Системи брандмауерів запобігають несанкціонованому доступу до ресурсів комп'ютера. Якщо брандмауер включений, але налаштований неправильно, спроба з'єднання з SQL Server може виявитися заблокованою.
Щоб дозволити доступ до примірника SQL Server через брандмауер, його необхідно налаштувати на комп'ютері, на якому працює SQL Server. Брандмауер є компонентом Microsoft Windows. Замість нього можна встановити брандмауер іншої компанії. В даному розділі обговорюється настройка брандмауера Windows, проте загальні принципи застосовні до будь-яким іншим брандмауерам.
У розділі містяться загальні відомості про налаштування брандмауера і зведені відомості, що становлять інтерес для адміністратора SQL Server. За докладнішою інформацією та офіційні дані про брандмауери див. В документації по брандмауера, наприклад в розділах Брандмауер Windows в режимі підвищеної безпеки і IPsec і Брандмауер Windows в режимі підвищеної безпеки - путівник.
Користувачі, добре знайомі з елементом Брандмауер Windows на панелі управління і оснащенням «Брандмауер Windows в режимі підвищеної безпеки» консолі управління (MMC) і вміють налаштовувати параметри брандмауера, можуть перейти безпосередньо до розділів, наведеними в наступному списку.
Брандмауер перевіряє вхідні пакети на відповідність набору правил. Якщо правила дозволяють передачу пакета, то брандмауер передає його протоколу TCP / IP для подальшої обробки. Якщо передача пакета правилами не дозволена, то брандмауер відкидає його і, якщо включено ведення журналу, створює в файлі журналу відповідний запис.
Список дозволеного трафіку заповнюється одним із таких способів.
Коли захищений брандмауером комп'ютер відкриває з'єднання, брандмауер додає до списку елемент, що дозволяє відповідь по цьому з'єднанню. Отримана відповідь розглядається як очікуваний і не вимагає настройки.
Робота адміністратора полягає в налагодженні винятків в роботі брандмауера. Це дає можливість надавати доступ певних програм, запущеним на комп'ютері, або доступ до певних портів. У цьому випадку комп'ютер приймає весь вхідний трафік, виконуючи роль сервера, Прослуховувач або однорангового вузла. Для з'єднання з SQL Server повинна бути виконана саме така настройка.
Вибір стратегії брандмауера є більш складним завданням і не зводиться лише до відкриття або закриття портів. При виборі стратегії безпеки для підприємства необхідно обов'язково розглянути всі доступні правила і параметри конфігурації. В цьому розділі всі можливі параметри брандмауера не розглядаються. Рекомендується ознайомитися з наступними документами.
Першим кроком при плануванні конфігурації брандмауера є визначення його поточного стану в операційній системі. Якщо операційна система була оновлена з попередньої версії, в ній могли зберегтися старі настройки брандмауера. Крім того, параметри брандмауера могли бути змінені іншим адміністратором або груповою політикою домену. Однак за замовчуванням застосовуються такі параметри.
Брандмауер включений і блокує віддалені з'єднання.
Брандмауер відключений. Адміністратор повинен вирішити, чи потрібно його включити.
Брандмауер включений і блокує віддалені з'єднання.
Windows XP з пакетом оновлень 2 (SP2) або вище
Брандмауер включений і блокує віддалені з'єднання.
Windows XP з пакетом оновлень 1 (SP1) або нижче
Брандмауер вимкнений і його необхідно включити.
Іменовані екземпляри SQL Server в конфігурації за замовчуванням
TCP-порт виділяється динамічно в момент запуску компонента Database Engine.
Див. Підрозділ Динамічні порти далі в цьому розділі. При використанні іменованих екземплярів службі оглядача SQL Server може знадобитися UDP-порт 1434.
Іменовані екземпляри SQL Server, якщо вони налаштовані для використання фіксованого порту
Номер порту налаштовується адміністратором.
TCP-порт 1434 призначений для примірника за замовчуванням. Інші порти використовуються для іменованих екземплярів. Номер порту перевірте по журналу помилок.
За замовчуванням віддалені з'єднання по виділеному адміністративному з'єднанню (DAC) заборонені. Дозволити віддалене виділене адміністративне з'єднання можна за допомогою засобу налаштування контактної зони. Додаткові відомості див. У розділі Основні відомості про налаштування контактної зони.
