Windows Güvenlik Duvarı'nı SQL Server Erişimine İzin Vermek için Yapılandırma
Güvenlik duvarı sistemleri bilgisayar kaynaklarına yetkisiz erişimin önlenmesine yardımcı olur.Güvenlik Duvarı açıksa ancak düzgün şekilde yapılandırılmadıysa, SQL Server ile bağlantı girişimleri engellenebilir.
Bir güvenlik duvarı yoluyla SQL Server örneğine erişmek için, SQL Server çalıştıran bilgisayarda güvenlik duvarını, erişime izin verecek şekilde yapılandırmanız gerekir.Güvenlik duvarı, Microsoft Windows'un bir bileşenidir.Başka bir firmanın güvenlik duvarını da yükleyebilirsiniz.Bu konuda, Windows güvenlik duvarının nasıl yapılandırılacağı ele alınmaktadır; ancak temel ilkeler diğer güvenlik duvarı programları için de geçerlidir.
Not
Bu konu, güvenlik duvarı yapılandırmasına genel bakış sağlar ve SQL Server yöneticisinin ilgisini çekecek bilgileri özetler.Güvenlik duvarı ve yetkilendirmeli güvenlik duvarı bilgileri hakkında daha fazla bilgi için, Gelişmiş Güvenlik ve IPsec Özellikli Windows Güvenlik Duvarı ve Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı - İçerik Yol Haritası gibi güvenlik duvarı belgelerine bakın.
Denetim Masası'ndaki Windows Güvenlik Duvarı'nı, Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı Microsoft Yönetim Konsolu (MMC) eklentisini ve hangi güvenlik duvarı ayarlarını yapılandırmak istediğini bilen kullanıcılar doğrudan aşağıdaki listede bulunan konulara gidebilir:
Nasıl yapılır: Veritabanı Altyapısı Erişimi için Windows Güvenlik Duvarı'nı Yapılandırma
Windows Güvenlik Duvarı Analysis Services erişimi için yapılandırma
Nasıl yapılır: Rapor sunucusu erişimi için bir güvenlik duvarını yapılandırma
Nasıl yapılır: Windows Güvenlik Duvarı tümleştirme hizmetleri yapılandırma
Bu Konuda
Bu konuda aşağıdaki bölümler bulunur:
Temel Güvenlik Duvarı Bilgileri
Varsayılan Güvenlik Duvarı Ayarları
Güvenlik Duvarını Yapılandırma Programları
Veritabanı Altyapısı Tarafından Kullanılan Bağlantı Noktaları
Analysis Services Tarafından Kullanılan Bağlantı Noktaları
Reporting Services Tarafından Kullanılan Bağlantı Noktaları
Integration Services Tarafından Kullanılan Bağlantı Noktaları
Ek Bağlantı Noktaları ve Hizmetler
Diğer Güvenlik Duvarı Kuralları ile Etkileşim
Güvenlik Duvarı Profillerine Genel Bakış
Denetim Masası'ndaki Windows Güvenlik Duvarı Kullanılarak Yapılan Ek Güvenlik Duvarı Ayarları
Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı Ek Bileşenini Kullanma
Güvenlik Duvarı Ayarları ile İlgili Sorunları Giderme
Temel Güvenlik Duvarı Bilgileri
Güvenlik duvarları, gelen paketlerin incelenmesi ve bir kural kümesiyle karşılaştırılması yoluyla çalışır.Kurallar pakete izin veriyorsa, güvenlik duvarı ek işleme için paketi TCP/IP protokolüne iletir.Kurallar pakete izin vermiyorsa, güvenlik duvarı paketi atar ve günlük kaydı etkinse, güvenlik duvarı günlük dosyasında bir girdi oluşturur.
İzin verilen trafik listesi, aşağıdaki yollardan biriyle doldurulur:
Güvenlik duvarı etkinleştirilmiş bilgisayar iletişim başlattığında, yanıta izin verilmesi için güvenlik duvarı listede bir girdi oluşturur.Gelen yanıt, istenen trafik olarak değerlendirilir ve bunu yapılandırmanız gerekmez.
Yönetici, güvenlik duvarına yönelik özel durumları yapılandırır.Bu, bilgisayarınızda çalışmakta olan belirtilen programlara erişilmesine veya bilgisayarınızdaki belirtilen bağlantı noktalarına erişilmesine izin verir.Bu durumda bilgisayar, bir sunucu, dinleyici veya eş olarak hareket ederken istenmeyen gelen trafiği kabul eder.SQL Server ile bağlanmak için tamamlanması gereken yapılandırma türü budur.
Bir güvenlik duvarı stratejisi seçilmesi, yalnızca verilen bir bağlantı noktasının açık veya kapalı olacağına karar vermekten daha karmaşıktır.Kuruluşunuz için bir güvenlik duvarı stratejisi tasarlanırken, kullanımınıza sunulan tüm kuralları ve yapılandırma seçeneklerini dikkate aldığınızdan emin olun.Bu konu, tüm olası güvenlik duvarı seçeneklerini gözden geçirmez.Aşağıdaki belgeleri gözden geçirmenizi öneririz:
Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı Başlangıç Kılavuzu
Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı Tasarım Kılavuzu
Varsayılan Güvenlik Duvarı Ayarları
Güvenlik duvarı yapılandırmanızı planlamanın ilk adımı, işletim sisteminizin güvenlik duvarının geçerli durumunu belirlemektir.İşletim sistemi önceki bir sürümden yükseltildiyse, önceki güvenlik duvarı ayarları korunmuş olabilir.Ayrıca, güvenlik duvarı ayarları başka bir yönetici tarafından veya etki alanınızdaki bir Grup İlkesine göre değiştirilmiş olabilir.Ancak varsayılan ayarlar aşağıdaki gibidir:
Windows Server 2008
Güvenlik duvarı açıktır ve uzak bağlantıları engelliyordur.
