VENTAS: 1-800-867-1389

Firewall de Base de datos SQL de Azure

Actualizado: febrero de 2015

Base de datos SQL de Microsoft Azure proporciona un servicio de base de datos relacional para Azure y otras aplicaciones basadas en Internet. Para ayudar a proteger sus datos, el firewall de Base de datos SQL de Azure impido todo acceso a su servidor Base de datos SQL de Azure hasta que especifique qué equipos tienen permiso. El firewall concede acceso según la dirección IP de origen de cada solicitud.

Para configurar su firewall, cree reglas de firewall que especifiquen intervalos de direcciones IP aceptables. Puede crear reglas de firewall en el nivel de servidor y de base de datos.

  • Reglas de firewall de nivel de servidor: estas reglas permiten a los clientes acceder a todo el servidor de la Base de datos SQL de Azure, es decir, a todas la bases de datos que se encuentran en el mismo servidor lógico. Estas reglas se almacenan en la base de datos maestra.

  • Reglas de firewall de nivel de base de datos: estas reglas permiten a los clientes acceder a bases de datos específicas del servidor de la Base de datos SQL de Azure. Estas reglas se crean en cada base de datos y se almacenan en las bases de datos individuales (incluida la base de datos maestra). Estas reglas pueden resultar útiles para restringir el acceso a ciertas bases de datos (seguras) que se encuentran en el mismo servidor lógico.



    noteNota
    Si crea una federación de bases de datos en Base de datos SQL de Azure en la que la base de datos raíz contiene las reglas de nivel de base de datos, las reglas no se copian en las bases de datos miembros de la federación. Si necesita reglas de firewall de nivel de servidor para los miembros de la federación, tendrá que crear de nuevo las reglas de los miembros de la federación. Sin embargo, si divide un miembro de la federación que contiene una regla de firewall de nivel de base de datos en miembros de una nueva federación mediante la instrucción ALTER FEDERATION … SPLIT, los nuevos miembros de destino tendrán las mismas reglas de firewall de base de datos que el miembro de la federación de origen. Para obtener más información sobre las federaciones, vea Federaciones en Base de datos SQL de Azure.

    La implementación actual de Federaciones se retirará con los niveles de servicio Web y Business. Tenga en cuenta la implementación de soluciones de particionamiento personalizado para conseguir la máxima escalabilidad, flexibilidad y rendimiento. Para obtener más información sobre el particionamiento personalizado, vea Ampliar Bases de datos SQL de Azure.

En este tema

Inicialmente, el firewall bloquea todo acceso a su servidor Base de datos SQL de Azure. Para poder empezar a usar su servidor Base de datos SQL de Azure, debe ir al Portal de administración y especificar una o más reglas de firewall de nivel de servidor que permitan el acceso a su servidor Base de datos SQL de Azure. Use las reglas de firewall para especificar qué intervalos de direcciones IP de Internet se permiten y si las aplicaciones Azure pueden intentar o no conectarse a su servidor Base de datos SQL de Azure.

Sin embargo, si desea conceder acceso de manera selectiva solamente a una de las bases de datos del servidor Base de datos SQL de Azure, debe crear una regla de nivel de base de datos para la base de datos correspondiente con un intervalo de direcciones IP que sobrepase el intervalo especificado en la regla de firewall de nivel de servidor y asegurarse de que la dirección IP del cliente está incluida en el intervalo especificado en la regla de nivel de base de datos.

Los intentos de conexión desde Internet y Azure deben atravesar primero el firewall de antes de poder alcanzar su servidor o base de datos Base de datos SQL de Azure, como se muestra en el diagrama siguiente.

El firewall de Base de datos SQL limita el acceso al servidor

Cuando un equipo intenta conectarse a su servidor de base de datos desde Internet, el firewall comprueba la dirección IP de origen de la solicitud en el conjunto completo de reglas de firewall de nivel de servidor y, si es necesario, de nivel de base de datos:

  • Si la dirección IP de la solicitud está comprendida en uno de los intervalos especificados en las reglas de firewall de nivel de servidor, se admite la conexión al servidor Base de datos SQL de Azure.

  • Si la dirección IP de la solicitud no está comprendida en ninguno de los intervalos especificados en la regla de firewall de nivel de servidor, se comprobarán las reglas de firewall de nivel de base de datos. Si la dirección IP de la solicitud está comprendida en uno de los intervalos especificados en las reglas de firewall de nivel de base de datos, la conexión se admitirá exclusivamente en la base de datos en la que se cumpla la regla de nivel de base de datos.

  • Si la dirección IP de la solicitud no está comprendida en los intervalos especificados en ninguna de las reglas de firewall de nivel de servidor o de base de datos, se produce un error en la solicitud de conexión.

noteNota
Para tener acceso a Base de datos SQL de Azure desde su equipo local, asegúrese de que el firewall de su red y del equipo local permita la comunicación TCP de salida en el puerto TCP 1433.

Cuando una aplicación de Azure intenta conectarse a su servidor de base de datos, el firewall comprueba que las conexiones de Azure se permiten. Una configuración del firewall con una dirección inicial y final igual a 0.0.0.0 indica que se permiten las conexiones. Si no se permite el intento de conexión, la solicitud no alcanza el servidor Base de datos SQL de Azure.

