MSDN Library
Sbalit obsah
Rozbalit obsah
Tento článek byl přeložený strojově. Pokud chcete zobrazit článek v angličtině, zaškrtněte políčko Angličtina. Anglickou verzi článku můžete také zobrazit v místním okně přesunutím ukazatele myši nad text.
Překlad
Angličtina

Konfigurace brány Windows Firewall umožnit přístup SQL Server

Systémy brána firewall zabránit neoprávněnému přístupu k prostředkům počítače.Pokud brána firewall je zapnuta, ale není správně nakonfigurován, pokusí se připojit k SQL Server může být blokován.

Přístup k instance SQL Server přes bránu firewall je nutné konfigurovat bránu firewall na počítači se systémem SQL Server Chcete-li povolit přístup. Brána firewall je součást Microsoft Windows. Můžete také nainstalovat bránu firewall od jiné společnosti.Toto téma popisuje, jak nakonfigurovat bránu firewall systému Windows, ale základní principy platí pro ostatní programy brány firewall.

NoteNote:

Toto téma obsahuje základní informace o konfigurace brány firewall a shrnuje informace zájmu SQL Server Administrator. Další informace o bráně firewall a informace autoritativní brány firewall naleznete v dokumentaci brány firewall, například Brána Windows Firewall s pokročilým zabezpečením a protokol IPsec and Brána Windows Firewall s pokročilým zabezpečením - přehled obsahu.

Uživatelé znají Brána Windows Firewall položka v Ovládacích panelech a v bráně Windows Firewall s Advanced Security Microsoft Management Console (MMC), modul snap-in a kteří znáte nastavení brány firewall, které chtějí konfigurace můžete přesunout přímo témata v následujícím seznamu:

Brány firewall fungovat kontroly příchozí pakety a porovnání je proti sada pravidel.Pokud pravidla umožňují paket, brána firewall předá paket protokol TCP/IP pro další zpracování.Pokud pravidla neumožňují paket, brána firewall zahodí paket a, je-li povoleno protokolování, vytvoří položku v souboru protokolování brány firewall.

Seznam povolených přenosů je naplněn jedním z následujících způsobů:

  • Počítače, který má brána firewall povolena komunikace inicializuje, brána firewall vytvoří položku v seznamu, tak, aby odpověď je povolen.Příchozí odpověď se považuje za vyžádaná provozu a není nutné tuto konfiguraci.

  • Správce konfiguruje výjimky brány firewall.To umožňuje buď přístupu k zadané programy spuštěné v počítači nebo přístup k portům určeného připojení v počítači.V takovém případě počítač přijme nevyžádaný příchozí přenos při pracující jako server, posluchače nebo druhé strany.Jedná se o typ konfigurace, která musí být splněny pro připojení k SQL Server.

Výběr že strategie brány firewall je složitější než právě rozhodujícím Pokud třeba zadaný port otevřen nebo zavřen.Při navrhování strategie brány firewall pro vaši rozlehlou síť, ujistěte se, vzít v úvahu všechna pravidla a možnosti konfigurace, které jsou k dispozici.Toto téma není zkontrolujte všechny možnosti možné brány firewall.Doporučujeme, abyste si následující dokumenty:

Začínáme s bránou Windows Firewall s pokročilým zabezpečením v systému Windows Vista a Windows Server 2008

Brána Windows Firewall s Průvodce návrhem rozšířeného zabezpečení

Úvod k serveru a izolace doména

Prvním krokem v plánování vaší konfigurace brány firewall je zjistit aktuální stav brány firewall pro váš operační systém.V případě operační systém byl inovován z předchozí verze, dřívější brány firewall nastavení může mít bylo zachováno.Také nastavení brány firewall by byly změněny jiným správcem nebo Zásady skupiny ve vaší doméně.Výchozí nastavení jsou však takto:

  • Windows Server 2008

    Brána firewall je na a blokuje vzdálené připojení.

