SQL Server erişimi için izin vermek için Windows Güvenlik Duvarı'nı yapılandırma
Güvenlik Duvarı sistemleri, bilgisayar kaynaklarına yetkisiz erişimin engellenmesine yardımcı olur.Güvenlik Duvarı açık ancak doğru yapılandırılmış, bağlanma denemesiSQL Serverengellenmiş olabilir.
Örneğine erişmek içinSQL Serverbir güvenlik duvarı üzerinden gerekir yapılandırdığınız bilgisayarda çalışan güvenlik duvarıSQL Serverizin verilecek erişim.Güvenlik Duvarı bir bileşenidirMicrosoftWindows.Başka bir şirketin güvenlik duvarı da yükleyebilirsiniz.Bu konuda, Windows Güvenlik Duvarı yapılandırma anlatılmaktadır, ancak diğer güvenlik duvarı programları için temel ilkeleri uygulanır.
Not
Bu konu, güvenlik duvarı genel bir bakış sağlar yapılandırma ilgisini bilgileri özetler ve birSQL Serveryönetici.Güvenlik Duvarı hakkında daha fazla bilgi ve yetkili güvenlik duvarı bilgi için bkz: güvenlik duvarı belgelerini, gibiGelişmiş Güvenlik ve IPSec özellikli Windows Güvenlik Duvarı ve İçerik Kılavuzu - Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı .
Kullanıcıların tanıdık olanWindows Güvenlik Duvarı ve Gelişmiş Güvenlik Microsoft Office 2010 Suite Yönetim Konsolu (MMC) ek bileşenini ve kimlerin hangi güvenlik duvarı ayarlarını yapılandırmak için istedikleri bildiğiniz Windows Güvenlik Duvarı Denetim Masası'ndaki bir öğeyi doğrudan aşağıdaki listede bulunan konularda taşıyabilirsiniz:
Nasıl Yapılır: Bir Windows Güvenlik Duvarı'nı veritabanı altyapısı erişimi için yapılandırma
Nasıl Yapılır: Windows Güvenlik Duvarı'nı Analysis Services erişimi için yapılandırma
Nasıl Yapılır: Bir Güvenlik Duvarı'nı rapor sunucusu erişimi için yapılandırma
Nasıl Yapılır: Bir Windows Güvenlik Duvarı'nı Tümleştirme Hizmetleri için yapılandırma
Bu konu içinde
Bu konuda aşağıdaki bölümler bulunur:
Temel Güvenlik Duvarı bilgileri
Varsayılan güvenlik duvarı ayarları
Programların, güvenlik duvarını yapılandırın
Veritabanı motoru tarafından kullanılan bağlantı noktaları
Analysis Services tarafından kullanılan bağlantı noktaları
Raporlama Servisleri tarafından kullanılan bağlantı noktaları
tümleştirme Services tarafından kullanılan bağlantı noktaları
Ek bağlantı noktaları ve Hizmetleri
Diğer güvenlik duvarı kuralları ile etkileşim
Güvenlik Duvarı profilleri genel bakış
Ek güvenlik duvarı ayarlarını Denetim Masası'ndaki Windows Güvenlik Duvarı öğe kullanma
Gelişmiş Güvenlik ek bileşenini Windows Güvenlik Duvarı'nı kullanma
Güvenlik Duvarı ayarlarını sorun giderme
Temel Güvenlik Duvarı bilgileri
Güvenlik Duvarı gelen paketleri inceleme ve bunları bir dizi kurala göre karşılaştırarak çalışır.Kural Paketi izin verirseniz, güvenlik duvarı paket ek işlemler için TCP/IP protokol geçirir.Kural Paketi izin verirseniz, güvenlik duvarı paketi atar ve günlüğe kaydetme etkin olduğunda güvenlik duvarı günlük dosyasına bir giriş oluşturur.
İzin verilen trafik listesi aşağıdaki yollardan biriyle doldurulur:
Güvenlik Duvarı bulunduğu bilgisayarı başlatırken iletişimi etkin olduğunda, güvenlik duvarı yanıt verilir, listede bir girdi oluşturur.Gelen yanıt istenen trafiği kabul edilir ve bu yapılandırma gerekmez.
Yöneticinin güvenlik duvarı özel durumlar yapılandırır.Bu bilgisayarda çalışan belirli programlara erişimi ya da bilgisayarınızdaki belirli bağlantı noktalarına erişim sağlar.Bu durumda, bilgisayarı bir sunucu, dinleyici veya eş işlevi gören, istenmeyen gelen trafiği kabul eder.Bu, bağlanmak için tamamlanması gereken yapılandırma türüSQL Server.
Bir güvenlik duvarı yalnızca deciding ise daha karmaşık stratejisidir seçerek belirli bir bağlantı noktası açık veya kapalı olması gerekir.Kuruluşunuz için bir güvenlik duvarı strateji tasarlarken, kurallarını ve yapılandırma seçenekleri dikkate emin olun.Bu konuda tüm olası bir güvenlik duvarı seçeneklerini inceleyin.Aşağıdaki belgeyi gözden geçirmenizi öneririz:
Gelişmiş güvenlik tasarım kılavuzu içeren Windows Güvenlik Duvarı
Varsayılan güvenlik duvarı ayarları
Güvenlik Duvarı yapılandırmanızı planlamanın ilk adımı, işletim sistemi güvenlik duvarının geçerli durumunu belirlemektir.İşletim sisteminin önceki bir sürümden yükseltildi, önceki güvenlik duvarı ayarları korunur.Ayrıca, güvenlik duvarı ayarlarını Grup İlkesi etki alanınızda veya başka bir yönetici tarafından değiştirilmiş.Ancak, varsayılan ayarlar şunlardır:
Windows Server 2008
Güvenlik Duvarı açık olduğundan ve uzak bağlantıları engelliyor.
