VENDAS: 1-800-867-1389

Firewall do Banco de dados SQL do Azure

Atualizado: abril de 2014

O Microsoft Banco de dados SQL do Microsoft Azure fornece um serviço de banco de dados relacional para o Windows Azure e outros aplicativos baseados na Internet. Para ajudar proteger seus dados, o firewall do Banco de dados SQL do Azure impede todo o acesso a seu servidor do Banco de dados SQL do Azure até que você especifique quais computadores têm permissão. O firewall concede acesso com base no endereço IP de origem de cada solicitação.

Para configurar seu firewall, crie regras de firewall que especifiquem intervalos de endereços IP aceitáveis. Você pode criar regras de firewall nos níveis de servidor e banco de dados.

  • Regras de firewall no nível de servidor: essas regras permitem que os clientes acessem seu servidor do Banco de dados SQL do Azure inteiro, isto é, todos os bancos de dados dentro do mesmo servidor lógico. Essas regras são armazenadas no banco de dados mestre. Você cria as regras de firewall no nível de servidor usando o Portal de Gerenciamento da Plataforma Windows Azure ou usando programaticamente as Operations on Firewall Rules que são expostas pela API REST de Gerenciamento de Banco de Dados do Banco de dados SQL do Azure. Como alternativa, depois de estabelecer o acesso, você pode usar de forma programática o banco de dados master para revisar e editar a configuração de firewall.

  • Regras de firewall no nível de banco de dados: essas regras permitem que os clientes acessem bancos de dados individuais dentro do seu servidor do Banco de dados SQL do Azure. Essas regras são criadas por banco de dados e armazenadas nos bancos de dados individuais (incluindo o mestre). Se você especificar um intervalo de endereços IP nessa regra que estiver além do intervalo especificado na regra de firewall no nível de servidor, somente os clientes que têm endereço IP no intervalo especificado na regra no nível de banco de dados poderão acessar o banco de dados. Desse modo, essas regras podem ser úteis na restrição de acesso do cliente a determinados bancos de dados (protegidos) dentro do mesmo servidor lógico. Você pode ter, no máximo, 128 regras de firewall no nível de banco de dados para um banco de dados. É possível criar configurações de firewall no nível de banco de dados para os bancos de dados de usuário e mestre usando o Transact-SQL. Para obter mais informações, consulte How To: Configure the Database-Level Firewall Settings.

    noteObservação
    Se você criar uma federação de bancos de dados no Banco de dados SQL do Azure onde o banco de dados raiz contiver regras de firewall no nível de banco de dados, as regras não serão copiadas nos bancos de dados do membro da federação. Se precisar de regras de firewall no nível de banco de dados para os membros da federação, você terá que recriar as regras para os membros da federação. No entanto, se você dividir um membro da federação contendo uma regra de firewall no nível de banco de dados em novos membros da federação usando a instrução ALTER FEDERATION … SPLIT, os novos membros de destino terão as mesmas regras de firewall no nível de banco de dados que o membro da federação de origem. Para obter mais informações sobre federações, consulte Federações no Banco de dados SQL do Azure.

Este tópico descreve o firewall do Banco de dados SQL do Azure e como você pode definir regras de firewall para especificar quais clientes podem acessar o servidor do Banco de dados SQL do Azure e os bancos de dados individuais.

Neste tópico

Inicialmente, todo acesso ao seu servidor do Banco de dados SQL do Azure é bloqueado pelo firewall do Banco de dados SQL do Azure; as tentativas de conexão originadas pela Internet ou pelo Windows Azure não poderão acessar seu servidor do Banco de dados SQL do Azure. Para começar a usar seu servidor do Banco de dados SQL do Azure, acesse o Portal de Gerenciamento e especifique uma ou mais regras de firewall no nível de servidor que permitam o acesso ao seu servidor do Banco de dados SQL do Azure. Use as regras de firewall para especificar quais intervalos de endereços IP da Internet são permitidos e se os aplicativos do Windows Azure podem ou não tentar se conectar ao servidor do Banco de dados SQL do Azure.

