Aracılığıyla paylaş

Windows Güvenlik Duvarı'nı SQL Server erişimine izin verecek şekilde yapılandırma

Şunlar için geçerlidir:Windows üzerinde SQL Server

Güvenlik duvarı sistemleri, bilgisayar kaynaklarına yetkisiz erişimi önlemeye yardımcı olur. Bir güvenlik duvarı açıksa ancak doğru yapılandırılmadıysa, SQL Server'a bağlanma girişimleri engellenebilir.

SQL Server örneğine bir güvenlik duvarı üzerinden erişmek için, SQL Server çalıştıran bilgisayarda güvenlik duvarını yapılandırmanız gerekir. Güvenlik duvarı, Microsoft Windows'un bir bileşenidir. Başka bir satıcıdan güvenlik duvarı da yükleyebilirsiniz. Bu makalede Windows Güvenlik Duvarı'nın nasıl yapılandırılacağı açıklanır, ancak temel ilkeler diğer güvenlik duvarı programlarına uygulanır.

Not

Bu makalede güvenlik duvarı yapılandırmasına genel bir bakış sağlanır ve SQL Server yöneticisinin ilgilendiği bilgiler özetlenmiştir. Güvenlik duvarı hakkında daha fazla bilgi edinmek ve yetkili güvenlik duvarı bilgileri için Windows Güvenlik Duvarı güvenlik dağıtım kılavuzu gibi güvenlik duvarı belgelerine bakın.

Kullanıcılar, Windows Güvenlik Duvarıyönetmeyi biliyor ve hangi güvenlik duvarı ayarlarını yapılandıracaklarını biliyorlarsa, doğrudan daha gelişmiş makalelere geçebilirler.

Temel güvenlik duvarı bilgileri

Güvenlik duvarları, gelen paketleri inceleyerek ve bunları aşağıdaki kurallar kümesiyle karşılaştırarak çalışır:

  • Paket, kurallar tarafından belirtilen standartları karşılar, ardından güvenlik duvarı daha fazla işlem için paketi TCP/IP protokolüne geçirir.

  • Paket, kurallar tarafından belirtilen standartları karşılamıyor.

    • Ardından güvenlik duvarı paketi atar.

    • Eğer günlük kaydı etkinleştirildiyse, güvenlik duvarı günlük dosyasına bir kayıt oluşturulur.

İzin verilen trafik listesi aşağıdaki yollardan biriyle doldurulur:

  • Otomatik olarak: Güvenlik duvarı etkinleştirilmiş bir bilgisayar iletişimi başlattığında, güvenlik duvarı yanıta izin verildiğinden listede bir girdi oluşturur. Yanıt, istenen trafik olarak kabul edilir ve yapılandırılması gereken bir şey yoktur.

  • El ile: Yönetici güvenlik duvarı için özel durumları yapılandırıyor. Bilgisayarınızdaki belirtilen programlara veya bağlantı noktalarına erişim sağlar. Bu durumda, bilgisayar sunucu, dinleyici veya eş olarak hareket ederken istenmeyen gelen trafiği kabul eder. SQL Server'a bağlanmak için yapılandırmanın tamamlanması gerekir.

Güvenlik duvarı stratejisini seçmek, belirli bir bağlantı noktasının açık mı yoksa kapalı mı olması gerektiğine karar vermekten daha karmaşıktır. Kuruluşunuz için bir güvenlik duvarı stratejisi tasarlarken, kullanabileceğiniz tüm kuralları ve yapılandırma seçeneklerini dikkate aldığınızdan emin olun. Bu makalede tüm olası güvenlik duvarı seçenekleri gözden geçirilmez. Aşağıdaki belgeleri gözden geçirmenizi öneririz:

Varsayılan güvenlik duvarı ayarları

Güvenlik duvarı yapılandırmanızı planlamanın ilk adımı, işletim sisteminiz için güvenlik duvarının geçerli durumunu belirlemektir. İşletim sistemi önceki bir sürümden yükseltildiyse, önceki güvenlik duvarı ayarları korunabilir. Grup İlkesi veya Yönetici, etki alanındaki güvenlik duvarı ayarlarını değiştirebilir.

Not

Güvenlik duvarının açılması, dosya ve yazdırma paylaşımı ve uzak masaüstü bağlantıları gibi bu bilgisayara erişen diğer programları etkiler. Yöneticiler, güvenlik duvarı ayarlarını ayarlamadan önce bilgisayarda çalışan tüm uygulamaları dikkate almalıdır.

Güvenlik duvarını yapılandırma programları

Windows Güvenlik Duvarı ayarlarını Microsoft Yönetim Konsolu, PowerShellveya netshile yapılandırın.

Microsoft Yönetim Konsolu (MMC)

Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı MMC ek bileşeni, daha gelişmiş güvenlik duvarı ayarlarını yapılandırmanıza olanak tanır. Bu ek bileşen, güvenlik duvarı seçeneklerinin çoğunu kullanımı kolay bir şekilde sunar ve tüm güvenlik duvarı profillerini sunar. Daha fazla bilgi için, bu makalenin ilerleyen bölümlerinde Gelişmiş Güvenlik Ek Bileşeni ile Windows Güvenlik Duvarı'nı Kullanma bölümüne bakın.

PowerShell

SQL Server varsayılan örneği için TCP bağlantı noktası 1433 ve UDP bağlantı noktası 1434'i ve SQL Server Tarayıcı Hizmeti'ni açmak için aşağıdaki örneğe bakın:

New-NetFirewallRule -DisplayName "SQLServer default instance" -Direction Inbound -LocalPort 1433 -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "SQLServer Browser service" -Direction Inbound -LocalPort 1434 -Protocol UDP -Action Allow

Daha fazla örnek için bkz. New-NetFirewallRule .

netsh ile komut satırı

netsh.exe, windows tabanlı bilgisayarları bir komut isteminde veya toplu iş dosyası kullanarak yapılandırmak ve izlemek için kullanılan bir Yönetici aracıdır. netsh aracını kullanarak, girdiğiniz bağlam komutlarını uygun yardımcıya yönlendirebilirsiniz ve yardımcı komutu yapar. Yardımcı, işlevselliği genişleten bir Dinamik Bağlantı Kitaplığı (.dll) dosyasıdır. Yardımcı şunları sağlar: netsh aracı için bir veya daha fazla hizmet, yardımcı program veya protokol için yapılandırma, izleme ve destek.

advfirewalladlı Gelişmiş Güvenlik için Windows Güvenlik Duvarı yardımcısını kullanabilirsiniz. Açıklanan yapılandırma seçeneklerinin çoğu netsh advfirewallkullanılarak komut satırından yapılandırılabilir. Örneğin, 1433 numaralı TCP bağlantı noktasını açmak için komut isteminde aşağıdaki betiği çalıştırın:

netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN

netshhakkında daha fazla bilgi için aşağıdaki bağlantılara bakın:

Linux için

Linux'ta, erişmeniz gereken hizmetlerle ilişkili bağlantı noktalarını da açmanız gerekir. Farklı Linux dağıtımları ve farklı güvenlik duvarlarının kendi yordamları vardır. İki örnek için bkz:

SQL Server tarafından kullanılan bağlantı noktaları

Aşağıdaki tablolar SQL Server tarafından kullanılan bağlantı noktalarını belirlemenize yardımcı olabilir.

Veritabanı Altyapısı tarafından kullanılan bağlantı noktaları

Varsayılan olarak, SQL Server ve ilişkili veritabanı altyapısı hizmetleri tarafından kullanılan tipik bağlantı noktaları şunlardır: TCP 1433, 4022, 135, 1434, UDP 1434. Aşağıdaki tabloda bu bağlantı noktaları daha ayrıntılı olarak açıklanmaktadır. Adlandırılmış örnek Dinamik bağlantı noktalarını kullanır.

Aşağıdaki tabloda, Veritabanı Altyapısı tarafından sık kullanılan bağlantı noktaları listelenir.

Senaryo Liman Yorum
TCP üzerinden çalışan varsayılan örnek TCP bağlantı noktası 1433 Güvenlik duvarı üzerinden izin verilen en yaygın bağlantı noktası. Veritabanı Altyapısı'nın varsayılan yüklemesine yönelik rutin bağlantılar veya bilgisayarda çalışan tek örnek olan adlandırılmış örnek için geçerlidir. (Adlandırılmış örneklerin dikkate alınması gereken özel noktalar vardır. Bu makalenin devamında Dinamik bağlantı noktaları bakın.)
Varsayılan bağlantı noktası olan adlandırılmış örnekler TCP bağlantı noktası, Veritabanı Altyapısı başlatıldığında belirlenen dinamik bir bağlantı noktasıdır. Dinamik bağlantı noktalarıbölümünde aşağıdaki tartışmaya bakın. Adlandırılmış örnekler kullanırken SQL Server Tarayıcı Hizmeti için UDP bağlantı noktası 1434 gerekebilir.
Sabit bağlantı noktası olan adlandırılmış örnekler Yönetici tarafından yapılandırılan bağlantı noktası numarası. Dinamik bağlantı noktalarıbölümünde aşağıdaki tartışmaya bakın.
Ayrılmış Yönetici Bağlantısı Varsayılan örnek için TCP bağlantı noktası 1434. Adlandırılmış örnekler için diğer bağlantı noktaları kullanılır. Bağlantı noktası numarası için hata günlüğünü kontrol edin. Varsayılan olarak, Ayrılmış Yönetici Bağlantısı'na (DAC) uzak bağlantılar etkinleştirilmez. Uzak DAC'yi etkinleştirmek için Surface Alanı Yapılandırma modelini kullanın. Daha fazla bilgi için bkz. yüzey alanı yapılandırması.
SQL Server Browser hizmeti UDP bağlantı noktası 1434 SQL Server tarayıcı hizmeti, adlandırılmış bir örneğe gelen bağlantıları dinler.

