Configure the Windows Firewall to Allow SQL Server Access

 

QUESTO ARGOMENTO SI APPLICA A:sìSQL Server (a partire dalla versione 2016)noDatabase SQL di AzurenoAzure SQL Data WarehousenoParallel Data Warehouse

I sistemi firewall contribuiscono a impedire l'accesso non autorizzato alle risorse del computer. Se un firewall viene abilitato ma non configurato correttamente, i tentativi di connessione a SQL Server potrebbero essere bloccati.

Per accedere a un'istanza di SQL Server attraverso un firewall, è necessario configurare il firewall nel computer in cui viene eseguito SQL Server per consentire l'accesso. Il firewall è un componente di Microsoft Windows. È possibile anche installare un firewall di un altro produttore. In questo argomento viene illustrato come configurare Windows Firewall, ma i principi di base si applicano anche ad altri tipi di firewall.

System_CAPS_ICON_note.jpg Nota


In questo argomento viene fornita una panoramica della configurazione del firewall e vengono riepilogate le informazioni utili a un amministratore di SQL Server . Per ulteriori informazioni sul firewall, vedere la documentazione di riferimento, ad esempio Windows Firewall with Advanced Security and IPSec.

Gli utenti che già conoscono l'elemento Windows Firewall del Pannello di controllo, lo snap-in MMC Windows Firewall con sicurezza avanzata e le impostazioni da configurare possono passare direttamente agli argomenti elencati di seguito:

Questo argomento contiene le sezioni seguenti:

Informazioni di base sul firewall

Impostazioni del firewall predefinite

Programmi di configurazione del firewall

Porte utilizzate dal Motore di database

Porte utilizzate da Analysis Services

Porte utilizzate da Reporting Services

Porte utilizzate da Integration Services

Porte e servizi aggiuntivi

Interazione con altre regole del firewall

Panoramica sui profili del firewall

Impostazioni aggiuntive del firewall mediante l'elemento Windows Firewall del Pannello di controllo

Utilizzo dello snap-in Windows Firewall con sicurezza avanzata

Risoluzione dei problemi relativi alle impostazioni del firewall

Il meccanismo alla base del funzionamento dei firewall è il controllo dei pacchetti in ingresso seguito dal confronto rispetto a un set di regole. Se le regole consentono il pacchetto, esso viene passato al protocollo TCP/IP per un'elaborazione ulteriore. Se non lo consentono, il pacchetto viene ignorato e, se la registrazione è abilitata, viene creata una voce nel file di registrazione del firewall.

L'elenco del traffico consentito viene creato in uno dei modi seguenti:

  • Quando il computer che include il firewall abilitato avvia la comunicazione, il firewall crea una voce nell'elenco in modo da consentire la risposta. La risposta in ingresso è considerata traffico richiesto e non è necessario effettuare alcuna configurazione.

  • Le eccezioni per il firewall vengono configurate dall'amministratore. In questo modo è possibile accedere a programmi specificati in esecuzione o a porte di connessione specificate nel computer. In questo caso, il computer accetta il traffico in ingresso non richiesto quando svolge le funzioni di server, listener o peer. Questo è il tipo di configurazione che è necessario completare per connettersi a SQL Server.

La scelta del tipo di firewall più adatto alle proprie esigenze non si limita alla decisione relativa alla necessità di aprire o chiudere una determinata porta e presuppone che vengano prese in considerazione tutte le regole e le opzioni di configurazione disponibili. In questo argomento non verranno esaminate tutte le possibili opzioni del firewall. Si consiglia di consultare i documenti seguenti:

Guida introduttiva a Windows Firewall con sicurezza avanzata

Pagina concernente la guida alla progettazione di Windows Firewall con sicurezza avanzata

Pagina concernente l'introduzione all'isolamento di dominio e server

Il primo passaggio della pianificazione della configurazione del firewall consiste nel determinare lo stato corrente del firewall per il sistema operativo in uso. Se quest'ultimo è stato aggiornato da una versione precedente, è possibile che le impostazioni del firewall siano state conservate o che siano state modificate da un altro amministratore o da Criteri di gruppo nel dominio.

