore e IIS.
Debugger Transact-SQL Porta TCP 135

Vedere Considerazioni speciali per la porta 135

Potrebbe essere necessaria anche l'eccezione IPsec .		 Se si usa Visual Studio, nel computer host di Visual Studio, è necessario aggiungere anche Devenv.exe all'elenco di eccezioni e aprire la porta TCP 135.

Se si usa Management Studio, nel computer host di Management Studio, è necessario aggiungere anche ssms.exe all'elenco di eccezioni e aprire la porta TCP 135. Per altre informazioni, vedere Configurare le regole del firewall prima di eseguire il debugger Transact-SQL.

Per istruzioni dettagliate sulla configurazione di Windows Firewall per il motore di database, vedere Configurazione di Windows Firewall per l'accesso al Motore di database.

Porte dinamiche

Per impostazione predefinita, le istanze denominate, incluse SQL Server Express, usano porte dinamiche. Ogni volta che il motore di database viene avviato, identifica una porta disponibile e ne usa il numero. Se l'istanza denominata è l'unica istanza del motore di database installata, è probabile che venga usata la porta TCP 1433. Se sono installate altre istanze del motore di database, è probabile che venga usata una porta TCP diversa. Poiché la porta selezionata potrebbe cambiare ogni volta che il motore di database viene avviato, è difficile configurare il firewall per abilitare l'accesso al numero di porta corretto. Se si usa un firewall, è consigliabile riconfigurare il motore di database affinché usi ogni volta lo stesso numero di porta. È consigliabile usare una porta fissa o una porta statica. Per altre informazioni, vedere Configurazione di un server per l'attesa su una porta TCP specifica (Gestione configurazione SQL Server).

Un'alternativa alla configurazione di un'istanza denominata in modo che sia in ascolto su una porta fissa consiste nel creare un'eccezione nel firewall per un programma di SQL Server, ad esempio sqlservr.exe per il motore di database. Il numero di porta non verrà visualizzato nella colonna Porta locale della pagina Regole in ingresso quando si usa Windows Firewall con lo snap-in di MMC di sicurezza avanzata. Può essere difficile il controllo delle porte aperte. Tenere anche presente che un Service Pack o un aggiornamento cumulativo può modificare il percorso del file eseguibile di SQL Server, rendendo non valida la regola del firewall.

Per aggiungere un'eccezione per SQL Server con Windows Firewall con protezione avanzata, vedere Usare lo snap-in Windows Firewall con Advanced Security più avanti in questo articolo.

Porte utilizzate da Analysis Services

Per impostazione predefinita le porte tipiche usate da SQL Server Analysis Services e dai servizi associati sono: TCP 2382, 2383, 80, 443. La tabella seguente illustra queste porte in maggior dettaglio.

Nella tabella seguente sono elencate le porte più usate da Analysis Services.

Funzionalità Porta Commenti
Analysis Services Porta TCP 2383 per l'istanza predefinita Porta standard per l'istanza predefinita di Analysis Services.
Servizio SQL Server Browser Porta TCP 2382 necessaria solo per un'istanza denominata di Analysis Services Le richieste di connessione del client per un'istanza denominata di Analysis Services che non specificano un numero di porta vengono indirizzate alla porta 2382, ovvero la porta su cui è in ascolto SQL Server Browser. SQL Server Browser reindirizza quindi la richiesta alla porta usata dall'istanza denominata.
Analysis Services configurato per l'uso tramite IIS/HTTP

Il Servizio PivotTable® utilizza HTTP o HTTPS		 Porta TCP 80 Utilizzata per una connessione HTTP tramite un URL.
Analysis Services configurato per l'uso tramite IIS/HTTPS

Il Servizio PivotTable® utilizza HTTP o HTTPS		 Porta TCP 443 Utilizzata per una connessione HTTPS tramite un URL. HTTPS è una connessione HTTP che usa TLS.

Se gli utenti accedono ad Analysis Services tramite IIS e Internet, è necessario aprire la porta su cui IIS è in ascolto. Specificare quindi la porta nella stringa di connessione del client. In questo caso non è necessario aprire alcuna porta per l'accesso diretto ad Analysis Services. È consigliabile limitare la porta predefinita 2389 e la porta 2382 insieme a tutte le altre porte che non sono necessarie.

Per istruzioni dettagliate su come configurare Windows Firewall per Analysis Services, vedere Configurare Windows Firewall per consentire l'accesso ad Analysis Services.

Porte utilizzate da Reporting Services

Per impostazione predefinita le porte tipiche usate da SQL Server Reporting Services e dai servizi associati sono: TCP 80, 443. La tabella seguente illustra queste porte in maggior dettaglio.

Nella tabella seguente sono elencate le porte più usate da Reporting Services.

Funzionalità Porta Commenti
Servizi web di Reporting Services Porta TCP 80 Usata per una connessione HTTP a Reporting Services tramite un URL. È consigliabile non usare la regola preconfigurata Servizi Web (HTTP). Per ulteriori informazioni, vedere la sezione Interazione con altre regole del firewall più avanti.
Reporting Services configurato per l'uso tramite IIS/HTTPS Porta TCP 443 Utilizzata per una connessione HTTPS tramite un URL. HTTPS è una connessione HTTP che usa TLS. È consigliabile non usare la regola preconfigurata Servizi Web protetti (HTTPS). Per ulteriori informazioni, vedere la sezione Interazione con altre regole del firewall più avanti.

Quando Reporting Services si connette a un'istanza del motore di database di Analysis Services, è necessario aprire anche le porte appropriate per tali servizi. Per istruzioni dettagliate su come configurare Windows Firewall per Reporting Services, vedere Configurare un firewall per l'accesso al server di report.

Porte utilizzate da Integration Services

Nella tabella seguente sono elencate le porte usate dal servizio Integration Services.

Funzionalità Porta Commenti
Microsoft Remote Procedure Call (MS RPC)

Usato dal runtime di Integration Services.		 Porta TCP 135

Vedere Considerazioni speciali per la porta 135		 Il servizio Integration Services usa il protocollo DCOM sulla porta 135. Gestione controllo servizi usa la porta 135 per eseguire operazioni come l'avvio e l'arresto del servizio Integration Services e la trasmissione di richieste di controllo al servizio in esecuzione. Il numero di porta non può essere modificato.

Questa porta deve essere aperta solo se si sta effettuando la connessione a un'istanza remota del servizio Integration Services da Management Studio o da un'applicazione personalizzata.

Per istruzioni dettagliate su come configurare Windows Firewall per Integration Services, vedere Servizio Integration Services (Servizio SSIS).

Altre porte e servizi

Nella tabella seguente sono elencati i servizi e le porte da cui potrebbe dipendere SQL Server.

Scenario Porta Commenti
Strumentazione gestione Windows (WMI)

Per altre informazioni su Strumentazione gestione Windows (WMI), vedere Concetti del provider WMI per la gestione della configurazione		 WMI viene eseguito come parte di un host del servizio condiviso con porte assegnate tramite DCOM e potrebbe utilizzare la porta TCP 135.

Vedere Considerazioni speciali per la porta 135		 Gestione configurazione SQL Server usa WMI per elencare e gestire i servizi. È consigliabile usare il gruppo di regole preconfigurate Strumentazione gestione Windows (WMI). Per ulteriori informazioni, vedere la sezione Interazione con altre regole del firewall più avanti.
Microsoft Distributed Transaction Coordinator (MS DTC) Porta TCP 135

Vedere Considerazioni speciali per la porta 135		 Se l'applicazione usa transazioni distribuite, può essere necessario configurare il firewall in modo da consentire il flusso del traffico di Microsoft Distributed Transaction Coordinator (MS DTC) tra istanze MS DTC separate e tra MS DTC e strumenti di gestione risorse come SQL Server. È consigliabile utilizzare il gruppo di regole preconfigurato Distributed Transaction Coordinator .

Quando è configurato un solo oggetto MS DTC condiviso per l'intero cluster in un gruppo di risorse distinto, è necessario aggiungere sqlservr.exe come eccezione al firewall.
Il pulsante sfoglia in Management Studio usa UDP per connettersi al servizio SQL Server Browser. Per altre informazioni, vedere Servizio SQL Server Browser (Motore di database e SSAS). Porta UDP 1434 UDP è un protocollo senza connessione.