Hizmet, istemciye bu adlandırılmış örneğe karşılık gelen TCP bağlantı noktası numarasını sağlar. Normalde Veritabanı Altyapısı'nın adlandırılmış örnekleri her kullanıldığında SQL Server Browser hizmeti başlatılır. İstemci adlandırılmış örneğin belirli bağlantı noktasına bağlanacak şekilde yapılandırılmışsa SQL Server Browser hizmeti gerekli değildir.
HTTP uç noktası olan örnek. HTTP uç noktası oluşturulduğunda belirtilebilir. Varsayılan değer, CLEAR_PORT trafiği için TCP bağlantı noktası 80 ve SSL_PORT trafik için 443'dür. URL aracılığıyla http bağlantısı için kullanılır.
HTTPS uç noktası ile varsayılan örnek TCP bağlantı noktası 443 URL aracılığıyla https bağlantısı için kullanılır. HTTPS, daha önce Güvenli Yuva Katmanı (SSL) olarak bilinen Aktarım Katmanı Güvenliği (TLS) kullanan bir HTTP bağlantısıdır.
Hizmet Aracısı TCP bağlantı noktası 4022. Kullanılan bağlantı noktasını doğrulamak için aşağıdaki sorguyu yürütür:

SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'SERVICE_BROKER'		 SQL Server Hizmet Aracısı için varsayılan bağlantı noktası yoktur, Books Online örnekleri geleneksel yapılandırmayı kullanır.
Veritabanı Yansıtma Yönetici bağlantı noktasını seçti. Bağlantı noktasını belirlemek için aşağıdaki sorguyu yürütür:

SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'DATABASE_MIRRORING'		 Veritabanı yansıtması için varsayılan bir bağlantı noktası yoktur, fakat Books Online örnekleri 5022 veya 7022 numaralı TCP bağlantı noktasını kullanır. Kullanımda olan bir yansıtma uç noktasını, özellikle hata durumunda aktarım özelliğine sahip yüksek güvenlik modunda kesintiye uğratmamak önemlidir. Güvenlik duvarı yapılandırmanız karar yeter sayısının bozulmasını önlemelidir. Daha fazla bilgi için bkz. Sunucu Ağ Adresi Belirtme (Veritabanı Yansıtma).
Çoğaltma SQL Server'a çoğaltma bağlantıları tipik normal Veritabanı Altyapısı bağlantı noktalarını kullanır (TCP bağlantı noktası 1433 varsayılan örnektir)

Replikasyon anlık görüntüsü için web eşitlemesi ve FTP/UNC erişimi, güvenlik duvarında daha fazla bağlantı noktasının açılmasını gerektirir. Çoğaltma, başlangıç verileri ve şemayı bir konumdan diğerine aktarmak için FTP (TCP bağlantı noktası 21), HTTP üzerinden senkronizasyon (TCP bağlantı noktası 80) veya Dosya Paylaşımı aracılığıyla gerçekleştirebilir. Dosya paylaşımında, NetBIOS ile birlikte kullanıldığında UDP bağlantı noktası 137 ve 138 ve TCP bağlantı noktası 139 kullanılır. Dosya Paylaşımı 445 numaralı TCP bağlantı noktasını kullanır.		 HTTP üzerinden eşitleme için çoğaltma IIS uç noktasını (yapılandırılabilir; varsayılan bağlantı noktası 80) kullanır, ancak IIS işlemi standart bağlantı noktaları (varsayılan örnek için 1433) aracılığıyla arka uç SQL Server'a bağlanır.

FTP kullanarak Web eşitlemesi sırasında, FTP aktarımı abone ve IIS arasında değil IIS ile SQL Server yayımcısı arasında yapılır.
Transact-SQL hata ayıklayıcısı TCP bağlantı noktası 135

Bkz. Bağlantı Noktası 135 için Özel Konular

IPsec özel durumu da gerekebilir.		 Visual Studio kullanıyorsanız, Visual Studio ana bilgisayarında Özel Durumlar listesine devenv.exe eklemeniz ve TCP bağlantı noktası 135'i açmanız gerekir.

Management Studio kullanıyorsanız, Management Studio ana bilgisayarında Özel Durumlar listesine ssms.exe eklemeniz ve TCP bağlantı noktası 135'i açmanız gerekir. Daha fazla bilgi için bkz. Transact-SQL hata ayıklayıcısını çalıştırmadan önce güvenlik duvarı kurallarını yapılandırma.

Veritabanı Altyapısı için Windows Güvenlik Duvarı'nı yapılandırmaya yönelik adım adım yönergeler için bkz. Veritabanı Altyapısı için Windows Güvenlik Duvarı'nı yapılandırma erişimi.

Dinamik bağlantı noktaları

Varsayılan olarak, adlandırılmış örnekler (SQL Server Express dahil) dinamik bağlantı noktalarını kullanır. Veritabanı Altyapısı her başlatıldığında, kullanılabilir bir bağlantı noktası tanımlar ve bu bağlantı noktası numarasını kullanır. Veritabanı Altyapısı'nın yüklenen tek örneği adlandırılmış örnekse, büyük olasılıkla 1433 numaralı TCP bağlantı noktasını kullanır. Veritabanı Altyapısı'nın diğer örnekleri yüklüyse, büyük olasılıkla farklı bir TCP bağlantı noktası kullanır. Veritabanı Altyapısı her başlatıldığında seçilen bağlantı noktası değişebileceğinden, güvenlik duvarını doğru bağlantı noktası numarasına erişimi etkinleştirecek şekilde yapılandırmak zordur. Bir güvenlik duvarı kullanılıyorsa, Veritabanı Altyapısı'nı her seferinde aynı bağlantı noktası numarasını kullanacak şekilde yeniden yapılandırmanızı öneririz. Sabit bir bağlantı noktası veya statik bağlantı noktası önerilir. Daha fazla bilgi için bkz. SQL Server'ıbelirli bir TCP bağlantı noktasını dinleyecek şekilde yapılandırma.