Windows Server 2003
Güvenlik duvarı kapalıdır.Yöneticiler, güvenlik duvarını açmayı düşünmelidir.
Windows Vista
Güvenlik duvarı açıktır ve uzak bağlantıları engelliyordur.
Windows XP, Service Pack 2 veya sonraki sürümler
Güvenlik duvarı açıktır ve uzak bağlantıları engelliyordur.
Windows XP, Service Pack 1 veya önceki sürümler
Güvenlik duvarı kapalıdır ve açık olmalıdır.
Not
Güvenlik duvarının açılması; dosya ve yazdırma paylaşımı ile uzak masaüstü bağlantıları gibi, bu bilgisayara erişen diğer programları etkiler.Yöneticiler, güvenlik duvarı ayarları yapılmadan önce bilgisayarda çalışan tüm uygulamaları dikkate almalıdır.
Güvenlik Duvarını Yapılandırma Programları
Windows Güvenlik Duvarı ayarlarını yapılandırmanın üç yolu vardır.
Denetim Masası'ndaki Windows Güvenlik Duvarı öğesi
Windows Güvenlik Duvarı öğesi, Denetim Masası'ndan açılabilir.
Önemli Denetim Masası'ndaki Windows Güvenlik Duvarı öğesinde yapılan değişiklikler yalnızca geçerli profili etkiler.Profil farklı bir yapılandırmada bağlandığında değişebileceğinden, dizüstü bilgisayar gibi mobil aygıtlar, Denetim Masası'ndaki Windows Güvenlik Duvarı öğesini kullanmamalıdır.Önceden yapılandırılan profil geçerli olmayacaktır.Profiller hakkında daha fazla bilgi için bkz. Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı Başlangıç Kılavuzu.
Denetim Masası'ndaki Windows Güvenlik Duvarı öğesi, temel seçenekleri yapılandırmanıza olanak sağlar.Bunlar aşağıdakileri içerir:
Denetim Masası'ndaki Windows Güvenlik Duvarı öğesini açma veya kapatma
Kuralları etkinleştirme ve devre dışı bırakma
Bağlantı noktaları ve programlar için izin verme özel durumları
Bazı kapsam kısıtlamalarını ayarlama
Denetim Masası'ndaki Windows Güvenlik Duvarı öğesi, güvenlik duvarı yapılandırmasında deneyimi olmayan ve mobil olmayan bilgisayarlar için temel güvenlik duvarı seçeneklerini yapılandıran kullanıcılar için en uygunudur.Aşağıdaki yordamı kullanarak run komutundan da Denetim Masası'ndaki Windows Güvenlik Duvarı öğesini açabilirsiniz.
Windows Güvenlik Duvarı öğesini açmak için
Başlat menüsünde Çalıştır'ı tıklatın ve firewall.cpl girin.
Tamam’ı tıklatın.
Microsoft Yönetim Konsolu (MMC)
Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı MMC ek bileşeni, daha gelişmiş güvenlik duvarı ayarlarını yapılandırmanıza olanak sağlar.Bu ek bileşen yalnızca Microsoft Vista ve Windows Server 2008 sürümünden itibaren kullanılabilir; ancak bu, güvenlik duvarı seçeneklerinin çoğunu kullanımı kolay şekilde sunar ve tüm güvenlik duvarı profillerini sağlar.Daha fazla bilgi için bu konunun ilerleyen bölümlerinde bkz. Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı Ek Bileşenini Kullanma.
netsh
Bir komut isteminde veya . toplu iş dosyası kullanılarak Windows tabanlı bilgisayarları yapılandırmak ve izlemek için bir yönetici tarafından netsh.exe aracı kullanılabilir. netsh aracı kullanılarak, uygun yardımcıya girdiğiniz bağlam komutlarını yönlendirebilirsiniz ve böylece yardımcı, komutu gerçekleştirir.Yardımcı, bir veya daha fazla hizmet, yardımcı program ya da protokol için yapılandırma, izleme ve destek sağlayarak netsh aracının işlevselliğini genişleten bir Dinamik Bağlantı Kitaplığı (.dll) dosyasıdır.SQL Server sürümünü destekleyen tüm işletim sistemlerinin bir güvenlik duvarı yardımcısı vardır.Microsoft Windows Vista ve Windows Server 2008 ayrıca advfirewall adında gelişmiş bir güvenlik duvarı yardımcısına da sahiptir.netsh kullanma ayrıntıları bu konuda ele alınmamıştır.Ancak açıklanan yapılandırma seçeneklerinin birçoğu netsh kullanılarak yapılandırılabilir. Örneğin, 1433 numaralı TCP bağlantı noktasını açmak için bir komut isteminde aşağıdaki komut dosyasını çalıştırın:
netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT
Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı yardımcısını kullanmaya benzer örnek:
netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN
netsh kullanarak SQL Server yapılandırma komut dosyaları için bkz. Windows XP Service Pack çalıştıran sistemlerde kullanılacak SQL Server bağlantı noktalarını programlama yoluyla açmak için bir komut dosyası kullanma. netsh hakkında daha fazla bilgi için aşağıdaki bağlantılara bakın:
SQL Server Tarafından Kullanılan Bağlantı Noktaları
Aşağıdaki tablolar, SQL Server tarafından kullanılmakta olan bağlantı noktalarını tanımlamanıza yardımcı olabilir.