No entanto, se desejar conceder acesso seletivamente a apenas um dos bancos de dados no seu servidor do Banco de dados SQL do Azure, você deverá criar uma regra no nível de banco de dados para o banco de dados necessário com um intervalo de endereços IP que esteja além do intervalo especificado na regra de firewall no nível de servidor, além de garantir que o endereço IP do cliente esteja dentro do intervalo especificado na regra no nível de banco de dados.

As tentativas de conexão pela Internet e pelo Windows Azure devem passar primeiramente pelo firewall do Banco de dados SQL do Azure antes de poderem acessar seu servidor ou banco de dados do Banco de dados SQL do Azure, conforme mostrado no diagrama a seguir.

Quando um computador tentar se conectar ao seu servidor do Banco de dados SQL do Azure pela Internet, o firewall do Banco de dados SQL do Azure verifica o endereço IP original da solicitação em relação ao conjunto completo de regras de firewall no nível de servidor e (se necessário) no nível de banco de dados:

  • Se o endereço IP da solicitação estiver dentro de um dos intervalos especificados nas regras de firewall no nível de servidor, a conexão será concedida ao seu servidor do Banco de dados SQL do Azure.

  • Se o endereço IP da solicitação não estiver dentro de um dos intervalos especificados na regra de firewall no nível de servidor, as regras de firewall no nível de banco de dados serão verificadas. Se o endereço IP da solicitação estiver dentro de um dos intervalos especificados nas regras de firewall no nível de banco de dados, a conexão será concedida somente ao banco de dados que tiver uma regra correspondente no nível de banco de dados.

  • Se o endereço IP da solicitação não estiver dentro dos intervalos especificados em alguma regra de firewall no nível de servidor ou no nível de banco de dados, haverá falha na solicitação de conexão.

noteObservação
Além de configurar o firewall do Banco de dados SQL do Azure, talvez seja necessário também configurar o firewall em sua rede e no computador local. Para acessar um banco de dados do Banco de dados SQL do Azure a partir de um computador, certifique-se de que o firewall na sua rede e no computador local permita a comunicação TCP de saída na porta TCP 1433. (O serviço Banco de dados SQL do Microsoft Azure está disponível somente com a porta TCP 1433.)

Quando um aplicativo do Windows Azure tenta conectar-se a seu servidor do Banco de dados SQL do Azure, o firewall do Banco de dados SQL do Azure procura uma configuração de firewall específica que indica se são permitidas conexões do Windows Azure.

Uma configuração de firewall com endereço inicial e final igual a 0.0.0.0 indica que as conexões do Windows Azure são permitidas. Se a tentativa de conexão não for permitida, a solicitação não acessará o servidor do Banco de dados SQL do Azure.

noteObservação
No Portal de Gerenciamento, você pode habilitar conexões do Windows Azure em uma única caixa de seleção. Para obter mais informações, consulte How to: Prepare the SQL Azure Firewall.

Para se conectar ao seu servidor do Banco de dados SQL do Azure pela primeira vez, a primeira configuração de firewall no nível de servidor deve ser especificada usando o Portal de Gerenciamento ou programaticamente usando as Operations on Firewall Rules fornecidas pela API de Gerenciamento de Banco de Dados. Para iniciar a configuração do firewall, no Portal de Gerenciamento, clique na guia Configurações de Firewall na página Administração do Servidor. Se você estiver usando o novo Portal de Gerenciamento, clique no servidor sob a sua assinatura. Os botões Adicionar, Atualizar e Excluir são fornecidos no painel direito para gerenciar as regras de firewall no nível de servidor. Se as regras de firewall no nível de servidor e os botões não estiverem visíveis, clique no botão Regras de Firewall para alternar a exibição das regras de firewall no nível de servidor.

O Portal de Gerenciamento também permite remover as configurações de firewall no nível de servidor. Para obter mais informações sobre como gerenciar configurações de firewall no nível de servidor, consulte How to: Prepare the SQL Azure Firewall.

