SQL Server 액세스를 허용하도록 Windows 방화벽 구성
방화벽 시스템은 컴퓨터 리소스에 대한 무단 액세스를 방지합니다. 방화벽을 설정하고 올바르게 구성하지 않으면 SQL Server에 대한 연결 시도가 차단될 수 있습니다.
방화벽을 통해 SQL Server 인스턴스에 액세스하려면 SQL Server를 실행하는 컴퓨터에서 액세스를 허용하도록 방화벽을 구성해야 합니다. 방화벽은 Microsoft Windows의 구성 요소입니다. 다른 회사의 방화벽도 설치할 수 있습니다. 이 항목에서는 Windows 방화벽의 구성 방법에 대해 설명하지만 기본 원칙은 다른 방화벽 프로그램에도 적용됩니다.
[!참고]
이 항목에서는 방화벽 구성의 개요를 제공하고 SQL Server 관리자에게 유용한 정보를 요약하여 설명합니다. 방화벽에 대한 자세한 내용과 권위 있는 방화벽 정보를 보려면 고급 보안이 설정된 Windows 방화벽 및 IPsec(Windows Firewall with Advanced Security and IPsec) 및 고급 보안이 설정된 Windows 방화벽 - 내용 로드맵(Windows Firewall with Advanced Security - Content Roadmap)을 참조하십시오.
제어판의 Windows 방화벽 항목과 고급 보안이 설정된 Windows 방화벽 MMC(Microsoft Management Console) 스냅인에 익숙한 사용자, 그리고 구성해야 할 방화벽 설정을 알고 있는 사용자는 다음 목록에 있는 항목으로 바로 이동할 수 있습니다.
항목 내용
이 항목에는 다음과 같은 섹션이 포함되어 있습니다.
기본 방화벽 정보
기본 방화벽 설정
방화벽 구성 프로그램
데이터베이스 엔진에서 사용하는 포트
Analysis Services에서 사용하는 포트
Reporting Services에서 사용하는 포트
Integration Services에서 사용하는 포트
추가 포트 및 서비스
다른 방화벽 규칙과의 상호 작용
방화벽 프로필 개요
제어판의 Windows 방화벽을 사용한 추가 방화벽 설정
고급 보안이 설정된 Windows 방화벽 스냅인 사용
방화벽 설정 문제 해결
기본 방화벽 정보
방화벽은 들어오는 패킷을 검사하고 규칙 집합과 이 패킷을 비교합니다. 규칙에서 허용하는 패킷이면 방화벽은 추가 처리를 위한 TCP/IP 프로토콜로 이 패킷을 전달합니다. 규칙에서 허용하지 않는 패킷이면 방화벽은 이 패킷을 삭제하고 로깅이 설정된 경우 방화벽 로깅 파일에 항목을 작성합니다.
허용된 트래픽 목록은 다음 방식 중 하나로 채워집니다.
방화벽이 설정된 컴퓨터에서 통신을 시작하면 방화벽은 목록에 항목을 만들어 응답이 허용되도록 합니다. 들어오는 응답은 컴퓨터에서 요청한 트래픽으로 간주되며 이에 대한 사용자 구성은 필요 없습니다.
관리자가 방화벽에 대한 예외를 구성합니다. 이를 통해 컴퓨터에서 실행 중인 지정된 프로그램에 대한 액세스 또는 컴퓨터의 지정된 연결 포트에 대한 액세스를 허용할 수 있습니다. 이 경우 컴퓨터는 서버, 수신기 또는 피어로 작동할 때 요청하지 않은 트래픽의 수신을 허용합니다. SQL Server에 연결하려면 이 유형의 구성을 완료해야 합니다.
방화벽 전략 선택은 단순히 특정 포트를 열거나 닫을지를 결정하는 것 이상으로 복잡한 과정입니다. 기업에 맞는 방화벽 전략을 설계할 때는 사용 가능한 모든 규칙과 구성 옵션을 고려해야 합니다. 이 항목에서는 방화벽에 사용할 수 있는 모든 옵션에 대해 설명하지는 않습니다. 자세한 내용을 보려면 다음 문서를 참조하십시오.
고급 보안이 설정된 Windows 방화벽 디자인 지침(Windows Firewall with Advanced Security Design Guide)
기본 방화벽 설정
방화벽 구성을 계획하는 첫째 단계는 운영 체제의 현재 방화벽 상태를 확인하는 것입니다. 운영 체제를 이전 버전에서 업그레이드한 경우 이전 버전의 방화벽 설정이 그대로 남아 있을 수 있습니다. 또한 다른 관리자나 도메인의 그룹 정책에 의해 방화벽 설정이 변경되었을 수도 있습니다. 기본 설정은 다음과 같습니다.
Windows Server 2008
방화벽이 켜져 있고 원격 연결을 차단합니다.
Windows Server 2003
방화벽이 꺼져 있습니다. 관리자가 방화벽을 켜야 합니다.