Veritabanı Altyapısı Tarafından Kullanılan Bağlantı Noktaları
Aşağıdaki tabloda, Veritabanı Altyapısı tarafından sık sık kullanılan bağlantı noktaları listelenmektedir.
Senaryo |
Bağlantı Noktası |
Açıklamalar |
---|---|---|
TCP üzerinden çalışan SQL Server varsayılan örneği |
1433 numaralı TCP bağlantı noktası |
Bu, güvenlik duvarı yoluyla izin verilen en yaygın bağlantı noktasıdır.Bu, varsayılan Veritabanı Altyapısı kurulumuna yapılan rutin bağlantılar veya yalnızca bilgisayarda çalışmakta olan adlandırılmış bir örnek için geçerlidir.(Adlandırılmış örnekler, dikkat edilmesi gereken özel noktalar içerir.Bu konunun ilerleyen bölümlerinde bkz. Dinamik Bağlantı Noktaları.) |
Varsayılan yapılandırmadaki SQL Server adlandırılmış örnekleri |
TCP bağlantı noktası, Veritabanı Altyapısı başlatıldığında belirlenen bir dinamik bağlantı noktasıdır. |
Dinamik Bağlantı Noktaları bölümünde aşağıdaki konuya bakın.Adlandırılmış örnekleri kullanırken SQL Server Tarayıcı Hizmeti için 1434 numaralı UDP bağlantı noktası gerekebilir. |
Sabit bağlantı noktası kullanmak için yapılandırıldığında SQL Server adlandırılmış örnekleri |
Yönetici tarafından yapılandırılan bağlantı noktası numarası. |
Dinamik Bağlantı Noktaları bölümünde aşağıdaki konuya bakın. |
Ayrılmış Yönetici Bağlantısı |
Varsayılan örnek için 1434 numaralı TCP bağlantı noktası.Diğer bağlantı noktaları, adlandırılmış örnekler için kullanılır.Hata günlüğünde bağlantı noktası numarasını kontrol edin. |
Varsayılan olarak, Ayrılmış Yönetici Bağlantısı'na (DAC) uzak bağlantılar etkin değildir.Uzak DAC'yi etkinleştirmek için, Yüzey Alanı Yapılandırması modelini kullanın.Daha fazla bilgi için, bkz. Surface Area Configuration'ı Anlama. |
SQL Server Tarayıcısı hizmeti |
1434 numaralı UDP bağlantı noktası |
SQL Server Tarayıcısı hizmeti, adlandırılmış bir örneğe gelen bağlantıları dinler ve istemciye o adlandırılmış örneğe karşılık gelen TCP bağlantı noktası numarasını sağlar.Normalde Veritabanı Altyapısı adlandırılmış örnekleri her kullanıldığında SQL Server Tarayıcısı hizmeti başlatılır.İstemci, adlandırılmış örneğin belirli bir bağlantı noktasına bağlanmak için yapılandırılırsa, SQL Server Tarayıcısı hizmetinin başlatılması gerekmez. |
Bir HTTP bitiş noktası üzerinden çalışan SQL Server örneği. |
Bir HTTP bitiş noktası oluşturulduğunda belirtilebilir.Varsayılan, CLEAR_PORT trafiği için 80 numaralı TCP bağlantı noktası ve SSL_PORT trafiği için 443 numaralı TCP bağlantı noktasıdır. |
Bir URL yoluyla HTTP bağlantısı için kullanılır. |
Bir HTTPS bitiş noktası üzerinden çalışan SQL Server varsayılan örneği. |
443 numaralı TCP bağlantı noktası |
Bir URL yoluyla HTTPS bağlantısı için kullanılır.HTTPS, güvenli yuva katmanını (SSL) kullanan bir HTTP bağlantısıdır. |
Service Broker |
4022 numaralı TCP bağlantı noktası.Kullanılan bağlantı noktasını doğrulamak için aşağıdaki sorguyu yürütün: SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'SERVICE_BROKER' |
SQL Server Service Broker için bir varsayılan bağlantı noktası yoktur, ancak Books Online örneklerinde kullanılan geleneksel yapılandırma budur. |
Veritabanı Yansıtma |
Yönetici tarafından seçilen bağlantı noktası.Bağlantı noktasını belirlemek için aşağıdaki sorguyu yürütün: SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'DATABASE_MIRRORING' |
Veritabanı yansıtma için varsayılan bir bağlantı noktası yoktur; ancak Books online örnekleri 7022 numaralı TCP bağlantı noktasını kullanır.Otomatik yük devretme ile özellikle yüksek güvenlik modunda, kullanımdaki yansıtma bitiş noktasının kesintiye uğratılmasının önlenmesi çok önemlidir.Güvenlik duvarı yapılandırmanız çekirdeğin bozulmasını önlemelidir.Daha fazla bilgi için, bkz. (Veritabanı yansıtma) sunucu ağ adresi belirleme. |
Çoğaltma |
SQL Server uygulamasına çoğaltma bağlantıları her zamanki tipik Veritabanı Altyapısı bağlantı noktalarını (varsayılan örnek için 1433 numaralı TCP bağlantı noktası, vb.) kullanır. Çoğaltma anlık görüntüsü için web eşitlemesi ve FTP/UNC erişimi, güvenlik duvarında ek bağlantı noktalarının açılmasını gerektirir.Başlangıç verilerini ve şemayı bir konumdan diğerine aktarmak için çoğaltma, FTP'yi (21 numaralı TCP bağlantı noktası) veya HTTP üzerinden eşitlemeyi (80 numaralı TCP bağlantı noktası) ya da Dosya ve Yazdırma Paylaşımını (137, 138 veya 139 numaralı TCP bağlantı noktası) kullanabilir. |