Também é possível criar uma regra de firewall no nível de banco de dados se desejar permitir seletivamente acesso a determinados bancos de dados de usuário para clientes específicos. Para criar uma regra no nível de banco de dados, consulte How To: Configure the Database-Level Firewall Settings.

Depois de usar o Portal de Gerenciamento para criar uma configuração de firewall no nível de servidor que permita a conexão com seu servidor do Banco de dados SQL do Azure, você pode usar o logon da entidade de segurança no nível de servidor e o banco de dados master para exibir e editar suas configurações de firewall no nível de servidor. No banco de dados master, as configurações de firewall são conhecidas como regras. A exibição sys.firewall_rules mostra as configurações de firewall atuais e os procedimentos armazenados sp_set_firewall_rule e sp_delete_firewall_rule permitem alterar as configurações de firewall. Para obter mais informações, consulte sys.firewall_rules (Banco de dados SQL do Azure), sp_set_firewall_rule (Banco de dados SQL do Azure) e sp_delete_firewall_rule (Banco de dados SQL do Azure).

De forma semelhante, após criar uma configuração de firewall no nível de banco de dados, você poderá se conectar ao mestre ou a um banco de dados de usuário para exibir as configurações de firewall no nível de banco de dados para o respectivo banco de dados. A exibição sys.database_firewall_rules em cada banco de dados mostra as configurações de firewall atuais no nível de banco de dados e os procedimentos armazenados sp_set_database_firewall_rule e sp_delete_database_firewall_rule permitem alterar as configurações de firewall. Para obter mais informações, consulte sys.database_firewall_rules (Banco de dados SQL do Azure), sp_set_database_firewall_rule (Banco de dados SQL do Azure) e sp_delete_database_firewall_rule (Banco de dados SQL do Azure).

noteObservação
Pode haver um atraso de até cinco minutos para que as alterações das configurações de firewall sejam efetivadas.

Considere os seguintes pontos quando o acesso ao serviço Banco de dados SQL do Microsoft Azure não se comportar como esperado:

  • Configuração do firewall local: antes que o computador possa acessar o Banco de dados SQL do Azure, talvez seja necessário criar uma exceção de firewall no seu computador para a porta TCP 1433.

  • Conversão de endereços de rede (NAT): devido à NAT, o endereço IP usado por seu computador para conectar-se ao Banco de dados SQL do Azure pode ser diferente do endereço IP mostrado nos parâmetros de configuração de IP do computador. Para saber qual endereço IP está sendo usado, use esse computador para conectar-se ao Portal de Gerenciamento e clique na guia Configurações de Firewall. Ao clicar em Adicionar Regra ou em Editar Regra, seu endereço IP é exibido na caixa de diálogo com o rótulo Seu Endereço IP é.

  • As alterações da lista de permissões ainda não entraram em vigor: pode haver um atraso de até cinco minutos para as alterações da configuração de firewall do Banco de dados SQL do Azure entrarem em vigor.

  • O logon não foi autorizado ou uma senha incorreta foi usada: se um logon não tiver permissões no servidor do Banco de dados SQL do Azure ou a senha usada estiver incorreta, a conexão com o servidor do Banco de dados SQL do Azure será negada. Criar uma configuração de firewall apenas oferece aos clientes uma oportunidade para tentar conectar-se ao servidor do Banco de dados SQL do Azure; cada cliente deve fornecer as credenciais de segurança necessárias. Para obter mais informações sobre a preparação de logons, consulte Gerenciando bancos de dados e logons no Banco de dados SQL do Azure

  • Endereço IP dinâmico: se você tiver uma conexão à Internet com endereçamento IP e tiver dificuldade para atravessar o firewall do Banco de dados SQL, poderá tentar uma das seguintes soluções:

    • Pergunte ao seu provedor de serviços de Internet o intervalo de endereços IP atribuídos aos seus computadores cliente que acessarão o servidor do Banco de dados SQL e, em seguida, adicione o intervalo como regra de firewall do Banco de dados SQL.

    • Obtenha, em vez disso, o endereçamento IP estático para seus computadores cliente e adicione os endereços IP como regras de firewall do Banco de dados SQL.

Consulte também

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft