Настройка брандмауэра Windows для разрешения доступа к SQL Server

Применяется только к:SQL Server — только Windows

Системы брандмауэра помогают предотвратить несанкционированный доступ к ресурсам компьютера. Если брандмауэр включен, но неправильно настроен, попытки подключения к SQL Server могут быть заблокированы.

Чтобы получить доступ к экземпляру SQL Server через брандмауэр, необходимо настроить брандмауэр на компьютере под управлением SQL Server. Брандмауэр является компонентом Microsoft Windows. Вы также можете установить брандмауэр от другого поставщика. В этой статье описывается настройка брандмауэра Windows, но основные принципы применяются к другим программам брандмауэра.

Примечание.

В этой статье представлен обзор конфигурации брандмауэра и приведены сведения, интересующие администратора SQL Server. Дополнительные сведения и официальные данные о брандмауэрах см. в документации по брандмауэру, например в разделе Руководство по безопасности для развертывания брандмауэра Windows.

Пользователи, знакомые с управлением брандмауэром Windows и знающие, какие параметры брандмауэра они хотят настроить, могут перейти напрямую к более сложным статьям:

Основные сведения о брандмауэре

Брандмауэр проверяет входящие пакеты на соответствие следующему набору правил:

  • Если пакет соответствует стандартам, заданным правилами, то брандмауэр передает его протоколу TCP/IP для дальнейшей обработки.
  • Пакет не соответствует стандартам, заданным в правилах.
    • В этом случае брандмауэр отклоняет пакет. Если включено ведение журнала, в файле журнала брандмауэра создается соответствующая запись.

Список разрешенного трафика заполняется одним из следующих способов.

  • Автоматически. Когда защищенный брандмауэром компьютер инициирует соединение, брандмауэр добавляет в список запись, чтобы разрешить ответ. Ответ считается запрашиваемым трафиком, и ничего настраивать не требуется.

  • Вручную: администратор настраивает исключения для брандмауэра. Это открывает доступ к определенным программам или портам на вашем компьютере. В этом случае компьютер принимает весь входящий трафик, выполняя роль сервера, прослушивателя или однорангового узла. Необходимо выполнить настройку для подключения к SQL Server.

Выбор стратегии брандмауэра является более сложной задачей и не сводится лишь к открытию или закрытию портов. При выборе стратегии брандмауэра для предприятия необходимо обязательно рассмотреть все доступные правила и параметры конфигурации. В этой статье не рассматриваются все возможные параметры брандмауэра. Рекомендуем ознакомиться со следующими документами:

Параметры брандмауэра по умолчанию

Первым шагом при планировании конфигурации брандмауэра является определение его текущего состояния в операционной системе. Если операционная система была обновлена с предыдущей версии, возможно, были сохранены предыдущие параметры брандмауэра. Изменять параметры брандмауэра в домене может групповая политика или администратор.

Примечание.

Включение брандмауэра может повлиять на общий доступ к файлам и принтерам, подключения к удаленному рабочему столу и работу других программ, которым необходим доступ к компьютеру. Администратор должен просмотреть все приложения, которые работают на компьютере, прежде чем приступать к настройке параметров брандмауэра.

Программы для настройки брандмауэра

Настройте параметры брандмауэра Windows с помощью консоли управления (MMC) или netsh.

  • Консоль управления (MMC)

    Оснастка «Брандмауэр Windows в режиме повышенной безопасности» позволяет настраивать дополнительные параметры брандмауэра. Эта оснастка представляет большинство параметров брандмауэра и в удобной форме, а также все профили брандмауэра. Дополнительные сведения см. в разделе Использование оснастки "Брандмауэр Windows в режиме повышенной безопасности" далее в этой статье.

  • netsh

    Netsh.exe — это средство Администратор istrator для настройки и мониторинга компьютеров под управлением Windows в командной строке или с помощью пакетного файла. При использовании средства netsh вводимые контекстные команды направляются соответствующим вспомогательным приложениям, которые их выполняют. Вспомогательное приложение — это файл библиотеки динамической компоновки (DLL) для расширения функциональных возможностей. Вспомогательное приложение обеспечивает настройку, мониторинг и поддержку различных служб, служебных программ и протоколов для средства netsh.