Windows Vista
방화벽이 켜져 있고 원격 연결을 차단합니다.
Windows XP 서비스 팩 2 이상
방화벽이 켜져 있고 원격 연결을 차단합니다.
Window XP 서비스 팩 1 이하
방화벽이 꺼져 있으며 켜야 합니다.
[!참고]
방화벽을 켜면 파일 및 인쇄 공유와 같이 이 컴퓨터에 액세스하는 다른 프로그램과 원격 데스크톱 연결이 영향을 받습니다. 관리자는 방화벽 설정을 조정하기 전에 컴퓨터에서 실행 중인 모든 응용 프로그램을 고려해야 합니다.
방화벽 구성 프로그램
Windows 방화벽 설정은 세 가지 방법으로 구성할 수 있습니다.
제어판의 Windows 방화벽 항목
제어판에서 Windows 방화벽 항목을 열 수 있습니다.
중요 제어판의 Windows 방화벽 항목에서 변경한 내용은 현재 프로필에만 적용됩니다. 랩톱과 같은 모바일 장치의 경우 다른 구성으로 연결할 때 프로필이 변경될 수 있으므로 제어판의 Windows 방화벽 항목을 사용하면 안 됩니다. 프로필이 변경되면 이전에 구성한 프로필이 적용되지 않습니다. 프로필에 대한 자세한 내용은 Windows Vista 및 Windows Server 2008에서 고급 보안이 설정된 Windows 방화벽 시작(Getting Started with Windows Firewall with Advanced Security in Windows Vista and Windows Server 2008)을 참조하십시오.
제어판의 Windows 방화벽 항목에서는 기본 옵션을 구성할 수 있습니다. 여기에는 다음과 같은 옵션이 포함됩니다.
제어판의 Windows 방화벽 항목 켜기 또는 끄기
규칙 설정 및 해제
포트 및 프로그램에 대한 예외 부여
일부 범위 제한 설정
제어판의 Windows 방화벽 항목은 방화벽 구성에 익숙하지 않은 사용자, 그리고 모바일 형태가 아닌 컴퓨터에 대한 기본 방화벽 옵션을 구성하는 사용자에게 가장 적합합니다. 다음 절차에 따라 run 명령을 실행하여 제어판의 Windows 방화벽 항목을 열 수도 있습니다.
Windows 방화벽 항목을 열려면
시작 메뉴에서 실행을 클릭한 다음 firewall.cpl을 입력합니다.
확인을 클릭합니다.
MMC(Microsoft Management Console)
고급 보안이 설정된 Windows 방화벽 MMC 스냅인을 사용하면 고급 방화벽 설정을 구성할 수 있습니다. 이 스냅인은 Microsoft Vista와 Windows Server 2008에서만 사용할 수 있으며 대부분의 방화벽 옵션을 쉽게 사용할 수 있도록 제공하고 모든 방화벽 프로필을 제공합니다. 자세한 내용은 이 항목의 뒷부분에 나오는 고급 보안이 설정된 Windows 방화벽 스냅인 사용을 참조하십시오.
netsh
관리자는 netsh.exe 도구를 사용하여 명령 프롬프트 또는 배치 파일을 통해 Windows 기반 컴퓨터를 구성 및 모니터링할 수 있습니다**.netsh** 도구를 사용하면 상황에 맞는 명령을 입력하여 적절한 도우미에 전달할 수 있습니다. 그러면 도우미가 명령을 수행합니다. 도우미는 하나 이상의 서비스, 유틸리티 또는 프로토콜에 대한 구성, 모니터링 및 지원을 제공하여 netsh 도구의 기능을 확장하는 동적 연결 라이브러리 파일(.dll)입니다. SQL Server를 지원하는 모든 운영 체제에는 방화벽 도우미가 포함되어 있습니다. MicrosoftWindows Vista 및 Windows Server 2008에도 advfirewall이라는 고급 방화벽 도우미가 포함되어 있습니다. netsh 사용에 대한 자세한 내용은 이 항목에서 다루지 않습니다. 그러나 여기에서 설명하는 많은 구성 옵션들은 netsh를 사용하여 구성할 수 있습니다. 예를 들어 명령 프롬프트에서 다음 스크립트를 실행하여 TCP 포트 1433을 엽니다.
netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT
고급 보안이 포함된 Windows 방화벽 도우미를 사용하는 비슷한 예는 다음과 같습니다.
netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN
netsh를 사용하여 SQL Server를 구성하는 스크립트는 스크립트를 통해 Windows XP 서비스 팩을 실행 중인 시스템에서 사용할 SQL Server 포트를 프로그래밍 방식으로 여는 방법을 참조하십시오. netsh에 대한 자세한 내용은 다음 링크를 참조하십시오.
SQL Server에서 사용하는 포트
다음 표를 통해 SQL Server에서 사용하는 포트를 확인할 수 있습니다.
데이터베이스 엔진에서 사용하는 포트
다음 표에서는 데이터베이스 엔진에서 자주 사용하는 포트를 보여 줍니다.
시나리오 |
포트 |
설명 |
---|---|---|
TCP에서 실행되는 SQL Server 기본 인스턴스 |
TCP 포트 1433 |
방화벽에서 허용되는 가장 일반적인 포트입니다. 기본 데이터베이스 엔진 설치에 대한 일상적인 연결 또는 컴퓨터에서 실행 중인 유일한 인스턴스인 명명된 인스턴스에 적용됩니다. 명명된 인스턴스에는 특별 고려 사항이 있습니다. 이 항목의 뒷부분에 나오는 동적 포트를 참조하십시오. |
기본 구성의 SQL Server 명명된 인스턴스 |
TCP 포트는 데이터베이스 엔진이 시작할 때 결정되는 동적 포트입니다. |
아래 동적 포트 섹션의 설명을 참조하십시오. 명명된 인스턴스를 사용할 경우 SQL Server Browser 서비스에 UDP 포트 1434가 필요할 수 있습니다. |
고정 포트를 사용하도록 구성된 SQL Server 명명된 인스턴스 |
관리자가 구성한 포트 번호입니다. |
아래 동적 포트 섹션의 설명을 참조하십시오. |
관리자 전용 연결 |
기본 인스턴스에 대한 TCP 포트 1434. 다른 포트는 명명된 인스턴스에 사용됩니다. 오류 로그에서 포트 번호를 확인하십시오. |
기본적으로 DAC(관리자 전용 연결)에 대한 원격 연결은 설정되지 않습니다. 원격 DAC를 설정하려면 노출 영역 구성 패싯을 사용하십시오. 자세한 내용은 노출 영역 구성 이해를 참조하십시오. |
SQL Server Browser 서비스 |
UDP 포트 1434 |
SQL Server Browser 서비스는 명명된 인스턴스에 대한 들어오는 연결을 수신하고 이 명명된 인스턴스에 해당하는 TCP 포트 번호를 클라이언트에 제공합니다. 일반적으로 SQL Server Browser 서비스는 데이터베이스 엔진의 명명된 인스턴스가 사용될 때마다 시작됩니다. 명명된 인스턴스의 특정 포트에 연결되도록 클라이언트를 구성한 경우 SQL Server Browser 서비스를 시작할 필요가 없습니다. |
HTTP 끝점에서 실행되는 SQL Server 인스턴스 |
HTTP 끝점을 만들 때 지정할 수 있습니다. 기본값은 CLEAR_PORT 트래픽의 경우 TCP 포트 80이고, SSL_PORT 트래픽의 경우 443입니다. |
URL을 통한 HTTP 연결에 사용됩니다. |
HTTPS 끝점에서 실행되는 SQL Server 기본 인스턴스 |
TCP 포트 443 |
URL을 통한 HTTPS 연결에 사용됩니다. HTTPS는 SSL(Secure Sockets Layer)을 사용하는 HTTP 연결입니다. |
Service Broker |
TCP 포트 4022. 사용되는 포트를 확인하려면 다음 쿼리를 실행합니다. SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'SERVICE_BROKER' |
SQL ServerService Broker에 대한 기본 포트는 없지만 이는 온라인 설명서 예에서는 이 구성이 일반적으로 사용됩니다. |
데이터베이스 미러링 |
관리자가 선택한 포트입니다. 포트를 확인하려면 다음 쿼리를 실행합니다. SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'DATABASE_MIRRORING' |
데이터베이스 미러링에 대한 기본 포트는 없지만 온라인 설명서의 예에서는 TCP 포트 7022를 사용합니다. 특히 자동 장애 조치(Failover)를 사용하는 보안 수준이 높은 모드에서는 사용 중인 미러링 끝점이 중단되지 않도록 하는 것이 매우 중요합니다. 방화벽 구성으로 인해 쿼럼이 중단되면 안 됩니다. 자세한 내용은 서버 네트워크 주소 지정(데이터베이스 미러링)을 참조하십시오. |
복제 |
SQL Server에 대한 복제 연결에는 일반적인 데이터베이스 엔진 포트(기본 인스턴스의 경우 TCP 포트 1433 등)가 사용됩니다. 복제 스냅숏을 위한 웹 동기화 및 FTP/UNC 액세스를 위해서는 방화벽에서 추가 포트를 열어야 합니다. 복제는 초기 데이터 및 스키마를 다른 위치로 전송하기 위해 FTP(TCP 포트 21)를 사용하거나 HTTP(TCP 포트 80) 또는 파일 및 인쇄 공유(TCP 포트 137,138 또는 139)를 통해 동기화할 수 있습니다. |
HTTP를 통한 동기화의 경우 복제는 IIS 끝점(포트를 구성할 수 있지만 기본 포트는 80)을 사용하지만 IIS 프로세스는 표준 포트(기본 인스턴스의 경우 1433)를 통해 백 엔드 SQL Server에 연결합니다. FTP를 사용한 웹 동기화 중에 FTP 전송은 구독자와 IIS 사이가 아닌 IIS와 SQL Server 게시자 사이에 이뤄집니다. |
Transact-SQL 디버거 |
TCP 포트 135 포트 135에 대한 특별 고려 사항을 참조하십시오. IPsec 예외가 필요할 수도 있습니다. |
Visual Studio를 사용 중인 경우 Visual Studio 호스트 컴퓨터에서 예외 목록에 Devenv.exe를 추가하고 TCP 포트 135를 열어야 합니다. Management Studio를 사용 중인 경우 Management Studio 호스트 컴퓨터에서 예외 목록에 ssms.exe를 추가하고 TCP 포트 135를 열어야 합니다. 자세한 내용은 Transact-SQL 디버거 구성 및 시작을 참조하십시오. |
데이터베이스 엔진에 대해 Windows 방화벽을 구성하는 단계별 지침은 방법: 데이터베이스 엔진 액세스에 대한 Windows 방화벽 구성을 참조하십시오.