HTTP üzerinden eşitleme için çoğaltma, IIS bitiş noktasını (yapılandırılabilir olan ancak varsayılan olarak 80 numaralı olan bağlantı noktaları) kullanır ancak IIS işlemi, standart bağlantı noktaları yoluyla arka uç SQL Server hedefine bağlanır. FTP kullanılarak Web eşitlemesi sırasında FTP aktarımı, abone ile IIS arasında değil, IIS ile SQL Server yayıncısı arasındadır. Daha fazla bilgi için bkz. Internet üzerinden Microsoft SQL Server 2000 Çoğaltma için Microsoft Internet Security and Acceleration Server'ı Yapılandırma. |
Transact-SQL hata ayıklayıcı |
135 numaralı TCP bağlantı noktası Bkz. 135 Numaralı Bağlantı Noktası için Dikkat Edilmesi Gereken Özel Noktalar IPsec özel durumu da gerekebilir. |
Visual Studio kullanıyorsanız, Visual Studio ana bilgisayarında Özel Durumlar listesine Devenv.exe'yi de eklemeniz ve 135 numaralı TCP bağlantı noktasını açmanız gerekir. Management Studio kullanıyorsanız, Management Studio ana bilgisayarında Özel Durumlar listesine ssms.exe'yi de eklemeniz ve 135 numaralı TCP bağlantı noktasını açmanız gerekir.Daha fazla bilgi için, bkz. Transact-SQL hata ayıklayıcı yapılandırma. |
Veritabanı Altyapısı için Windows Güvenlik Duvarı'nı yapılandırmaya ilişkin adım adım yönergeler için bkz. Nasıl yapılır: Veritabanı Altyapısı Erişimi için Windows Güvenlik Duvarı'nı Yapılandırma.
Dinamik Bağlantı Noktaları
Varsayılan olarak adlandırılmış örnekler (SQL Server Express dahil), dinamik bağlantı noktalarını kullanır.Başka bir deyişle, Veritabanı Altyapısı her başlatıldığında, kullanılabilir bir bağlantı noktasını tanımlar ve bağlantı noktası numarasını kullanır.Adlandırılmış örnek, yüklenen tek Veritabanı Altyapısı örneğiyse, büyük ihtimalle 1433 numaralı TCP bağlantı noktasını kullanacaktır.Başka Veritabanı Altyapısı örnekleri yüklenirse, büyük ihtimalle farklı bir TCP bağlantı noktasını kullanacaktır.Seçilen bağlantı noktası, Veritabanı Altyapısı her başlatıldığında değişebileceğinden, doğru bağlantı noktası numarasına erişimi etkinleştirmek için güvenlik duvarının yapılandırılması zordur.Bu nedenle bir güvenlik duvarı kullanılıyorsa, her defasında aynı bağlantı noktası numarasını kullanacak şekilde Veritabanı Altyapısı yeniden yapılandırmasını öneririz.Bu, sabit bağlantı noktası veya statik bağlantı noktası olarak adlandırılır.Daha fazla bilgi için, bkz. Configuring a Fixed Port.
Adlandırılmış bir örneğin sabit bir bağlantı noktasını dinleyecek şekilde yapılandırılmasına alternatif olarak, sqlservr.exe gibi bir SQL Server programı için güvenlik duvarında özel durum oluşturulabilir (Veritabanı Altyapısı için).Bu kullanışlı olabilir, ancak Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı MMC ek bileşenini kullandığınızda bağlantı noktası numarası, Gelen Kuralları sayfasının Yerel Bağlantı Noktası sütununda görüntülenmez.Bu, hangi bağlantı noktalarının açık olduğunun denetlenmesini zorlaştırabilir. Dikkate alınması gereken başka bir nokta da bir hizmet paketi veya kümülatif güncellemenin, SQL Server yolunu değiştirerek güvenlik duvarı kuralını geçersiz kılabilmesidir.
Not
Aşağıdaki yordam, Denetim Masası'ndaki Windows Güvenlik Duvarı öğesini kullanır.Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı MMC ek bileşeni daha karmaşık bir kural yapılandırabilir.Bu, derin savunma sağlamak için yararlı olabilecek bir hizmet özel durumunun yapılandırılmasını içerir.Aşağıda bkz. Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı Ek Bileşenini Kullanma.
Denetim Masası'ndaki Windows Güvenlik Duvarı öğesini kullanarak güvenlik duvarına bir program özel durumu eklemek için.
Denetim Masası'ndaki Windows Güvenlik Duvarı öğesinin Özel Durumlarsekmesinde Program ekleyin'i tıklatın.
Güvenlik duvarından geçmesine izin vermek istediğiniz SQL Server örneğinin (örneğin, C:\Program Files\Microsoft SQL Server\MSSQL10_50.<instance_name>\MSSQL\Binn) konumuna göz atın, sqlservr.exe seçeneğini belirleyin ve Aç'ı tıklatın.
Tamam’ı tıklatın.
Bitiş noktaları hakkında daha fazla bilgi için bkz. Ağ protokolleri ve tds bitiş noktaları ve Bitiş noktaları Kataloğu görünümleri (Transact-SQL).
Analysis Services Tarafından Kullanılan Bağlantı Noktaları
Aşağıdaki tabloda, Analysis Services tarafından sıkça kullanılan bağlantı noktaları listelenmektedir.