System_CAPS_ICON_note.jpg Nota


L'attivazione del firewall influisce su altri programmi a cui è consentito l'accesso al computer, ad esempio la condivisione di file e stampanti e le connessioni desktop remoto. Prima di modificare le impostazioni del firewall, gli amministratori devono tener conto di tutte le applicazioni in esecuzione nel computer.

Sono disponibili tre metodi per configurare le impostazioni di Windows Firewall.

  • Elemento Windows Firewall nel Pannello di controllo

    L'elemento Windows Firewall può essere aperto dal Pannello di controllo.

    System_CAPS_ICON_important.jpg Importante


    Le modifiche apportate all'elemento Windows Firewall nel Pannello di controllo influiscono solo sul profilo corrente. È preferibile non usare l'elemento Windows Firewall del Pannello di controllo nei dispositivi mobili, ad esempio i laptop, in quanto il profilo potrebbe subire delle modifiche quando è connesso in una configurazione diversa. Se ciò accade, il profilo configurato in precedenza non sarà più attivo. Per ulteriori informazioni sui profili, vedere Guida introduttiva a Windows Firewall con sicurezza avanzata.

    L'elemento Windows Firewall nel Pannello di controllo consente di configurare le opzioni di base, tra cui:

    • Abilitazione e disabilitazione dell'elemento Windows Firewall nel Pannello di controllo.

    • Abilitazione e disabilitazione delle regole

    • Concessione di eccezioni relative a porte e programmi

    • Impostazione di alcune restrizioni dell'ambito

    L'elemento Windows Firewall del Pannello di controllo risulta particolarmente adatto agli utenti che hanno scarsa familiarità con la configurazione del firewall e che effettuano la configurazione delle opzioni di base del firewall per computer non portatili. L'apertura di Windows Firewall nel Pannello di controllo può essere eseguita anche dal comando run tramite la procedura riportata di seguito:

    Per aprire l'elemento Windows Firewall

    1. Fare clic sul pulsante Start , scegliere Esegui, quindi immettere firewall.cpl.

    2. Fare clic su OK.

  • Microsoft Management Console (MMC)

    Lo snap-in MMC Windows Firewall con sicurezza avanzata consente di configurare impostazioni del firewall più avanzate. Questo snap-in presenta la maggior parte delle opzioni di firewall in una modalità di facile utilizzo e presenta tutti i profili firewall. Per altre informazioni, vedere Utilizzo dello snap-in Windows Firewall con sicurezza avanzata più avanti in questo argomento.

  • netsh

    Lo strumento netsh.exe può essere usato da un amministratore per configurare e monitorare i computer basati su Windows in un prompt dei comandi o con un file batch. Usando lo strumento netsh è possibile indirizzare i comandi contestuali all'helper adatto per far sì che questo esegua il comando desiderato. Un helper è un file DLL (Dynamic Link Library, libreria di collegamento dinamico) che estende la funzionalità dello strumento netsh e fornisce configurazione, monitoraggio e supporto per uno o più servizi, utilità o protocolli. Tutti i sistemi operativi che supportano SQL Server dispongono di un helper del firewall. Windows Server 2008 ha anche un helper del firewall avanzato denominato advfirewall. I dettagli sull'uso di netsh non vengono descritti in questo argomento. Tuttavia, molte delle opzioni di configurazione descritte possono essere configurate con netsh. Ad esempio, eseguire lo script seguente al prompt dei comandi per aprire la porta TCP 1433:

    netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT  
    
    

    Esempio simile utilizzando l'helper Windows Firewall con sicurezza avanzata:

    netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN  
    
    

    Per altre informazioni su netsh, vedere i collegamenti seguenti:

Le tabelle seguenti consentono di identificare le porte utilizzate da SQL Server.

Porte utilizzate dal Motore di database

Nella tabella seguente sono indicate le porte più utilizzate dal Motore di database.