En el Portal de administración, puede habilitar las conexiones de Azure de dos maneras:

  • Seleccione la casilla Permitir a los servicios de Microsoft Azure acceder al servidor al crear un servidor nuevo

  • En la pestaña Configurar en un servidor, en la sección Servicios permitidos, haga clic en para Servicios de Microsoft Azure

La primera configuración del firewall de nivel de servidor puede crearse mediante el Portal de administración o utilizando mediante programación con la API de REST o Azure PowerShell. Las reglas de firewall de nivel de servidor posteriores pueden crearse y administrarse a través de estos métodos, así como a través de Transact-SQL. Para obtener más información acerca de las reglas de firewall de nivel de servidor, vea Procedimiento: Establecer la configuración de firewall (Base de datos SQL de Azure).

Después de configurar el primer firewall de nivel de servidor, es posible que quiera restringir el acceso a determinadas bases de datos. Si especifica un intervalo de direcciones IP en la regla de firewall de nivel de base de datos que esté fuera del intervalo especificado en la regla de firewall de nivel de servidor, solo los clientes que tengan direcciones IP incluidas en el intervalo de nivel de base de datos podrán acceder a dicha base de datos. En cada base de datos, puede haber un máximo de 128 reglas de firewall de nivel de base de datos. Las reglas de firewall de nivel de base de datos para bases de datos maestras y de usuarios pueden crearse y administrarse a través de Transact-SQL. Para obtener más información, vea Procedimiento: Establecer la configuración de firewall (Base de datos SQL de Azure).

Además de con el Portal de administración de Azure, las reglas de firewall pueden administrarse mediante programación con Transact-SQL, API de REST y Azure PowerShell. En las tablas siguientes se describe el conjunto de comandos disponible para cada método.

Transact-SQL

Procedimiento almacenado/vista de catálogo

Nivel

Descripción

sys.firewall_rules

Servidor de

Muestra las reglas de firewall de nivel de servidor actuales

sp_set_firewall_rule

Servidor de

Crea o actualiza las reglas de firewall de nivel de servidor

sp_delete_firewall_rule

Servidor de

Elimina las reglas de firewall de nivel de servidor

sys.database_firewall_rules

Capa

Muestra las reglas de firewall de nivel de base de datos actuales

sp_set_database_firewall_rule

Capa

Crea o actualiza las reglas de firewall del nivel de base de datos

sp_delete_database_firewall_rule

Capa

Elimina las reglas de firewall de nivel de base de datos

API de REST

API

Nivel

Descripción

Enumerar reglas de firewall

Servidor de

Muestra las reglas de firewall de nivel de servidor actuales

Crear regla de firewall

Servidor de

Crea o actualiza las reglas de firewall de nivel de servidor

Establecer regla de firewall

Servidor de

Actualiza las propiedades de una regla de firewall de nivel de servidor existente

Eliminar regla de firewall

Servidor de

Elimina las reglas de firewall de nivel de servidor

Azure PowerShell

Cmdlet

Nivel

Descripción

Get-AzureSqlDatabaseServerFirewallRule

Servidor de

Devuelve las reglas de firewall de nivel de servidor actuales

New-AzureSqlDatabaseServerFirewallRule

Servidor de

Crea una nueva regla de firewall de nivel de servidor

Set-AzureSqlDatabaseServerFirewallRule

Servidor de

Actualiza las propiedades de una regla de firewall de nivel de servidor existente

Remove-AzureSqlDatabaseServerFirewallRule

Servidor de

Elimina las reglas de firewall de nivel de servidor

noteNota
Se pueden tardar hasta cinco minutos para que los cambios a la configuración del firewall surtan efecto.

Tenga en cuenta lo siguiente cuando el acceso al servicio Base de datos SQL de Microsoft Azure no se comporte de la manera esperada:

  • Local firewall configuration: Antes de que su equipo pueda tener acceso a Base de datos SQL de Azure, quizás necesite crear una excepción del firewall en su equipo para el puerto TCP 1433.

  • Traducción de direcciones de red (NAT): debido a NAT, la dirección IP usada por su equipo para conectarse a Base de datos SQL de Azure puede ser diferente de la dirección IP mostrada en los valores de configuración IP del equipo. Para ver la dirección IP que el equipo está usando para conectarse a Azure, inicie sesión en el Portal de administración y navegue a la pestaña Configurar en el servidor que hospeda su base de datos. En la sección Direcciones IP permitidas, se muestra la Dirección IP del cliente actual. Haga clic en Agregar a las direcciones IP permitidas para permitir que este equipo acceda al servidor.

  • Los cambios a la lista de permitidos no han surtido efecto todavía: pueden transcurrir hasta cinco minutos para que los cambios a la configuración del firewall de Base de datos SQL de Azure surtan efecto.

  • The login is not authorized or an incorrect password was used: Si un inicio de sesión no tiene permisos en el servidor Base de datos SQL de Azure o la contraseña utilizada es incorrecta, se denegará la conexión al servidor Base de datos SQL de Azure. Al crear una configuración del firewall, solo se proporciona a los clientes una oportunidad para intentar conectarse a su servidor; cada cliente debe suministrar las credenciales de seguridad necesarias. Para obtener más información sobre cómo preparar inicios de sesión, vea Administrar bases de datos e inicios de sesión en Base de datos SQL de Azure.

  • Dirección IP dinámica: Si dispone de conexión a Internet con una dirección IP dinámica y tiene problemas para superar el firewall, intente una de las siguientes soluciones:

    • Pregunte a su proveedor de acceso de Internet por el rango de direcciones IP asignado a los equipos cliente que obtendrán acceso al servidor Base de datos SQL de Azure y, a continuación, agregue dicho rango como regla al firewall.

    • Obtenga una dirección IP estática en su lugar para los equipos cliente y, a continuación, agregue las direcciones IP como reglas al firewall.

Vea también

¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios
Mostrar:
© 2015 Microsoft