Özellik |
Bağlantı Noktası |
Açıklamalar |
---|---|---|
Analysis Services |
Varsayılan örnek için 2383 numaralı TCP bağlantı noktası |
Varsayılan Analysis Services örneği için standart bağlantı noktası. |
SQL Server Tarayıcısı hizmeti |
Yalnızca bir Analysis Services adlandırılmış örneği için gerekli 2382 numaralı TCP bağlantı noktası |
Bir bağlantı noktası numarası belirtmeyen adlandırılmış bir Analysis Services örneğine yönelik istemci bağlantısı istekleri, SQL Server Tarayıcısı'nın dinlediği 2382 numaralı bağlantı noktasına yönlendirilir.SQL Server Tarayıcısı daha sonra adlandırılmış örneğin kullandığı bağlantı noktasına isteği yeniden yönlendirir. |
IIS/HTTP yoluyla kullanım için yapılandırılan Analysis Services (PivotTable® Hizmeti, HTTP veya HTTPS kullanır) |
80 numaralı TCP bağlantı noktası |
Bir URL yoluyla HTTP bağlantısı için kullanılır. |
IIS/HTTPS yoluyla kullanım için yapılandırılan Analysis Services (PivotTable® Hizmeti, HTTP veya HTTPS kullanır) |
443 numaralı TCP bağlantı noktası |
Bir URL yoluyla HTTPS bağlantısı için kullanılır.HTTPS, güvenli yuva katmanını (SSL) kullanan bir HTTP bağlantısıdır. |
Kullanıcılar IIS ve Internet yoluyla Analysis Services erişimi gerçekleştirirse, IIS'nin dinlemekte olduğu bağlantı noktasını açıp istemci bağlantı dizesinde o bağlantı noktasını belirtmeniz gerekir.Bu durumda, doğrudan Analysis Services erişimi için bir bağlantı noktasının açılmış olması gerekmez.Diğer tüm bağlantı noktalarına gerek kalmayacak şekilde, varsayılan 2389 numaralı bağlantı noktasına ve 2382 numaralı bağlantı noktasına kısıtlama yapılmalıdır.
Analysis Services için Windows Güvenlik Duvarı'nı yapılandırmaya ilişkin adım adım yönergeler için bkz. Windows Güvenlik Duvarı Analysis Services erişimi için yapılandırma.
Reporting Services Tarafından Kullanılan Bağlantı Noktaları
Aşağıdaki tabloda, Reporting Services tarafından sıkça kullanılan bağlantı noktaları listelenmektedir.
Özellik |
Bağlantı Noktası |
Açıklamalar |
---|---|---|
Reporting Services Web Hizmetleri |
80 numaralı TCP bağlantı noktası |
Bir URL üzerinden Reporting Services ile HTTP bağlantısı için kullanılır.World Wide Web Hizmetleri (HTTP) önceden yapılandırılmış kuralını kullanmamanızı öneririz.Daha fazla bilgi için aşağıdaki bölümde bkz. Diğer Güvenlik Duvarı Kuralları ile Etkileşim. |
HTTPS yoluyla kullanım için yapılandırılan Reporting Services |
443 numaralı TCP bağlantı noktası |
Bir URL yoluyla HTTPS bağlantısı için kullanılır.HTTPS, güvenli yuva katmanını (SSL) kullanan bir HTTP bağlantısıdır.Güvenli World Wide Web Hizmetleri (HTTPS) önceden yapılandırılmış kuralını kullanmamanızı öneririz.Daha fazla bilgi için aşağıdaki bölümde bkz. Diğer Güvenlik Duvarı Kuralları ile Etkileşim. |
Reporting Services bir Veritabanı Altyapısı veya Analysis Services örneğine bağlandığında, bu hizmetler için uygun bağlantı noktalarını da açmanız gerekir.Reporting Services için Windows Güvenlik Duvarı'nı yapılandırmaya ilişkin adım adım yönergeler için bkz. Nasıl yapılır: Rapor sunucusu erişimi için bir güvenlik duvarını yapılandırma.
Integration Services Tarafından Kullanılan Bağlantı Noktaları
Aşağıdaki tabloda, Integration Services hizmeti tarafından kullanılan bağlantı noktaları listelenmektedir.
Özellik |
Bağlantı Noktası |
Açıklamalar |
---|---|---|
Microsoft uzak yordam çağrıları (MS RPC) Integration Services çalışma zamanı tarafından kullanılan. |
135 numaralı TCP bağlantı noktası Bkz. 135 Numaralı Bağlantı Noktası için Dikkat Edilmesi Gereken Özel Noktalar |
Integration Services hizmeti, 135 numaralı bağlantı noktasında DCOM kullanır.Hizmet Denetim Yöneticisi, Integration Services hizmetini başlatıp durdurma ve çalışmakta olan hizmete denetim isteklerini iletme gibi görevleri gerçekleştirmek için 135 numaralı bağlantı noktasını kullanır. Bağlantı noktası numarası değiştirilemez. Yalnızca Management Studio içinden veya özel bir uygulamadan Integration Services hizmetinin uzak bir örneğine bağlanıyorsanız bu bağlantı noktasının açık olması gerekir. |
Integration Services için Windows Güvenlik Duvarı'nı yapılandırmaya ilişkin adım adım yönergeler için bkz. Windows Güvenlik Duvarı Tümleştirme Hizmetleri erişimi için yapılandırma ve Nasıl yapılır: Windows Güvenlik Duvarı tümleştirme hizmetleri yapılandırma.
Ek Bağlantı Noktaları ve Hizmetler
Aşağıdaki tabloda, SQL Server uygulamasının bağlı olabileceği bağlantı noktaları ve hizmetler listelenmektedir.
