VENDAS: 1-800-867-1389

Firewall do Banco de dados SQL do Azure

Atualizado: fevereiro de 2015

O Banco de dados SQL do Microsoft Azure fornece um serviço de banco de dados relacional para o Azure e outros aplicativos baseados na Internet. Para ajudar proteger seus dados, o firewall do Banco de dados SQL do Azure impede todo o acesso a seu servidor do Banco de dados SQL do Azure até que você especifique quais computadores têm permissão. O firewall concede acesso com base no endereço IP de origem de cada solicitação.

Para configurar seu firewall, crie regras de firewall que especifiquem intervalos de endereços IP aceitáveis. Você pode criar regras de firewall nos níveis de servidor e banco de dados.

  • Regras de firewall no nível do servidor: essas regras permitem que os clientes acessem seu servidor Banco de dados SQL do Azure inteiro, ou seja, todos os bancos de dados no mesmo servidor lógico. Essas regras são armazenadas no banco de dados mestre.

  • Regras de firewall no nível do banco de dados: essas regras permitem que os clientes acessem bancos de dados individuais em seu servidor Banco de dados SQL do Azure. Essas regras são criadas por banco de dados e armazenadas nos bancos de dados individuais (incluindo o mestre). Essas regras podem ser úteis na restrição de acesso a determinados bancos de dados (protegidos) dentro do mesmo servidor lógico.



    noteObservação
    Se você criar uma federação de bancos de dados no Banco de dados SQL do Azure onde o banco de dados raiz contiver regras de firewall no nível de banco de dados, as regras não serão copiadas nos bancos de dados do membro da federação. Se precisar de regras de firewall no nível de banco de dados para os membros da federação, você terá que recriar as regras para os membros da federação. No entanto, se você dividir um membro da federação contendo uma regra de firewall no nível de banco de dados em novos membros da federação usando a instrução ALTER FEDERATION … SPLIT, os novos membros de destino terão as mesmas regras de firewall no nível de banco de dados que o membro da federação de origem. Para obter mais informações sobre federações, consulte Federações no Banco de dados SQL do Azure.

    A implementação atual de Federações será suspensa com as camadas de serviço Web e Business. Considere a implantação de soluções personalizadas de fragmentação para maximizar a escalabilidade, a flexibilidade e o desempenho. Para obter mais informações sobre fragmentação personalizada, consulte Expandindo Bancos de dados SQL do Azure.

Neste tópico

Inicialmente, todo acesso ao seu servidor do Banco de dados SQL do Azure é bloqueado pelo firewall. Para começar a usar seu servidor do Banco de dados SQL do Azure, acesse o Portal de Gerenciamento e especifique uma ou mais regras de firewall no nível de servidor que permitam o acesso ao seu servidor do Banco de dados SQL do Azure. Use as regras de firewall para especificar quais intervalos de endereços IP da Internet são permitidos e se os aplicativos do Azure podem ou não tentar se conectar ao servidor do Banco de dados SQL do Azure.

No entanto, se desejar conceder acesso seletivamente a apenas um dos bancos de dados no seu servidor do Banco de dados SQL do Azure, você deverá criar uma regra no nível de banco de dados para o banco de dados necessário com um intervalo de endereços IP que esteja além do intervalo especificado na regra de firewall no nível de servidor, além de garantir que o endereço IP do cliente esteja dentro do intervalo especificado na regra no nível de banco de dados.

As tentativas de conexão pela Internet e pelo Azure devem passar primeiramente pelo firewall antes de poderem acessar seu servidor ou banco de dados do Banco de dados SQL do Azure, conforme mostrado no diagrama a seguir.

O firewall do Banco de dados SQL limita o acesso ao servidor

Quando um computador tentar se conectar ao seu servidor de banco de dados pela Internet, o firewall verifica o endereço IP original da solicitação em relação ao conjunto completo de regras de firewall no nível de servidor e (se necessário) no nível de banco de dados:

  • Se o endereço IP da solicitação estiver dentro de um dos intervalos especificados nas regras de firewall no nível de servidor, a conexão será concedida ao seu servidor do Banco de dados SQL do Azure.

  • Se o endereço IP da solicitação não estiver dentro de um dos intervalos especificados na regra de firewall no nível de servidor, as regras de firewall no nível de banco de dados serão verificadas. Se o endereço IP da solicitação estiver dentro de um dos intervalos especificados nas regras de firewall no nível de banco de dados, a conexão será concedida somente ao banco de dados que tiver uma regra correspondente no nível de banco de dados.

  • Se o endereço IP da solicitação não estiver dentro dos intervalos especificados em alguma regra de firewall no nível de servidor ou no nível de banco de dados, haverá falha na solicitação de conexão.

noteObservação
Para acessar um Banco de dados SQL do Azure a partir de um computador, certifique-se de que o firewall na sua rede e no computador local permita a comunicação de saída na porta TCP 1433.

Quando um aplicativo do Azure tenta se conectar ao servidor de banco de dados, o firewall verifica se conexões Azure são permitidas. Uma configuração de firewall com endereço inicial e final igual a 0.0.0.0 indica se essas conexões são permitidas. Se a tentativa de conexão não for permitida, a solicitação não acessará o servidor do Banco de dados SQL do Azure.