Windows Server 2003
Güvenlik Duvarı kapalı.Yöneticiler güvenlik duvarını kapatma göz önünde bulundurmalısınız.
Windows Vista
Güvenlik Duvarı açık olduğundan ve uzak bağlantıları engelliyor.
Windows XP hizmet Pack 2 veya sonraki sürümü
Güvenlik Duvarı açık olduğundan ve uzak bağlantıları engelliyor.
Pencere XP hizmet Pack 1 veya daha önceki
Güvenlik Duvarı kapalı ve açık olması.
Not
Güvenlik duvarını kapatma, paylaşım ve Uzak Masaüstü bağlantı dosyası gibi bu bilgisayara erişim ve diğer programları etkiler.Yöneticiler, güvenlik duvarı ayarlarını ayarlamadan önce bilgisayarda çalışan tüm uygulamaları göz önünde bulundurmalısınız.
Programların, güvenlik duvarını yapılandırın
Windows Güvenlik Duvarı ayarlarını yapılandırmak için üç yolu vardır.
Denetim Masası'ndaki Windows Güvenlik Duvarı öğe
The Windows Firewall item can be opened from Control Panel.
Important Note: Yapılan değişikliklerWindows Güvenlik Duvarı öğe Denetim Masası'nda yalnızca etkileyen geçerli profil.Mobil aygıtlar, örneğin bir dizüstü kullanmalıdırWindows Güvenlik Duvarı bağlı olduğu, bir yapılandırma. öğe profil olarak Denetim Masası'ndaki değişebilir Daha sonra önceden yapılandırılmış profili etkili olmaz.Profilleri hakkında daha fazla bilgi için bkz:Gelişmiş Windows Vista ve Windows Server 2008 Güvenlik Özellikli Windows Güvenlik Duvarı ile başlarken.
The Windows Firewall item in Control Panel allows you to configure basic options.Bu özellikler şunlardır:
KapatmaWindows Güvenlik Duvarı açma veya öğe Denetim Masası'ndaki
Etkinleştirme ve devreden çıkarma kuralları
Bağlantı noktaları ve programlar için özel durumlar verme
Bazı kapsam kısıtlamalarını ayarlama
The Windows Firewall item in Control Panel is most appropriate for users who are not experienced in firewall configuration, and who are configuring basic firewall options for computers that are not mobile.Da açabilirsinizWindows Güvenlik Duvarı öğe Denetim Masası'ndaki runaşağıdaki yordamı kullanarak komut:
Windows Güvenlik Duvarı'nı açmak için
,Başlatma menüsünde Çalıştır' ı tıklatın ve sonra girin firewall.cpl.
Click OK.
Microsoft Office 2010 Suite Yönetim Konsolu (MMC)
Gelişmiş Güvenlik MMC ek bileşenini kullanarak Windows Güvenlik Duvarı, Gelişmiş Güvenlik Duvarı ayarlarını yapılandırmanızı sağlar.Bu eklenti yalnızca için kullanılabilirMicrosoftVista veWindows Server 2008ancak, çoğu güvenlik duvarı seçenekleri kullanımı kolay bir şekilde sunar ve sunan tüm güvenlik duvarı profilleri.Daha fazla bilgi için bkz:Gelişmiş Güvenlik ek bileşenini kullanarak Windows Güvenlik Duvarı'nı kullanma daha sonra bu konuda.
Netsh
The netsh.exe tool can be used by an administrator to configure and monitor Windows-based computers at a command prompt or using a batch file**.Netsh** kullanarak araç ilgili yardımcı için girdiğiniz bağlamı komutları yönlendirebilir ve yardımcı komutu. gerçekleştirir Bir yardımcı işlevselliğini genişleten bir dinamik bağlantı kitaplığı (.dll) dosyasıdırnetsh aracını yapılandırma, izleme ve Destek sağlayarak bir veya daha çok hizmetler, yardımcı program veya iletişim kuralları. için All operating systems that support SQL Server have a firewall helper.Microsoft Windows Vista and Windows Server 2008 also have an advanced firewall helper called advfirewall.Kullanmanın ayrıntılarınetsh değil bu konuda. ele Ancak, açıklanan yapılandırma seçeneklerinin çoğu yapılandırılabilir kullanaraknetsh.Örneğin, aşağıdaki komut istemi dosyası 1433 TCP bağlantı noktasını açmak için komut istemi isteminde çalıştırın:
netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT
Gelişmiş Güvenlik yardımcı için Windows Güvenlik Duvarı kullanarak benzer bir örnek:
netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN
Komut dosyalarını yapılandırmak içinSQL Servernetsh, kullanma konusuna bakın.Windows XP hizmet paketi çalıştıran sistemlerde kullanılacak SQL Server için bağlantı noktalarını program aracılığıyla açmak için bir komut dosyası kullanma.Daha fazla bilginetsh, aşağıdaki bağlantılara bakın:
SQL Server tarafından kullanılan bağlantı noktaları
Aşağıdaki tabloda, şu anda kullandığı bağlantı noktaları belirlemenize yardımcı olabilirSQL Server.