Senaryo |
Bağlantı Noktası |
Açıklamalar |
---|---|---|
Windows Yönetim Araçları WMI hakkında daha fazla bilgi için bkz. Yapılandırma yönetimi kavramları için WMI sağlayıcısı |
WMI, DCOM yoluyla atanan bağlantı noktalarıyla birlikte, paylaşılan hizmetin parçası olarak çalışır.WMI, 135 numaralı TCP bağlantı noktasını kullanıyor olabilir. Bkz. 135 Numaralı Bağlantı Noktası için Dikkat Edilmesi Gereken Özel Noktalar |
SQL Server Yapılandırma Yöneticisi, hizmetleri listelemek ve yönetmek için WMI kullanır.Windows Yönetim Araçları (WMI) önceden yapılandırılmış kural grubunu kullanmanızı öneririz.Daha fazla bilgi için aşağıdaki bölümde bkz. Diğer Güvenlik Duvarı Kuralları ile Etkileşim. |
Microsoft Dağıtılmış İşlem Düzenleyicisi (MS DTC) |
135 numaralı TCP bağlantı noktası Bkz. 135 Numaralı Bağlantı Noktası için Dikkat Edilmesi Gereken Özel Noktalar |
Uygulamanız dağıtılmış işlemler kullanıyorsa, Microsoft Dağıtılmış İşlem Düzenleyicisi (MS DTC) trafiğinin ayrı MS DTC örnekleri arasında ve MS DTC ile SQL Server gibi kaynak yöneticileri arasında akmasına izin vermek için güvenlik duvarını yapılandırmanız gerekebilir. Önceden yapılandırılmış Dağıtılmış İşlem Düzenleyicisi kural grubunu kullanmanızı öneririz. Ayrı bir kaynak grubunda kümenin tamamı için tek bir paylaşılan MS DTC yapılandırıldığında, güvenlik duvarına yönelik özel durum olarak sqlservr.exe eklemeniz gerekir. |
Management Studio içindeki gözat düğmesi, SQL Server Tarayıcı Hizmeti'ne bağlanmak için UDP kullanır.Daha fazla bilgi için, bkz. SQL Server Tarayıcısı hizmeti. |
1434 numaralı UDP bağlantı noktası |
UDP, bağlantısız bir protokoldür. Güvenlik duvarının, bir yayın (veya çok noktaya yayın) UDP isteğine karşı tek noktaya yayın yanıtlarıyla ilgili güvenlik duvarı davranışını denetleyen INetFwProfile Arabiriminin UnicastResponsesToMulticastBroadcastDisabled Özelliği adında bir ayarı vardır.Bunun iki davranışı vardır:
|
IPsec trafiği |
500 numaralı UDP bağlantı noktası ve 4500 numaralı UDP bağlantı noktası |
Etki alanı ilkesi, ağ iletişimlerinin IPSec yoluyla yapılmasını gerektiriyorsa, özel durum listesine 4500 numaralı UDP bağlantı noktasını ve 500 numaralı UDP bağlantı noktasını da eklemeniz gerekir.IPSec, Windows Güvenlik Duvarı ek bileşeninde Yeni Gelen Kuralı Sihirbazı'nı kullanan bir seçenektir.Daha fazla bilgi için aşağıda bkz. Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı Ek Bileşenini Kullanma. |
Güvenilen Etki Alanları ile Windows Kimlik Doğrulamasını Kullanma |
Güvenlik duvarları, kimlik doğrulama isteklerine izin verecek şekilde yapılandırılmalıdır. |
Daha fazla bilgi için bkz. Etki alanları ve güven ilişkileri için güvenlik duvarını yapılandırma. |
SQL Server ve Windows Kümeleme |
Kümeleme, doğrudan SQL Server ile ilgili olmayan ek bağlantı noktaları gerektirir. |
Daha fazla bilgi için bkz. Küme kullanımı için bir ağı etkinleştirme. |
HTTP Server API'de saklanan URL ad alanları (HTTP.SYS) |
Büyük ihtimalle 80 numaralı TCP bağlantı noktasıdır, ancak diğer bağlantı noktalarına da yapılandırılabilir.Genel bilgi için bkz. HTTP ve HTTPS Yapılandırma. |
HttpCfg.exe kullanılarak bir HTTP.SYS bitiş noktası ayrılması hakkında SQL Server uygulamasına özgü bilgiler için bkz. Http.sys kullanarak url Namespaces rezerve etme. |
135 Numaralı Bağlantı Noktası için Dikkat Edilmesi Gereken Özel Noktalar
Aktarım olarak TCP/IP veya UDP/IP ile RPC kullandığınızda, gelen bağlantı noktaları gerektiği şekilde sık sık sistem hizmetlerine dinamik olarak atanır; 1024 numaralı bağlantı noktasından daha büyük olan TCP/IP ve UDP/IP bağlantı noktaları kullanılır.Bunlar genellikle "rastgele RPC bağlantı noktaları" olarak ifade edilir. Bu gibi durumlarda RPC istemcileri, sunucuya dinamik bağlantı noktalarının atandığını bildirmek için RPC bitiş noktası eşleyicisini kullanır.RPC tabanlı bazı hizmetler için, RPC'nin bir bağlantı noktası atamasına izin vermek yerine siz belirli bir bağlantı noktası yapılandırabilirsiniz.Hizmete bakılmaksızın, RPC'nin dinamik olarak atadığı bağlantı noktaları aralığını da kısıtlayabilirsiniz.Birçok hizmet için 135 numaralı bağlantı noktası kullanıldığından, kötü amaçlı kullanıcılar sık sık bu bağlantı noktasına saldırır.135 numaralı bağlantı noktasını açarken, güvenlik duvarı kuralının kapsamını kısıtlamayı düşünün.