Adlandırılmış örneği sabit bir bağlantı noktasında dinleyecek şekilde yapılandırmanın bir alternatifi, sqlservr.exe (Veritabanı Altyapısı için) gibi bir SQL Server programı için güvenlik duvarında özel durum oluşturmaktır. Bağlantı noktası numarası, Gelişmiş Güvenlik ile Windows Güvenlik Duvarı MMC ek bileşenini kullanırken Gelen Kuralları sayfasının Yerel Bağlantı Noktası sütununda yer almaz. Hangi bağlantı noktalarının açık olduğunu denetlemek zor olabilir. Bir diğer önemli nokta, hizmet paketinin veya toplu güncelleştirmenin SQL Server yürütülebilir dosyasının yolunu değiştirip güvenlik duvarı kuralını geçersiz kılabilir olmasıdır.

Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı'nı kullanarak SQL Server'a özel durum eklemek için bu makalenin devamında Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı ek bileşenini kullanma bakın.

Analysis Services tarafından kullanılan bağlantı noktaları

Varsayılan olarak, SQL Server Analysis Services ve ilişkili hizmetler tarafından kullanılan tipik bağlantı noktaları şunlardır: TCP 2382, 2383, 80, 443. Aşağıdaki tabloda bu bağlantı noktaları daha ayrıntılı olarak açıklanmaktadır.

Aşağıdaki tabloda Analysis Services tarafından sık kullanılan bağlantı noktaları listelenmektedir.

Özellik Liman Yorum
Analiz Hizmetleri Varsayılan örnek için TCP bağlantı noktası 2383 Analysis Services'ın varsayılan örneği için standart bağlantı noktası.
SQL Server Browser hizmeti TCP bağlantı noktası 2382 yalnızca analysis services adlı örnek için gereklidir Bağlantı noktası numarası belirtmeyen adlandırılmış bir Analysis Services örneği için istemci bağlantı istekleri, SQL Server Browser'ın dinlediği bağlantı noktası olan 2382 numaralı bağlantı noktasına yönlendirilir. SQL Server Browser daha sonra isteği adlandırılmış örneğin kullandığı bağlantı noktasına yönlendirir.
IIS/HTTP aracılığıyla kullanıma uygun olarak yapılandırılmış Analysis Services

(PivotTable® Hizmeti HTTP veya HTTPS kullanır)		 TCP bağlantı noktası 80 URL aracılığıyla http bağlantısı için kullanılır.
IIS/HTTPS aracılığıyla kullanılmak üzere yapılandırılmış Analysis Services

(PivotTable® Hizmeti HTTP veya HTTPS kullanır)		 TCP bağlantı noktası 443 URL aracılığıyla https bağlantısı için kullanılır. HTTPS, TLS kullanan bir HTTP bağlantısıdır.

Kullanıcılar Analysis Services'e IIS ve İnternet üzerinden erişiyorsa, IIS'nin dinlediği bağlantı noktasını açmanız gerekir. Ardından, istemci bağlantı dizesinde bağlantı noktasını belirtin. Bu durumda Analysis Services'e doğrudan erişim için hiçbir bağlantı noktasının açık olması gerekmez. Varsayılan bağlantı noktası 2389 ve bağlantı noktası 2382, gerekli olmayan diğer tüm bağlantı noktalarıyla birlikte kısıtlanmalıdır.

Analysis Services için Windows Güvenlik Duvarı'nı yapılandırmaya yönelik adım adım yönergeler için bkz. Analysis Services Erişimine İzin Verecek Şekilde Windows Güvenlik Duvarını Yapılandırma.

Reporting Services tarafından kullanılan bağlantı noktaları

Varsayılan olarak, SQL Server Reporting Services ve ilişkili hizmetler tarafından kullanılan tipik bağlantı noktaları şunlardır: TCP 80, 443. Aşağıdaki tabloda bu bağlantı noktaları daha ayrıntılı olarak açıklanmaktadır.

Aşağıdaki tabloda Reporting Services tarafından sık kullanılan bağlantı noktaları listelenmektedir.

Özellik Liman Yorum
Raporlama Hizmetleri Web Hizmetleri TCP bağlantı noktası 80 Bir URL aracılığıyla Reporting Services'e http bağlantısı için kullanılır. Önerimiz, World Wide Web Services (HTTP)önceden yapılandırılmış kuralı kullanmamanızdır. Daha fazla bilgi için bu makalenin devamında yer alan Diğer Güvenlik Duvarı Kurallarıyla Etkileşim bölümüne bakın.
HTTPS aracılığıyla kullanılmak üzere yapılandırılmış Raporlama Hizmetleri TCP bağlantı noktası 443 URL aracılığıyla https bağlantısı için kullanılır. HTTPS, TLS kullanan bir HTTP bağlantısıdır. Önceden yapılandırılmış Secure World Wide Web Services (HTTPS)kuralını kullanmamanızı öneririz. Daha fazla bilgi için bu makalenin devamında yer alan Diğer Güvenlik Duvarı Kurallarıyla Etkileşim bölümüne bakın.