  • Windows Server 2003

    Brána firewall je vypnuta.Správci, zvažte zapnutí brány firewall.

  • Windows Vista

    Brána firewall je na a blokuje vzdálené připojení.

  • Windows XP služba Pack 2 nebo novější

    Brána firewall je na a blokuje vzdálené připojení.

  • Okno XP S aktualizací služba Pack 1 nebo starší

    Brána firewall je vypnutá a by měla být zapnuta.

NoteNote:

Zapnutí brány firewall ovlivní ostatní programy, které přístup k tomuto počítači, jako je například soubor a vytisknout sdílení a vzdálené plochy připojení.Správci, zvažte všechny aplikace, které jsou spuštěny v počítači před úpravou nastavení brány firewall.

Existují tři způsoby konfigurace nastavení brány Windows Firewall.

Následující tabulka vám pomůže určit portů používán SQL Server.

Porty použité podle databázový stroj

V následující tabulce jsou uvedeny porty, které jsou často používány Database Engine.

Scénář

Port

Komentář

SQL Server výchozí instance spuštěna přes TCP

TCP port 1433

Toto je nejběžnější portu povoleny přes bránu firewall.Platí pro běžné připojení k výchozí instalace Database Engine, nebo pojmenovaná instance, která je jedinou instance v počítači spuštěna. (Pojmenované instance mít důležité informace.Viz Dynamické porty dále v tomto tématu.)

SQL Server pojmenované instance ve výchozí konfigurace.

TCP port je určena v době dynamický port Database Engine spustí.

Další informace naleznete v níže v části Dynamické porty.Může být požadováno pro portu UDP 1434 SQL Server Prohlížeč služba při použití s názvem instance.

SQL Server Pokud jsou nastaveny pro použití dlouhodobého portu s názvem instance

Číslo portu, který konfiguruje správce systému.

Další informace naleznete v níže v části Dynamické porty.

Vyhrazený správce připojení

Port TCP 1434 pro výchozí instance.Jiné porty se používají pro pojmenované instance.Číslo portu v protokol chyb.

Standardně nejsou povolena vzdálená připojení k vyhrazený Správce připojení aplikace DAC ().Chcete-li povolit vzdálený aplikace DAC, použijte omezující vlastnost konfigurace oblasti možnosti útoku.Další informace naleznete v tématuPrincipy konfigurace možnosti útoku prostoru.

SQL Server Služba prohledávání počítačů

UDP port 1434

Složka SQL Server Prohlížeč služba naslouchá příchozím připojením pojmenovaná instance a poskytne klientovi číslo portu TCP, který odpovídá, pojmenovaná instance. Obvykle SQL Server Prohlížeč služba je spuštěna při každém s názvem instance Database Engine jsou používány. Složka SQL Server Služba prohledávání počítačů nemá být spuštěna, pokud je klient nakonfigurován pro připojení k určitý port pojmenovaná instance.

SQL Server instance spuštěna přes koncový bod HTTP.

Lze určit při vytvoření koncový bod HTTP.Výchozí hodnotou je port TCP pro CLEAR_PORT provoz 80 a 443 pro SSL_PORT provoz.

Použít pro připojení HTTP prostřednictvím adresy URL.

SQL Server výchozí instance spuštěna přes koncový bod HTTPS.

TCP port 443

Použít pro připojení k HTTPS pomocí adresy URL.Protokol HTTPS je připojení HTTP používající vrstva secure sockets (protokol SSL).

Service Broker

TCP port 4022.Ověření portu používaného, provést následující dotaz:

SELECT name, protocol_desc, port, state_desc

FROM sys.tcp_endpoints

WHERE type_desc = 'SERVICE_BROKER'

There is no default port for SQL Server Service Broker, but this is the conventional configuration used in Books Online examples.