135 numaralı bağlantı noktası hakkında daha fazla bilgi için, aşağıdaki başvurulara bakın:
Diğer Güvenlik Duvarı Kuralları ile Etkileşim
Windows Güvenlik Duvarı, yapılandırmasını kurmak için kurallar ve kural gruplarını kullanır.Her bir kural veya kural grubu genellikle belirli bir program ya da hizmet ile ilişkilendirilmiştir ve söz konusu program veya hizmet, sizin bilginiz olmadan o kuralı değiştirebilir ya da silebilir.Örneğin, World Wide Web Hizmetleri (HTTP) ve World Wide Web Hizmetleri (HTTPS) kural grupları, IIS ile ilişkilendirilmiştir.Bu kurallar etkinleştirildiğinde, 80 ve 443 numaralı bağlantı noktaları açılır ve 80 ve 443 numaralı bağlantı noktalarına bağlı olan SQL Server özellikleri çalışır.Ancak, IIS yapılandıran yöneticiler bu kuralları değiştirebilir veya devre dışı bırakabilir.Bu nedenle, SQL Server için 80 numaralı bağlantı noktasını veya 443 numaralı bağlantı noktasını kullanıyorsanız, diğer IIS kurallarından bağımsız olarak istediğiniz bağlantı noktası yapılandırmasını koruyan kendi kuralınızı veya kural grubunuzu oluşturmanız gerekir.
Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı MMC ek bileşeni, herhangi bir uygulanabilir izin kuralıyla eşleşen trafiğe izin verir.Böylece, her ikisi de 80 numaralı bağlantı noktası için geçerli olan iki kural varsa, kurallardan herhangi biriyle eşleşen trafiğe izin verilir.Böylece bir kural yerel alt ağdan 80 numaralı bağlantı noktası üzerinden trafiğe ve bir kural herhangi bir adresten trafiğe izin veriyorsa, sonuçta kaynağa bakılmaksızın 80 numaralı bağlantı noktasına tüm trafiğe izin verilir.SQL Server erişimini etkili şekilde yönetmek için yöneticiler sunucuda etkinleştirilen tüm güvenlik duvarı kurallarını düzenli aralıklarla gözden geçirmelidir.
Güvenlik Duvarı Profillerine Genel Bakış
Güvenlik duvarı profilleri, Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı Başlangıç Kılavuzu içinde Ağ konumuna duyarlı ana makine güvenlik duvarı bölümünde ele alınmıştır.Özetlemek gerekirse, Windows Vista ve Windows Server 2008 sürümlerinden itibaren işletim sistemleri, bağlandıkları ağların her birini bağlanılabilirlik, bağlantılar ve kategori bakımından tanımlar ve hatırlar.
Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı'nda üç ağ konumu türü vardır:
Etki Alanı.Windows, bilgisayarın katıldığı etki alanı için etki alanı denetleyicisine erişimin kimlik doğrulamasını yapabilir.
Genel.Etki alanı ağları dışında tüm ağlar başlangıçta genel kategorisine sokulur.Internet'e doğrudan bağlantıyı temsil eden veya havaalanı ve kafeler gibi genel konumlarda bulunan ağlar genel olarak bırakılmalıdır.
Özel.Bir kullanıcı veya uygulama tarafından özel olarak tanımlanan bir ağ.Yalnızca güvenilen ağlar, özel ağlar olarak tanımlanmalıdır.Kullanıcılar büyük ihtimalle ev veya küçük iş ağlarını özel olarak tanımlamak ister.
Yönetici, her profil farklı güvenlik duvarı ilkeleri içerecek şekilde her bir ağ konumu türü için bir profil oluşturabilir.Aynı anda yalnızca bir profil uygulanır.Profil düzeni aşağıdaki şekilde uygulanır:
Tüm arabirimlerin, bilgisayarın üyesi olduğu etki alanı için etki alanı denetleyicisine karşı kimlik doğrulaması yapıldıysa, etki alanı profili uygulanır.
Tüm arabirimlerin, etki alanı denetleyicisine karşı kimlik doğrulaması yapıldıysa veya tüm arabirimler özel ağ konumları olarak sınıflandırılan ağlara bağlandıysa, özel profil uygulanır.
Aksi takdirde, genel profil uygulanır.
Tüm güvenlik duvarı profillerini görüntülemek ve yapılandırmak için Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı MMC ek bileşenini kullanın.Denetim Masası'ndaki Windows Güvenlik Duvarı öğesi yalnızca geçerli profili yapılandırır.
Denetim Masası'ndaki Windows Güvenlik Duvarı Kullanılarak Yapılan Ek Güvenlik Duvarı Ayarları
Güvenlik duvarına eklediğiniz özel durumlar, bağlantı noktasının açılmasını belirli bilgisayarlardan veya yerel alt ağdan gelen bağlantılarla kısıtlayabilirBağlantı noktası açılmasının bu kapsam kısıtlaması, bilgisayarınızın maruz kaldığı kötü amaçlı kullanıcı sayısını azaltabilir ve bu kısıtlamanın uygulanması önerilir.
Not
Denetim Masası'ndaki Windows Güvenlik Duvarı öğesi kullanıldığında yalnızca geçerli güvenlik duvarı profili yapılandırılır.
Denetim Masası'ndaki Windows Güvenlik Duvarı öğesini kullanarak güvenlik duvarı özel durumunun kapsamını değiştirmek için
Denetim Masası'ndaki Windows Güvenlik Duvarı'nda Özel Durumlar sekmesinden bir program veya bağlantı noktası seçip Özellikler'i ya da Düzen'i tıklatın.
Programı Düzenle veya Bağlantı Noktasını Düzenle iletişim kutusunda Kapsam Değiştir'i tıklatın.
Aşağıdaki seçeneklerden birini belirleyin:
Herhangi bir bilgisayar (Internet üzerindekiler de dahil)
Önerilmez.Bu, bilgisayarınıza yönlenebilen herhangi bir bilgisayarın belirtilen program veya bağlantı noktasına bağlanmasına olanak sağlar.Bu ayar, Internet'te anonim kullanıcılara bilgilerin sunulmasını sağlamak için gerekli olabilir ancak öte yandan kötü amaçlı kullanıcılara maruz kalma olasılığınızı da artırır.Bu ayarı etkinleştirir ve ayrıca Kenar çapraz geçişine izin ver seçeneği gibi Ağ Adresi Çevirisi (NAT) çapraz geçişine de izin verirseniz, bu olasılık daha da artar.
Yalnızca benim ağım (alt ağ)
Bu, Herhangi bir bilgisayar'dan daha güvenli bir ayardır.Yalnızca ağınızın yerel alt ağındaki bilgisayarlar, programa veya bağlantı noktasına bağlanabilir.
Özel liste:
Yalnızca listelediğiniz IP adresleri olan bilgisayarlar bağlanabilir.Bu, Yalnızca benim ağım (alt ağ) seçeneğinden daha güvenli bir ayar olabilir; ancak DHCP kullanan istemci bilgisayarlar ara sıra IP adreslerini değiştirebilir.Bu durumda, tasarlanan bilgisayar bağlanamaz.Yetki vermeyi tasarlamadığınız başka bir bilgisayar, listelenen IP adresini kabul edebilir ve sonra bağlanabilir.Özel liste seçeneği, sabit bir IP adresi kullanmak için yapılandırılan diğer sunucuların listelenmesi için uygun olabilir; ancak IP adresleri bir saldırgan tarafından ele geçirilebilir.Güvenlik duvarı kurallarının kısıtlanması yalnızca ağ altyapınız ölçüsünde güçlüdür.
Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı Ek Bileşenini Kullanma
Vista ve Windows Server 2008 sürümünden itibaren, Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı MMC ek bileşeni kullanılarak ek güvenlik duvarı ayarları yapılandırılabilir.Bu ek bileşen, bir kural sihirbazı içerir ve Denetim Masası'ndaki Windows Güvenlik Duvarı'nda kullanılamayan ek ayarlar sunar.Bu ayarlar arasında şunlar yer alır:
Şifreleme ayarları
Hizmet kısıtlamaları
Bilgisayarların bağlantılarını ada göre kısıtlama
Bağlantıları belirli kullanıcı veya profillere kısıtlama
Ağ Adresi Çevirisi (NAT) yönlendiricilerinin atlanmasına olanak sağlayan kenar çapraz geçişi
Giden kurallarını yapılandırma
Güvenlik kurallarını yapılandırma
Gelen bağlantılar için IPSec'i zorunlu tutma
Yeni Kural sihirbazını kullanarak yeni bir güvenlik duvarı kuralı oluşturmak için
Başlat menüsünde Çalıştır'ı tıklatıp WF.msc yazın ve ardından Tamam'ı tıklatın.
Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı'nda sol bölmede bulunan Gelen Kuralları'nı sağ tıklatın ve Yeni Kural'ı tıklatın.
İstediğiniz ayarları kullanarak Yeni Gelen Kuralı Sihirbazı'nı tamamlayın.
Güvenlik Duvarı Ayarları ile İlgili Sorunları Giderme
Aşağıdaki araçlar ve teknikler, güvenlik duvarı sorunlarının giderilmesinde yararlı olabilir:
Etkin bağlantı noktası durumu, bağlantı noktasıyla ilgili tüm kuralların birleşimidir.Bir bağlantı noktası üzerinden erişimi engellemeye çalışırken, bağlantı noktası numarasını içeren tüm kuralları gözden geçirin.Bunu yapmak için, Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı MMC ek bileşenini kullanın ve gelen ve giden kurallarını bağlantı noktası numarasına göre sıralayın.
SQL Server çalıştıran bilgisayarda etkin olan bağlantı noktalarını gözden geçirin.Bu gözden geçirme işlemi, hangi TCP/IP bağlantı noktalarının dinlemekte olduğunun ve bağlantı noktalarının durumunun doğrulanmasını da içerir.
Hangi bağlantı noktalarını dinlemekte olduğunu doğrulamak için netstat komut satırı yardımcı programını kullanın.Etkin TCP bağlantılarını görüntülemeye ek olarak netstat yardımcı programı, çeşitli IP istatistiklerini ve bilgilerini de görüntüler
Hangi TCP/IP bağlantı noktalarının dinlemekte olduğunu listelemek için
Komut İstemi penceresini açın.
Komut istemine netstat -n -a yazın.
-n anahtarı, netstat öğesine, etkin TCP bağlantılarının adresini ve bağlantı noktası numarasını sayısal olarak görüntüleme talimatı verir.-a anahtarı, netstat öğesine bilgisayarın dinlemekte olduğu TCP ve UDP bağlantı noktalarını görüntüleme talimatı verir.
PortQry yardımcı programı, TCP/IP bağlantı noktalarının durumunu dinliyor, dinlemiyor veya filtre uygulandı olarak bildirmek için kullanılabilir.(Filtre uygulandı durumunda, bağlantı noktası dinliyor veya dinlemiyor olabilir; bu durum, yardımcı programın bağlantı noktasından bir yanıt almadığını belirtir. PortQry yardımcı programı, Microsoft Yükleme Merkezi'nden karşıdan yüklenebilir.
Ek sorun giderme konuları için bkz:
Ayrıca bkz.