Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Van toepassing op:
SQL Server - alleen Windows
Firewallsystemen helpen onbevoegde toegang tot computerbronnen te voorkomen. Als een firewall is ingeschakeld maar niet juist is geconfigureerd, worden pogingen om verbinding te maken met SQL Server mogelijk geblokkeerd.
Als u toegang wilt krijgen tot een exemplaar van de SQL Server via een firewall, moet u de firewall configureren op de computer waarop SQL Server wordt uitgevoerd. De firewall is een onderdeel van Microsoft Windows. U kunt ook een firewall van een andere leverancier installeren. In dit artikel wordt beschreven hoe u Windows Firewall configureert, maar de basisprincipes zijn van toepassing op andere firewallprogramma's.
Opmerking
Dit artikel bevat een overzicht van de firewallconfiguratie en geeft een overzicht van de informatie die interessant is voor een SQL Server-beheerder. Zie de firewalldocumentatie, zoals de implementatiehandleiding voor Windows Firewall, voor meer informatie over de firewall en voor gezaghebbende firewallgegevens.
Gebruikers die bekend zijn met het beheren van Windows Firewall en weten welke firewallinstellingen ze willen configureren, kunnen rechtstreeks naar de geavanceerdere artikelen gaan:
- Windows Firewall configureren voor toegang tot database-engine
- De Windows Firewall configureren om Analysis Services-toegang toe te staan
- Een firewall configureren voor toegang tot rapportservers
Basisfirewallgegevens
Firewalls werken door binnenkomende pakketten te inspecteren en te vergelijken met de volgende set regels:
Het pakket voldoet aan de standaarden die zijn bepaald door de regels, waarna de firewall het pakket doorgeeft aan het TCP/IP-protocol voor meer verwerking.
Het pakket voldoet niet aan de standaarden die zijn opgegeven door de regels.
De firewall negeert vervolgens het pakket.
Als logboekregistratie is ingeschakeld, wordt er een vermelding gemaakt in het logboekregistratiebestand van de firewall.
De lijst met toegestane verkeer wordt op een van de volgende manieren ingevuld:
Automatisch: Wanneer een computer waarop een firewall is ingeschakeld, communicatie start, maakt de firewall een vermelding in de lijst, zodat het antwoord is toegestaan. Het antwoord wordt beschouwd als aangevraagd verkeer en er hoeft niets te worden geconfigureerd.
Handmatig: een beheerder configureert uitzonderingen op de firewall. Hiermee hebt u toegang tot opgegeven programma's of poorten op uw computer. In dit geval accepteert de computer ongevraagd binnenkomend verkeer wanneer deze fungeert als een server, een listener of een peer. De configuratie moet worden voltooid om verbinding te maken met SQL Server.
Het kiezen van een firewallstrategie is complexer dan alleen beslissen of een bepaalde poort open of gesloten moet zijn. Zorg er bij het ontwerpen van een firewallstrategie voor uw onderneming voor dat u rekening houdt met alle regels en configuratieopties die voor u beschikbaar zijn. In dit artikel worden niet alle mogelijke firewallopties bekeken. U wordt aangeraden de volgende documenten te bekijken:
- Implementatiehandleiding voor Windows Firewall
- Ontwerphandleiding voor Windows Firewall
- Inleiding tot server- en domeinisolatie
Standaardfirewallinstellingen
De eerste stap bij het plannen van uw firewallconfiguratie is het bepalen van de huidige status van de firewall voor uw besturingssysteem. Als het besturingssysteem is bijgewerkt vanaf een eerdere versie, blijven de eerdere firewallinstellingen mogelijk behouden. Het groepsbeleid of de beheerder kan de firewallinstellingen in het domein wijzigen.
Opmerking
Het inschakelen van de firewall is van invloed op andere programma's die toegang hebben tot deze computer, zoals het delen van bestanden en afdrukken en verbindingen met extern bureaublad. Beheerders moeten rekening houden met alle toepassingen die op de computer worden uitgevoerd voordat ze de firewallinstellingen aanpassen.
Programma's voor het configureren van de firewall
Configureer de Windows Firewall-instellingen met Microsoft Management Console, PowerShell of netsh.
Microsoft Management Console (MMC)
Met de Module Advanced Security MMC van Windows Firewall kunt u geavanceerdere firewallinstellingen configureren. Deze module bevat de meeste firewallopties op een gebruiksvriendelijke manier en geeft alle firewallprofielen weer. Zie De Windows Firewall gebruiken met geavanceerde beveiligingsmodule verderop in dit artikel voor meer informatie.