Zrcadlení databáze

Správce zvolený port.Chcete-li určit port, provést následující dotaz:

SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints

WHERE type_desc = 'DATABASE_MIRRORING'

Neexistuje žádný výchozí port pro zrcadlení databáze však knihy online příklady používají TCP port 7022.Je velmi důležité, aby se zabránilo přerušení koncovém zrcadlení v provozu, zejména v režimu vysoké bezpečnostní s automatické předání služeb při selhání.Konfigurace brány firewall třeba se vyvarovat narušení kvorum.Další informace naleznete v tématuUrčení síťová adresa serveru, který (zrcadlení databáze).

Replikace

Připojení replikace SQL Server použít typické normální Database Engine porty (port TCP 1433 pro výchozí instance, atd.)

webová synchronizace a přístup FTP/UNC pro replikace snímek vyžadují dalších portů, které mají být otevřeny v bráně firewall.Chcete-li přenést počátečních dat a schématu z jednoho umístění do druhého, replikace pomocí FTP (TCP port 21), nebo synchronizovat přes HTTP (TCP port 80) nebo soubor a sdílení tisku (port TCP 137,138 nebo 139).

Replikace používá pro synchronizaci přes protokol HTTP koncového bodu služby IIS (porty pro které je konfigurovatelná ale ve výchozím nastavení port 80), ale proces služby IIS připojuje k databáze na serveru SQL Server pomocí standardní porty (1433 pro výchozí instance.

Během webová synchronizace pomocí FTP, je FTP přenos mezi službou IIS a SQL Server Vydavatel není mezi odběratel a služby IIS.

Další informace naleznete v tématu Konfigurace aplikace Microsoft Internet Security and Acceleration Server pro replikace 2000 Microsoft SQL Server přes Internet.

Transact-SQL debugger

TCP port 135

Viz Zvláštní doporučení pro port 135

Složka protokol IPsec výjimka může být také vyžadován.

Používáte-li Visual StudioNa stránce Visual Studio hostitelský počítač, musíte také přidat Devenv.exe do seznamu výjimek a otevřít port TCP 135.

Používáte-li Management StudioNa stránce Management Studio hostitelský počítač, musíte také přidat ssms.exe do seznamu výjimek a otevřít port TCP 135.Další informace naleznete v tématuKonfigurace a spuštění Debugger jazyka Transact-SQL.

Pokyny krok za krokem ke konfigurování brány firewall systému Windows pro Database Engine, viz Postup: Konfigurace brány firewall systému Windows pro přístup k databázi stroje.

Dynamické porty

Ve výchozím nastavení název instance (včetně SQL Server Express) používání dynamických portů. To znamená, že každý čas, Database Engine se spustí, identifikuje volný port a použití, které číslo portu. Pokud je pouze instance pojmenovaná instance Database Engine nainstalován, bude pravděpodobně používat TCP port 1433. Pokud ostatní instance Database Engine jsou nainstalovány, bude pravděpodobně používat jiný port TCP. Protože vybraný port může změnit každý čas, Database Engine je spuštěna, je obtížné konfiguraci brány firewall umožníte přístup k správné číslo portu. Tedy pokud používá bránu firewall, doporučujeme překonfigurování Database Engine Chcete-li použít stejné číslo portu při každém. To se nazývá dlouhodobého portu nebo statický port.Další informace naleznete v tématuKonfigurace pevné port.

Konfigurace pojmenovaná instance k naslouchání na pevné portu Další možností je vytvoření výjimky v bráně firewall pro SQL Server Program například Sqlservr.exe (pro Database Engine). To může být pohodlný, ale číslo portu se nezobrazí v Local Port sloupecPříchozí pravidla stránka při použití brány Windows Firewall pomocí modulu snap in MMC rozšířené zabezpečeníTo může usnadnit obtížně auditovat které porty jsou otevřeny.Dalším aspektem je, aktualizace služba pack nebo kumulativní aktualizace můžete změnit cena k SQL Server spustitelný soubor, který pozbude pravidlo brány firewall.