    Все операционные системы, поддерживающие SQL Server, имеют вспомогательный сервер брандмауэра. Windows Server 2008 также имеет расширенный вспомогательный сервер брандмауэра с именем advfirewall. Многие из описанных параметров конфигурации можно настроить с помощью средства netsh. Например, выполните в командной строке следующий скрипт, чтобы открыть TCP-порт 1433:

    netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT
    

    Аналогичный пример, использующий брандмауэр Windows для модуля поддержки повышенной безопасности:

    netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN
    

    Дополнительные сведения о средстве netshсм. в следующих разделах:

  • PowerShell

    В следующем примере показано, как открыть TCP-порт 1433 и UDP-порт 1434 для экземпляра по умолчанию SQL Server и службы обозревателя SQL Server:

    New-NetFirewallRule -DisplayName "SQLServer default instance" -Direction Inbound -LocalPort 1433 -Protocol TCP -Action Allow
    New-NetFirewallRule -DisplayName "SQLServer Browser service" -Direction Inbound -LocalPort 1434 -Protocol UDP -Action Allow
    

    Дополнительные примеры см. в разделе New-NetFirewallRule.

  • Для Linux

    В Linux необходимо также открыть порты, связанные со службами, к которым вам нужен доступ. Различные дистрибутивы Linux и брандмауэры имеют свои процедуры. Примеры см. в руководствах по использованию SQL Server в Red Hat и SUSE.

Порты, используемые SQL Server

В следующих таблицах можно определить порты, используемые SQL Server.

Порты, используемые ядро СУБД

По умолчанию типичные порты, используемые SQL Server и связанными службами ядра СУБД: TCP 1433, 4022, 135, 1434, UDP 1434. В таблице ниже эти порты описаны подробно. Именованный экземпляр использует динамические порты.

В следующей таблице перечислены порты, которые часто используются ядро СУБД.

Сценарий Порт Комментарии
Экземпляр по умолчанию, работающий по протоколу TCP TCP-порт 1433 Этот порт открывают в брандмауэре чаще всего. Он применяется к стандартным подключениям к установке ядро СУБД по умолчанию или именованным экземпляром, который является единственным экземпляром, запущенным на компьютере. (Именованные экземпляры имеют особые рекомендации. См . динамические порты далее в этой статье.)
Именованные экземпляры с портом по умолчанию TCP-порт — это динамический порт, определенный во время запуска ядро СУБД. См. обсуждение ниже в разделе "Динамические порты". Порт UDP 1434 может потребоваться для службы браузера SQL Server при использовании именованных экземпляров.
Именованные экземпляры с фиксированным портом Номер порта настраивается администратором. См. обсуждение ниже в разделе "Динамические порты".
Выделенное административное соединение TCP-порт 1434 предназначен для экземпляра по умолчанию. Другие порты используются для именованных экземпляров. Номер порта проверьте по журналу ошибок. По умолчанию удаленные подключения по выделенному административному соединению (DAC) не активированы. Разрешить удаленное выделенное административное соединение можно при помощи средства настройки контактной зоны. Дополнительные сведения см. в разделе Surface Area Configuration.
служба «SQL Server, браузер» UDP-порт 1434 Служба браузера SQL Server прослушивает входящие соединения с именованным экземпляром.

Служба предоставляет клиенту номер TCP-порта, соответствующий этому именованному экземпляру. Обычно служба браузера SQL Server запускается всякий раз, когда используются именованные экземпляры ядро СУБД. Служба браузера SQL Server не требуется, если клиент настроен для подключения к конкретному порту именованного экземпляра.
Экземпляр с конечной точкой HTTP. Может указываться во время создания конечной точки HTTP. По умолчанию используется TCP-порт 80 для данных CLEAR_PORT и порт 443 для данных SSL_PORT. Используется для HTTP-соединения по URL-адресу.
Экземпляр по умолчанию с конечной точкой HTTPS. TCP-порт 443 Используется для HTTPS-соединения по URL-адресу. HTTPS — это HTTP-соединение, которое использует протокол TLS, ранее называемый SSL.
Service Broker TCP-порт 4022. Чтобы проверить используемый порт, выполните следующий запрос:

SELECT name, protocol_desc, port, state_desc

FROM sys.tcp_endpoints

WHERE type_desc = 'SERVICE_BROKER'
Нет порта по умолчанию для sql Server Service Broker, примеры электронной документации используют стандартную конфигурацию.
Зеркальное отображение базы данных Порт, выбранный администратором. Чтобы определить порт, выполните следующий запрос.

SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints

WHERE type_desc = 'DATABASE_MIRRORING'
Для зеркального отображения базы данных порт по умолчанию отсутствует, однако в примерах электронной документации используется TCP-порт 5022 или 7022. Важно избегать прерывания работы используемой конечной точки зеркального отображения, особенно в режиме высокого уровня безопасности с автоматической отработкой отказа. Конфигурация брандмауэра должна избегать прерывания кворума. Дополнительные сведения см. в статье Указание сетевого адреса сервера (зеркальное отображение базы данных).
Репликация Подключения репликации к SQL Server используют типичные обычные порты ядро СУБД (TCP-порт 1433 — это экземпляр по умолчанию)

Веб-синхронизация и доступ через FTP/UNC для моментального снимка репликации требуют открытия в брандмауэре дополнительных портов. Передачу начальных данных и схемы из одного места в другое репликация осуществляет по протоколу FTP (TCP-порт 21) либо с помощью синхронизации через HTTP (TCP-порт 80) или общего доступа к файлам. Для общего доступа к файлам применяются UDP-порты 137 и 138, а также TCP-порт 139 при использовании совместно с NetBIOS. Совместное использование файлов использует TCP-порт 445.
Для синхронизации по протоколу HTTP реплика tion использует конечную точку IIS (настраиваемую; порт 80 по умолчанию), но процесс IIS подключается к серверной части SQL Server через стандартные порты (1433 для экземпляра по умолчанию).

Во время веб-синхронизации с помощью FTP передача FTP выполняется между IIS и издателем SQL Server, а не между подписчиком и IIS.
Отладчик Transact-SQL TCP-порт 135

См. раздел Особые замечания относительно порта 135

Также может потребоваться исключение IPsec .
При использовании Visual Studio на хост-компьютере Visual Studio необходимо также добавить Devenv.exe в список исключений и открыть TCP-порт 135.

При использовании Management Studio на хост-компьютере Management Studio необходимо также добавить ssms.exe в список исключений и открыть TCP-порт 135. Дополнительные сведения см. в разделе "Настройка правил брандмауэра" перед запуском отладчика Transact-SQL.

Пошаговые инструкции по настройке брандмауэра Windows для ядро СУБД см. в разделе "Настройка брандмауэра Windows для ядро СУБД Access".

Динамические порты

По умолчанию именованные экземпляры (включая SQL Server Express) используют динамические порты. При каждом запуске ядро СУБД он определяет доступный порт и использует этот номер порта. Если именованный экземпляр является единственным экземпляром установленного ядро СУБД, он, вероятно, будет использовать TCP-порт 1433. Если установлены другие экземпляры ядро СУБД, он, вероятно, будет использовать другой TCP-порт. Так как выбранный порт может изменяться при каждом запуске ядро СУБД, сложно настроить брандмауэр для включения доступа к правильному номеру порта. Если используется брандмауэр, мы рекомендуем перенастроить ядро СУБД для использования одного и того же номера порта каждый раз. Рекомендуется использовать фиксированный или статический порт. Дополнительные сведения см. в разделе Настройка сервера для прослушивания указанного TCP-порта (диспетчер конфигурации SQL Server).

Альтернативой настройке именованного экземпляра для прослушивания фиксированного порта является создание исключения в брандмауэре для программы SQL Server, например sqlservr.exe (для ядро СУБД). Номер порта не будет отображаться в столбце Локальный порт на странице Правила для входящего трафика при использовании оснастки MMC "Брандмауэр Windows в режиме повышенной безопасности". Аудит открытых портов может быть сложной задачей. Еще одно соображение заключается в том, что пакет обновления или накопительное обновление может изменить путь к исполняемому файлу SQL Server и сделать правило брандмауэра недействительным.

Чтобы добавить исключение для SQL Server с помощью брандмауэра Windows с расширенной безопасностью, см . статью "Использование брандмауэра Windows с оснасткой расширенной безопасности" далее в этой статье.

Порты, используемые службами Analysis Services

По умолчанию типичные порты, используемые службами SQL Server Analysis Services и связанными службами: TCP 2382, 2383, 80, 443. В таблице ниже эти порты описаны подробно.