Veritabanı motoru tarafından kullanılan bağlantı noktaları
Tarafından sık kullanılan bağlantı noktaları aşağıdaki tabloda listelenmektedirDatabase Engine.
Senaryo |
Bağlantı Noktası |
Açıklamalar |
---|---|---|
SQL Server TCP üzerinden çalışan varsayılan örnek |
TCP bağlantı noktası 1433 |
Bu güvenlik duvarı üzerinden izin verilen en çok kullanılan bağlantı noktasıdır.Varsayılan yükleme yordamı bağlantı uygulandığıDatabase Engine, veya adlandırılmış örnek. üzerinde çalışan tek örnek olan(Adlandırılmış kopyaları özel hususlar vardır.Bkz:Dinamik bağlantı noktası bu konunun ilerleyen.) |
SQL Server Varsayılan durumda adlı yapılandırma |
The TCP bağlantı noktası saat belirlenen dinamik bağlantı noktası olanDatabase Enginebaşlar. |
Aşağıdaki tartışma bölümünde Bkz:Dinamik bağlantı noktası.UDP bağlantı noktası 1434 için gerekli olabilirSQL ServerTarayıcı hizmet, kullandığınız adlı örnekler. |
SQL Server sabit bir bağlantı noktasını kullanacak biçimde yapılandırıldığında örnek adı |
Yönetici tarafından yapılandırılan bağlantı noktası numarası. |
Aşağıdaki tartışma bölümünde Bkz:Dinamik bağlantı noktası. |
Adanmış yönetici bağlantısı |
Varsayılan örnek için TCP bağlantı noktası 1434.Diğer bağlantı noktaları, adlandırılmış kopyalar için kullanılır.Bağlantı noktası için hata günlüğü denetleyin. |
Uzak bağlantılar için adanmış yönetici bağlantısı (DAC) varsayılan olarak etkin değildir.Uzak DAC, yüzey alanı yapılandırma model kullanın.Daha fazla bilgi için bkz:yüzey alanı yapılandırma'ı anlama. |
SQL Server Tarayıcı hizmet |
UDP bağlantı noktası 1434 |
The SQL Server Browser service listens for incoming connections to a named instance and provides the client the TCP port number that corresponds to that named instance.Normal olarakSQL ServerAdlı her Tarayıcı hizmet başlatıldığında örnekleriniDatabase Enginekullanılır.The SQL Server Browser service does not have to be started if the client is configured to connect to the specific port of the named instance. |
SQL Server bir HTTP bitiş noktası üzerinde çalışan örnek. |
Bir HTTP bitiş noktası oluşturulurken belirtilebilir.CLEAR_PORT trafik için 80 ve 443'ın SSL_PORT trafik için TCP bağlantı noktası varsayılandır. |
HTTP bağlantısı üzerinden bir URL kullanılır. |
SQL Server Varsayılan örnek HTTPS son nokta çalışan. |
TCP bağlantı noktası 443 |
HTTPS bağlantısı üzerinden bir URL kullanılır.HTTPS, Güvenli Yuva Katmanı (SSL) kullanan bir HTTP bağlantısıdır. |
Service Broker |
TCP bağlantı noktası 4022.Kullanılan bağlantı noktasını doğrulamak için yürütmek şu sorgu: SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'SERVICE_BROKER' |
There is no default port for SQL Server Service Broker, but this is the conventional configuration used in Books Online examples. |
veritabanı yansıtması |
Yönetici, seçilen bağlantı noktası.Bağlantı noktasını belirlemek için aşağıdaki sorguyu çalıştırın: SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'DATABASE_MIRRORING' |
veritabanı yansıtması ancak TCP bağlantı noktası 7022 kitapları çevrimiçi örnekleri kullanmak için hiçbir varsayılan bağlantı noktası yok.Son kullanımda yansıtma nokta, özellikle yüksek güvenlik modunda otomatik yük devretme kesintiye uğratmasını önlemek çok önemlidir.Güvenlik Duvarı yapılandırmanızı çekirdek kesmemek gerekir.Daha fazla bilgi için bkz:(veritabanı yansıtması), sunucu bir ağ adresi belirleme. |
Çoğaltma |
Çoğaltma bağlantılarıSQL ServerNormal normal kullanmaDatabase Enginebağlantı noktalarını (TCP bağlantı noktası 1433 varsayılan örnek, vb.) Eşitleme Web ve FTP/UNC erişimi kopyalama anlık görüntü için ek bağlantı noktaları, güvenlik duvarının açılması gerekir.İlk veri ve şema bir konumdan diğerine aktarmak için çoğaltma FTP (TCP bağlantı noktası 21) kullanın veya HTTP (TCP bağlantı noktası 80) veya dosya ve Yazıcı Paylaşımı (TCP bağlantı noktası 139 veya 137,138) eşitleme. |
HTTP üzerinden eşitleme için IIS son nokta çoğaltma kullanır (bağlantı) için hangi öğeler yapılandırılabilir, ancak varsayılan olarak 80 numaralı bağlantı noktası olan, ancak arka uç'için IIS işlemini bağlayanSQL Serverstandart bağlantı noktaları üzerinden (1433 varsayılan örnek. FTP aktarımı arasında IIS FTP kullanarak Web üzerinden eşitleme sırasında değil,SQL ServerYayımcı Abone ve IIS arasında. Daha fazla bilgi için bkz:Microsoft Office 2010 Suite Internet Security and Acceleration Server Internet üzerinden Microsoft Office 2010 Suite SQL Server 2000 çoğaltma yapılandırma. |
Transact-SQL hata ayıklayıcı |
TCP bağlantı noktası 135 Bkz:Bağlantı noktası 135 için özel konuları The IPsec exception might also be required. |
KullanmaVisual Studio, onVisual Studioana bilgisayarı da eklemeniz gerekirDevenv.exe özel durumlar listesine ve açık TCP bağlantı noktası 135. KullanmaManagement Studio, onManagement Studioana bilgisayarı da eklemeniz gerekirssms.exe özel durumlar listesine ve açık TCP bağlantı noktası 135. Daha fazla bilgi için bkz:Transact-SQL hata ayıklayıcısını başlatma ve yapılandırma. |
İçin Windows Güvenlik Duvarı'nı yapılandırmak adım adım yönergeler içinDatabase EngineBkz:Nasıl Yapılır: Bir Windows Güvenlik Duvarı'nı veritabanı altyapısı erişimi için yapılandırma.
Dinamik bağlantı noktası
Varsayılan olarak, örnek adı (dahil olmak üzere SQL Server Express) dinamik bağlantı noktası kullanmak, Her saat anlamına gelir,Database EngineBu tanımlar başlıyor, kullanılabilir bağlantı noktası ve kullanır, bağlantı noktası numarası., adlandırılmış örnek Tek örneğiDatabase Engineyüklü, büyük olasılıkla 1433 TCP bağlantı noktasını kullanır., Diğer örnekleriniDatabase Engineolan yüklüyse, bu büyük olasılıkla farklı bir TCP bağlantı noktası kullanacakSeçili bağlantı noktası her saat değişebilir olduğundan,Database Engineolan başlatıldı, doğru bağlantı noktası numarası. erişim sağlamak için güvenlik duvarını yapılandırmak zordurGüvenlik Duvarı kullanılıyorsa, bu nedenle, yeniden yapılandırma önerilirDatabase Enginekullanmak aynı bağlantı noktası numarası her saat.Bu, sabit bir bağlantı noktası veya statik bir bağlantı noktası denir.Daha fazla bilgi için bkz:Sabit bağlantı noktası yapılandırma.
Yapılandırma alternatif bir adlandırılmış örnek üzerinde dinlemek için güvenlik duvarı özel durum oluşturmak için sabit bir bağlantı noktası olan birSQL Serverprogramı gibiSqlservr.exe (for the Database Engine).Bu kullanışlı olabilir, ancak bağlantı noktası, görünmezYerel bağlantı noktası sayfanın, Windows Güvenlik Duvarı kullanırken ile Gelişmiş Güvenlik MMC ek bileşenini Gelen kuralları sütun Bu, hangi bağlantı noktalarının açık olduğunu denetlemek daha zor bir bunu yapabilirsiniz.Bir başka dikkat etmeniz gereken bir hizmet paketine veya güncelleştirme yolunu değiştirme olanSQL Serveryürütülebilir dosya, geçersiz güvenlik duvarı kuralı.
Not
Aşağıdaki yordamı kullananWindows Güvenlik Duvarı Denetim Masası '. öğe Gelişmiş Güvenlik MMC ek bileşenini kullanarak Windows Güvenlik Duvarı, daha karmaşık bir kural yapılandırabilirsiniz.Bu kapsamlı savunma sağlamak için yararlı olabilecek bir hizmet özel yapılandırma içerir.Bkz:Gelişmiş Güvenlik ek bileşenini kullanarak Windows Güvenlik Duvarı'nı kullanma below.
Denetim Masası'ndaki Windows Güvenlik Duvarı öğesini kullanarak güvenlik duvarı bir programı özel durum eklemek için.
,Özel durumlar Denetim Masası'ndaki Windows Güvenlik Duvarı öğe sekmesinde program Ekle' yi tıklatın.
örnek konumuna göz atınSQL Serveristediğiniz izin vermek, güvenlik duvarı üzerinden örneğinC:\Program Files\Microsoft SQL Server\MSSQL10.<instance_name>\MSSQL\Binnsqlservr.exe ' ı seçin tıklatın ve sonra Aç .
Click OK.
Son noktaları hakkında daha fazla bilgi için bkz:Ağ iletişim kuralları ve TDS bitiş noktalarıveBitiş noktaları katalog görünümleri (Transact-SQL).
Analysis Services tarafından kullanılan bağlantı noktaları
Aşağıdaki tabloda sık tarafından kullanılan bağlantı noktalarını listelerAnalysis Services.