NoteNote:

Následující procedura používá Brána Windows Firewall položka v Ovládacích panelech.Brána Windows Firewall s pokročilým zabezpečení snap-in lze nastavit složitější pravidla.Jedná se o konfiguraci služba výjimky, které mohou být užitečné pro poskytování ochrany do hloubky.Viz Použití brány Windows Firewall s moduly snap-in rozšířeného zabezpečení níže.

Chcete-li přidat výjimku programu brány firewall pomocí ovládacího panelu na položka Brána Firewall systému Windows.

  1. Na stránce Výjimky na kartěBrána Windows Firewall položka v Ovládacích panelech klepněte na tlačítkoPřidání programu.

  2. Přejděte do umístění, instance SQL Server Chcete povolit přes bránu firewall, například C:\Program Files\Microsoft SQL Server\MSSQL10. <Název_instance>\MSSQL\Binn, select Sqlservr.exe a potom klepněte na tlačítko OPEN.

  3. Click OK.

Další informace o koncových bodech naleznete v tématu Síťové protokoly a koncové body TDS. and Zobrazení katalogu koncové body (Transact-SQL).

Porty používané ve službě Analysis Services

Následující tabulka seznam portů, které jsou často používány Analysis Services.

Funkce

Port

Komentář

Analysis Services

Port TCP 2383 pro výchozí instance

Standardní port pro výchozí instance Analysis Services.

SQL Server Služba prohledávání počítačů

Port TCP 2382 pouze potřebné pro Analysis Services Pojmenovaná instance

Požadavky na připojení klient pro pojmenovaná instance Analysis Services které není určeno číslo portu, jsou směrováni na portu 2382 portu, na které SQL Server Prohlížeč naslouchá. SQL Server Prohlížeč přesměruje potom žádost port, který používá pojmenovanou instance.

Analysis Services nakonfigurovaný pro použití prostřednictvím služby IIS/HTTP

(Kontingenční tabulka ® služba používá HTTP nebo HTTPS)

TCP port 80

Použít pro připojení HTTP prostřednictvím adresy URL.

Analysis Services nakonfigurovaný pro použití prostřednictvím služby IIS nebo HTTPS

(Kontingenční tabulka ® služba používá HTTP nebo HTTPS)

TCP port 443

Použít pro připojení k HTTPS pomocí adresy URL.Protokol HTTPS je připojení HTTP používající vrstva secure sockets (protokol SSL).

Pokud má uživatel přístup k Analysis Services prostřednictvím služby IIS a k Internetu je nutné otevřít port, kdy naslouchá a zadat tento port v řetězci připojení klient služby IIS. V tomto případě muset být otevřeny pro přímý přístup k žádné porty Analysis Services. Výchozí port 2382 2389 a port, by mělo být omezeno spolu s všechny porty, které jsou požadovány.

Pokyny krok za krokem ke konfigurování brány firewall systému Windows pro Analysis Services, viz Postup: Konfiguraci brány firewall systému Windows pro přístup K Analysis Services.

Porty použité podle Reporting Services

Následující tabulka seznam portů, které jsou často používány Reporting Services.

Funkce

Port

Komentář

Reporting Services Webové služby

TCP port 80

Sloužící k připojení HTTP Reporting Services prostřednictvím adresy URL. Doporučujeme použít předem pravidlo Služby WWW (HTTP).Další informace naleznete Interakce s další pravidla brány firewall níže uvedené části.

Reporting Services nakonfigurovaný pro použití prostřednictvím protokolu HTTPS

TCP port 443

Použít pro připojení k HTTPS pomocí adresy URL.Protokol HTTPS je připojení HTTP používající vrstva secure sockets (protokol SSL).Doporučujeme použít předem pravidlo Zabezpečené služby Internetu (HTTPS).Další informace naleznete Interakce s další pravidla brány firewall níže uvedené části.