В следующей таблице перечислены порты, которые часто используются службами Analysis Services.

Компонент Порт Комментарии
Службы Analysis Services TCP-порт 2383 для экземпляра по умолчанию Стандартный порт для экземпляра служб Analysis Services по умолчанию.
служба «SQL Server, браузер» TCP-порт 2382, необходимый только для именованного экземпляра служб Analysis Services Запросы на подключение клиента для именованного экземпляра служб Analysis Services, которые не указывают номер порта, направляются в порт 2382, порт, на котором прослушивается браузер SQL Server. Затем браузер SQL Server перенаправляет запрос на порт, используемый именованным экземпляром.
Службы Analysis Services, настроенные для использования с помощью IIS/HTTP

(служба PivotTable® Service использует протокол HTTP или HTTPS)
TCP-порт 80 Используется для HTTP-соединения по URL-адресу.
Службы Analysis Services, настроенные для использования с помощью IIS/HTTPS

(служба PivotTable® Service использует протокол HTTP или HTTPS)
TCP-порт 443 Используется для HTTPS-соединения по URL-адресу. HTTPS представляет собой HTTP-соединение, защищенное по протоколу TSL.

Если пользователи получают доступ к службам Analysis Services через IIS и Интернет, необходимо открыть порт, на котором выполняется прослушивание СЛУЖБ IIS. Затем нужно указать порт в строке подключения клиента. В этом случае для прямого доступа к службам Analysis Services не нужно открывать порты. Необходимо ограничить доступ к порту по умолчанию 2389, порту 2382 и другим портам, доступ к которым не требуется.

Пошаговые инструкции по настройке брандмауэра Windows для служб Analysis Services см. в разделе "Настройка брандмауэра Windows для разрешения доступа к службам Analysis Services".

Порты, используемые службами Reporting Services

По умолчанию SQL Server Reporting Services и связанные службы обычно используют порты TCP 80 и 443. В таблице ниже эти порты описаны подробно.

В следующей таблице перечислены порты, которые часто используются службами Reporting Services.

Компонент Порт Комментарии
Веб-службы Reporting Services TCP-порт 80 Используется для HTTP-подключения к службам Reporting Services по URL-адресу. Не рекомендуется использовать предварительно настроенное правило Службы Интернета (HTTP). Дополнительные сведения см. в разделе Взаимодействие с другими правилами брандмауэра ниже.
Службы Reporting Services, настроенные для использования через HTTPS TCP-порт 443 Используется для HTTPS-соединения по URL-адресу. HTTPS представляет собой HTTP-соединение, защищенное по протоколу TSL. Не рекомендуется использовать предварительно настроенное правило Защищенные службы Интернета (HTTP). Дополнительные сведения см. в разделе Взаимодействие с другими правилами брандмауэра ниже.

При подключении служб Reporting Services к экземпляру ядро СУБД или служб Analysis Services необходимо также открыть соответствующие порты для этих служб. Пошаговые инструкции по настройке брандмауэра Windows для служб Reporting Services позволяют настроить брандмауэр для доступа к серверу отчетов.

Порты, используемые службами Integration Services

В следующей таблице перечислены порты, используемые службой Integration Services.

Компонент Порт Комментарии
Вызовы удаленной процедуры Майкрософт (MS RPC)

Используется средой выполнения служб Integration Services.
TCP-порт 135

См. раздел Особые замечания относительно порта 135
Служба Служб Integration Services использует DCOM через порт 135. Диспетчер управления службами использует порт 135 для выполнения таких задач, как запуск и остановка службы Integration Services и передача запросов управления в запущенную службу. Номер порта нельзя изменить.

Этот порт необходимо открыть только в том случае, если вы подключаетесь к удаленному экземпляру службы Служб Integration Services из Management Studio или пользовательского приложения.

Пошаговые инструкции по настройке брандмауэра Windows для службы Integration Services см. в статье Служба Integration Services (служба SSIS).

Другие порты и службы

В следующей таблице перечислены порты и службы, от которые может зависеть SQL Server.

Сценарий Порт Комментарии
Инструментарий управления Windows (WMI)

Дополнительные сведения об инструментарии управления Windows (WMI) см. в разделе основных принципов поставщика WMI для управления конфигурацией.
Инструментарий WMI запускается в составе общего узла службы с назначением портов через DCOM. Инструментарий WMI может пользовать TCP-порт 135.

См. раздел Особые замечания относительно порта 135
диспетчер конфигурации SQL Server использует WMI для перечисления служб и управления ими. Рекомендуется использовать стандартную группу правил Инструментарий управления Windows (WMI). Дополнительные сведения см. в разделе Взаимодействие с другими правилами брандмауэра ниже.
Координатор распределенных транзакций Майкрософт (MS DTC) TCP-порт 135

См. раздел Особые замечания относительно порта 135
Если приложение использует распределенные транзакции, возможно, потребуется настроить брандмауэр, чтобы разрешить трафик координатора распределенных транзакций (MS DTC) между отдельными экземплярами MS DTC и диспетчерами ресурсов MS DTC, такими как SQL Server. Рекомендуется использовать стандартную группу правил Координатор распределенных транзакций .

Если для всего кластера настроен единственный общий координатор MS DTC в отдельной группе ресурсов, следует добавить программу sqlservr.exe в список исключений брандмауэра.
Кнопка обзора в Management Studio использует UDP для подключения к службе браузера SQL Server. Дополнительные сведения см. в разделе Служба обозревателя SQL Server (ядро СУБД и SSAS). UDP-порт 1434 Протокол UDP не сохраняет соединения.

Свойство UnicastResponsesToMulticastBroadcastDisabled интерфейса INetFwProfile управляет работой брандмауэра и одноадресными ответами на широковещательные (или многоадресные) UDP-запросы. Возможны два варианта.

Если этот параметр имеет значение TRUE, то одноадресные ответы на широковещательные запросы запрещены. Перечисление служб завершится ошибкой.

Если этот параметр имеет значение FALSE (по умолчанию), то одноадресные ответы разрешены в течение 3 секунд. Эта длительность не настраивается. В перегруженной сети или сети с высокой задержкой или для сильно загруженных серверов пытается перечислить экземпляры SQL Server может вернуть частичный список, который может ввести пользователей в заблуждение.
Трафик по протоколу IPsec UDP-порты 500 и 4500 Если политика домена требует выполнения сетевых соединения через протокол IPsec, необходимо добавить в список исключений UDP-порты 4500 и 500. Протокол IPsec можно включить с помощью мастера создания правила для входящего подключения в оснастке "Брандмауэр Windows". Дополнительные сведения см. в разделе Использование оснастки "Брандмауэр Windows в режиме повышенной безопасности" ниже.
Использование проверки подлинности Windows в надежных доменах Брандмауэр можно настроить для разрешения запросов проверки подлинности. Дополнительные сведения см. в разделе Настройка брандмауэра для работы с доменами и отношениями доверия.
Кластеризация SQL Server и Windows Кластеризация требует дополнительных портов, которые не связаны напрямую с SQL Server. Дополнительные сведения см. в разделе Подготовка сети для работы кластера.
Пространства имен URL-адресов, зарезервированные в компоненте HTTP.SYS Обычно TCP-порт 80, однако можно настроить для использования любого другого порта. Общие сведения см. в разделе Настройка протоколов HTTP и HTTPS. Сведения о резервировании конечной точки компонента HTTP.SYS с помощью программы HttpCfg.exe, относящиеся к SQL Server, см. в разделе Сведения о резервировании и регистрации URL-адресов (диспетчер конфигурации служб SSRS).

Особые вопросы для порта 135

При использовании RPC с транспортным протоколом TCP/IP или UDP/IP входящие порты динамически назначаются системным службам по мере надобности. Используются порты TCP/IP и UDP/IP с номерами выше 1024. Эти порты называются "случайными RPC-портами". В этом случае RPC-клиент определяет порт, назначенный серверу, через сопоставитель конечных точек RPC. Для некоторых служб, работающих через протокол RPC, можно настроить использование определенного фиксированного порта. Можно также ограничить диапазон портов, динамически назначаемых RPC и не зависящих от службы. Поскольку порт 135 используется для многих служб, он часто подвергается атакам злоумышленников. В случае открытия порта 135 рекомендуется ограничить область действия правила брандмауэра.

Дополнительные сведения о порте 135 см. в следующих ресурсах.