동적 포트
기본적으로 명명된 인스턴스(SQL Server Express 포함)는 동적 포트를 사용합니다. 즉, 데이터베이스 엔진이 시작될 때마다 사용 가능한 포트를 식별하고 해당 포트 번호를 사용합니다. 명명된 인스턴스가 설치된 데이터베이스 엔진의 유일한 인스턴스인 경우 보통 TCP 포트 1433을 사용합니다. 다른 데이터베이스 엔진 인스턴스가 설치된 경우 이 인스턴스는 다른 TCP 포트를 사용합니다. 데이터베이스 엔진이 시작될 때마다 선택되는 포트가 변경될 수 있기 때문에 올바른 포트 번호에 대한 액세스가 가능하도록 방화벽을 구성하기가 어렵습니다. 따라서 방화벽을 사용하는 경우 매번 동일한 포트 번호를 사용하도록 데이터베이스 엔진을 다시 구성하는 것이 좋습니다. 이러한 방식을 고정 포트 또는 정적 포트라고 합니다. 자세한 내용은 고정 포트 구성을 참조하십시오.
고정 포트로 수신하도록 명명된 인스턴스를 구성하는 또 다른 방법은 방화벽에 sqlservr.exe와 같은 SQL Server 프로그램에 대한 예외를 만드는 것입니다(데이터베이스 엔진의 경우). 이 방법은 편리하지만 고급 보안이 설정된 Windows 방화벽 MMC 스냅인을 사용할 경우 인바운드 규칙 페이지의 로컬 포트 열에 포트 번호가 표시되지 않습니다. 따라서 어떤 포트가 열려 있는지 감사하기가 더 어려워집니다. 또 다른 고려 사항은 서비스 팩 또는 누적 업데이트로 인해 SQL Server 실행 파일에 대한 경로가 변경되어 방화벽 규칙이 무효화될 수 있다는 점입니다.
[!참고]
다음 절차에서는 제어판의 Windows 방화벽 항목을 사용합니다. 고급 보안이 설정된 Windows 방화벽 MMC 스냅인을 사용하면 보다 복잡한 규칙을 구성할 수 있습니다. 여기에는 심층적인 방어를 제공하는 데 유용한 서비스 예외 구성이 포함됩니다. 아래의 고급 보안이 설정된 Windows 방화벽 스냅인 사용을 참조하십시오.
제어판의 Windows 방화벽 항목을 사용하여 방화벽에 프로그램 예외를 추가하려면
제어판의 Windows 방화벽 항목에 있는 예외 탭에서 프로그램 추가를 클릭합니다.
방화벽을 통과하도록 허용하려는 SQL Server 인스턴스의 위치로 이동하고(예: C:\Program Files\Microsoft SQL Server\MSSQL10.<instance_name>\MSSQL\Binn) sqlservr.exe를 선택한 다음 열기를 클릭합니다.
확인을 클릭합니다.
끝점에 대한 자세한 내용은 네트워크 프로토콜 및 TDS 끝점 및 끝점 카탈로그 뷰(Transact-SQL)를 참조하십시오.
Analysis Services에서 사용하는 포트
다음 표에서는 Analysis Services에서 자주 사용하는 포트를 보여 줍니다.