PowerShell
Zie het volgende voorbeeld voor het openen van TCP-poort 1433 en UDP-poort 1434 voor het standaardexemplaren van SQL Server en sql Server Browser Service:
New-NetFirewallRule -DisplayName "SQLServer default instance" -Direction Inbound -LocalPort 1433 -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "SQLServer Browser service" -Direction Inbound -LocalPort 1434 -Protocol UDP -Action Allow
Zie New-NetFirewallRule voor meer voorbeelden.
Opdrachtregel met netsh
Het netsh.exe is een administratorhulpprogramma voor het configureren en bewaken van Windows-computers via een opdrachtprompt of met behulp van een batchbestand. Met het netsh-hulpprogramma kunt u de contextopdrachten die u invoert, doorsturen naar de juiste helper en de helper voert de opdracht uit. Een helper is een bestand (.dllDynamic Link Library) dat de functionaliteit uitbreidt. De helper biedt: configuratie, bewaking en ondersteuning voor een of meer services, hulpprogramma's of protocollen voor het netsh-hulpprogramma .
U kunt de Windows Firewall voor Advanced Security Helper, advfirewall genoemd, gebruiken. Veel van de beschreven configuratieopties kunnen worden geconfigureerd vanaf de opdrachtregel met behulp van netsh advfirewall. Voer bijvoorbeeld het volgende script uit bij een opdrachtprompt om TCP-poort 1433 te openen:
netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN
Zie de volgende koppelingen voor meer informatie over netsh:
- Netsh-opdrachtsyntaxis, contexten en opmaak
- Netsh advfirewall-firewall gebruiken in plaats van netsh-firewall om het gedrag van Windows Firewall te beheren
Voor Linux
In Linux moet u ook de poorten openen die zijn gekoppeld aan de services waarvoor u toegang nodig hebt. Verschillende distributies van Linux en verschillende firewalls hebben hun eigen procedures. Zie voor twee voorbeelden:
- Quickstart: SQL Server installeren en een database maken in Red Hat
- Quickstart: SQL Server installeren en een database maken op SUSE Linux Enterprise Server
Poorten die worden gebruikt door SQL Server
De volgende tabellen kunnen u helpen bij het identificeren van de poorten die worden gebruikt door SQL Server.
Poorten die worden gebruikt door de database-engine
Standaard zijn de typische poorten die worden gebruikt door SQL Server en de bijbehorende database-engineservices: TCP 1433, 4022, 135, 1434UDP 1434. In de volgende tabel worden deze poorten uitgebreider beschreven. Een benoemd exemplaar maakt gebruik van dynamische poorten.
De volgende tabel bevat de poorten die vaak worden gebruikt door de database-engine.
| Scenariobeschrijving | Porto | Opmerkingen |
|---|---|---|
| Standaardinstantie die via TCP wordt uitgevoerd | TCP-poort 1433 | De meest voorkomende poort die is toegestaan via de firewall. Het is van toepassing op routineverbindingen met de standaardinstallatie van de database-engine of een benoemd exemplaar dat het enige exemplaar is dat op de computer wordt uitgevoerd. (Genoemde instanties hebben speciale overwegingen. Bekijk dynamische poorten verderop in dit artikel.) |
| Benoemde exemplaren met standaardpoort | De TCP-poort is een dynamische poort die wordt bepaald op het moment dat de database-engine wordt gestart. | Zie de volgende discussie in de sectie Dynamische poorten. UDP-poort 1434 is mogelijk vereist voor de SQL Server-browserservice wanneer u benoemde exemplaren gebruikt. |
| Benoemde instanties met vaste poort | Het poortnummer dat is geconfigureerd door de beheerder. | Zie de volgende discussie in de sectie Dynamische poorten. |
| Specifieke beheerdersverbinding | TCP-poort 1434 voor het standaardexemplaar. Andere poorten worden gebruikt voor gespecificeerde instanties. Controleer het foutenlogboek voor het poortnummer. | Externe verbindingen met de DEDICATED Administrator Connection (DAC) zijn standaard niet ingeschakeld. Als u externe DAC wilt inschakelen, gebruikt u het facet Surface Area Configuration. Zie Surface Area Configuration voor meer informatie. |