ScenarioPortaCommenti
SQL Server in esecuzione su TCPPorta TCP 1433Si tratta della porta più comune consentita dal firewall. Viene utilizzata nelle connessioni di routine all'installazione predefinita del Motore di databaseo a un'istanza denominata che rappresenta l'unica istanza in esecuzione nel computer. Le istanze denominate presuppongo alcune considerazioni speciali. Vedere Porte dinamiche più avanti in questo argomento.
SQL Server nella configurazione predefinitaLa porta TCP è una porta dinamica determinata all'avvio del Motore di database .Vedere la discussione che segue nella sezione Porte dinamiche. La porta UDP 1434 potrebbe essere richiesta per il servizio SQL Server Browser durante l'utilizzo di istanze denominate.
SQL Server quando vengono configurate per l'utilizzo di una porta fissaIl numero di porta configurato dall'amministratore.Vedere la discussione che segue nella sezione Porte dinamiche.
Dedicated Admin ConnectionPorta TCP 1434 per l'istanza predefinita. Per le istanze denominate vengono utilizzate altre porte. Per informazioni sul numero di porta, controllare il log degli errori.Per impostazione predefinita, le connessioni amministrative dedicate (DAC, Dedicated Administrator Connection) remote non sono abilitate. Per abilitare le connessioni DAC remote, utilizzare il facet Configurazione superficie di attacco. Per ulteriori informazioni, vedere Surface Area Configuration.
SQL Server BrowserPorta UDP 1434Il servizio SQL Server Browser è in attesa delle connessioni in ingresso a un'istanza denominata e fornisce al client il numero di porta TCP corrispondente. In genere il servizio SQL Server Browser viene avviato ogni volta che si usano istanze denominate del Motore di database . Non è necessario avviare il servizio SQL Server Browser se il client è configurato per la connessione alla porta specifica dell'istanza denominata.
SQL Server in esecuzione su un endpoint HTTP.Può essere specificata quando viene creato un endpoint HTTP. Le impostazioni predefinite sono la porta TCP 80 per il traffico CLEAR_PORT e la porta 443 per il traffico SSL_PORT.Utilizzata per una connessione HTTP tramite un URL.
SQL Server in esecuzione su un endpoint HTTPS.Porta TCP 443Utilizzata per una connessione HTTPS tramite un URL. HTTPS è una connessione HTTP che utilizza il protocollo SSL (Secure Sockets Layer).
Service BrokerPorta TCP 4022. Per verificare la porta utilizzata, eseguire la query seguente:

 SELECT name, protocol_desc, port, state_desc

 FROM sys.tcp_endpoints

 WHERE type_desc = 'SERVICE_BROKER'
Per SQL ServerService Brokernon sono disponibili porte predefinite, ma questa è la configurazione convenzionale usata negli esempi della documentazione online.
Mirroring del databasePorta scelta dall'amministratore. Per determinare la porta, eseguire la query seguente:

 SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints

 WHERE type_desc = 'DATABASE_MIRRORING'
Per il mirroring del database non sono disponibili porte predefinite, tuttavia negli esempi della documentazione online viene utilizzata la porta TCP 7022. È molto importante evitare di interrompere un endpoint del mirroring in uso, soprattutto in modalità a protezione elevata con failover automatico. La configurazione del firewall deve evitare di interrompere il quorum. Per altre informazioni, vedere Specificare un indirizzo di rete del server (Mirroring del database).
ReplicaPer le connessioni di replica a SQL Server vengono utilizzate le tipiche porte standard del Motore di database (porta TCP 1433 per l'istanza predefinita e così via).

La sincronizzazione Web e l'accesso FTP/UNC per snapshot di replica richiedono l'apertura di porte aggiuntive sul firewall. Per trasferire lo schema e i dati iniziali da una posizione all'altra, per la replica possono essere utilizzati il protocollo FTP (porta TCP 21), la sincronizzazione su HTTP (porta TCP 80) o la condivisione di file. Nella condivisione di file vengono utilizzate le porte UDP 137 e 138 a la porta TCP 139 in caso di utilizzo di NetBios. La condivisione file utilizza la porta TCP 445.
Per la sincronizzazione su HTTP, la replica utilizza l'endpoint IIS, ovvero le porte per le quali è configurabile, anche se la porta 80 rappresenta l'impostazione predefinita, ma il processo IIS si connette a SQL Server di back-end tramite le porte standard (1433 per l'istanza predefinita).

Durante la sincronizzazione Web tramite FTP, il trasferimento FTP avviene tra IIS e il server di pubblicazione SQL Server, non tra il sottoscrittore e IIS.
Transact-SQL debuggerPorta TCP 135

Vedere Considerazioni speciali per la porta 135

Potrebbe essere necessaria anche l'eccezione IPsec .
Se si utilizza Visual Studio, nel computer host di Visual Studio , è necessario aggiungere anche Devenv.exe all'elenco di eccezioni e aprire la porta TCP 135.