기능 |
포트 |
설명 |
---|---|---|
Analysis Services |
기본 인스턴스에 대한 TCP 포트 2383 |
기본 Analysis Services 인스턴스에 대한 표준 포트입니다. |
SQL Server Browser 서비스 |
Analysis Services 명명된 인스턴스에만 필요한 TCP 포트 2382 |
포트 번호를 지정하지 않는 Analysis Services의 명명된 인스턴스에 대한 클라이언트 연결 요청은 SQL Server Browser에서 수신하는 포트인 포트 2382로 전달됩니다. 그런 다음 SQL Server Browser에서 해당 요청을 명명된 인스턴스가 사용하는 포트로 리디렉션합니다. |
IIS/HTTP를 통해 사용하도록 구성된 Analysis Services (PivotTable® 서비스는 HTTP 또는 HTTPS 사용) |
TCP 포트 80 |
URL을 통한 HTTP 연결에 사용됩니다. |
IIS/HTTPS를 통해 사용하도록 구성된 Analysis Services (PivotTable® 서비스는 HTTP 또는 HTTPS 사용) |
TCP 포트 443 |
URL을 통한 HTTPS 연결에 사용됩니다. HTTPS는 SSL(Secure Sockets Layer)을 사용하는 HTTP 연결입니다. |
사용자가 IIS 및 인터넷을 통해 Analysis Services에 액세스하는 경우 IIS가 수신하고 있는 포트를 열고 클라이언트 연결 문자열에 해당 포트를 지정해야 합니다. 이 경우 Analysis Services에 직접 액세스하는 포트를 열 필요가 없습니다. 기본 포트 2389 및 포트 2382는 필요 없는 다른 모든 포트와 함께 제한해야 합니다.
Analysis Services에 대해 Windows 방화벽을 구성하는 단계별 지침은 방법: Analysis Services 액세스를 허용하도록 Windows 방화벽 구성을 참조하십시오.
Reporting Services에서 사용하는 포트
다음 표에서는 Reporting Services에서 자주 사용하는 포트를 보여 줍니다.
기능 |
포트 |
설명 |
---|---|---|
Reporting Services 웹 서비스 |
TCP 포트 80 |
URL을 통한 Reporting Services HTTP 연결에 사용됩니다. 미리 구성된 규칙 World Wide Web 서비스(HTTP)는 사용하지 않는 것이 좋습니다. 자세한 내용은 아래의 다른 방화벽 규칙과의 상호 작용 섹션을 참조하십시오. |
HTTPS를 통해 사용하도록 구성된 Reporting Services |
TCP 포트 443 |
URL을 통한 HTTPS 연결에 사용됩니다. HTTPS는 SSL(Secure Sockets Layer)을 사용하는 HTTP 연결입니다. 미리 구성된 규칙 보안 World Wide Web 서비스(HTTPS)는 사용하지 않는 것이 좋습니다. 자세한 내용은 아래의 다른 방화벽 규칙과의 상호 작용 섹션을 참조하십시오. |
Reporting Services가 데이터베이스 엔진 또는 Analysis Services 인스턴스에 연결되는 경우 이러한 서비스에 대해 적절한 포트를 열어야 합니다. Reporting Services에 대해 Windows 방화벽을 구성하는 단계별 지침은 방법: 보고서 서버 액세스를 위한 방화벽 구성을 참조하십시오.
Integration Services에서 사용하는 포트
다음 표에서는 Integration Services 서비스에서 사용하는 포트를 보여 줍니다.
기능 |
포트 |
설명 |
---|---|---|
MS RPC(Microsoft 원격 프로시저 호출) Integration Services 런타임에 사용됩니다. |
TCP 포트 135 포트 135에 대한 특별 고려 사항을 참조하십시오. |
Integration Services 서비스는 포트 135에서 DCOM을 사용합니다. 서비스 제어 관리자는 포트 135를 사용하여 Integration Services 서비스 시작 및 중지, 실행 중인 서비스에 대한 제어 요청 전송과 같은 태스크를 수행합니다. 포트 번호는 변경할 수 없습니다. 이 포트는 Management Studio 또는 사용자 지정 응용 프로그램에서 Integration Services 서비스의 원격 인스턴스에 연결하는 경우에만 열면 됩니다. |
Integration Services에 대해 Windows 방화벽을 구성하는 단계별 지침은 Integration Services 액세스에 대한 Windows 방화벽 구성 및 방법: Integration Services에 대한 Windows 방화벽 구성을 참조하십시오.
추가 포트 및 서비스
다음 표에서는 SQL Server에서 사용할 수 있는 포트 및 서비스를 보여 줍니다.