Při vytváření Reporting Services připojení k instance Database Engine Nebo Analysis Services, je nutné otevřít také příslušné porty pro tyto služby. Podrobné pokyny ke konfigurování brány firewall systému Windows pro Reporting Services, Postup: Konfigurace brány firewall pro přístup server sestav.

Porty použité podle integrace Services

V následující tabulce jsou uvedeny porty, které jsou používány Integration Services Služba.

Funkce

Port

Komentář

Microsoft vzdálené volání procedur (MS RPC)

Používá Integration Services za běhu.

TCP port 135

Viz Zvláštní doporučení pro port 135

Složka Integration Services Služba DCOM používá na portu 135. Správce řízení služeb používá port 135 k provedení úloh, jako je například spuštění a zastavení Integration Services služba a předávání řízení požadavky na spuštění služba. Nelze změnit číslo portu.

Tento port je požadována pouze otevřen, pokud připojujete k vzdálené instance Integration Services ze služba Management Studio nebo do vlastní aplikace.

Podrobné pokyny ke konfigurování brány firewall systému Windows pro Integration Services, viz Konfigurace brány firewall systému Windows pro přístup integrace Services and Postup: Konfigurace brány firewall systému Windows pro integrace Services.

Další služby a porty

Následující tabulka obsahuje seznam portů a služeb SQL Server může záviset.

Scénář

Port

Komentář

rozhraní rozhraní WMI (Windows Management Instrumentation) (rozhraní rozhraní WMI (Windows Management Instrumentation) (Windows Management Instrumentation))

Další informace o službě rozhraní WMI naleznete v tématu Zprostředkovatel služby rozhraní WMI pro správu pojmy

rozhraní WMI, pracuje jako část sdílené služba hostitele s porty přiřazené pomocí modelu DCOM.rozhraní WMI mohou používat TCP port 135.

Viz Zvláštní doporučení pro port 135

SQL Server Správce konfigurace vypsat a spravovat služby pomocí služby rozhraní WMI.Doporučujeme použít skupiny předem pravidel rozhraní rozhraní WMI (Windows Management Instrumentation) (Windows Management Instrumentation) (rozhraní rozhraní WMI (Windows Management Instrumentation)).Další informace naleznete Interakce s další pravidla brány firewall níže uvedené části.

Microsoft distribuovaná transakce Coordinator (MS DTC)

TCP port 135

Viz Zvláštní doporučení pro port 135

Pokud aplikace používá distribuovaná transakce, budete možná muset konfigurovat brány firewall umožníte Microsoft Distribuované Transaction Coordinator (MS DTC) komunikační tok mezi samostatné instance koordinátoru MS DTC a mezi koordinátoru MS DTC a prostředek správci jako SQL Server. Doporučujeme použít předem nakonfigurovanou Koordinátor distribuovaná transakce pravidlo skupiny.

Při konfiguraci jedné sdílené MS DTC pro celý cluster ve skupině oddělené prostředků byste měli sqlservr.exe přidat jako výjimku brány firewall.

tlačítko pro procházení v Management Studio používá pro připojení k UDP SQL Server Služba prohlížeče. Další informace naleznete v tématuSlužba SQL Server prohlížeče.

UDP port 1434

UDP je protokol bez připojení.

Brána firewall má nastavení, které se nazývá Vlastnost UnicastResponsesToMulticastBroadcastDisabled INetFwProfile rozhraní , které řídí chování brány firewall s ohledem na jednosměrové odpovědi na požadavek UDP všesměrového vysílání (nebo vícesměrového vysílání).Má dva chování:

  • Je-li nastavena na hodnotu TRUE, jsou přípustné vůbec žádné odpovědi jednosměrového vysílání na vysílání.Sestavení výčtu služeb se nezdaří.