Özellik |
Bağlantı Noktası |
Açıklamalar |
---|---|---|
Analysis Services |
Varsayılan kopya için TCP bağlantı noktası 2383 |
Varsayılan örnek için standart bağlantı noktasıAnalysis Services. |
SQL Server Tarayıcı hizmet |
2382 İçin yalnızca gereken TCP bağlantı noktası birAnalysis Servicesadlandırılmış örnek |
istemci bağlantı istekleri için adlandırılmış bir örnekAnalysis Servicesdeğil belirten bir bağlantı noktası numarası 2382, bağlantı noktasını, bağlantı noktası yönlendirilirSQL ServerTarayıcı dinlediği.SQL Server Tarayıcı, daha sonra adlandırılan örnek kullanan bağlantı noktasına isteği yönlendirir. |
Analysis Services IIS/HTTP ile kullanılmak üzere yapılandırılmış (PivotTable ® hizmet HTTP veya HTTPS kullanır) |
TCP bağlantı noktası 80 |
HTTP bağlantısı üzerinden bir URL kullanılır. |
Analysis Services IIS/HTTPS üzerinden kullanılmak üzere yapılandırılmış (PivotTable ® hizmet HTTP veya HTTPS kullanır) |
TCP bağlantı noktası 443 |
HTTPS bağlantısı üzerinden bir URL kullanılır.HTTPS, Güvenli Yuva Katmanı (SSL) kullanan bir HTTP bağlantısıdır. |
KullanıcılarAnalysis ServicesIIS ve Internet üzerinden gerekir açtığınız bağlantı noktası, IIS dinleme, belirtme, bağlantı noktası istemcinin bağlantı dizesi.Bu durumda, bağlantı noktası olan doğrudan erişim için açık olacakAnalysis Services.2382 2389 Ve bağlantı noktası, varsayılan bağlantı noktası olmalıdır, gerekli olmayan tüm diğer bağlantı noktalarını birlikte sınırlı.
Adım adım yönergeler için Windows Güvenlik Duvarı'nı yapılandırmak içinAnalysis ServicesBkz:Nasıl Yapılır: Windows Güvenlik Duvarı'nı Analysis Services erişimi için yapılandırma.
Raporlama Servisleri tarafından kullanılan bağlantı noktaları
Aşağıdaki tabloda sık tarafından kullanılan bağlantı noktalarını listelerReporting Services.
Özellik |
Bağlantı Noktası |
Açıklamalar |
---|---|---|
Reporting Services Web Hizmetleri |
TCP bağlantı noktası 80 |
Bir HTTP bağlantısı için kullanılır.Reporting Services-URL.Emin, kullanmayın önceden yapılandırılmış kural önerilirWorld Wide Web Hizmetleri (HTTP).Daha fazla bilgi için bkz:Diğer güvenlik duvarı kuralları ile etkileşim Aşağıdaki bölümü. |
Reporting Services HTTPS ile kullanılmak üzere yapılandırılmış |
TCP bağlantı noktası 443 |
HTTPS bağlantısı üzerinden bir URL kullanılır.HTTPS, Güvenli Yuva Katmanı (SSL) kullanan bir HTTP bağlantısıdır.Emin, kullanmayın önceden yapılandırılmış kural önerilirGüvenli (HTTPS) World Wide Web Hizmetleri.Daha fazla bilgi için bkz:Diğer güvenlik duvarı kuralları ile etkileşim Aşağıdaki bölümü. |
ZamanReporting Servicesbağlanan bir örnek,Database EngineorAnalysis Servicesgereken açmak için ayrıca uygun bağlantı noktaları için bu hizmetleri.Adım adım yönergeler için Windows Güvenlik Duvarı'nı yapılandırmak içinReporting Services,Nasıl Yapılır: Bir Güvenlik Duvarı'nı rapor sunucusu erişimi için yapılandırma.
tümleştirme Services tarafından kullanılan bağlantı noktaları
Aşağıdaki tablo tarafından kullanılan bağlantı noktalarını listelerIntegration Serviceshizmet.
Özellik |
Bağlantı Noktası |
Açıklamalar |
---|---|---|
Microsoft Uzak yordam çağrıları (RPC MS) KullandığıIntegration Servicesçalışma zamanı. |
TCP bağlantı noktası 135 Bkz:Bağlantı noktası 135 için özel konuları |
The Integration Services service uses DCOM on port 135.Hizmet Denetimi Yöneticisi başlatma ve durdurma gibi görevleri gerçekleştirmek için 135 numaralı bağlantı noktasını kullananIntegration Serviceshizmet ve ileten denetim isteklerini çalışan hizmet.Bağlantı noktası numarası değiştirilemez. Bu bağlantı yalnızca uzak bir örneğine bağlanıyorsanız açık olması gerekenIntegration ServiceshizmetManagement Studioözel bir uygulama. |
Adım adım yönergeler için Windows Güvenlik Duvarı'nı yapılandırmak içinIntegration ServicesBkz:Bir Windows Güvenlik Duvarı'nı Tümleştirme Hizmetleri erişimi için yapılandırmaveNasıl Yapılır: Bir Windows Güvenlik Duvarı'nı Tümleştirme Hizmetleri için yapılandırma.
Ek bağlantı noktaları ve Hizmetleri
Aşağıdaki tabloda bağlantı noktalarını listeler ve HizmetleriSQL Serverbağlı.