시나리오 |
포트 |
설명 |
---|---|---|
Windows Management Instrumentation WMI에 대한 자세한 내용은 구성 관리용 WMI 공급자 개념을 참조하십시오. |
WMI는 공유 서비스 호스트의 일부로 실행되며 포트는 DCOM을 통해 할당됩니다. WMI는 TCP 포트 135를 사용 중일 수 있습니다. 포트 135에 대한 특별 고려 사항을 참조하십시오. |
SQL Server 구성 관리자는 WMI를 사용하여 서비스를 나열하고 관리합니다. 미리 구성된 규칙 그룹 WMI(Windows Management Instrumentation)를 사용하는 것이 좋습니다. 자세한 내용은 아래의 다른 방화벽 규칙과의 상호 작용 섹션을 참조하십시오. |
MS DTC(Microsoft Distributed Transaction Coordinator) |
TCP 포트 135 포트 135에 대한 특별 고려 사항을 참조하십시오. |
응용 프로그램에서 분산 트랜잭션을 사용하는 경우 MS DTC(Microsoft Distributed Transaction Coordinator) 트래픽이 개별 MS DTC 인스턴스 간에, 그리고 MS DTC와 SQL Server 등의 리소스 관리자 간에 전달될 수 있도록 방화벽을 구성해야 합니다. 미리 구성된 Distributed Transaction Coordinator 규칙 그룹을 사용하는 것이 좋습니다. 별도의 리소스 그룹에 있는 전체 클러스터에 단일 공유 MS DTC가 구성된 경우 방화벽에 sqlservr.exe를 예외로 추가해야 합니다. |
Management Studio의 찾아보기 단추를 클릭하면 UDP를 사용하여 SQL Server Browser 서비스에 연결됩니다. 자세한 내용은 SQL Server Browser 서비스를 참조하십시오. |
UDP 포트 1434 |
UDP는 연결 없는 프로토콜입니다. 방화벽에는 브로드캐스트(또는 멀티캐스트) UDP 요청에 대한 유니캐스트 응답과 관련하여 방화벽의 동작을 제어하는 INetFwProfile 인터페이스의 UnicastResponsesToMulticastBroadcastDisabled 속성 (UnicastResponsesToMulticastBroadcastDisabled Property of the INetFwProfile Interface)이라는 설정이 포함됩니다. 여기에는 두 가지 동작이 있습니다.
|
IPsec 트래픽 |
UDP 포트 500 및 UDP 포트 4500 |
도메인 정책에 따라 IPSec을 통해 네트워크 통신을 수행해야 하는 경우 예외 목록에 UDP 포트 4500 및 UDP 포트 500도 추가해야 합니다. IPsec은 Windows 방화벽 스냅인의 새 인바운드 규칙 마법사를 사용하는 옵션입니다. 자세한 내용은 아래의 고급 보안이 설정된 Windows 방화벽 스냅인 사용을 참조하십시오. |
트러스트된 도메인에 Windows 인증 사용 |
인증 요청을 허용하도록 방화벽을 구성해야 합니다. |
자세한 내용은 도메인 및 트러스트를 위한 방화벽을 구성하는 방법을 참조하십시오. |
SQL Server 및 Windows 클러스터링 |
클러스터링을 위해서는 SQL Server와 직접 관련되지 않은 추가 포트가 필요합니다. |
자세한 내용은 클러스터 사용을 위한 네트워크 설정(Enable a network for cluster use)을 참조하십시오. |
HTTP 서버 API(HTTP.SYS)에 예약된 URL 네임스페이스 |
일반적으로 TCP 포트 80이지만 다른 포트로 구성할 수 있습니다. 자세한 내용은 HTTP 및 HTTPS 구성(Configuring HTTP and HTTPS)을 참조하십시오. |
HttpCfg.exe를 사용한 HTTP.SYS 끝점 예약에 대한 SQL Server 관련 정보는 Http.sys를 사용하여 URL 네임스페이스 예약을 참조하십시오. |
포트 135에 대한 특별 고려 사항
TCP/IP 또는 UDP/IP를 전송 수단으로 하여 RPC를 사용하는 경우 인바운드 포트는 필요에 따라 시스템 서비스에 동적으로 할당되는 경우가 많습니다. 포트 1024보다 큰 TCP/IP 및 UDP/IP 포트가 사용됩니다. 이러한 포트를 비공식적으로 "임의 RPC 포트"라고 합니다. 이 경우 RPC 클라이언트는 RPC 끝점 매퍼를 사용하여 서버에 할당된 동적 포트를 알려 줍니다. 일부 RPC 기반 서비스의 경우 RPC가 포트를 동적으로 할당하도록 하는 대신 사용자가 직접 특정 포트를 구성할 수 있습니다. 또한 서비스에 관계없이 RPC가 동적으로 할당하는 포트의 범위를 좁은 범위로 제한할 수도 있습니다. 포트 135는 많은 서비스에서 사용되기 때문에 악의적인 사용자로부터 자주 공격을 받습니다. 포트 135를 열 때는 방화벽 규칙의 범위를 제한하는 것이 좋습니다.
포트 135에 대한 자세한 내용은 다음을 참조하십시오.
다른 방화벽 규칙과의 상호 작용
Windows 방화벽은 규칙 및 규칙 그룹을 사용하여 구성을 설정합니다. 각 규칙 또는 규칙 그룹은 일반적으로 특정 프로그램이나 서비스와 연결되며, 이 프로그램 또는 서비스는 사용자 모르게 규칙을 수정하거나 삭제할 수 있습니다. 예를 들어 World Wide Web 서비스(HTTP) 및 World Wide Web 서비스(HTTPS) 규칙 그룹은 IIS와 연결됩니다. 이러한 규칙을 사용하도록 설정하면 포트 80 및 443이 열리고 포트 80 및 443을 이용하는 SQL Server 기능이 작동합니다. 그러나 IIS를 구성 중인 관리자가 이러한 규칙을 수정하거나 해제할 수 있습니다. 따라서 SQL Server에 포트 80 또는 포트 443을 사용하는 경우 다른 IIS 규칙에 관계없이 자신이 원하는 포트 구성을 유지하는 고유한 규칙 또는 규칙 그룹을 만들어야 합니다.