Reporting Services, Veritabanı Altyapısı veya Analysis Services örneğine bağlandığında, bu hizmetler için uygun bağlantı noktalarını da açmanız gerekir. Reporting Services için Windows Güvenlik Duvarı'nı yapılandırmaya yönelik adım adım yönergeler için Rapor sunucusu erişimi için güvenlik duvarı yapılandırma.

Integration Services tarafından kullanılan bağlantı noktaları

Aşağıdaki tabloda Integration Services hizmeti tarafından kullanılan bağlantı noktaları listelenmektedir.

Özellik Liman Yorum
Microsoft uzaktan yordam çağrıları (MS RPC)

Integration Services çalışma zamanı tarafından kullanılır.		 TCP bağlantı noktası 135

Bkz. Bağlantı Noktası 135 için Özel Konular		 Integration Services hizmeti 135 numaralı bağlantı noktasında DCOM kullanır. Hizmet Denetim Yöneticisi, Integration Services hizmetini başlatma ve durdurma ve denetim isteklerini çalışan hizmete iletme gibi görevleri gerçekleştirmek için 135 numaralı bağlantı noktasını kullanır. Bağlantı noktası numarası değiştirilemez.

Yalnızca Management Studio'dan veya özel bir uygulamadan Integration Services hizmetinin uzak bir örneğine bağlanıyorsanız bu bağlantı noktasının açık olması gereklidir.

Integration Services için Windows Güvenlik Duvarı'nı yapılandırmaya yönelik adım adım yönergeler için bkz. Integration Services Service (SSIS Hizmeti).

Diğer bağlantı noktaları ve hizmetler

Aşağıdaki tabloda SQL Server'ın bağımlı olabileceği bağlantı noktaları ve hizmetler listelenmektedir.

Senaryo Liman Yorum
Windows Yönetim Araçları

Windows Yönetim Araçları (WMI)hakkında daha fazla bilgi için bkz. Yapılandırma Yönetimi için WMI Sağlayıcısı		 WMI, DCOM aracılığıyla atanan bağlantı noktalarıyla paylaşılan hizmet ana bilgisayarının bir parçası olarak çalışır. WMI 135 numaralı TCP bağlantı noktasını kullanıyor olabilir.

Bkz. Bağlantı Noktası 135 için Özel Konular		 SQL Server Configuration Manager, hizmetleri listelemek ve yönetmek için WMI kullanır. windows yönetim araçları (WMI) önceden yapılandırılmış kural grubunu kullanmanızı öneririz. Daha fazla bilgi için bu makalenin devamında yer alan Diğer Güvenlik Duvarı Kurallarıyla Etkileşim bölümüne bakın.
Microsoft Dağıtılmış İşlem Düzenleyicisi (MS DTC) TCP bağlantı noktası 135

Bkz. Bağlantı Noktası 135 için Özel Konular		 Uygulamanız dağıtılmış işlemler kullanıyorsa, güvenlik duvarını Microsoft Dağıtılmış İşlem Düzenleyicisi (MS DTC) trafiğinin ayrı MS DTC örnekleri arasında ve MS DTC ile SQL Server gibi kaynak yöneticileri arasında akmasına izin verecek şekilde yapılandırmanız gerekebilir. Önceden yapılandırılmış Dağıtılmış İşlem Düzenleyicisi kural grubunu kullanmanızı öneririz.

Kümenin tamamı için ayrı bir kaynak grubunda tek bir paylaşılan MS DTC yapılandırıldığında, güvenlik duvarına özel durum olarak sqlservr.exe'ı eklemeniz gerekir.
Management Studio'daki gözat düğmesi, SQL Server Tarayıcı Hizmeti'ne bağlanmak için UDP kullanır. Daha fazla bilgi için bkz. SQL Server Tarayıcı hizmeti (Veritabanı Altyapısı ve SSAS). UDP bağlantı noktası 1434 UDP, bağlantısız bir protokoldür.

Güvenlik duvarında, yayın (veya çok noktaya yayın) UDP isteğine verilen tek noktaya yayın yanıtlarının davranışını kontrol eden bir ayar vardır (INetFwProfile Arabirimi'nin UnicastResponsesToMulticastBroadcastDisabled Özelliği). İki davranışı vardır:

TRUEolarak ayarlanmışsa, yayına hiçbir tek noktaya yayın yanıtına kesinlikle izin verilmez. Hizmetler listelenemiyor.