Senaryo |
Bağlantı Noktası |
Açıklamalar |
---|---|---|
Windows Yönetim Araçları WMI hakkında daha fazla bilgi için bkz: Yapılandırma yönetimi kavramları için WMI sağlayıcı |
WMI DCOM atanmış bağlantı noktası olan bir paylaşılan hizmet ana makinesi bir parçası olarak çalışır.WMI, 135 numaralı TCP bağlantı noktası kullanıyor olabilir. Bkz:Bağlantı noktası 135 için özel konuları |
SQL Server Yapılandırma Yöneticisi WMI listelemek ve hizmetleri yönetmek için kullanır.Öneririz, önceden yapılandırılmış kural grubu kullanmaWindows Yönetim Araçları (WMI).Daha fazla bilgi için bkz:Diğer güvenlik duvarı kuralları ile etkileşim Aşağıdaki bölümü. |
Microsoft dağıtılmış işlem Düzenleyicisi (MS DTC) |
TCP bağlantı noktası 135 Bkz:Bağlantı noktası 135 için özel konuları |
Gerekiyorsa, uygulamanın kullandığı dağıtılmış işlem s, gerekebilir izin vermek için güvenlik duvarını yapılandırmaMicrosoftTrafik akışının ayrı MS DTC örnekleri arasında ve MS DTC ve kaynak yöneticileri arasında gibi dağıtılmış işlem Düzenleyicisi (MS DTC)SQL Server.Öneririz, kullandığınız önceden yapılandırılmışDağıtılmış İşlem Düzenleyicisi Kural grubu. Ayrı bir kaynak grubundaki tüm küme için yapılandırılan paylaşılan tek bir MS DTC, bir güvenlik duvarı özel durum olarak sqlservr.exe eklemeniz gerekir. |
gözat düğmesiManagement StudioUDP bağlanmak için kullandığıSQL ServerTarayıcı hizmet.Daha fazla bilgi için bkz:SQL Server Browser hizmet. |
UDP bağlantı noktası 1434 |
UDP, bağlantısız bir protokoldür. Güvenlik duvarı bulunan bir ayar adlıUnicastResponsesToMulticastBroadcastDisabled özellik INetFwProfile arabirim bir yayın (veya çok noktaya yayın) UDP isteği. tek noktaya yayın yanıtlarına göre Güvenlik Duvarı davranışını denetleyen Bu iki davranışları vardır:
|
IPSec trafiği |
4500 Numaralı UDP bağlantı noktası 500 ve UDP bağlantı noktası |
Etki alanı ilkesi, ağ iletişimi, IPSec yapılması gerekiyorsa, 4500 numaralı UDP bağlantı noktası ve 500 numaralı UDP bağlantı noktası özel durum listesine eklemeniz de gerekir.Bir seçenek olan IPSec kullanarakYeni gelen kuralı Sihirbazı Windows Güvenlik Duvarı ek bileşenini biçiminde Daha fazla bilgi için bkz:Gelişmiş Güvenlik ek bileşenini kullanarak Windows Güvenlik Duvarı'nı kullanma below. |
Güvenilen etki alanları ile Windows kimlik doğrulaması kullanarak |
Güvenlik duvarları, kimlik doğrulaması isteklerini izin verecek şekilde yapılandırılmalıdır. |
Daha fazla bilgi için bkz:Bir güvenlik duvarı etki alanları ve Güvenleri'ni yapılandırma. |
SQL Server Windows kümeleme ve |
Kümeleme gerektirir, doğrudan ilgili için ek bağlantı noktalarıSQL Server. |
Daha fazla bilgi için bkz:Ağı küme kullanımı için etkinleştir. |
URL ad ayrılmış HTTP Server API (HTTP.SYS) |
Büyük olasılıkla TCP 80 numaralı bağlantı noktası, ancak diğer bağlantı noktalarına yapılandırılabilir.Genel bilgi için bkz:HTTP ve HTTPS yapılandırma. |
İçinSQL Serverayırma kullanarak HttpCfg.exe, HTTP.SYS son nokta hakkında ayrıntılı bilgi bakınURL ad alanları, HTTP.sys kullanarak rezerve etme. |
Bağlantı noktası 135 için özel konuları
Ne zaman TCP/IP ile RPC kullanan veya UDP/IP Aktarım olarak gelen bağlantı noktalarını dinamik olarak sık sık gerektiği gibi sistem hizmetlerini atanır; bağlantı noktası 1024 ' daha büyük olan TCP/IP ve UDP/IP bağlantı noktası kullanılır.Bu genellikle basit bilinir "rasgele RPC bağlantı noktalarını." Bu durumda, RPC istemcilerinin RPC Bitiş Noktası Eşleştiricisi kullanılan dinamik bağlantı noktaları atanmış olan. için bunları söylemek için kullanan RPC tabanlı bazı hizmetler için belirli bir bağlantı, bir devingen olarak atamak RPC vermektense yapılandırabilirsiniz.RPC hizmet ne olursa olsun küçük bir aralık dinamik olarak atadığı bağlantı noktası aralığını de kısıtlayabilirsiniz.Kötü niyetli kullanıcılar tarafından sık sık saldırıya birçok hizmet için 135 numaralı bağlantı noktası kullanıldığı için.135 Numaralı bağlantı noktasını açarken, güvenlik duvarı kuralının kapsamını sınırlama göz önünde bulundurun.