고급 보안이 설정된 Windows 방화벽 MMC 스냅인은 적용 가능한 모든 허용 규칙에 일치하는 모든 트래픽을 허용합니다. 따라서 포트 80에 두 개의 규칙이 서로 다른 매개 변수를 사용하여 적용되는 경우 트래픽은 어느 한쪽의 규칙에만 일치하면 허용됩니다. 즉, 한 규칙은 로컬 서브넷에서 포트 80을 통한 트래픽을 허용하고 다른 규칙은 모든 주소의 트래픽을 허용한다면 결과적으로 트래픽의 출처에 관계없이 포트 80에 대한 모든 트래픽이 허용됩니다. SQL Server에 대한 액세스를 효율적으로 관리하려면 관리자는 서버에 설정된 모든 방화벽 규칙을 정기적으로 검토해야 합니다.
방화벽 프로필 개요
방화벽 프로필에 대한 자세한 내용은 Windows Vista 및 Windows Server 2008에서 고급 보안이 설정된 Windows 방화벽 시작(Getting Started with Windows Firewall with Advanced Security in Windows Vista and Windows Server 2008)의 네트워크 위치 인식 호스트 방화벽(Network location-aware host firewall) 섹션을 참조하십시오. 요약하자면 Windows Vista 및 Windows Server 2008은 연결된 각 네트워크를 연결 상태, 연결 방식 및 범주에 따라 식별하고 기억합니다.
고급 보안이 설정된 Windows 방화벽에는 3개의 네트워크 위치 유형이 있습니다.
도메인. Windows는 컴퓨터가 참여하고 있는 도메인의 도메인 컨트롤러에 대한 액세스를 인증할 수 있습니다.
공용. 도메인 네트워크 이외의 모든 네트워크는 처음에 공용 네트워크로 분류됩니다. 인터넷에 직접 연결되는 네트워크 또는 공항 및 커피숍과 같이 공개된 위치에 있는 네트워크는 공용으로 유지해야 합니다.
전용. 사용자 또는 응용 프로그램에 의해 전용 네트워크로 식별되는 네트워크입니다. 트러스트된 네트워크만 전용 네트워크로 식별되어야 합니다. 홈 네트워크 또는 소규모 기업 네트워크를 전용 네트워크로 식별하는 경우가 많습니다.
관리자는 서로 다른 방화벽 정책이 포함된 각 프로필을 사용하여 각 네트워크 위치 유형에 대한 프로필을 만들 수 있습니다. 항상 하나의 프로필만 적용됩니다. 프로필 순서는 다음과 같이 적용됩니다.
컴퓨터가 멤버로 속해 있는 도메인에 대한 도메인 컨트롤러에 모든 인터페이스가 인증될 경우 도메인 프로필이 적용됩니다.
모든 인터페이스가 도메인 컨트롤러에 인증되거나 전용 네트워크 위치로 분류되는 네트워크에 연결된 경우 전용 프로필이 적용됩니다.
그렇지 않으면 공용 프로필이 적용됩니다.
고급 보안이 설정된 Windows 방화벽 MMC 스냅인을 사용하여 모든 방화벽 프로필을 보고 구성할 수 있습니다. 제어판의 Windows 방화벽 항목에서는 현재 프로필만 구성할 수 있습니다.
제어판의 Windows 방화벽을 사용한 추가 방화벽 설정
방화벽에 예외를 추가하여 특정 컴퓨터나 로컬 서브넷에서 들어오는 연결에 대해 포트 열기를 제한할 수 있습니다. 포트 열기 범위에 대한 이러한 제한은 컴퓨터가 악의적인 사용자에게 노출되는 정도를 줄여줄 수 있는 권장되는 방법입니다.
[!참고]
제어판의 Windows 방화벽 항목을 사용하면 현재 방화벽 프로필만 구성됩니다.
제어판의 Windows 방화벽 항목을 사용하여 방화벽 예외 범위를 변경하려면
제어판의 Windows 방화벽 항목에 있는 예외 탭에서 프로그램 또는 포트를 선택한 다음 속성 또는 편집을 클릭합니다.
프로그램 편집 또는 포트 편집 대화 상자에서 범위 변경을 클릭합니다.
다음 옵션 중 하나를 선택합니다.