Se si utilizza Management Studio, nel computer host di Management Studio , è necessario aggiungere anche ssms.exe all'elenco di eccezioni e aprire la porta TCP 135. Per altre informazioni, vedere Configurare le regole del firewall prima di eseguire il debugger TSQL.

Per istruzioni dettagliate sulla configurazione di Windows Firewall per il Motore di database, vedere Configurazione di Windows Firewall per l'accesso al Motore di database.

Porte dinamiche

Per impostazione predefinita, per le istanze denominate, inclusa SQL Server Express, vengono utilizzate porte dinamiche. Ciò significa che ogni volta che il Motore di database viene avviato, identifica una porta disponibile e ne utilizza il numero. Se l'istanza denominata è l'unica istanza del Motore di database installata, è probabile che venga utilizzata la porta TCP 1433. Se sono installate altre istanze del Motore di database , è probabile che venga utilizzata una porta TCP diversa. Poiché la porta selezionata potrebbe cambiare ogni volta che il Motore di database viene avviato, è difficile configurare il firewall per abilitare l'accesso al numero di porta corretto. Pertanto, se si utilizza un firewall, è consigliabile riconfigurare il Motore di database affinché utilizzi ogni volta lo stesso numero di porta. In questi casi si parla quindi di porta fissa o porta statica. Per altre informazioni, vedere Configurazione di un server per l'attesa su una porta TCP specifica (Gestione configurazione SQL Server).

Un'alternativa alla configurazione di un'istanza denominata in modo che si metta in attesa su una porta fissa consiste nel creare un'eccezione nel firewall per un programma di SQL Server, ad esempio sqlservr.exe per il Motore di database. Anche se può risultare utile, il numero di porta non verrà visualizzato nella colonna Porta locale della pagina Regole in entrata quando si usa lo snap-in MMC Windows Firewall con sicurezza avanzata. Questa operazione può rendere più difficile il controllo delle porte aperte. Tenere anche presente che un Service Pack o un aggiornamento cumulativo può modificare il percorso del file eseguibile di SQL Server , rendendo non valida la regola del firewall.

System_CAPS_ICON_note.jpg Nota


La procedura riportata di seguito utilizza l'elemento Windows Firewall del Pannello di controllo. Lo snap-in MMC Windows Firewall con sicurezza avanzata consente di configurare una regola più complessa, inclusa la configurazione di un'eccezione del servizio che può risultare utile per offrire una difesa più avanzata. Vedere Utilizzo dello snap-in Windows Firewall con sicurezza avanzata più avanti.

Per aggiungere un'eccezione del programma al firewall utilizzando l'elemento Windows Firewall nel Pannello di controllo
  1. Nella scheda Eccezioni dell'elemento Windows Firewall nel Pannello di controllo fare clic su Aggiungi programma.

  2. Passare al percorso dell'istanza di SQL Server che si vuole consentire nel firewall, ad esempio C:\Programmi\Microsoft SQL Server\MSSQL13.<nome_istanza>\MSSQL\Binn, selezionare sqlservr.exe e quindi fare clic su Apri.

  3. Fare clic su OK.

Per altre informazioni sugli endpoint, vedere Configurazione del Motore di database per l'attesa su più porte TCP e Viste del catalogo degli endpoint (Transact-SQL).

Porte utilizzate da Analysis Services

Nella tabella seguente sono indicate le porte più utilizzate da Analysis Services.

FunzionalitàPortaCommenti
Analysis ServicesPorta TCP 2383 per l'istanza predefinitaLa porta standard per l'istanza predefinita di Analysis Services.
SQL Server BrowserPorta TCP 2382 necessaria solo per un'istanza denominata di Analysis ServicesLe richieste di connessione client per un'istanza denominata di Analysis Services che non specificano un numero di porta vengono indirizzate alla porta 2382, ovvero la porta su cui è in attesa SQL Server Browser. SQL Server Browser la richiesta viene quindi reindirizzata alla porta utilizzata dall'istanza denominata.
Analysis Services configurato per l'uso tramite IIS/HTTP

Il Servizio PivotTable® utilizza HTTP o HTTPS
Porta TCP 80Utilizzata per una connessione HTTP tramite un URL.
Analysis Services configurato per l'uso tramite IIS/HTTPS

Il Servizio PivotTable® utilizza HTTP o HTTPS
Porta TCP 443Utilizzata per una connessione HTTPS tramite un URL. HTTPS è una connessione HTTP che utilizza il protocollo SSL (Secure Sockets Layer).