Взаимодействие с другими правилами брандмауэра

Настройка брандмауэра Windows производится на основе правил и групп правил. Каждое правило или группа правил связывается с определенной программой или службой, которая может изменять или удалять это правило без вашего ведома. Например, группы правил Службы Интернета (HTTP) и Защищенные службы Интернета (HTTPS) связаны со службами IIS. Включение этих правил открывает порты 80 и 443, а функции SQL Server, зависящие от портов 80 и 443, будут работать, если эти правила включены. Однако администратор в процессе настройки служб IIS может изменить или отключить эти правила. Если вы используете порт 80 или порт 443 для SQL Server, необходимо создать собственное правило или группу правил, которая поддерживает предпочитаемую конфигурацию порта независимо от других правил IIS.

Брандмауэр Windows с оснасткой MMC расширенной безопасности разрешает любой трафик, соответствующий любому применимому правилу разрешения. Таким образом, если существуют два правила для порта 80 (с разными параметрами), то будет пропускаться трафик, соответствующий любому из них. Например, если одно правило разрешает трафик по порту 80 из локальной подсети, а другое разрешает трафик с любого адреса, то в итоге на порту 80 будет разрешен любой трафик независимо от источника. Чтобы эффективно управлять доступом к SQL Server, администраторы должны периодически проверять все правила брандмауэра, включенные на сервере.

Обзор профилей брандмауэра

В соответствии с профилями брандмауэра операционная система определяет и запоминает каждую из сетей по следующим параметрам: возможность подключения, имеющиеся подключения и категория.

Брандмауэр Windows в режиме повышенной безопасности делит сети на три типа.

  • Домен: Windows может пройти проверку подлинности доступа к контроллеру домена для домена, к которому присоединен компьютер.
  • Общедоступный: кроме доменных сетей все сети изначально классифицируются как общедоступные. Сети, которые представляют прямые соединения с Интернетом, являются открытыми (аэропорты, кафе и другие места открытого доступа).
  • Частный: сеть, определяемая пользователем или приложением как частная. Только доверенные сети могут быть определены как частные. Обычно в качестве частной сети определяется сеть малого предприятия, домашняя сеть и т. п.

Администратор может создать профиль для каждого типа сети и задать для этих профилей разные политики брандмауэра. Одномоментно применим только один профиль. Профили применяются в следующем порядке.

  1. Профиль домена применяется, когда все интерфейсы проходят проверку подлинности на контроллере домена, членом которого является компьютер.
  2. Если все интерфейсы либо прошли проверку подлинности к контроллеру домена, либо соединены с сетями, которые определены как частные, применяется частный профиль.
  3. В противном случае применяется открытый профиль.

Просмотреть и настроить профили брандмауэра можно с помощью оснастки «Брандмауэр Windows в режиме повышенной безопасности». Элемент Брандмауэр Windows на панели управления позволяет настраивать только текущий профиль.

Дополнительные параметры брандмауэра с помощью элемента брандмауэра Windows в панель управления

Добавление брандмауэра позволяет ограничить открытие порта для входящих подключений с определенных компьютеров или из локальной подсети. Ограничьте область открытия портов, чтобы сделать компьютер менее уязвимым для злоумышленников.

Примечание.

Элемент Брандмауэр Windows на панели управления позволяет настроить только текущий профиль.

Изменение область исключения брандмауэра с помощью элемента брандмауэра Windows в панель управления

  1. В панели управления в элементе Брандмауэр Windows выберите на вкладке Исключения программу или порт, а затем нажмите Свойства или Изменить.

  2. В диалоговом окне Изменение программы или Изменение порта нажмите Изменить область.

  3. Выберите один из следующих параметров:

    • Любой компьютер (включая компьютеры в Интернете): не рекомендуется. В этом случае любой компьютер, способный обращаться к вашему, сможет подключаться к указанной программе или порту. Этот параметр может пригодиться для передачи данных анонимным пользователям Интернета, однако он повышает уязвимость компьютера. Включение этого параметра позволяет переходить по сетевым адресам (NAT), например параметр обхода пограничных адресов, увеличивает экспозицию.

    • Только моя сеть (подсеть): это более безопасный вариант по сравнению с режимом Любой компьютер. Только компьютеры локальной подсети могут производить соединение с программой или портом.

