Sistemele de tip firewall împiedică accesul neautorizat la resursele calculatorului. Dacă paravanul de protecție este activat, dar configurat incorect, este posibilă blocarea încercării de conectare la serverul SQL.
Pentru a permite accesul la o instanță a serverului SQL prin intermediul unui paravan de protecție, trebuie să îl configurați pe computerul care execută SQL Server. Paravanul de protecție este o componentă a Microsoft Windows. În schimb, puteți instala firewall-ul unei alte companii. Această secțiune descrie modul de configurare a Paravanului de protecție Windows, dar principiile generale se aplică tuturor celorlalte firewall-uri.
Această secțiune oferă informații generale despre configurarea paravanului de protecție și a informațiilor sumare de interes pentru administratorul SQL Server. Pentru informații suplimentare și informații oficiale privind firewall-ul, consultați documentația firewall-ului, de exemplu, paravanul de protecție Windows cu securitate avansată și IPsec și paravanul de protecție Windows cu securitate avansată ca ghid.
Utilizatorii care sunt familiarizați cu paravanul de protecție Windows pe panoul de control și cu modulul de protecție Windows Firewall with Advanced Security din Microsoft Management Console (MMC) și care pot configura setările pentru firewall pot accesa direct subiectele listate în lista următoare.
Paravanul de protecție verifică dacă pachetele primite sunt conforme cu un set de reguli. Dacă regulile permit transferul pachetului, paravanul de protecție îl transmite la protocolul TCP / IP pentru prelucrare ulterioară. Dacă transferul de pachete nu este permis de reguli, firewall-ul îl respinge și, dacă logarea este activată, creează o intrare corespunzătoare în fișierul jurnal.
Lista traficului autorizat este completă într-unul din următoarele moduri.
Când un computer protejat de paravanul de protecție deschide conexiunea, firewall-ul adaugă la listă un element care permite răspunsul la această conexiune. Răspunsul primit este considerat așteptat și nu necesită ajustare.
Funcția administratorului este de a configura excepții de la paravanul de protecție. Acest lucru vă permite să permiteți accesul la anumite programe care rulează pe computer sau la anumite porturi. În acest caz, computerul acceptă tot traficul, care acționează ca server, ascultător sau peer. Pentru a vă conecta la serverul SQL, trebuie să efectuați această configurație.
Alegerea unei strategii de firewall este mai dificilă și nu se limitează la deschiderea sau închiderea porturilor. Atunci când alegeți o strategie de securitate pentru o întreprindere, trebuie să luați în considerare toate regulile disponibile și setările de configurare. În această secțiune, nu sunt luate în considerare toate setările de firewall posibile. Este recomandat să citiți următoarele documente.
Primul pas în planificarea unei configurații de firewall este de a determina starea sa actuală în sistemul de operare. Dacă sistemul de operare a fost actualizat dintr-o versiune anterioară, este posibil ca setările vechi de firewall să fi fost păstrate. În plus, setările pentru paravanul de protecție ar putea fi modificate de un alt administrator sau de politică de grup din domeniu. Cu toate acestea, următoarele opțiuni sunt aplicate în mod implicit.
Paravanul de protecție este activat și blochează conexiunile la distanță.
Paravanul de protecție este dezactivat. Administratorul trebuie să decidă dacă să îl activeze.
Paravanul de protecție este activat și blochează conexiunile la distanță.
Windows XP cu Service Pack 2 (SP2) sau mai mare
Paravanul de protecție este activat și blochează conexiunile la distanță.
Windows XP Service Pack 1 (SP1) sau mai mic
Paravanul de protecție este dezactivat și trebuie pornit.
Numele instanțelor SQL Server în configurația implicită
Portul TCP este alocat dinamic când este pornit motorul bazei de date.
Vedeți subsecțiunea Porturi dinamice mai târziu în această secțiune. Dacă utilizați instanțe numite, serviciul SQL Server Browser poate necesita portul UDP 1434.
Expresii denumite SQL Server, dacă sunt configurate să utilizeze un port fix
Numărul portului este configurat de administrator.
Portul TCP 1434 este pentru instanța implicită. Alte porturi sunt utilizate pentru instanțe numite. Verificați numărul portului pentru jurnalul de erori.
Implicit, conexiunile la distanță pentru o conexiune administrativă dedicată (DAC) sunt dezactivate. Puteți activa conexiunea administrativă la distanță selectată utilizând instrumentul de setare a zonei de contact. Pentru mai multe informații, consultați Înțelegerea configurației zonei de contact.