135 Numaralı bağlantı noktası hakkında daha fazla bilgi için aşağıdaki başvuru kaynaklarına bakın:
Diğer güvenlik duvarı kuralları ile etkileşim
Windows Güvenlik duvarı kuralları ve kural grupları oluşturmak için kullandığı, yapılandırma.Her kural veya kural grubu genellikle belirli bir program veya hizmet ile ilişkili ve bu program veya hizmet değiştirmek veya bilginiz olmadan bu kuralı silmek.Örneğin, kuralı gruplarıWorld Wide Web Hizmetleri (HTTP) ve World Wide Web Hizmetleri (HTTPS) IIS. ile ilişkili Bu kuralları etkinleştirmek, 80 ve 443 numaralı bağlantı açık veSQL ServerBu kurallar etkinleştirilmişse, 80 ve 443 numaralı bağlantı noktalarını kullanan özellikler işlev görecektir.Ancak, yöneticilerin IIS yapılandırma değiştirin veya bu kurallar devre dışı bırakın.Nedenle kullanıyorsanız 80 numaralı bağlantı noktasını veya bağlantı noktası 443SQL Server' kendi kural ve istediğiniz bağlantı noktasını yapılandırmanız bağımsız olarak, tutar Grup Kuralı oluşturmanız diğer IIS kuralları.
Gelişmiş Güvenlik MMC ek bileşenini kullanarak Windows Güvenlik Duvarı tüm trafiği eşleşmeleri, uygulanabilir kuralı izin verir.Bu nedenle her iki bağlantı noktası 80 (farklı parametrelerle) uygulanan iki kural varsa, her iki kuralı ile eşleşen trafik izin verilir.Bu nedenle bir kural yerel alt ağdan 80 numaralı bağlantı noktası üzerinden trafiğe izin verir ve bir kural tüm adreslerinden gelen trafiğe izin verir, net etkisi kaynağı ne olursa olsun bağlantı noktası 80 için tüm trafiğe izin verilir olur.Erişimi etkin biçimde yönetmek içinSQL ServerYöneticiler düzenli olarak gözden tüm güvenlik duvarı kuralları etkin.
Güvenlik Duvarı profilleri genel bakış
Güvenlik Duvarı profilleri açıklanmıştırGelişmiş Windows Vista ve Windows Server 2008 Güvenlik Özellikli Windows Güvenlik Duvarı ile başlarkenKonum algılayan bir ana bilgisayar güvenlik duvarı ağbölümü,.Özetle içinWindows VistaveWindows Server 2008tanımlamak ve hangi bağlandıklarında bağlantı, bağlantılar ve ağların her biri unutmayın kategori.
Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı'nda üç ağ konumu türü vardır:
Etki_Alanı.Windows bilgisayarın içerildiği etki alanının etki alanı denetleyicisine erişimi kimlik doğrulaması yapabilir.
Ortak..Etki alanı ağı, tüm ağ dışında ilk kategorilere genel olarak.Internet'e doğrudan bağlantıyı temsil eden veya havaalanlarında ve kafelerde olduğu gibi genel konumlarda bulunan ağlara genel bırakılmalıdır.
Özel.Bir kullanıcı veya uygulama özel olarak tanımlanan bir ağ.Yalnızca güvenilir ağlar özel ağ tanımlanması.Kullanıcıların büyük bir olasılıkla özel Giriş veya küçük işyeri ağları tanımlamak isteyebilirsiniz.
Yönetici farklı bir güvenlik duvarı ilkeleri içeren her bir profili her ağ konumu türü için bir profil oluşturabilirsiniz.Herhangi bir anda yalnızca bir profil uygulanır.Profil düzeni aşağıdaki şekilde uygulanır:
Bilgisayarın üyesi olduğu etki alanı için etki alanı denetleyicisi tüm arabirimlerin kimlik doğrulaması, etki alanı profiline uygulanır.
Tüm arabirimler için etki alanı denetleyicisi kimlik doğrulaması yapılır veya özel ağ konumu sınıflandırılır ağlara bağlı olan özel profile uygulanır.
Aksi takdirde, genel profile uygulanır.
Görüntülemek ve tüm güvenlik duvarı profillerini yapılandırmak için Gelişmiş Güvenlik MMC ek bileşenini Windows Güvenlik duvarı kullanın.The Windows Firewall item in Control Panel only configures the current profile.
Ek güvenlik duvarı ayarlarını Denetim Masası'ndaki Windows Güvenlik Duvarı öğe kullanma
Eklediğiniz için güvenlik duvarı özel durumlar belirli bilgisayarlardan gelen bağlantı noktasına veya yerel alt açma sınırlayabilirsiniz.Bu sınırlama, bağlantı noktası açma kapsam ne kadar bilgisayarınızı kötü niyetli kullanıcılara açık ve önerilen azaltabilirsiniz.
Not
KullanarakWindows Güvenlik Duvarı öğe Denetim Masası'nda yalnızca geçerli güvenlik duvarı profili. yapılandırır
Denetim Masası'ndaki Windows Güvenlik Duvarı öğesini kullanarak güvenlik duvarı özel durumunun kapsamını değiştirmek için
,Windows Güvenlik Duvarı öğe Denetim Masası ' nda bir program veya bağlantı noktası özel durumlar sekmesini seçin ve özellikleri veya Düzenle' yi tıklatın.