    • Пользовательский список: только компьютеры с IP-адресами, которые указаны, могут подключаться. Этот режим может быть более безопасным по сравнению с вариантом Только моя сеть (подсеть), однако клиентские компьютеры, использующие протокол DHCP, могут иногда менять IP-адреса, что приводит к невозможности подключения. При этом другой компьютер, которому не предоставлялся доступ, может принять указанный в списке IP-адрес и подключиться к нему. Вариант Настраиваемый список подходит для получения списков других серверов, для которых настроены фиксированные IP-адреса.

      IP-адреса могут быть подделаны злоумышленником. Эффект ограничения правил брандмауэра напрямую зависит от уровня защиты сетевой инфраструктуры.

Использование брандмауэра Windows с оснасткой "Расширенная безопасность"

Оснастка MMC "Брандмауэр Windows в режиме повышенной безопасности" позволяет настроить расширенные параметры брандмауэра. Эта оснастка включает мастер настройки правил и позволяет изменять параметры, недоступные в элементе Брандмауэр Windows из панели управления. К этим параметрам относятся:

  • Параметры шифрования
  • Ограничения служб.
  • Ограничение соединений для компьютеров по именам.
  • Ограничение соединений для определенных пользователей или профилей.
  • Разрешение просмотра узлов для исключения маршрутизаторов NAT.
  • Настройка правил исходящих соединений.
  • Настройка правил безопасности.
  • Требование протокола IPsec для входящих соединений.

Создание правила брандмауэра с помощью мастера создания правил

  1. В меню нажмите кнопку "Выполнить", введите WF.mscи нажмите кнопку "ОК".
  2. В левой части панели Брандмауэр Windows в режиме повышенной безопасностищелкните правой кнопкой мыши элемент Правила для входящих подключенийи выберите пункт Создать правило.
  3. Завершите мастер создания правила для нового входящего подключения , задав все необходимые параметры.

Добавление исключения программы для исполняемого файла SQL Server

  1. В меню "Пуск" наберите wf.msc. Нажмите клавишу ВВОД или выберите результат поиска "wf.msc", чтобы открыть Брандмауэр Защитника Windows в режиме повышенной безопасности.

  2. В левой панели щелкните Правила для входящих подключений.

  3. В области справа в разделе "Действия" выберите "Создать правило...". Откроется мастер нового правила для входящего трафика.

  4. В разделе Тип правилавыберите Программа. Выберите Далее.

  5. В разделе Программа выберите Путь к программе. Нажмите кнопку Обзор и найдите файл программы SQL Server. Программа называется sqlservr.exe. Обычно он находится здесь:

    C:\Program Files\Microsoft SQL Server\MSSQL<VersionNumber>.<InstanceName>\MSSQL\Binn\sqlservr.exe

    Выберите Далее.

  6. В разделе Действие выберите вариант Разрешить подключение. Выберите Далее.

  7. В разделе Профиль включите все три профиля. Выберите Далее.

  8. В поле Имявведите имя правила. Выберите Готово.

Дополнительные сведения о конечных точках см. в следующем разделе:

Устранение неполадок параметров брандмауэра

Следующие средства и методы могут оказаться полезными при устранении неполадок брандмауэра.

  • Действующее состояние порта является объединением всех правил, связанных с этим портом. Чтобы заблокировать доступ к порту, бывает полезно просмотреть все правила, в которых он упоминается. Просмотрите правила с помощью оснастки MMC "Брандмауэр Windows в режиме повышенной безопасности" и отсортируйте правила для входящего и исходящего трафика по номеру порта.

  • Просмотрите порты, активные на компьютере, на котором работает SQL Server. Процесс проверки включает проверку того, какие порты TCP/IP прослушивают , а также проверяют состояние портов.

  • Служебную программу PortQry можно использовать для вывода состояния портов TCP/IP (прослушивается, не прослушивается, фильтруется). (Программа может не получать ответ от порта, если она имеет отфильтрованное состояние.) Программа PortQry доступна для скачивания из Центра загрузки Майкрософт.

Список прослушивающих портов TCP/IP

Для определения, на каких портах ожидается передача данных, отобразите активные TCP-подключения и статистику IP-адресов, используя программу командной строки netstat.

  1. Откройте окно командной строки.

  2. В командной строке введите netstat -n -a.

    Элемент -n служебная программа netstat выводит адреса и номера портов активных подключений TCP в числовом виде. Коммутатор -a указывает netstat отображать порты TCP и UDP, на которых компьютер прослушивает.