Você pode ativar as conexões de Azure no Portal de Gerenciamento de duas maneiras:

  • Selecione a caixa de seleção Permitir que os serviços do Windows Azure acesse o servidor ao criar um novo servidor

  • Na guia Configurar em um servidor, sob a seção Serviços permitidos, clique em Sim para Serviços do Windows Azure

A primeira configuração de firewall de nível do servidor pode ser criada usando o Portal de Gerenciamento ou programaticamente usando a API de REST ou Azure PowerShell. As regras de firewall de nível de servidor subsequentes podem ser criadas e gerenciadas através destes métodos, bem como através de Transact-SQL. Para obter mais informações sobre regras de firewall no nível de servidor, consulte Como: Definir as configurações do firewall (banco de dados SQL do Azure).

Após ter configurado o primeiro firewall no nível de servidor, talvez seja necessário restringir o acesso a determinados bancos de dados. Se você especificar um intervalo de endereços IP na regra de firewall relacionada a bancos de dados e esse intervalo estiver fora do especificado na regra de firewall relacionada ao servidor, apenas os clientes com endereços IP no intervalo do banco de dados poderão acessar esse banco de dados. Você pode ter, no máximo, 128 regras de firewall no nível de banco de dados para um banco de dados. As regras de firewall no nível de banco de dados para bancos de dados mestre e de usuário podem ser criadas e gerenciadas através de Transact-SQL. Para obter mais informações, consulte Como: Definir as configurações do firewall (banco de dados SQL do Azure).

Além do Portal de Gerenciamento do Azure, as regras de firewall podem ser gerenciadas programaticamente usando o Transact-SQL, API de REST e Azure PowerShell. As tabelas abaixo descrevem o conjunto de comandos disponíveis para cada método.

Transact-SQL

Visualização de catálogo/Procedimento armazenado

Nível

Descrição

sys.firewall_rules

Servidor

Exibe as regras atuais de firewall no nível de servidor

sp_set_firewall_rule

Servidor

Cria ou atualiza regras de firewall no nível de servidor

sp_delete_firewall_rule

Servidor

Remove regras de firewall no nível do servidor

sys.database_firewall_rules

Banco de dados

Exibe as regras atuais de firewall no nível de banco de dados

sp_set_database_firewall_rule

Banco de dados

Cria ou atualiza regras de firewall no nível de banco de dados

sp_delete_database_firewall_rule

Banco de dados

Remove regras de firewall no nível do banco de dados

API de REST

API

Nível

Descrição

Listar regras de firewall

Servidor

Exibe as regras atuais de firewall no nível de servidor

Criar uma regra de firewall

Servidor

Cria ou atualiza regras de firewall no nível de servidor

Definir regra de firewall

Servidor

Atualiza as propriedades de uma regra de firewall no nível de servidor existente

Excluir regra de firewall

Servidor

Remove regras de firewall no nível do servidor

Azure PowerShell

Cmdlet

Nível

Descrição

Get-AzureSqlDatabaseServerFirewallRule

Servidor

Retorna as regras atuais de firewall no nível de servidor

New-AzureSqlDatabaseServerFirewallRule

Servidor

Cria uma nova regra de firewall no nível de servidor

Set-AzureSqlDatabaseServerFirewallRule

Servidor

Atualiza as propriedades de uma regra de firewall no nível de servidor existente

Remove-AzureSqlDatabaseServerFirewallRule

Servidor

Remove regras de firewall no nível do servidor

noteObservação
Pode haver um atraso de até cinco minutos para que as alterações das configurações de firewall sejam efetivadas.

Considere os seguintes pontos quando o acesso ao serviço Banco de dados SQL do Microsoft Azure não se comportar como esperado:

  • Local firewall configuration: antes que o computador possa acessar o Banco de dados SQL do Azure, talvez seja necessário criar uma exceção de firewall no seu computador para a porta TCP 1433.

  • Conversão de endereços de rede (NAT): devido à NAT, o endereço IP usado pelo seu computador para se conectar ao Banco de dados SQL do Azure pode ser diferente do endereço IP mostrado nos parâmetros de configuração de IP do seu computador. Para visualizar o endereço IP que o computador está usando para se conectar à Azure, faça login no Portal de Gerenciamento e navegue até a guia Configurar no servidor que hospeda o banco de dados. Sob a seção Endereços IP permitidos, o Endereço IP do cliente atual será exibido. Clique em Adicionar aos endereços IP permitidos para permitir que o computador acesse o servidor.

  • As alterações na lista de permissões ainda não entraram em vigor: pode haver um atraso de até cinco minutos para que as alterações na configuração de firewall do Banco de dados SQL do Azure entrem em vigor.

  • The login is not authorized or an incorrect password was used: se um logon não tiver permissões no servidor do Banco de dados SQL do Azure ou a senha usada estiver incorreta, a conexão com o servidor do Banco de dados SQL do Azure será negada. Criar uma configuração de firewall apenas oferece aos clientes uma oportunidade para tentar conectar-se ao servidor. Cada cliente deve fornecer as credenciais de segurança necessárias. Para obter mais informações sobre a preparação de logons, consulte Gerenciando bancos de dados e logons no Banco de dados SQL do Azure

  • Endereço IP dinâmico: Se você tem uma conexão com a Internet com endereçamento IP dinâmico e está com dificuldades para atravessar o firewall, tente uma das seguintes soluções:

    • Pergunte ao seu provedor de serviços de Internet o intervalo de endereços IP atribuídos aos seus computadores cliente que acessarão o servidor do Banco de dados SQL do Azure e, em seguida, adicione o intervalo como regra de firewall.

    • Obtenha, em vez disso, o endereçamento IP estático para seus computadores cliente e adicione os endereços IP como regras de firewall.

Consulte também

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2015 Microsoft