Se gli utenti accedono a Analysis Services tramite IIS e Internet, è necessario aprire la porta su cui IIS è in attesa e specificare la porta nella stringa di connessione client. In questo caso, non è necessario aprire alcuna porta per l'accesso diretto ad Analysis Services. È consigliabile limitare la porta predefinita 2389 e la porta 2382 insieme a tutte le altre porte non necessarie.

Per istruzioni dettagliate su come configurare Windows Firewall per Analysis Services, vedere Configurare Windows Firewall per consentire l'accesso ad Analysis Services.

Porte utilizzate da Reporting Services

Nella tabella seguente sono indicate le porte più utilizzate da Reporting Services.

FunzionalitàPortaCommenti
Reporting Services Servizi WebPorta TCP 80Utilizzata per una connessione HTTP a Reporting Services tramite un URL. È consigliabile non usare la regola preconfigurata Servizi Web (HTTP). Per ulteriori informazioni, vedere la sezione Interazione con altre regole del firewall più avanti.
Reporting Services configurato per l'utilizzo tramite HTTPSPorta TCP 443Utilizzata per una connessione HTTPS tramite un URL. HTTPS è una connessione HTTP che utilizza il protocollo SSL (Secure Sockets Layer). È consigliabile non usare la regola preconfigurata Servizi Web protetti (HTTP). Per ulteriori informazioni, vedere la sezione Interazione con altre regole del firewall più avanti.

Quando Reporting Services si connette a un'istanza del Motore di database o di Analysis Services, è necessario aprire anche le porte adatte per quei servizi. Per istruzioni dettagliate su come configurare Windows Firewall per Reporting Services, vedere Configurare un firewall per l'accesso al server di report.

Porte utilizzate da Integration Services

Nella tabella seguente sono indicate le porte utilizzate dal servizio Integration Services .

FunzionalitàPortaCommenti
Microsoft Remote Procedure Call (MS RPC)

Utilizzate dal runtime di Integration Services .
Porta TCP 135

Vedere Considerazioni speciali per la porta 135
Il servizio Integration Services utilizza il protocollo DCOM sulla porta 135. Gestione controllo servizi utilizza la porta 135 per eseguire operazioni come l'avvio e l'arresto del servizio Integration Services e la trasmissione di richieste di controllo al servizio in esecuzione. Il numero di porta non può essere modificato.

Questa porta deve essere aperta solo se si sta effettuando la connessione a un'istanza remota del servizio Integration Services da Management Studio o da un'applicazione personalizzata.

Per istruzioni dettagliate sulla configurazione di Windows Firewall per il Integration Services, vedere Configurare un Windows Firewall per l'accesso al servizio SSIS.

Porte e servizi aggiuntivi

Nella tabella riportata di seguito sono elencati i servizi e le porte da cui potrebbe dipendere SQL Server .

ScenarioPortaCommenti
Strumentazione gestione Windows (WMI)

Per ulteriori informazioni su Strumentazione gestione Windows (WMI), vedere WMI Provider for Configuration Management Concepts.
WMI viene eseguito come parte di un host del servizio condiviso con porte assegnate tramite DCOM e potrebbe utilizzare la porta TCP 135.

Vedere Considerazioni speciali per la porta 135
SQL Server utilizza WMI per elencare e gestire servizi. È consigliabile usare il gruppo di regole preconfigurate Strumentazione gestione Windows (WMI). Per ulteriori informazioni, vedere la sezione Interazione con altre regole del firewall più avanti.
Microsoft Distributed Transaction Coordinator (MS DTC)Porta TCP 135

Vedere Considerazioni speciali per la porta 135
Se l'applicazione utilizza transazioni distribuite, può essere necessario configurare il firewall in modo da consentire il flusso del traffico di Microsoft Distributed Transaction Coordinator (MS DTC) tra istanze MS DTC separate e tra MS DTC e strumenti di gestione delle risorse come SQL Server. È consigliabile utilizzare il gruppo di regole preconfigurato Distributed Transaction Coordinator .