Il firewall include un'impostazione, Proprietà UnicastResponsesToMulticastBroadcastDisabled dell'interfaccia INetFwProfile, che controlla il comportamento del firewall e delle risposte unicast a una richiesta UDP di trasmissione (o multicast). Sono possibili due comportamenti:

Se l'impostazione è TRUE, non sono consentite risposte unicast a una trasmissione. I servizi di enumerazione non possono essere eseguiti correttamente.

Se l'impostazione è FALSE (impostazione predefinita), le risposte unicast sono consentite per 3 secondi. La durata non è configurabile. In una rete congestionata o ad alta latenza o nei server con carico elevato i tentativi di enumerazione delle istanze di SQL Server potrebbero restituire un elenco parziale e fuorviante per gli utenti.
Traffico IPsec Porta UDP 500 e porta UDP 4500 Se i criteri di dominio richiedono che le comunicazioni di rete vengano eseguite tramite IPsec, è necessario aggiungere anche le porte UDP 4500 e UDP 500 all'elenco delle eccezioni. IPsec è un'opzione che usa la Creazione guidata nuova regola connessioni in entrata nello snap-in Windows Firewall. Per altre informazioni, vedere Utilizzo dello snap-in Windows Firewall con sicurezza avanzata più avanti.
Utilizzo dell'autenticazione di Windows con domini trusted Per consentire le richieste di autenticazione, è necessario configurare i firewall. Per ulteriori informazioni, vedere Configurazione di un firewall per domini e trust.
SQL Server e clustering di Windows Il clustering richiede porte aggiuntive che non sono direttamente correlate a SQL Server. Per ulteriori informazioni, vedere Enable a network for cluster use.
Spazi dei nomi URL riservati in HTTP Server API (HTTP.SYS) Probabilmente la porta TCP 80, ma può essere configurata su altre porte. Per informazioni generali, vedere Configuring HTTP and HTTPS. Per informazioni specifiche di SQL Server sulla prenotazione di un endpoint HTTP.SYS che usa HttpCfg.exe, vedere Informazioni su prenotazioni e registrazione URL (Gestione configurazione SSRS).

Considerazioni speciali per la porta 135

Quando si usa RPC con TCP/IP o UDP/IP come trasporto, le porte in ingresso spesso vengono assegnate dinamicamente ai servizi di sistema, se necessario. Vengono usate le porte TCP/IP e UDP/IP che sono più grandi della porta 1024 e vengono definite "porte RPC casuali". In questi casi, i client RPC si basano sul mapper di endpoint RPC per indicare le porte dinamiche assegnate al server. Per alcuni servizi basati su RPC è possibile configurare una porta specifica anziché consentire a RPC un'assegnazione dinamica. È anche possibile limitare l'intervallo di porte assegnate dinamicamente da RPC a un piccolo intervallo, indipendentemente dal servizio. Poiché la porta 135 viene usata per molti servizi, viene attaccata di frequente da utenti malintenzionati. Quando si apre la porta 135, limitare l'ambito della regola del firewall.

Per ulteriori informazioni sulla porta 135, consultare i riferimenti seguenti:

Interazione con altre regole del firewall

Per effettuare la configurazione di Windows Firewall, è necessario utilizzare regole e gruppi di regole. Ogni regola o gruppo di regole è associato a un particolare programma o servizio ed è possibile che tale programma o servizio modifichi o elimini la regola all'insaputa dell'utente. I gruppi di regole Servizi Web (HTTP) e Servizi Web (HTTPS) , ad esempio, sono associati a IIS. L'abilitazione di queste regole comporterà l'apertura delle porte 80 e 443 e l'attivazione delle funzionalità di SQL Server che dipendono da tali porte. È tuttavia possibile che gli amministratori che configurano IIS le modifichino o disabilitino. Se si usa la porta 80 o la porta 443 per SQL Server, è necessario creare una regola o un gruppo di regole personalizzate che mantenga la configurazione preferita delle porte, indipendentemente dalle altre regole IIS.