SQL Server Browser
Browserul SQL Server asculta conexiunile de intrare la instanța numită și returnează clientului numărul portului TCP corespunzător instanței numite. În mod obișnuit, serviciul SQL Server Browser pornește atunci când utilizați o instanță numită a motorului de bază de date. Dacă clientul este configurat să se conecteze la o instanță numită pe portul specificat, atunci serviciul "SQL Server, browser" nu trebuie să înceapă.
O instanță a serverului SQL care rulează prin punctul final HTTP
Poate fi specificat în timpul creării unui punct final HTTP. Implicit este portul TCP 80 pentru datele CLEAR_PORT și portul 443 pentru datele SSL_PORT.
Dacă utilizați mediul Visual Studio pe server, trebuie de asemenea să adăugați programul Devenv.exe în lista de excepții și să deschideți portul TCP 135.
Dacă utilizați Management Studio pe server, trebuie să adăugați și ssms.exe în lista de excepții și să deschideți portul TCP 135. Pentru mai multe informații, consultați Configurarea și executarea programului Debugger Transact-SQL.
Pentru instrucțiuni pas cu pas pentru configurarea paravanului de protecție Windows pentru motorul bazei de date, consultați Cum să: Configurați paravanul de protecție Windows pentru a accesa motorul de bază de date.
Porturi dinamice
Implicit, instanțele numite (inclusiv SQL Server Express) utilizează porturi dinamice. Aceasta înseamnă că de fiecare dată când motorul bazei de date pornește, acesta găsește portul disponibil și îl ia. Dacă instanța numită este singura instanță a bazei de date instalată, este probabil că va utiliza portul TCP 1433. Dacă sunt instalate alte instanțe ale motorului de bază de date, acestea vor utiliza alte porturi TCP. Deoarece portul selectat se poate schimba de fiecare dată când este pornit motorul bazei de date, este dificil să configurați paravanul de protecție pentru a permite accesul la portul necesar. Prin urmare, dacă utilizați un paravan de protecție, vă recomandăm să configurați motorul de bază de date să utilizeze în mod constant același port. Acest port este numit fix sau static. Pentru informații suplimentare, consultați Configurarea unui port fix.
Ca alternativă la configurarea unei instanțe numită pentru a asculta pe un port fix, puteți crea excepții pentru programul SQL Server din paravanul de protecție (de exemplu, sqlservr.exe pentru motorul de bază de date). Aceasta este o cale de ieșire bună, dar numărul portului nu va fi afișat în coloana Port local de pe pagina Reguli de intrare a modulului de protecție Windows Firewall with Advanced Security. Ca urmare, porturile deschise de audit vor deveni mai dificile. O altă nuanță este că atunci când se aplică o actualizare cumulativă sau pachet service pack, calea spre fișierul executabil al SQL Server se poate schimba, ceea ce va face ca regula să fie nevalidă.
Următoarea procedură este efectuată utilizând elementul Paravan de protecție Windows din panoul de control. În modulul de protecție "Windows Firewall with Advanced Security", puteți configura setări suplimentare pentru firewall. Acestea includ crearea unui serviciu de excludere care poate fi util în furnizarea unei protecții aprofundate. Consultați Utilizarea modulului de protecție Windows Firewall cu secțiune de securitate avansată de mai jos.
Adăugarea de excepții la paravanul de protecție al programului, utilizând elementul Paravan de protecție Windows din panoul de control
În fila Excepții a elementului Paravan de protecție Windows de pe panoul de control, faceți clic pe Adăugare program.
Navigați la directorul de instanțe al serverului SQL pentru care doriți să permiteți accesul (de exemplu, C: \ Program Files \ Microsoft SQL Server \ MSSQL10.<имя_экземпляра>\ MSSQL \ Binn), selectați fișierul sqlservr.exe și faceți clic pe butonul Deschidere.
Faceți clic pe OK.
Porturi utilizate de serviciile de analiză
Serviciul de servicii de integrare accesează DCOM pe portul 135. Managerul de control al serviciului utilizează portul 135 pentru a porni și a opri serviciul Integration Services, pentru a transmite cererile de control către serviciul în desfășurare și pentru a efectua alte activități. Numărul portului nu poate fi modificat.
Acesta este singurul port care trebuie să fie deschis când se conectează la o instanță la distanță a serviciului Integration Services din Management Studio sau din programul de aplicații.
Alte porturi și servicii
Următoarele instrumente și metode pot fi utile în depanarea problemelor legate de firewall.
Pentru a verifica ce porturi ascultă, utilizați instrumentul liniei de comandă netstat. În plus față de conexiunile active TCP, programul netstat afișează, de asemenea, diverse statistici și alte informații despre protocolul IP.
Obținerea unei liste de porturi TCP / IP de ascultare
Deschideți fereastra Prompt Command.
În linia de comandă, tastați netstat -n -a.
Pentru mai multe informații despre depanare, consultați următoarele subiecte.