Quando è configurato un solo oggetto MS DTC condiviso per l'intero cluster in un gruppo di risorse distinto, è necessario aggiungere sqlservr.exe come eccezione al firewall.
Il pulsante Sfoglia in Management Studio utilizza il protocollo UDP per connettersi al servizio SQL Server Browser. Per altre informazioni, vedere Servizio SQL Server Browser (Motore database e SSAS).Porta UDP 1434UDP è un protocollo senza connessione.

Il firewall include un'impostazione, denominata UnicastResponsesToMulticastBroadcastDisabled Property of the INetFwProfile Interface che controlla il comportamento del firewall relativamente alle risposte unicast a una richiesta UDP di trasmissione (o multicast). Sono possibili due comportamenti:

Se l'impostazione è TRUE, non sono consentite risposte unicast a una trasmissione. I servizi di enumerazione non possono essere eseguiti correttamente.

Se l'impostazione è FALSE (impostazione predefinita), le risposte unicast sono consentite per 3 secondi. La durata non è configurabile. In una rete congestionata o ad alta latenza o nei server con carico elevato i tentativi di enumerazione delle istanze di SQL Server potrebbero restituire un elenco parziale e fuorviante per gli utenti.
Traffico IPsecPorta UDP 500 e porta UDP 4500Se i criteri di dominio richiedono che le comunicazioni di rete vengano eseguite tramite IPsec, è necessario aggiungere anche le porte UDP 4500 e UDP 500 all'elenco delle eccezioni. IPsec è un'opzione che usa la Creazione guidata nuova regola connessioni in entrata nello snap-in Windows Firewall. Per altre informazioni, vedere Utilizzo dello snap-in Windows Firewall con sicurezza avanzata più avanti.
Utilizzo dell'autenticazione di Windows con domini trustedPer consentire le richieste di autenticazione, è necessario configurare i firewall.Per ulteriori informazioni, vedere Configurazione di un firewall per domini e trust.
SQL Server e servizio cluster di WindowsIl clustering richiede porte aggiuntive non direttamente correlate a SQL Server.Per ulteriori informazioni, vedere Enable a network for cluster use.
Spazi dei nomi URL riservati in HTTP Server API (HTTP.SYS)Probabilmente la porta TCP 80, ma può essere configurata su altre porte. Per informazioni generali, vedere Configuring HTTP and HTTPS.Per informazioni specifiche SQL Server sulla prenotazione di un endpoint HTTP.SYS usando HttpCfg.exe, vedere Informazioni su prenotazioni e registrazione URL (Gestione configurazione SSRS).

Quando si utilizza RPC con TCP/IP o UDP/IP come trasporto, le porte in ingresso spesso vengono assegnate dinamicamente ai servizi di sistema, se necessario. Vengono utilizzate le porte TCP/IP e UDP/IP che sono più grandi della porta 1024 e spesso vengono definite in modo informale "porte RPC casuali". In questi casi, i client RPC si basano sul mapper di endpoint RPC per indicare le porte dinamiche assegnate al server. Per alcuni servizi basati su RPC è possibile configurare una porta specifica anziché consentire a RPC un'assegnazione dinamica. È inoltre possibile limitare l'intervallo di porte assegnate dinamicamente da RPC a un piccolo intervallo, indipendentemente dal servizio. Poiché la porta 135 viene utilizzata per molti servizi, viene attaccata di frequente da utenti malintenzionati. Quando si apre la porta 135, limitare l'ambito della regola del firewall.

Per ulteriori informazioni sulla porta 135, consultare i riferimenti seguenti:

Per effettuare la configurazione di Windows Firewall, è necessario utilizzare regole e gruppi di regole. Ogni regola o gruppo di regole in genere è associato a un particolare programma o un servizio ed è possibile che tale programma o servizio modifichi o elimini la regola all'insaputa dell'utente. I gruppi di regole Servizi Web (HTTP) e Servizi Web (HTTPS), ad esempio, sono associati a IIS. L'abilitazione di queste due regole comporterà l'apertura delle porte 80 e 443 e l'attivazione delle funzionalità di SQL Server che dipendono da tali porte. È tuttavia possibile che gli amministratori che configurano IIS le modifichino o disabilitino. Pertanto, se si utilizza la porta 80 o la porta 443 per SQL Server, è necessario creare una regola o un gruppo di regole personalizzate che mantenga la configurazione delle porte desiderata, indipendentemente dalle altre regole IIS.