Служба «SQL Server, оглядач»
Служба «SQL Server, оглядач» прослуховує вхідні з'єднання до іменованого примірнику і повертає клієнту номер TCP-порту, відповідного іменованого примірнику. Зазвичай служба «SQL Server, оглядач» запускається при використанні іменованого екземпляра компонента Database Engine. Якщо клієнт налаштований для з'єднання з іменованих екземпляром по заданому порту, то службу «SQL Server, оглядач» запускати не обов'язково.
Примірник SQL Server, що працює через кінцеву точку HTTP
Може вказуватися під час створення кінцевої точки HTTP. За замовчуванням використовується TCP-порт 80 для даних CLEAR_PORT і порт 443 для даних SSL_PORT.
При використанні середовища Visual Studio на сервері в список виключень необхідно також додати програму Devenv.exe і відкрити TCP-порт 135.
При використанні середовища Management Studio на сервері, необхідно також додати до списку дозволених програму ssms.exe і відкрити TCP-порт 135. Додаткові відомості див. У розділі Налаштування і запуск відладчика Transact-SQL.
Покрокові інструкції по налаштуванню брандмауера Windows для компонента Database Engine см. В розділі Як налаштувати брандмауер Windows для доступу до компоненту Database Engine.
динамічні порти
За замовчуванням іменовані екземпляри (включаючи SQL Server Express) використовують динамічні порти. Це означає, що при кожному запуску компонент Database Engine знаходить доступний порт і займає його. Якщо іменований екземпляр є єдиним встановленим примірником компонента Database Engine, то швидше за все, він буде використовувати TCP-порт 1433. При установці інших примірників компонента Database Engine вони будуть використовувати інші TCP-порти. Оскільки обираний порт може змінюватися при кожному запуску компонента Database Engine, налаштувати брандмауер для дозволу доступу до потрібного порту складно. Тому, якщо використовується брандмауер, рекомендується налаштувати компонент Database Engine на постійне використання одного і того ж порту. Такий порт називається фіксованим або статичним. Додаткові відомості див. У розділі Налаштування фіксованого порту.
В якості альтернативи налаштування іменованого екземпляра на прослуховування фіксованого порту можна створити в брандмауері виключення для програми SQL Server (наприклад sqlservr.exe для компонента Database Engine). Це хороший вихід, однак номер порту не буде відображатися в стовпці Локальний порт на сторінці Правила для вхідних підключень оснащення «Брандмауер Windows в режимі підвищеної безпеки». В результаті аудит відкритих портів стане складніше. Ще один нюанс полягає в тому, що при застосуванні сукупного поновлення або пакета поновлення може змінитися шлях до виконуваного файлу SQL Server, що зробить правило недійсним.
Наступна процедура виконується за допомогою елемента Брандмауер Windows на панелі управління. В оснащенні «Брандмауер Windows в режимі підвищеної безпеки» підтримується настройка додаткових параметрів брандмауера. У їх число входить настройка виняток служби, яка може виявитися корисною при забезпеченні поглибленої захисту. Див. Підрозділ Використання оснащення «Брандмауер Windows в режимі підвищеної безпеки» нижче.
Додавання в брандмауер виключення для програми за допомогою елемента «Брандмауер Windows» на панелі управління
На вкладці Винятки елемента Брандмауер Windows на панелі керування натисніть кнопку Додати програму.
Перейдіть в папку примірника SQL Server, для якого необхідно дозволити доступ (наприклад C: \ Program Files \ Microsoft SQL Server \ MSSQL10.<имя_экземпляра>\ MSSQL \ Binn), виберіть файл sqlservr.exe і натисніть кнопку Відкрити.
Натисніть кнопку ОК.
Порти, використовувані службами Analysis Services
Служба Integration Services звертається до DCOM по порту 135. Диспетчер управління службами використовує порт 135 для запуску і зупинки служби Integration Services, передачі керуючих запитів запущеної службі і виконання інших завдань. Номер порту не може бути змінений.
Це єдиний порт, який повинен бути відкритий при з'єднанні з видаленим екземпляром служби Integration Services з середовища Management Studio або прикладної програми.
Інші порти і служби
Наступні засоби і методи можуть виявитися корисними при усуненні неполадок брандмауера.
Щоб перевірити, на яких портах здійснюється прослуховування, використовуйте програму командного рядка netstat. Крім активних TCP-з'єднань, програма netstat виводить також різну статистику та інші відомості про протокол IP.
Отримання списку прослуховує TCP / IP-портів
Відкрийте вікно командного рядка.
У командному рядку введіть netstat -n -a.
Додаткові відомості про усунення неполадок див. У наступних розділах.