Ayar varsayılan olarak FALSE ise, tek noktaya yayın yanıtlarına 3 saniye boyunca izin verilir. Sürenin uzunluğu yapılandırılamaz. Yoğun veya yüksek gecikme süreli bir ağda veya yoğun yüklü sunucular için SQL Server örneklerini listelemeye çalışır, kısmi bir liste döndürebilir ve bu da kullanıcıları yanıltabilir.
IPsec trafiği UDP bağlantı noktası 500 ve UDP bağlantı noktası 4500 Etki alanı ilkesi IPSec üzerinden ağ iletişiminin yapılmasını gerektiriyorsa, özel durum listesine UDP bağlantı noktası 4500 ve UDP bağlantı noktası 500 de eklemeniz gerekir. IPsec, Windows Güvenlik Duvarı ek bileşeninde Yeni Alma Kuralı Sihirbazı kullanılarak bir seçenek olarak sunulmaktadır. Daha fazla bilgi için, bu makalenin devamında Gelişmiş Güvenlik ile Windows Güvenlik Duvarı ek bileşenini kullanma bakın.
Güvenilen Etki Alanları ile Windows Kimlik Doğrulamayı Kullanma Güvenlik duvarları, kimlik doğrulama isteklerine izin verecek şekilde yapılandırılmalıdır. Daha fazla bilgi için bkz. Active Directory etki alanları ve güven ilişkileri için güvenlik duvarı yapılandırma.
SQL Server ve Windows Kümeleme Kümeleme, SQL Server ile doğrudan ilgili olmayan ek bağlantı noktaları gerektirir. Daha fazla bilgi için bkz. Küme kullanımı için ağ etkinleştirme.
HTTP Sunucusu API'sinde ayrılmış URL ad alanları (HTTP.SYS) Büyük olasılıkla TCP bağlantı noktası 80, ancak diğer bağlantı noktalarına yapılandırılabilir. Genel bilgi için bkz. http ve HTTPS yapılandırma . HttpCfg.exekullanarak bir HTTP.SYS uç noktası ayırma hakkında SQL Server'a özgü bilgiler için bkz. URL ayırmaları ve kaydı hakkında (Rapor Sunucusu Yapılandırma Yöneticisi) .

135 numaralı bağlantı noktası için dikkat edilmesi gereken özel noktalar

Taşıma olarak TCP/IP veya UDP/IP ile RPC kullandığınızda, gelen bağlantı noktaları ihtiyaç duyuldukça sistem hizmetlerine dinamik olarak atanır. 1024 numaralı bağlantı noktasından büyük TCP/IP ve UDP/IP bağlantı noktaları kullanılır. Bağlantı noktaları, rastgele RPC bağlantı noktaları olarak adlandırılır. Bu gibi durumlarda RPC istemcileri, sunucuya hangi dinamik bağlantı noktalarının atandığını bildirmek için RPC uç nokta eşleyicisine güvenir. Bazı RPC tabanlı hizmetler için, RPC'nin dinamik olarak atamasına izin vermek yerine belirli bir bağlantı noktasını yapılandırabilirsiniz. Rpc'nin hizmetlerden bağımsız olarak küçük bir aralığa dinamik olarak atayabileceği bağlantı noktası aralığını da kısıtlayabilirsiniz. 135 numaralı bağlantı noktası birçok hizmet için kullanıldığından, sıklıkla kötü amaçlı kullanıcılar tarafından saldırıya uğrar. Bağlantı noktası 135'i açarken güvenlik duvarı kuralının kapsamını kısıtlamayı göz önünde bulundurun.

135 numaralı port hakkında daha fazla bilgi için aşağıdaki kaynaklara bakın.

Diğer güvenlik duvarı kurallarıyla etkileşim

Windows Güvenlik Duvarı, yapılandırmasını oluşturmak için kuralları ve kural gruplarını kullanır. Her kural veya kural grubu belirli bir program veya hizmetle ilişkilendirilir ve bu program veya hizmet sizin bilginiz olmadan bu kuralı değiştirebilir veya silebilir. Örneğin, World Wide Web Services (HTTP) ve World Wide Web Services (HTTPS) kural grupları IIS ile ilişkilendirilir. Bu kuralların etkinleştirilmesi 80 ve 443 bağlantı noktalarını açar ve bu kurallar etkinse 80 ve 443 bağlantı noktalarına bağlı SQL Server özellikleri çalışır. Ancak IIS'yi yapılandıran yöneticiler bu kuralları değiştirebilir veya devre dışı bırakabilir. SQL Server için 80 numaralı bağlantı noktasını veya 443 numaralı bağlantı noktasını kullanıyorsanız, tercih ettiğiniz bağlantı noktası yapılandırmasını diğer IIS kurallarından bağımsız olarak koruyan kendi kuralınızı veya kural grubunuzu oluşturmanız gerekir.

Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı MMC ek bileşeni ilgili izin verme kuralıyla eşleşen tüm trafiğe izin verir. Dolayısıyla her ikisi de 80 numaralı bağlantı noktasına uygulanan iki kural varsa (farklı parametrelerle). Her iki kuralla da eşleşen trafiğe izin verilir. Bu nedenle, bir kural yerel alt ağdan 80 numaralı bağlantı noktası üzerinden trafiğe izin veriyorsa ve bir kural herhangi bir adresten gelen trafiğe izin veriyorsa, net etkisi 80 numaralı bağlantı noktasına gelen tüm trafiğin kaynaktan bağımsız olmasıdır. SQL Server'a erişimi etkili bir şekilde yönetmek için, yöneticilerin sunucuda etkinleştirilen tüm güvenlik duvarı kurallarını düzenli aralıklarla gözden geçirmesi gerekir.