| SQL Server Browser-service | UDP-poort 1434 | De SQL Server-browserservice luistert naar binnenkomende verbindingen met een benoemd exemplaar. De service biedt de client het TCP-poortnummer dat overeenkomt met dat benoemde exemplaar. Normaal gesproken wordt de SQL Server Browser-service gestart wanneer benoemde exemplaren van de database-engine worden gebruikt. De SQL Server Browser-service is niet vereist als de client is geconfigureerd om verbinding te maken met de specifieke poort van het benoemde exemplaar. |
| Exemplaar met HTTP-eindpunt. | Kan worden opgegeven wanneer een HTTP-eindpunt wordt gemaakt. De standaardwaarde is TCP-poort 80 voor CLEAR_PORT verkeer en 443 voor SSL_PORT verkeer. |
Wordt gebruikt voor een HTTP-verbinding via een URL. |
| Standaardexemplaar met HTTPS-eindpunt | TCP-poort 443 | Wordt gebruikt voor een HTTPS-verbinding via een URL. HTTPS is een HTTP-verbinding die gebruikmaakt van Transport Layer Security (TLS), voorheen bekend als Secure Sockets Layer (SSL). |
| Dienstmakelaar | TCP-poort 4022. Voer de volgende query uit om de gebruikte poort te controleren:SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'SERVICE_BROKER' |
Er is geen standaardpoort voor SQL Server Service Broker, Books Online-voorbeelden maken gebruik van de conventionele configuratie. |
| Databasespiegeling | Door de beheerder gekozen poort. Voer de volgende query uit om de poort te bepalen:SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'DATABASE_MIRRORING' |
Er is geen standaardpoort voor databasespiegeling, maar Boeken Online-voorbeelden gebruiken TCP-poort 5022 of 7022. Het is belangrijk om te voorkomen dat een in-use mirroring-eindpunt wordt onderbroken, met name in de modus voor hoge veiligheid met automatische failover. Uw firewallconfiguratie moet voorkomen dat het quorum wordt onderbroken. Zie Een servernetwerkadres (databasespiegeling) opgevenvoor meer informatie. |
| Replicatie | Replicatieverbindingen met SQL Server gebruiken de gebruikelijke normale Database Engine-poorten (TCP-poort 1433 is het standaardexemplaren) Voor websynchronisatie en FTP/UNC-toegang voor momentopnamen van replicatie moeten meer poorten worden geopend op de firewall. Replicatie kan FTP (TCP-poort 21) gebruiken of synchroniseren via HTTP (TCP-poort 80) of bestandsdeling om de eerste gegevens en het schema van de ene locatie naar de andere locatie over te dragen. Bestandsdeling maakt gebruik van UDP-poorten 137 en 138 en TCP-poort 139, als deze samen met NetBIOS wordt gebruikt. Bestandsdeling maakt gebruik van TCP-poort 445. |
Voor synchronisatie via HTTP maakt replicatie gebruik van het IIS-eindpunt (configureerbaar; standaardpoort 80), maar het IIS-proces maakt verbinding met de back-end SQL Server via de standaardpoorten (1433 voor het standaardexemplaren). Tijdens websynchronisatie via FTP is de FTP-overdracht tussen IIS en de SQL Server-uitgever, niet tussen abonnee en IIS. |
| Transact-SQL foutopsporingsprogramma | TCP-poort 135 Zie Speciale overwegingen voor poort 135 De IPsec-uitzondering is mogelijk ook vereist. |
Als u Visual Studio gebruikt, moet u op de Visual Studio-hostcomputer ook toevoegen devenv.exe aan de lijst Uitzonderingen en TCP-poort 135 openen.Als u Management Studio gebruikt, moet u op de Hostcomputer van Management Studio ook toevoegen ssms.exe aan de lijst Uitzonderingen en TCP-poort 135 openen. Zie Firewallregels configureren voordat u het Transact-SQL foutopsporingsprogramma uitvoert voor meer informatie. |
Zie Windows Firewall configureren voor database-enginetoegang voor stapsgewijze instructies voor het configureren van de Windows Firewall voor de database-engine.
Dynamische poorten
Benoemde exemplaren (inclusief SQL Server Express) maken standaard gebruik van dynamische poorten. Telkens wanneer de database-engine wordt gestart, wordt een beschikbare poort geïdentificeerd en wordt dat poortnummer gebruikt. Als het benoemde exemplaar het enige exemplaar van de database-engine is dat is geïnstalleerd, wordt waarschijnlijk TCP-poort 1433 gebruikt. Als andere exemplaren van de database-engine zijn geïnstalleerd, wordt waarschijnlijk een andere TCP-poort gebruikt. Omdat de geselecteerde poort kan veranderen telkens wanneer de database-engine wordt gestart, is het moeilijk om de firewall te configureren om toegang tot het juiste poortnummer in te schakelen. Als een firewall wordt gebruikt, raden we u aan om de database-engine telkens opnieuw te configureren om hetzelfde poortnummer te gebruiken. Een vaste poort of een statische poort wordt aanbevolen. Zie SQL Server configureren om te luisteren op een specifieke TCP-poort voor meer informatie.
Een alternatief voor het configureren van een benoemd exemplaar om te luisteren op een vaste poort is het maken van een uitzondering in de firewall voor een SQL Server-programma, zoals sqlservr.exe (voor de database-engine). Het poortnummer wordt niet weergegeven in de kolom Lokale poort van de pagina Regels voor inkomend verkeer wanneer u de Windows Firewall gebruikt met de MMC-module Geavanceerde beveiliging. Het kan lastig zijn om te controleren welke poorten open zijn. Een andere overweging is dat een servicepack of cumulatieve update het pad naar het uitvoerbare SQL Server-bestand kan wijzigen en de firewallregel ongeldig kan maken.
Zie de module Windows Firewall met geavanceerde beveiliging gebruiken verderop in dit artikel om een uitzondering toe te voegen voor SQL Server.
Poorten die worden gebruikt door Analysis Services
Standaard zijn de typische poorten die worden gebruikt door SQL Server Analysis Services en bijbehorende services: TCP 2382, 2383, 80, 443. In de volgende tabel worden deze poorten uitgebreider beschreven.
De volgende tabel bevat de poorten die vaak worden gebruikt door Analysis Services.
| Eigenschap | Porto | Opmerkingen |
|---|---|---|
| Analyse diensten | TCP-poort 2383 voor het standaardexemplaren | De standaardpoort voor de standaardexemplaar van Analysis Services. |
| SQL Server Browser-service | TCP-poort 2382 is alleen nodig voor een benoemde instantie van Analysis Services | Clientverbindingsaanvragen voor een benoemd exemplaar van Analysis Services die geen poortnummer opgeven, worden omgeleid naar poort 2382, de poort waarop SQL Server Browser luistert. SQL Server Browser stuurt de aanvraag vervolgens om naar de poort die het benoemde exemplaar gebruikt. |
| Analysis Services geconfigureerd voor gebruik via IIS/HTTP (De draaitabelservice® maakt gebruik van HTTP of HTTPS) |
TCP-poort 80 | Wordt gebruikt voor een HTTP-verbinding via een URL. |
| Analysis Services geconfigureerd voor gebruik via IIS/HTTPS (De draaitabelservice® maakt gebruik van HTTP of HTTPS) |
TCP-poort 443 | Wordt gebruikt voor een HTTPS-verbinding via een URL. HTTPS is een HTTP-verbinding die gebruikmaakt van TLS. |
Als gebruikers Analysis Services openen via IIS en internet, moet u de poort openen waarop IIS luistert. Geef vervolgens de poort op in de clientverbindingsreeks. In dit geval hoeven er geen poorten te zijn geopend voor directe toegang tot Analysis Services. De standaardpoort 2389 en poort 2382 moeten worden beperkt samen met alle andere poorten die niet vereist zijn.
Zie Windows Firewall configureren om Analysis Services-toegang toe te staan voor stapsgewijze instructies voor het configureren van De Windows Firewall voor Analysis Services.
Poorten die worden gebruikt door Reporting Services
Standaard zijn de typische poorten die worden gebruikt door SQL Server Reporting Services en bijbehorende services: TCP 80, 443. In de volgende tabel worden deze poorten uitgebreider beschreven.
De volgende tabel bevat de poorten die vaak worden gebruikt door Reporting Services.
| Eigenschap | Porto | Opmerkingen |
|---|---|---|
| Reporting Services-webservices | TCP-poort 80 | Wordt gebruikt voor een HTTP-verbinding met Reporting Services via een URL. U wordt aangeraden de vooraf geconfigureerde regel World Wide Web Services (HTTP) niet te gebruiken. Zie de sectie Interactie met andere firewallregels verderop in dit artikel voor meer informatie. |
| Reporting Services geconfigureerd voor gebruik via HTTPS | TCP-poort 443 | Wordt gebruikt voor een HTTPS-verbinding via een URL. HTTPS is een HTTP-verbinding die gebruikmaakt van TLS. U wordt aangeraden de vooraf geconfigureerde regel Secure World Wide Web Services (HTTPS) niet te gebruiken. Zie de sectie Interactie met andere firewallregels verderop in dit artikel voor meer informatie. |
Wanneer Reporting Services verbinding maakt met een exemplaar van de database-engine of Analysis Services, moet u ook de juiste poorten voor deze services openen. Voor stapsgewijze instructies voor het configureren van Windows Firewall voor Reporting Services configureert u een firewall voor toegang tot de rapportserver.
Poorten die worden gebruikt door Integration Services
De volgende tabel bevat de poorten die worden gebruikt door de Integration Services-service.
| Eigenschap | Porto | Opmerkingen |
|---|---|---|
| Externe procedure-aanroepen van Microsoft (MS RPC) Wordt gebruikt door de Integration Services-runtime. |
TCP-poort 135 Zie Speciale overwegingen voor poort 135 |
De Integration Services-service maakt gebruik van DCOM op poort 135. Service Control Manager gebruikt poort 135 om taken uit te voeren, zoals het starten en stoppen van de Integration Services-service en het verzenden van controleaanvragen naar de actieve service. Het poortnummer kan niet worden gewijzigd. Deze poort hoeft alleen geopend te zijn als u verbinding maakt met een extern exemplaar van de Integration Services-service vanuit Management Studio of een aangepaste toepassing. |
Zie Integration Services Service (SSIS Service) voor stapsgewijze instructies voor het configureren van De Windows Firewall voor Integration Services.
Andere poorten en services
De volgende tabel bevat poorten en services waarvoor SQL Server mogelijk afhankelijk is.
| Scenariobeschrijving | Porto | Opmerkingen |
|---|---|---|
| Windows Management Instrumentation (systeembeheerinstrumentatie) Zie WMI-provider voor configuratiebeheer voor meer informatie over Windows Management Instrumentation (WMI) |
WMI wordt uitgevoerd als onderdeel van een gedeelde servicehost met poorten die zijn toegewezen via DCOM. WMI gebruikt mogelijk TCP-poort 135. Zie Speciale overwegingen voor poort 135 |
SQL Server Configuration Manager maakt gebruik van WMI om services weer te geven en te beheren. U wordt aangeraden de vooraf geconfigureerde regelgroep Windows Management Instrumentation (WMI) te gebruiken. Zie de sectie Interactie met andere firewallregels verderop in dit artikel voor meer informatie. |
| Microsoft Distributed Transaction Coordinator (MS DTC) | TCP-poort 135 Zie Speciale overwegingen voor poort 135 |
Als uw toepassing gedistribueerde transacties gebruikt, moet u mogelijk de firewall zo configureren dat MS DTC-verkeer (Microsoft Distributed Transaction Coordinator) tussen afzonderlijke MS DTC-exemplaren en tussen de MS DTC en resourcemanagers zoals SQL Server stroomt. U wordt aangeraden de vooraf geconfigureerde regelgroep gedistribueerde transactiecoördinator te gebruiken. Wanneer één gedeelde MS DTC is geconfigureerd voor het hele cluster in een afzonderlijke resourcegroep, moet u sqlservr.exe als uitzondering toevoegen aan de firewall. |
| De bladerknop in Management Studio maakt gebruik van UDP om verbinding te maken met de SQL Server-browserservice. Zie de SQL Server Browser-service (Database Engine en SSAS) voor meer informatie. | UDP-poort 1434 | UDP is een verbindingsloos protocol. De firewall heeft een instelling (UnicastResponsesToMulticastBroadcastDisabled Property of the INetFwProfile Interface) waarmee het gedrag van de firewall en unicast-reacties op een broadcast-aanvraag (of multicast) wordt geregeld. Het heeft twee gedragingen: Als de instelling is TRUE, zijn er helemaal geen unicast-antwoorden voor een uitzending toegestaan. Het inventariseren van services mislukt.Als de instelling (standaard) is FALSE , zijn unicast-antwoorden gedurende 3 seconden toegestaan. De tijdsduur kan niet worden geconfigureerd. Bij een netwerk met congestie of hoge latentie, of bij zwaar belaste servers, kan een poging om SQL Server-exemplaren op te sommen resulteren in een gedeeltelijke lijst, wat gebruikers mogelijk kan misleiden. |
| IPsec-verkeer | UDP-poort 500 en UDP-poort 4500 | Als voor het domeinbeleid netwerkcommunicatie moet worden uitgevoerd via IPsec, moet u ook UDP-poort 4500 en UDP-poort 500 toevoegen aan de lijst met uitzonderingen. IPsec is een optie via de wizard Nieuwe binnenkomende regel in de Windows Firewall-module. Zie De module Windows Firewall gebruiken met geavanceerde beveiliging verderop in dit artikel voor meer informatie. |
| Windows-verificatie gebruiken met vertrouwde domeinen | Firewalls moeten worden geconfigureerd om verificatieaanvragen toe te staan. | Zie Een firewall configureren voor Active Directory-domeinen en vertrouwensrelaties voor meer informatie. |
| SQL Server en Windows Clustering | Voor clustering zijn extra poorten vereist die niet rechtstreeks zijn gerelateerd aan SQL Server. | Zie Een netwerk inschakelen voor clustergebruik voor meer informatie. |
| URL-naamruimten die zijn gereserveerd in de HTTP Server-API (HTTP.SYS) | Waarschijnlijk TCP-poort 80, maar kan worden geconfigureerd voor andere poorten. Zie HTTP en HTTPS configureren voor algemene informatie. | Zie Over URL-reserveringen en -registratie (Report Server Configuration Manager) voor specifieke informatie over het reserveren van een HTTP.SYS-eindpunt met behulp van HttpCfg.exe. |
Speciale overwegingen voor poort 135
Wanneer u RPC gebruikt met TCP/IP of met UDP/IP als transport, worden binnenkomende poorten waar nodig dynamisch toegewezen aan systeemservices. TCP/IP- en UDP/IP-poorten die groter zijn dan poort 1024, worden gebruikt. De poorten worden willekeurige RPC-poorten genoemd. In deze gevallen vertrouwen RPC-clients op de RPC-eindpunttoewijzing om hen te laten weten welke dynamische poorten aan de server zijn toegewezen. Voor sommige RPC-services kunt u een specifieke poort configureren in plaats van RPC er dynamisch een toe te wijzen. U kunt ook het bereik van poorten beperken die RPC dynamisch toewijst aan een klein bereik, onafhankelijk van de service. Omdat poort 135 wordt gebruikt voor veel services, wordt deze vaak aangevallen door kwaadwillende gebruikers. Overweeg bij het openen van poort 135 het bereik van de firewallregel te beperken.
Zie de volgende verwijzingen voor meer informatie over poort 135:
- Service-overzicht en netwerkpoortvereisten voor Windows
- Externe procedure-aanroep (RPC)
- Dynamische RPC-poorttoewijzing configureren voor gebruik met firewalls
Interactie met andere firewallregels
Windows Firewall maakt gebruik van regels en regelgroepen om de configuratie vast te stellen. Elke regel of regelgroep is gekoppeld aan een bepaald programma of bepaalde service en die programma of service kan die regel wijzigen of verwijderen zonder uw kennis. De regelgroepen World Wide Web Services (HTTP) en World Wide Web Services (HTTPS) zijn bijvoorbeeld gekoppeld aan IIS. Als u deze regels inschakelt, worden poorten 80 en 443 geopend en functioneren de functies van SQL Server die van deze poorten afhankelijk zijn. Beheerders die IIS configureren, kunnen deze regels echter wijzigen of uitschakelen. Als u poort 80 of poort 443 voor SQL Server gebruikt, moet u uw eigen regel of regelgroep maken die uw voorkeurspoortconfiguratie onafhankelijk van de andere IIS-regels onderhoudt.
Met de Windows Firewall met Geavanceerde Beveiliging MMC-snap-in is al het verkeer toegestaan dat overeenkomt met een toepasselijke toestaanregel. Dus als er twee regels zijn die beide van toepassing zijn op poort 80 (met verschillende parameters). Verkeer dat overeenkomt met een van beide regels is toegestaan. Dus als één regel verkeer toestaat via poort 80 van het lokale subnet en één regel verkeer vanaf elk adres toestaat, is het netto-effect dat al het verkeer naar poort 80 onafhankelijk is van de bron. Om de toegang tot SQL Server effectief te beheren, moeten beheerders regelmatig alle firewallregels controleren die op de server zijn ingeschakeld.
Overzicht van firewallprofielen
Firewallprofielen worden door de besturingssystemen gebruikt om elk van de netwerken te identificeren en te onthouden op: connectiviteit, verbindingen en categorie.
Er zijn drie netwerklocatietypen in Windows Firewall met geavanceerde beveiliging:
Domein: Windows kan de toegang tot de domeincontroller verifiëren voor het domein waaraan de computer is toegevoegd.
Openbaar: Behalve domeinnetwerken worden alle netwerken in eerste instantie gecategoriseerd als openbaar. Netwerken die directe verbindingen met internet vertegenwoordigen of zich in openbare locaties bevinden, zoals luchthavens en cafés, moeten openbaar blijven.
Privé: Een netwerk dat wordt geïdentificeerd door een gebruiker of toepassing als privé. Alleen vertrouwde netwerken moeten worden geïdentificeerd als privénetwerken. Gebruikers willen waarschijnlijk thuisnetwerken of kleine bedrijfsnetwerken identificeren als privé.
De beheerder kan een profiel maken voor elk netwerklocatietype, waarbij elk profiel verschillende firewallbeleidsregels bevat. Er wordt op elk gewenst moment slechts één profiel toegepast. Profielvolgorde wordt als volgt toegepast:
Het domeinprofiel wordt toegepast als alle interfaces worden geverifieerd bij de domeincontroller waar de computer lid is.
Als alle interfaces zijn geverifieerd bij de domeincontroller of zijn verbonden met netwerken die zijn geclassificeerd als privénetwerklocaties, wordt het privéprofiel toegepast.
Anders wordt het openbare profiel toegepast.
Gebruik de Windows Firewall met de MMC-module Geavanceerde beveiliging om alle firewallprofielen weer te geven en te configureren. Het Windows Firewall-item in het Configuratiescherm configureert alleen het huidige profiel.
Aanvullende firewallinstellingen met behulp van het Windows Firewall-item in het Configuratiescherm
De toegevoegde firewall kan het openen van de poort beperken tot binnenkomende verbindingen vanaf specifieke computers of het lokale subnet. Beperk het bereik van de poortopening om te beperken hoeveel uw computer wordt blootgesteld aan kwaadwillende gebruikers.
Als u het Windows Firewall-item in het Configuratiescherm gebruikt, wordt alleen het huidige firewallprofiel geconfigureerd.
Het bereik van een firewall-uitzondering wijzigen met behulp van het Windows Firewall-item in het Configuratiescherm
Selecteer in het Windows Firewall-item in het Configuratiescherm een programma of poort op het tabblad Uitzonderingen en selecteer vervolgens Eigenschappen of Bewerken.
Selecteer Bereik wijzigen in het dialoogvenster Een programma bewerken of Een poort bewerken.
Kies een van de volgende opties:
Elke computer (inclusief computers op internet): niet aanbevolen. Elke computer die uw computer kan adresseren om verbinding te maken met het opgegeven programma of de opgegeven poort. Deze instelling kan nodig zijn om toe te staan dat gegevens worden gepresenteerd aan anonieme gebruikers op internet, maar verhoogt uw blootstelling aan kwaadwillende gebruikers. Als u deze instelling inschakelt, wordt doorkruising van NAT (Network Address Translation) mogelijk, wat de blootstelling verhoogt, bijvoorbeeld via de optie Edge Traversal.
Alleen mijn netwerk (subnet): Een veiligere instelling dan elke computer. Alleen computers in het lokale subnet van uw netwerk kunnen verbinding maken met het programma of de poort.
Aangepaste lijst: alleen computers met de vermelde IP-adressen kunnen verbinding maken. Een beveiligde instelling kan alleen veiliger zijn dan mijn netwerk (subnet), maar clientcomputers die DHCP gebruiken, kunnen af en toe hun IP-adres wijzigen, waardoor de mogelijkheid om verbinding te maken wordt uitgeschakeld. Een andere computer, die u niet wilt autoriseren, kan het vermelde IP-adres accepteren en er verbinding mee maken. De aangepaste lijst is geschikt voor het weergeven van andere servers die zijn geconfigureerd voor het gebruik van een vast IP-adres.
Indringers kunnen IP-adressen vervalsen. Het beperken van firewallregels is alleen zo sterk als uw netwerkinfrastructuur.
De Windows Firewall gebruiken met de module Geavanceerde beveiliging
Geavanceerde firewallinstellingen kunnen worden geconfigureerd met behulp van de Windows Firewall met de MMC-module Advanced Security. De module bevat een regelwizard en instellingen die niet beschikbaar zijn in het Windows Firewall-item in het Configuratiescherm. Deze instellingen zijn onder andere:
- Versleutelingsinstellingen
- Beperkingen van diensten
- Verbindingen voor computers beperken op naam
- Verbindingen met specifieke gebruikers of profielen beperken
- Edge-doorkruising waarmee verkeer netwerkadresomzettingsrouters (NAT) kan omzeilen
- Regels voor uitgaand verkeer configureren
- Beveiligingsregels configureren
- IPsec vereisen voor binnenkomende verbindingen
Een nieuwe firewallregel maken met de wizard Nieuwe regel
- Selecteer Uitvoeren in het menu Start, typ
wf.mscen selecteer VERVOLGENS OK. - Klik in de Windows Firewall met geavanceerde beveiliging in het linkerdeelvenster met de rechtermuisknop op Binnenkomende regels en selecteer vervolgens Nieuwe regel.
- Voltooi de wizard Nieuwe binnenkomende regel met de instellingen die je wilt.
Een programma-uitzondering toevoegen voor het uitvoerbare SQL Server-bestand
Typ
wf.mscin het menu Start. Druk op Enter of selecteer het zoekresultaatwf.mscom Windows Defender Firewall te openen met geavanceerde beveiliging.Selecteer in het linkerdeelvenster regels voor inkomend verkeer.
Selecteer in het rechterdeelvenster onder Actiesde optie Nieuwe regel.... De wizard Nieuwe regel voor inkomend verkeer wordt geopend.
Bij regeltype selecteert u Programma. Kies Volgende.
Bij Program, selecteer dit programmapad. Selecteer Bladeren om uw instantie van SQL Server te vinden. Het programma wordt aangeroepen
sqlservr.exe. Het bevindt zich normaal gesproken opC:\Program Files\Microsoft SQL Server\MSSQL<VersionNumber>.<InstanceName>\MSSQL\Binn\sqlservr.exe. Kies Volgende.Bij Actie selecteert u De verbinding toestaan. Kies Volgende.
Neem in Profiel alle drie de profielen op. Kies Volgende.
Typ bij Naam een naam voor de regel. Selecteer Voltooien.
Zie voor meer informatie over eindpunten:
Problemen met firewallinstellingen oplossen
De volgende hulpprogramma's en technieken kunnen handig zijn bij het oplossen van firewallproblemen:
De effectieve poortstatus is de samenvoeging van alle regels die betrekking hebben op de poort. Het kan handig zijn om alle regels te bekijken die het poortnummer citeren, wanneer u de toegang tot een poort probeert te blokkeren. Controleer de regels met de Windows Firewall met de MMC-module Geavanceerde beveiliging en sorteer de regels voor inkomend en uitgaand verkeer op poortnummer.
Controleer de poorten die actief zijn op de computer waarop SQL Server wordt uitgevoerd. Het controleproces omvat het controleren welke TCP/IP-poorten luisteren en ook de status van de poorten verifiëren.
Het hulpprogramma PortQry kan worden gebruikt om de status van TCP/IP-poorten te rapporteren als luisteren, niet luisteren of gefilterd. (Het hulpprogramma ontvangt mogelijk geen antwoord van de poort als deze een gefilterde status heeft.) Het hulpprogramma PortQry is beschikbaar om te downloaden via het Microsoft Downloadcentrum.
Geef de TCP/IP-poorten weer die luisteren
Als u wilt controleren welke poorten luisteren, geeft u actieve TCP-verbindingen en IP-statistieken weer met het opdrachtregelprogramma netstat .
Open het opdrachtpromptvenster.
Typ
netstat -n -abij de opdrachtprompt.De
-nswitch geeft netstat de opdracht om het adres en het poortnummer van actieve TCP-verbindingen numeriek weer te geven. De-aswitch geeft netstat opdracht om de TCP- en UDP-poorten weer te geven waarop de computer luistert.