  • Je-li nastavena na FALSE (výchozí), odpovědi jednosměrového vysílání jsou povoleny pro 3 sekundy.The length of time is not configurable.in a congested or high-latency network, or for heavily loaded servers, tries to enumerate instances of SQL Server might return a partial list, which might mislead users.

Přenos protokolu protokol IPsec

UDP port 500 a UDP port 4500

Pokud zásady doména vyžaduje komunikaci v síti prostřednictvím protokolu protokol IPsec, musíte také přidat UDP port 4500 a UDP port 500 do seznamu výjimek.protokol IPsec, je možnost použití Průvodce vytvořením nového příchozího pravidla v modulu snap in brány Windows FirewallDalší informace naleznete v tématu Použití brány Windows Firewall s moduly snap-in rozšířeného zabezpečení níže.

Pomocí ověřování systému Windows s důvěryhodné domény.

Brány firewall je nutné nakonfigurovat povolit požadavky na ověření.

Další informace naleznete v tématu Jak nakonfigurovat bránu firewall pro domény a důvěryhodné vztahy.

SQL Server a služba clustering systému Windows

clustering vyžaduje další porty, které se přímo vztahují k SQL Server.

Další informace naleznete v tématu Povolení použití sítě v clusteru.

Obory názvů URL rezervována v rozhraní API serveru HTTP (http.sys)

Pravděpodobně TCP port 80, však může nakonfigurovat jiné porty.Obecné informace naleznete v tématu Konfigurace protokolu HTTP a HTTPS.

Pro SQL Server konkrétní informace o rezervaci HTTP.sys koncový bod pomocí HttpCfg.exe, naleznete v Obory názvů URL rezervace pomocí HTTP.sys.

Při je použít vzdáleného volání PROCEDUR s protokolem TCP/IP nebo UDP/IP jako přepravu, příchozí porty jsou často dynamicky přiřazeny systémových služeb podle potřeby; používají porty TCP/IP a UDP/IP, které jsou větší než 1024 portů.Tyto jsou neformálně často označovány jako "náhodné porty protokolu RPC." V těchto případech RPC klienty mapovač RPC zjistit jejich dynamických portů, které byly přiřazeny k serveru. U některých služeb vzdáleného volání procedur můžete konfigurovat namísto umožní vzdáleného volání PROCEDUR dynamicky přiřadit určitý port.Můžete také omezit rozsah portů, vzdálené volání PROCEDUR dynamicky přiřazuje malou oblast, bez ohledu na služba.A proto port 135 je mnoho služeb často útoku uživatelů se zlými úmysly.Při otevření portu 135, vzít v úvahu omezení působnosti pravidlo brány firewall.

Další informace o portu 135 naleznete v následujících odkazech:

Brána firewall systému Windows používá k vytvoření jeho konfigurace pravidel a pravidlo skupiny.Každé pravidlo nebo pravidlo skupiny je obvykle přidružen konkrétní aplikaci nebo službu a tento program nebo služba může změnit nebo odstranit toto pravidlo bez vašeho znalosti.Například skupiny pravidel Služby WWW (HTTP) and Služby WWW (HTTPS) jsou přidruženy k Internetové informační služby.Povolení těchto pravidel otevře porty 80 a 443, a SQL Server funkce, které závisí na portech 80 a 443 bude fungovat, pokud tato pravidla jsou povoleny. Správce konfigurace služby IIS může však upravit nebo zakázat pravidla.Proto pokud používáte port 80 nebo portu 443 pro SQL Server, byste měli vytvořit vlastní pravidlo nebo pravidlo skupinu, která udržuje konfigurace požadovaný port nezávisle na jiných pravidel služby IIS.

Brána Windows Firewall s pokročilým zabezpečení snap-in umožňuje že libovolný provoz, povolit shody všechny použitelné pravidlo.Proto pokud existují dvě pravidla, jak použít port 80 (s jinými parametry), přenos, který odpovídá buď pravidlo bude přípustné.Tak jedno pravidlo umožňuje přenos prostřednictvím portu 80, z místní podsíti a jedno pravidlo umožňuje přenos z jakékoli adresy, čistý efekt je, že jsou povoleny všechny přenosy na port 80, bez ohledu na zdroj.K přístupu k efektivní správě SQL Server, správci měli pravidelně kontrolovat všechny pravidla brány firewall na serveru povoleno.