In the Edit a Program or Edit a Port dialog box, click Change Scope.
Aşağıdaki seçeneklerden birini belirleyin::
Herhangi bir bilgisayar (Internet üzerindekiler de dahil)
Önerilmez.Bu belirtilen program veya bağlantı noktasına bağlanmak için bilgisayarınızı gideren herhangi bir bilgisayarda izin verir.Bu ayar, Internet üzerinde anonim kullanıcılara sunulması için bilgi sağlamak gerekli olabilir, ancak kötü niyetli kullanıcılar, etkilenme artırır.Bu ayarı etkinleştirdiğinizde, kenarı geçiş izni ver seçeneği gibi ağ adresi çevirisi (NAT) çapraz geçişi de izin, etkilenme daha artırılabilir.
Yalnızca benim ağım (alt ağ)
Bu, çok daha güvenli bir ayarHerhangi bir bilgisayar.Yalnızca yerel alt ağınızdaki bilgisayarlarda program veya bağlantı noktasına bağlanabilir.
Özel liste:
Listelediğiniz IP adreslerine sahip bilgisayarlar bağlanabilir.Bu çok daha güvenli bir ayar olabilirBenim ağım (alt ağ) yalnızca, ancak, istemci bilgisayar DHCP kullanarak zaman zaman değiştirmek için IP adresi.Daha sonra hedef bilgisayara bağlanabilmek için olur.Yetkilendirmek istediğiniz değil, başka bir bilgisayara, listelenen IP adresini kabul edip sonra bağlanabilir.The Custom list option might be appropriate for listing other servers which are configured to use a fixed IP address; however, IP addresses might be spoofed by an intruder.Kısıtlama güvenlik duvarı kuralları, yalnızca ağ altyapınızın sağlam olarak görünür.
Gelişmiş Güvenlik ek bileşenini Windows Güvenlik Duvarı'nı kullanma
Vista çalışan bilgisayarlara ya daWindows Server 2008Gelişmiş Güvenlik MMC ek bileşenini içeren Windows Güvenlik Duvarı'nı kullanarak ek Gelişmiş Güvenlik Duvarı ayarları yapılandırılabilirEk Kural Sihirbazı'nı içerir ve kullanılabilir olan ek ayarları gösterirWindows Güvenlik Duvarı Denetim Masası '. öğe Bu ayarlar aşağıdakileri içerir::
Şifreleme ayarları
Hizmet kısıtlamaları
Bağlantıları için bilgisayar adına göre kısıtlama
Belirli kullanıcılara veya profil bağlantıları sınırlama
Kenar çapraz geçişi trafik ağ adresi çevirisi (NAT) yönlendiricisi devre dışı bırakmasına olanak verir
Giden kurallarını yapılandırma
Güvenlik kurallarını yapılandırma
Gelen bağlantılar için IPSec gerektiren
Yeni Kural Sihirbazı'nı kullanarak yeni bir güvenlik duvarı kuralı oluşturmak için
Üzerinde Başlat menüsü,'ı tıklatınÇalıştırma, WF.msc yazın ve ardından Tamam .
,Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı, sol bölmede, Gelen kuralları' nı sağ tıklatın ve sonra Yeni kural .
TamamlamakYeni gelen kuralı Sihirbazı ayarları kullanarak bu,.
Güvenlik Duvarı ayarlarını sorun giderme
Aşağıdaki araçlar ve teknikler, Güvenlik Duvarı sorunlarını gidermede yararlı olabilir:
Etkin bağlantı noktasına ilişkili tüm kuralları union durumudur.Bağlantı noktası üzerinden erişimi engellemek için bağlantı noktası numarası alınıyor, tüm kuralları gözden geçirmek yararlı olabilir.Bunu yapmak için gelen ve giden kuralları bağlantı noktası numarasına göre sıralamak ve Gelişmiş Güvenlik MMC ek bileşenini Windows Güvenlik duvarı kullanın.
Bilgisayarın etkin olan bağlantı noktalarını gözden geçirinSQL Serverolduğu çalışan.Bu gözden geçirme işlemi hangi TCP/IP doğrulama içeren bağlantı noktalarını dinleyen ve ayrıca bağlantı noktalarının durumunu doğrulama.
Hangi bağlantı noktalarını dinleyen doğrulamak içinnetstat komut satırı yardımcı programı. Etkin TCP bağlantılarını görüntüleyen ek olaraknetstat yardımcı programı, aynı zamanda IP istatistiklerini ve bilgilerini. çeşitli görüntüler
TCP/IP bağlantı noktalarını dinleyen listesine
komut istemi İstemi penceresini açın..
komut istemi isteminde yazınnetstat - n-a.
The -n switch instructs netstat to numerically display the address and port number of active TCP connections.The -a switch instructs netstat to display the TCP and UDP ports on which the computer is listening.
The PortQry utility can be used to report the status of TCP/IP ports as listening, not listening, or filtered.(Filtre uygulanmış bir duruma sahip bağlantı noktası olabilir veya değil olarak dinleme; bu durum gösterir, yardımcı program alma bir bağlantı noktası yanıt) Yardımcı PortQryMicrosoft Office 2010 Suite Yükleme Merkezi'ndenkarşıdan yüklenebilir.
Ek sorun giderme konuları için bkz:
See Also