Lo snap-in MMC Windows Firewall con sicurezza avanzata consente tutto il traffico che corrisponde alle regole di concessione applicabili. Pertanto, se esistono due regole applicabili entrambe alla porta 80 (con parametri diversi), il traffico che corrisponde all'una o all'altra verrà consentito. Se una regola consente il traffico sulla porta 80 da una subnet locale e l'altra il traffico da qualsiasi indirizzo, l'effetto finale è che tutto il traffico verso la porta 80 verrà consentito, indipendentemente dall'origine. Per gestire efficacemente l'accesso a SQL Server, gli amministratori devono verificare periodicamente tutte le regole del firewall abilitate sul server.

I profili del firewall vengono illustrati in Guida introduttiva a Windows Firewall con sicurezza avanzata nella sezione relativa al firewall host con riconoscimento del percorso di rete. Per riepilogare, i sistemi operativi sono in grado di identificare e memorizzare ciascuna delle reti alle quali si connettono per tutto quello che riguarda la connettività, le connessioni e la categoria.

Sono disponibili tre tipi di percorsi di rete in Windows Firewall con sicurezza avanzata:

  • Dominio. Windows può autenticare l'accesso al controller di dominio per il dominio al quale il computer viene unito.

  • Pubblica. Ad eccezione di quelle del dominio, tutte le reti sono inizialmente classificate come pubbliche. Le reti che rappresentano connessioni dirette a Internet o che si trovano in luoghi pubblici, ad esempio aeroporti e Internet caffè, dovrebbero essere sempre pubbliche.

  • Privata. Una rete identificata da un utente o da un'applicazione come privata. Solo le reti attendibili devono essere identificate come reti private. In genere gli utenti desiderano identificare come private le reti domestiche o di piccole aziende.

L'amministratore può creare un profilo per ogni tipo di percorso di rete, contenente diversi criteri del firewall. È possibile applicare un solo profilo alla volta. L'ordine di applicazione è il seguente:

  1. Se tutte le interfacce vengono autenticate nel controller di dominio per il dominio del quale il computer è membro, il profilo del dominio viene applicato.

  2. Se tutte le interfacce sono autenticate nel controller di dominio o sono connesse a reti classificate come percorsi di rete privati, viene applicato il profilo privato.

  3. In caso contrario, viene applicato il profilo pubblico.

Utilizzare lo snap-in MMC Windows Firewall con sicurezza avanzata per visualizzare e configurare tutti i profili del firewall. L'elemento Windows Firewall del Pannello di controllo configura solo il profilo corrente.

Le eccezioni aggiunte al firewall possono limitare l'apertura della porta alle connessioni in ingresso da computer specifici o dalla subnet locale. Questa restrizione dell'ambito di apertura della porta è consigliata e può ridurre il livello di esposizione del computer agli utenti malintenzionati.

System_CAPS_ICON_note.jpg Nota


L'uso dell'elemento Windows Firewall del Pannello di controllo configura solo il profilo del firewall corrente.

Per modificare l'ambito dell'eccezione di un firewall mediante l'elemento Windows Firewall del Pannello di controllo

  1. Nell'elemento Windows Firewall del Pannello di controllo selezionare un programma o una porta nella scheda Eccezioni , quindi fare clic su Proprietà o Modifica.

  2. Nella finestra di dialogo Modifica programma o Modifica porta fare clic su Cambia ambito.

  3. Selezionare una delle opzioni seguenti:

    • Tutti i computer (compresi quelli in Internet)

      Non consigliata. Questa opzione consente a tutti i computer che riescono a comunicare con il computer dell'utente di connettersi al programma o alla porta specificata. Questa impostazione potrebbe essere necessaria per consentire la presentazione delle informazioni a utenti anonimi su Internet, ma aumenta l'esposizione a utenti malintenzionati. L'esposizione può essere ulteriormente aumentata se insieme a questa impostazione viene abilitato anche l'attraversamento NAT (Network Address Translation), ad esempio l'opzione Consenti attraversamento confini.