Profily brány firewall jsou popsány v Začínáme s bránou Windows Firewall s pokročilým zabezpečením v systému Windows Vista a Windows Server 2008 v části Síťová brána firewall místem hostitele.Sumarizovat, Windows Vista and Windows Server 2008 identifikovat a nezapomeňte každou z těchto sítí, ke kterému se připojit s ohledem na připojení, připojení a kategorie.

V bráně Windows Firewall s pokročilým zabezpečením existují tři typy síťových umístění:

  • Doména.Systém Windows můžete ověřit přístup k řadiči doména pro doména, ke kterému je počítač připojen.

  • Public (Veřejné).Jiné než doména sítě, všechny sítě jsou zpočátku dělí veřejnosti.By mělo být ponecháno veřejných sítí, které představují přímé připojení k Internetu nebo jsou v veřejných místech, jako jsou například letiště a kavárny.

  • Private (Soukromé).Síť identifikován uživateli nebo aplikaci jako soukromé.Pouze důvěryhodné sítě by měl být identifikován jako privátní sítě.Uživatelé budou pravděpodobně chtít identifikovat v Domovská složka nebo malé podnikové sítě jako soukromé.

Správce může vytvořit profil pro každý typ síťového umístění se každý profil obsahující zásady jinou bránu firewall.Kdykoli je použito pouze jeden profil.Pořadí profilu je použito takto:

  1. Pokud všechna rozhraní jsou ověřeni pro řadič doména doména, jejímž člen je počítač, se použije profil doména.

  2. Pokud všechna rozhraní jsou buď ověření do řadiče doména nebo připojení k sítím, které jsou klasifikovány jako privátní síťová umístění, je použito soukromý profil.

  3. Jinak je použita veřejného profilu.

Brána Windows Firewall s modulem snap-in pro rozšířené zabezpečení MMC zobrazit a konfigurovat pomocí všechny profily brány firewall.Složka Brána Windows Firewall položka v Ovládacích panelech nastaví pouze aktuální profil.

Výjimky, které přidáte do brány firewall lze omezit otevření portu pro příchozí připojení z určitých počítačů nebo místní podsítě.Toto omezení působnosti otevření portu může snížit, kolik počítač je vystaven uživatelů se zlými úmysly a je doporučeno.

NoteNote:

Pomocí Brána Windows Firewall položka v Ovládacích panelech nastaví pouze aktuální profil brány firewall.

Chcete-li změnit obor výjimku brány firewall, na položka Brána Firewall systému Windows pomocí ovládacího panelu

  1. V seznamu Brána Windows Firewall položka v Ovládacích panelech vyberte program nebo port na Výjimky kartu a potom klepněte na tlačítko Vlastnosti or Upravit.

  2. V seznamu Upravit program or Upravit port Dialogové okno klepněte na položkuZměna obor.

  3. Zvolte jednu z následujících možností:

    • Libovolný počítač, (včetně počítačů v síti Internet)

      Není doporučeno.To umožní všem počítačům, které lze adresovat připojení určený program nebo port počítače.Toto nastavení může být nezbytné umožnit údaje předávané anonymním uživatelům v síti internet, ale zvyšuje vaše expozice uživatelů se zlými úmysly.Vaše expozice lze dále zvýšit, pokud povolíte toto nastavení a také umožňují průchod překládání adres (NAT), jako je například možnost povolit funkce traversal okraje.

    • Síť (stejná podsíť) pouze

      Jedná se o bezpečnější nastavení než Libovolný počítač.Pouze počítače v místní podsíti síti může připojit k programu nebo portu.