Güvenlik duvarı profillerine genel bakış

Güvenlik duvarı profilleri, işletim sistemleri tarafından ağların her birini tanımlamak ve anımsamak için kullanılır: bağlantı, bağlantılar ve kategori.

Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı'nda üç ağ konumu türü vardır:

  • Etki Alanı: Windows, bilgisayarın katıldığı etki alanına ait etki alanı denetleyicisine erişimin kimliğini doğrulayabilir.

  • Genel: Etki alanı ağları dışında, tüm ağlar başlangıçta genel olarak sınıflandırılır. İnternet'e doğrudan bağlantıları temsil eden veya havalimanları ve kafe gibi genel konumlarda bulunan ağlar herkese açık bırakılmalıdır.

  • Özel: Kullanıcı veya uygulama tarafından özel olarak tanımlanan ağ. Yalnızca güvenilen ağlar özel ağ olarak tanımlanmalıdır. Kullanıcılar büyük olasılıkla ev veya küçük işletme ağlarını özel olarak tanımlamak ister.

Yönetici, her ağ konumu türü için bir profil oluşturabilir ve her profil, farklı güvenlik duvarı ilkeleri içerebilir. Her zaman yalnızca bir profil uygulanır. Profil sırası aşağıdaki gibi uygulanır:

  1. Tüm arabirimlerin kimliği bilgisayarın üye olduğu etki alanı denetleyicisinde doğrulanırsa etki alanı profili uygulanır.

  2. Tüm arabirimler etki alanı denetleyicisinde kimlik doğrulamasından geçirildiyse veya özel ağ konumu olarak sınıflandırılan ağlara bağlıysa, özel profil uygulanır.

  3. Aksi takdirde genel profil uygulanır.

Tüm güvenlik duvarı profillerini görüntülemek ve yapılandırmak için Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı MMC ek bileşenini kullanın. Denetim Masası'ndaki Windows Güvenlik Duvarı öğesi yalnızca geçerli profili yapılandırıyor.

Denetim Masası'ndaki Windows Güvenlik Duvarı öğesini kullanan ek güvenlik duvarı ayarları

Eklenen güvenlik duvarı, bağlantı noktasının açılmasını belirli bilgisayarlardan veya yerel alt ağdan gelen bağlantılarla kısıtlayabilir. Bilgisayarınızın kötü amaçlı kullanıcılara ne kadar açık olduğunu azaltmak için bağlantı noktası açma kapsamını sınırlayın.

Denetim Masası'ndaki Windows Güvenlik Duvarı öğesinin kullanılması yalnızca geçerli güvenlik duvarı profilini yapılandırıyor.

Denetim Masası'ndaki Windows Güvenlik Duvarı öğesini kullanarak güvenlik duvarı özel durumunun kapsamını değiştirme

  1. Denetim Masası'ndaki Windows Güvenlik Duvarı öğesinde, Özel Durumlar sekmesinde bir program veya bağlantı noktası seçin ve ardından Özellikler veya Düzenleöğesini seçin.

  2. Bir Programı Düzenle veya Bir Bağlantı Noktasını Düzenle iletişim kutusunda, Kapsamı Değiştirseçin.

  3. Aşağıdaki seçeneklerden birini belirleyin:

    • Herhangi bir bilgisayar (İnternet'te bulunan bilgisayarlar dahil): Önerilmez. Belirtilen programa veya bağlantı noktasına bağlanmak için bilgisayarınızı adresleyebilecek herhangi bir bilgisayar. Bu ayar, bilgilerin İnternet'te anonim kullanıcılara sunulmasına izin vermek için gerekli olabilir, ancak kötü amaçlı kullanıcılara maruz kalmanızı artırır. Bu ayarın etkinleştirilmesi, Sınır Geçişi seçeneği gibi Ağ Adresi Çevirisi (NAT) geçişinin görünürlüğü artırmasına olanak tanır.

    • Ağım (alt ağ) yalnızca: Herhangi bir bilgisayardandaha güvenli bir ayardır. Yalnızca ağınızın yerel alt ağındaki bilgisayarlar programa veya bağlantı noktasına bağlanabilir.

    • Özel liste: Yalnızca listelenen IP adreslerine sahip bilgisayarlar bağlanabilir. Güvenli bir ayar, Ağım (alt ağ) yalnızca'dan daha güvenli olabilir, ancak DHCP kullanan istemci bilgisayarlar bazen IP adreslerini değiştirebilir ve bu da bağlanmayı devre dışı bırakabilir. Yetkilendirmek istemediğiniz başka bir bilgisayar, listelenen IP adresini kabul edebilir ve buna bağlanabilir. Özel listesi, sabit IP adresi kullanacak şekilde yapılandırılmış diğer sunucuları listelemek için uygundur.

      İzinsiz girenler IP adreslerini yanıltabilir. Güvenlik duvarı kurallarını kısıtlamak yalnızca ağ altyapınız kadar güçlü olur.