Lo snap-in di MMC Windows Firewall con protezione avanzata consente tutto il traffico che corrisponde alle regole di concessione applicabili. Pertanto, se esistono due regole applicabili entrambe alla porta 80 (con parametri diversi), il traffico che corrisponde all'una o all'altra verrà consentito. Quindi, se una regola consente il traffico sulla porta 80 da una subnet locale e l'altra lo consente da qualsiasi indirizzo, l'effetto finale è che tutto il traffico verso la porta 80 è indipendente dall'origine. Per gestire efficacemente l'accesso a SQL Server, gli amministratori devono verificare periodicamente tutte le regole del firewall abilitate sul server.

Panoramica sui profili del firewall

I profili del firewall vengono usati dai sistemi operativi per identificare e memorizzare ognuna delle reti per connettività, connessioni e categoria.

Sono disponibili tre tipi di percorsi di rete in Windows Firewall con sicurezza avanzata:

  • Dominio: Windows può autenticare l'accesso al controller di dominio per il dominio al quale il computer viene unito.
  • Pubblico: ad eccezione di quelle del dominio, tutte le reti sono inizialmente classificate come pubbliche. Le reti che rappresentano connessioni dirette a Internet o che si trovano in luoghi pubblici, ad esempio aeroporti e Internet caffè, dovrebbero essere sempre pubbliche.
  • Privato: una rete identificata da un utente o da un'applicazione come privata. Solo le reti attendibili devono essere identificate come reti private. In genere gli utenti desiderano identificare come private le reti domestiche o di piccole aziende.

L'amministratore può creare un profilo per ogni tipo di percorso di rete, contenente diversi criteri del firewall. È possibile applicare un solo profilo alla volta. L'ordine di applicazione è il seguente:

  1. Se tutte le interfacce vengono autenticate nel controller di dominio di cui fa parte il computer, viene applicato il profilo del dominio.
  2. Se tutte le interfacce sono autenticate nel controller di dominio o sono connesse a reti classificate come percorsi di rete privati, viene applicato il profilo privato.
  3. In caso contrario, viene applicato il profilo pubblico.

Utilizzare lo snap-in MMC Windows Firewall con sicurezza avanzata per visualizzare e configurare tutti i profili del firewall. L'elemento Windows Firewall del Pannello di controllo configura solo il profilo corrente.

Impostazioni aggiuntive del firewall mediante l'elemento Windows Firewall del Pannello di controllo

Il firewall aggiunto può limitare l'apertura della porta alle connessioni in ingresso da computer specifici o dalla subnet locale. Limitare l'ambito di apertura della porta per ridurre il livello di esposizione del computer agli utenti malintenzionati.

Nota

L'uso dell'elemento Windows Firewall del Pannello di controllo configura solo il profilo del firewall corrente.

Modificare l'ambito dell'eccezione di un firewall mediante l'elemento Windows Firewall del Pannello di controllo

  1. Nell'elemento Windows Firewall del Pannello di controllo selezionare un programma o una porta nella scheda Eccezioni, quindi selezionare Proprietà o Modifica.

  2. Nella finestra di dialogo Modifica programma o Modifica porta selezionare Cambia ambito.

  3. Scegli una delle opzioni seguenti:

    • Any computer (including computers on the Internet): non consigliata. Tutti i computer che riescono a comunicare con il computer dell'utente per connettersi al programma o alla porta specificata. Questa impostazione potrebbe essere necessaria per consentire la presentazione delle informazioni a utenti anonimi su Internet, ma aumenta l'esposizione a utenti malintenzionati. L'abilitazione di questa impostazione consente l'attraversamento NAT (Network Address Translation), così come l'opzione attraversamento Edge aumenta l'esposizione.

    • Solo la rete (subnet) locale: questa impostazione offre una protezione maggiore rispetto a Any computer. Solo i computer che si trovano nella subnet locale della rete possono connettersi al programma o alla porta.

    • Elenco personalizzato: solo i computer che dispongono degli indirizzi IP elencati possono connettersi. Un'impostazione della sicurezza offre un livello di sicurezza ancora più elevato di Solo la rete (subnet) locale, tuttavia, i computer client che usano DHCP possono modificare occasionalmente l'indirizzo IP. La capacità di connessione verrà disabilitata. Un altro computer, a cui non si intendeva concedere l'autorizzazione, potrebbe accettare l'indirizzo IP elencato e connettersi a esso. L'Elenco personalizzato è adatto per elencare altri server che sono configurati per usare un indirizzo IP fisso.