    • Vlastní seznam:

    Pouze počítače, které používají adresy IP je seznam můžete připojit.To může být bezpečnější nastavení než Síť (stejná podsíť) pouze, však klientských počítačů pomocí protokolu DHCP příležitostně můžete změnit své adresy IP.Určený počítač potom nebude moci připojit.Jiný počítač, která měl není určena povolit, může přijmout uvedenou adresu IP a pak moci připojit.Složka Vlastní seznam možnost může být vhodné pro výpis ostatní servery, které jsou nakonfigurovány pro použití na pevnou adresu IP, však může být podle nepovolaná falešné adresy IP.Omezení pravidla brány firewall jsou pouze jako silné jako infrastrukturu sítě.

V počítačích se systémem Vista nebo Windows Server 2008, další bránu firewall upřesňující nastavení lze konfigurovat pomocí brány Windows Firewall s modulem snap-in pro rozšířené zabezpečení konzoly MMC. Modul snap-in obsahuje Průvodce pravidlo a zpřístupní další nastavení, která není k dispozici v Brána Windows Firewall položka v Ovládacích panelech.Mezi tato nastavení patří následující:

  • Nastavení šifrování

  • Omezení služeb

  • Omezení připojení počítačů podle názvu

  • Připojení omezení k určitým uživatelům nebo profilech

  • Funkce Edge traversal přenos obejít směrovače překládání adres (NAT)

  • Konfigurace odchozích pravidel

  • Konfigurace pravidla zabezpečení

  • Požadování protokolu protokol IPsec pro příchozí připojení

Vytvoření nové pravidla brány firewall pomocí Průvodce vytvořením pravidla

  1. V nabídce Start klepněte na příkaz Spustit, zadejte WF.msc a klepněte na tlačítko Ok.

  2. V seznamu Brána Windows Firewall s pokročilým zabezpečením v levém podokně klepněte pravým tlačítkemPříchozí pravidlaa potom klepněte na tlačítko Nové pravidlo.

  3. Dokončení Průvodce vytvořením nového příchozího pravidla pomocí nastavení, které chcete.

Následující nástroje a techniky může být užitečné při odstraňování potíží brány firewall:

  • Stav portu účinné je sjednocení všechna pravidla vztahující se k portu.Při pokusu o zablokování přístupu prostřednictvím portu může být užitečné, chcete-li zobrazit všechna pravidla, která citovat číslo portu.Použití brány firewall systému Windows s modulem snap-in pro rozšířené zabezpečení MMC a třídit příchozí a odchozí pravidla číslem portu.

  • Zkontrolujte porty, které jsou aktivní na počítač, ve kterém SQL Server je spuštěn. Tento proces recenzování zahrnuje ověření TCP/IP, které porty jsou naslouchání a také ověření stavu portů.

    Chcete-li ověřit, které porty naslouchají, použijte netstat nástroj příkazového řádku.K zobrazení aktivní připojení TCP, netstat nástroj také zobrazí různé statistiky protokolu a informace.

    Do seznamu, které naslouchají portů TCP/IP

    1. Otevřete okno příkazový řádek.

    2. Na příkazový řádek zadejte příkaz netstat - n - a.

      Složka -n Nastaví přepínač netstat číselně zobrazí adresa a port číslo aktivní připojení TCP.Složka -a Nastaví přepínač netstat zobrazit porty TCP a UDP, na kterém naslouchá.

  • Složka PortQry nástroj slouží k vykazování stavu portů TCP/IP jako naslouchání není naslouchající nebo filtrované.(Filtrované stavem port může nebo mohou být nenaslouchá; tento stav označuje, že nástroj neobdržel odpověď z portu.) The PortQry je-li k dispozici ke stažení z nástrojSlužba Stažení softwaru společnosti Microsoft.

Další témata odstraňování potíží v následujících tématech:

Zobrazit:
© 2016 Microsoft