모든 컴퓨터(인터넷의 컴퓨터를 포함)
이 옵션은 사용하지 않는 것이 좋습니다. 이 옵션을 사용하면 사용자의 컴퓨터를 식별할 수 있는 모든 컴퓨터가 지정된 프로그램 또는 포트에 연결할 수 있습니다. 인터넷의 익명 사용자에게 정보를 제공할 때는 이 설정이 필요할 수 있지만 악의적인 사용자에 대한 노출 위험도 높아집니다. 이 옵션을 설정하고 에지 통과 허용 옵션과 같은 NAT(네트워크 주소 변환) 통과를 허용할 경우 노출 위험이 더 높아질 수 있습니다.
내 네트워크(서브넷)만
모든 컴퓨터보다 안전한 설정입니다. 사용자 네트워크의 로컬 서브넷에 있는 컴퓨터만 프로그램 또는 포트에 연결할 수 있습니다.
사용자 지정 목록:
사용자가 지정한 IP 주소의 컴퓨터만 연결할 수 있습니다. 이 옵션은 내 네트워크(서브넷)만보다 안전할 수 있지만 DHCP를 사용하는 클라이언트 컴퓨터의 IP 주소는 가끔 변경될 수 있습니다. 이 경우 연결이 허용된 컴퓨터가 연결하지 못하게 됩니다. 또한 권한을 부여하지 않은 다른 컴퓨터가 목록에 있는 IP 주소를 획득하여 연결할 수 있습니다. 사용자 지정 목록 옵션은 고정 IP 주소를 사용하도록 구성된 다른 서버를 나열하는 데는 적합하지만 IP 주소는 침입자의 스푸핑 공격을 받을 수 있습니다. 방화벽 제한 규칙은 네트워크 인프라 자체의 보안 수준 내에서 보호 기능을 제공할 뿐입니다.
고급 보안이 설정된 Windows 방화벽 스냅인 사용
Vista 또는 Windows Server 2008을 실행 중인 컴퓨터에서는 고급 보안이 설정된 Windows 방화벽 MMC 스냅인을 사용하여 추가 고급 방화벽 설정을 구성할 수 있습니다. 이 스냅인은 규칙 마법사를 포함하며 제어판의 Windows 방화벽 항목에는 제공되지 않는 추가 설정을 제공합니다. 여기에는 다음과 같은 설정이 포함됩니다.
암호화 설정
서비스 제한
컴퓨터 이름별 연결 제한
특정 사용자 또는 프로필에 대한 연결 제한
NAT(네트워크 주소 변환) 라우터를 우회하는 에지 통과 허용 트래픽
아웃바운드 규칙 구성
보안 규칙 구성
들어오는 연결에 IPsec 요구
새 규칙 마법사를 사용하여 새 방화벽 규칙을 만들려면
시작 메뉴에서 실행을 클릭한 다음 WF.msc를 입력하고 확인을 클릭합니다.
고급 보안이 설정된 Windows 방화벽의 왼쪽 창에서 인바운드 규칙을 마우스 오른쪽 단추로 클릭한 다음 새 규칙을 클릭합니다.
원하는 설정을 사용하여 새 인바운드 규칙 마법사를 완료합니다.
방화벽 설정 문제 해결
다음 도구 및 기술은 방화벽 문제를 해결하는 데 유용합니다.
유효 포트 상태는 포트와 관련된 모든 규칙의 합집합입니다. 포트를 통한 액세스를 차단하려는 경우 해당 포트 번호가 포함된 모든 규칙을 검토하는 것이 좋습니다. 이렇게 하려면 고급 보안이 설정된 Windows 방화벽 MMC 스냅인을 사용하여 포트 번호별로 인바운드 및 아웃바운드 규칙을 정렬합니다.
SQL Server가 실행 중인 컴퓨터에서 활성 상태인 포트를 검토합니다. 이 검토 과정에는 수신하고 있는 TCP/IP 포트를 확인하는 단계와 포트 상태를 확인하는 단계도 포함됩니다.
수신하고 있는 포트를 확인하려면 netstat 명령줄 유틸리티를 사용합니다. netstat 유틸리티는 활성 TCP 연결을 표시할 뿐 아니라 다양한 IP 통계와 정보를 표시합니다.
수신하고 있는 TCP/IP 포트를 나열하려면
명령 프롬프트 창을 엽니다.
명령 프롬프트에서 netstat -n -a를 입력합니다.
-n 스위치를 지정하면 netstat에서 활성 TCP 연결의 주소와 포트 번호를 숫자로 표시합니다. -a 스위치를 지정하면 netstat에서 컴퓨터가 수신하고 있는 TCP 및 UDP 포트를 표시합니다.
PortQry 유틸리티를 사용하면 TCP/IP 포트 상태를 수신 중, 수신 중이 아님 또는 필터링됨으로 보고할 수 있습니다. 필터링됨(filtered) 상태의 경우 포트가 수신 중일 수도 있고 수신 중이 아닐 수도 있습니다. 이 상태는 유틸리티가 포트로부터 응답을 수신하지 못했음을 나타냅니다. PortQry 유틸리티는 Microsoft 다운로드 센터에서 다운로드할 수 있습니다.
문제 해결에 대한 추가 항목은 다음을 참조하십시오.