Gelişmiş Güvenlik için Windows Güvenlik Duvarı eklentisini kullanma

Gelişmiş güvenlik duvarı ayarları, Windows Güvenlik Duvarı Gelişmiş Güvenlik MMC eklentisi kullanılarak yapılandırılabilir. Ek bileşen, Denetim Masası'ndaki Windows Güvenlik Duvarı öğesinde bulunmayan bir kural sihirbazı ve ayarları içerir. Bu ayarlar şunlardır:

  • Şifreleme ayarları
  • Hizmet kısıtlamaları
  • Bilgisayarlar için bağlantıları ada göre kısıtlama
  • Bağlantıları belirli kullanıcılar veya profillerle kısıtlama
  • Trafiğin Ağ Adresi Çevirisi (NAT) yönlendiricilerini atlamasına olanak sağlayan Kenar geçişi
  • Giden trafik kurallarını yapılandırma
  • Güvenlik kurallarını yapılandırma
  • Gelen bağlantılar için IPsec gerektirme

Yeni Kural sihirbazını kullanarak yeni güvenlik duvarı kuralı oluşturma

  1. Başlat menüsünde, Çalıştır'ı seçin, wf.mscyazın ve ardından Tamam'ı seçin.
  2. Gelişmiş Güvenlik Windows Güvenlik Duvarı'nda, sol bölmede gelen kuralları sağ tıklayın ve ardından yeni kural seçin.
  3. İstediğiniz ayarları kullanarak Yeni Gelen Kuralı Sihirbazı tamamlayın.

SQL Server yürütülebilir dosyası için bir program istisnası ekle

  1. Başlangıç menüsünden wf.mscyazın. Enter tuşuna basın veya arama sonucu wf.msc'ı seçerek Gelişmiş Güvenlikile Windows Defender Güvenlik Duvarı'nı açın.

  2. Sol bölmede Gelen kurallarıseçin.

  3. Sağ bölmedeki Eylemleraltında Yeni kural...seçin. Yeni Gelen Kural Sihirbazı açılır.

  4. Kural türüüzerinde, Programseçin. Sonrakiseçin.

  5. Program'da, Bu program yolunuseçin. SQL Server örneğinizi bulmak için Gözat'ı seçin. Programa sqlservr.exeadı verilir. Normalde C:\Program Files\Microsoft SQL Server\MSSQL<VersionNumber>.<InstanceName>\MSSQL\Binn\sqlservr.exekonumunda bulunur. Sonrakiseçin.

  6. Eyleminde, Bağlantıya izin verseçeneğini seçin. Sonrakiseçin.

  7. Profil, tüm üç profili ekleyin. Sonrakiseçin.

  8. Adıüzerine kural için bir ad yazın. olarak seçin.

Uç noktalar hakkında daha fazla bilgi için bkz:

Güvenlik duvarı ayarlarıyla ilgili sorunları giderme

Aşağıdaki araçlar ve teknikler güvenlik duvarı sorunlarını gidermede yararlı olabilir:

  • Geçerli bağlantı noktası durumu, bağlantı noktasıyla ilgili tüm kuralların birleşimidir. Bir bağlantı noktasına erişimi engellemeye çalışırken bağlantı noktası numarasını belirten tüm kuralları gözden geçirmek yararlı olabilir. Gelişmiş Güvenlik ile Windows Güvenlik Duvarı MMC aracıyla kuralları gözden geçirin ve gelen ve giden kuralları bağlantı noktası numarasına göre sıralayın.

  • SQL Server'ın çalıştığı bilgisayarda etkin olan bağlantı noktalarını gözden geçirin. gözden geçirme işlemi, hangi TCP/IP bağlantı noktalarının dinlediğini doğrulamayı ve ayrıca bağlantı noktalarının durumunu doğrulamayı içerir.

  • PortQry yardımcı programı, TCP/IP bağlantı noktalarının durumunu dinliyor, dinlemiyor veya filtrelenmiş olarak raporlamak için kullanılabilir. (Yardımcı program, filtrelenmiş bir duruma sahipse bağlantı noktasından yanıt alamayabilir.) PortQry yardımcı programı, Microsoft İndirme Merkeziadresinden indirilebilir.

Hangi TCP/IP bağlantı noktalarının dinlediğini listeleme

Hangi bağlantı noktalarının dinlediğini doğrulamak için etkin TCP bağlantılarını ve IP istatistiklerini görüntülemek için netstat komut satırı yardımcı programını kullanın.

  1. Komut İstemi penceresini açın.

  2. Komut isteminde netstat -n -ayazın.

    -n anahtarı, netstat etkin TCP bağlantılarının adresini ve bağlantı noktası numarasını sayısal olarak görüntülemesini sağlar. -a anahtarı, netstat'ye bilgisayarın dinlediği TCP ve UDP bağlantı noktalarını görüntülemesi için komut verir.

İlgili içerik

  • Windows için Hizmetine genel bakış ve ağ bağlantı noktası gereksinimleri
  • Azure SQL Veritabanı ve Azure Synapse IP güvenlik duvarı kurallarını
  • Last updated on