      Gli indirizzi IP possono essere falsificati da un intruso. L'efficacia delle regole di limitazione del firewall equivale solo a quella dell'infrastruttura di rete.

Usa Windows Firewall con snap-in Windows Firewall con protezione avanzata

È possibile configurare impostazioni del firewall avanzate tramite Windows Firewall con lo snap-in di MMC con sicurezza avanzata. Lo snap-in include una procedura guidata per le regole e impostazioni non disponibili nell'elemento Windows Firewall del Pannello di controllo. Queste impostazioni includono:

  • Impostazioni di crittografia
  • Restrizioni dei servizi
  • Restrizione delle connessioni per i computer in base al nome
  • Restrizione delle connessioni a utenti o profili specifici
  • Attraversamento dei confini che consente al traffico di ignorare i router NAT (Network Address Translation)
  • Configurazione di regole in uscita
  • Configurazione di regole di sicurezza
  • Richiesta di IPsec per le connessioni in ingresso

Creare una nuova regola del firewall utilizzando la Creazione guidata nuova regola connessioni in entrata

  1. Nel menu Start scegliere Esegui, digitare WF.msc, quindi selezionare OK.
  2. In Windows Firewall con sicurezza avanzata nel riquadro sinistro fare clic con il pulsante destro del mouse su Regole in entrata e quindi selezionare Nuova regola.
  3. Completare la Creazione guidata nuova regola connessioni in entrata utilizzando le impostazioni desiderate.

Aggiungere un'eccezione di programma per l'eseguibile di SQL Server

  1. Dal menu Start digitare wf.msc. Premere INVIO o selezionare il risultato della ricerca wf.msc per aprire Windows Defender Firewall con sicurezza avanzata.

  2. Nel riquadro sinistro selezionare Regole connessioni in entrata.

  3. Nel riquadro destro, in Azioni, selezionare Nuova regola.... Verrà visualizzata la Creazione guidata nuova regola in ingresso.

  4. In Tipo di regola selezionare Programma. Selezionare Avanti.

  5. In Programma selezionare Percorso programma. Selezionare Sfoglia per individuare l'istanza di SQL Server. Il programma è denominato sqlservr.exe. e in genere si trova in:

    C:\Program Files\Microsoft SQL Server\MSSQL<VersionNumber>.<InstanceName>\MSSQL\Binn\sqlservr.exe

    Selezionare Avanti.

  6. In Azione selezionare Consenti la connessione. Selezionare Avanti.

  7. In Profilo includere tutti e tre i profili. Selezionare Avanti.

  8. In Nome digitare un nome per la regola. Selezionare Fine.

Per altre informazioni sugli endpoint, vedere:

Risoluzione dei problemi relativi alle impostazioni del firewall

Le tecniche e gli strumenti illustrati di seguito possono risultare utili per la risoluzione dei problemi del firewall.

  • Lo stato della porta più efficace è l'unione di tutte le regole relative alla porta. Quando si tenta di bloccare l'accesso a una porta, può essere utile verificare tutte le regole in cui viene citato il numero della porta. Esaminare le regole con Windows Firewall con lo snap-in di MMC con sicurezza avanzata e ordinare le regole in entrata e in uscita in base al numero di porta.

  • Verificare le porte attive nel computer su cui è in esecuzione SQL Server. Il processo di verifica include l'individuazione delle porte TCP/IP in ascolto, nonché dello stato delle porte.

  • L'utilità PortQry può essere usata per indicare lo stato delle porte TCP/IP come in attesa, non in attesa o filtrato. (L'utilità può non ricevere risposta dalla porta se ha uno stato filtrato). L'utilità PortQry può essere scaricata dall'Area download Microsoft.

Elencare le porte TCP/IP in ascolto

Per verificare quali porte sono in ascolto, visualizzare le connessioni TCP attive e le statistiche IP che usano l'utilità della riga di comando netstat.

  1. Aprire una finestra del prompt dei comandi.

  2. Al prompt dei comandi digitare netstat -n -a.

    L'elemento -n indica a netstat di visualizzare in valori numerici l'indirizzo e il numero di porta delle connessioni TCP attive. L'opzione -a indica a netstat di visualizzare le porte TCP e UDP su cui è in attesa il computer.

Contenuto correlato