Настройка брандмауэра Windows для доступа к компоненту Database Engine

  • Статья

Применимо к:SQL Server

В этой статье описывается настройка брандмауэра Windows для ядро СУБД доступа в SQL Server с помощью диспетчер конфигурации SQL Server. Системы брандмауэра помогают предотвратить несанкционированный доступ к ресурсам компьютера. Чтобы получить доступ к экземпляру SQL Server ядро СУБД через брандмауэр, необходимо настроить брандмауэр на компьютере под управлением SQL Server, чтобы разрешить доступ.

Дополнительные сведения о параметрах брандмауэра Windows по умолчанию и описании TCP-портов, влияющих на ядро СУБД, Службы Analysis Services, Службы Reporting Services и службы Integration Services, см. в разделе "Настройка брандмауэра Windows для разрешения доступа к SQL Server". Существует множество систем брандмауэров. За сведениями о конкретном брандмауэре следует обратиться к документации по этому брандмауэру.

Основные шаги для разрешения доступа.

  1. Настройте ядро СУБД для использования определенного порта TCP/IP. Экземпляр ядро СУБД по умолчанию использует порт 1433, но его можно изменить. Порт, используемый ядро СУБД, указан в журнале ошибок SQL Server. Экземпляры SQL Server Express, SQL Server Compact и именованные экземпляры ядро СУБД используют динамические порты. Сведения по настройке этих экземпляров для использования конкретного порта см. в разделе Настройка сервера для прослушивания указанного TCP-порта (диспетчер конфигурации SQL Server).

  2. Настройка брандмауэра, чтобы разрешить доступ к порту для авторизованных пользователей или компьютеров.

Примечание.

Служба браузера SQL Server позволяет пользователям подключаться к экземплярам ядро СУБД, которые не прослушиваются через порт 1433, не зная номер порта. Чтобы использовать браузер SQL Server, необходимо открыть порт UDP 1434. Чтобы повысить безопасность среды, оставьте службу браузера SQL Server остановленной и настройте клиенты для подключения с помощью номера порта.

По умолчанию Microsoft Windows включает брандмауэр Windows, который закрывает порт 1433, чтобы предотвратить подключение интернет-компьютеров к экземпляру SQL Server по умолчанию на компьютере. Подключение для экземпляра по умолчанию с помощью TCP/IP невозможно, если не открыть порт 1433. Основные шаги настройки брандмауэра Windows приведены в следующих процедурах. Дополнительные сведения см. в документации по Windows.

В качестве альтернативы настройке SQL Server для прослушивания фиксированного порта и открытия порта можно перечислить исполняемый файл SQL Server (Sqlservr.exe) в качестве исключения для заблокированных программ. Используйте этот метод, чтобы продолжить использовать динамические порты. Таким образом можно получить доступ только к одному экземпляру SQL Server.

Безопасность

Открытие портов на брандмауэре может привести к незащищенности сервера от вредоносных атак. Перед открытием портов убедитесь в том, что знаете принципы работы брандмауэров. Дополнительные сведения см. в разделе Security Considerations for a SQL Server Installation.

Использование брандмауэра Защитника Windows с расширенной безопасностью

В следующих процедурах выполняется настройка брандмауэра Windows с помощью оснастки "Брандмауэр Защитника Windows с расширенными функциями безопасности" консоли управления (MMC). В оснастке "Брандмауэр Защитника Windows с расширенными функциями безопасности" выполняется настройка только текущего профиля. Дополнительные сведения о брандмауэре Защитника Windows с расширенной безопасностью см. в разделе "Настройка брандмауэра Windows для разрешения доступа к SQL Server".

Открытие порта в брандмауэре Windows для доступа к TCP

  1. В меню Пуск выберите Выполнить, введите WF.msc и щелкните ОК.

  2. В брандмауэре Windows с приложением "Расширенная безопасность " в левой области щелкните правой кнопкой мыши правила входящего трафика и выберите "Создать правило " в области действий.

  3. В диалоговом окне Тип правила выберите Порт и щелкните Далее.

  4. В диалоговом окне Протокол и порты выберите протокол TCP. Выберите определенные локальные порты и введите номер порта экземпляра ядро СУБД, например 1433 для экземпляра по умолчанию. Выберите Далее.

  5. В диалоговом окне Действие выберите Разрешить соединение и щелкните Далее.

  6. В диалоговом окне "Профиль" выберите все профили, описывающие среду подключения к компьютеру, когда требуется подключиться к ядро СУБД, а затем нажмите кнопку "Далее".

  7. В диалоговом окне Имя введите имя и описание правила и щелкните Готово.

Открытие доступа к SQL Server при использовании динамических портов

  1. В меню Пуск выберите Выполнить, введите WF.msc и щелкните ОК.

  2. Слева в области окна Брандмауэр Windows в режиме повышенной безопасности щелкните правой кнопкой мыши Правила для входящих подключений и выберите Создать правило на панели действий.

  3. В диалоговом окне Тип правила выберите Программа и щелкните Далее.

  4. В диалоговом окне Программа выберите пункт Путь программы. Выберите "Обзор" и перейдите к экземпляру SQL Server, к которому требуется получить доступ через брандмауэр, и нажмите кнопку "Открыть". По умолчанию SQL Server находится в C:\Program Files\Microsoft SQL Server\MSSQLXX. MSSQLSERVER\MSSQL\Binn\Sqlservr.exe. Выберите Далее. Версия MSSQLXX будет соответствовать версии SQL Server.

  5. В диалоговом окне Действие выберите Разрешить соединение и щелкните Далее.

  6. В диалоговом окне "Профиль" выберите все профили, описывающие среду подключения к компьютеру, когда требуется подключиться к ядро СУБД, а затем нажмите кнопку "Далее".

  7. В диалоговом окне Имя введите имя и описание правила и щелкните Готово.

См. также