    • Solo la rete (subnet) locale

      Questa impostazione offre una protezione maggiore rispetto a Tutti i computer. Solo i computer che si trovano nella subnet locale della rete possono connettersi al programma o alla porta.

    • Elenco personalizzato:

    Solo i computer che dispongono degli indirizzi IP elencati possono connettersi. Questa opzione offre un livello di protezione ancora più elevato di Solo la rete (subnet) locale, anche se i computer client che usano DHCP possono modificare occasionalmente l'indirizzo IP. Pertanto il computer desiderato non sarà in grado di connettersi. Un altro computer, a cui non è stata concessa l'autorizzazione, potrebbe accettare l'indirizzo IP elencato ed essere in grado di connettersi. L'opzione Elenco personalizzato può risultare adatta per elencare altri server configurati per l'utilizzo di un indirizzo IP fisso anche se gli indirizzi IP possono essere soggetti a spoofing da parte di un intruso. L'efficacia delle regole di limitazione del firewall equivale solo a quella dell'infrastruttura di rete.

È possibile configurare impostazioni del firewall avanzate aggiuntive tramite lo snap-in MMC Windows Firewall con sicurezza avanzata. Lo snap-in include una procedura guidata di creazione delle regole ed espone impostazioni aggiuntive non disponibili nell'elemento Windows Firewall del Pannello di controllo. Sono incluse le seguenti impostazioni:

  • Impostazioni di crittografia

  • Restrizioni dei servizi

  • Restrizione delle connessioni per i computer in base al nome

  • Restrizione delle connessioni a utenti o profili specifici

  • Attraversamento dei confini che consente al traffico di ignorare i router NAT (Network Address Translation)

  • Configurazione di regole in uscita

  • Configurazione di regole di sicurezza

  • Richiesta di IPsec per le connessioni in ingresso

Per creare una nuova regola del firewall utilizzando la Creazione guidata nuova regola connessioni in entrata

  1. Nel menu Start, scegliere Esegui, digitare WF.msce quindi fare clic su OK.

  2. In Windows Firewall con sicurezza avanzata, nel riquadro sinistro, fare clic con il pulsante destro del mouse su Regole in entrata, quindi scegliere Nuova regola.

  3. Completare la Creazione guidata nuova regola connessioni in entrata utilizzando le impostazioni desiderate.

Le tecniche e gli strumenti illustrati di seguito possono risultare utili per la risoluzione dei problemi del firewall.

  • Lo stato della porta più efficace è l'unione di tutte le regole relative alla porta. Quando si tenta di bloccare l'accesso attraverso una porta, può essere utile verificare tutte le regole in cui viene citato il numero della porta. A questo scopo, utilizzare lo snap-in MMC Windows Firewall con sicurezza avanzata e ordinare le regole in entrata e in uscita in base al numero della porta.

  • Verificare le porte attive nel computer su cui è in esecuzione SQL Server. Questo processo di verifica include l'individuazione delle porte TCP/IP in attesa, nonché dello stato delle porte.

    Per verificare quali porte siano in attesa, usare l'utilità da riga di comando netstat. Oltre alle connessioni TCP attive, l'utilità netstat visualizza anche un'ampia gamma di statistiche e informazioni relative al protocollo IP.

    Per elencare le porte TCP/IP in attesa

    1. Aprire una finestra del prompt dei comandi.

    2. Al prompt dei comandi digitare netstat -n -a.

      L'opzione -n indica a netstat di visualizzare in valori numerici l'indirizzo e il numero di porta delle connessioni TCP attive. L'opzione -a indica a netstat di visualizzare le porte TCP e UDP su cui è in attesa il computer.

  • L'utilità PortQry può essere usata per indicare lo stato delle porte TCP/IP come in attesa, non in attesa o filtrato. Uno stato filtrato non indica se la porta è o non è in attesa, bensì che l'utilità non ha ricevuto alcuna risposta dalla porta. È possibile scaricare l'utilità PortQry dalla pagina relativa nell' area download Microsoft.

Panoramica dei servizi e requisiti per le porte di rete per il sistema server Windows
Procedura: Configurare le impostazioni del firewall (database SQL di Azure)

Aggiunte alla community

AGGIUNGI
Mostra: