Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os sistemas de Firewall ajudam a impedir o acesso não autorizado aos recursos do computador. Se um firewall estiver ativado mas não corretamente configurado, as tentativas de conexão ao SQL Server poderão ser bloqueadas.
Para acessar uma instância do SQL Server por meio de um firewall, você deve configurar o firewall no computador que está executando o SQL Server para permitir o acesso. O firewall é um componente do Microsoft Windows. Você também pode instalar um firewall de outra empresa. Este tópico discute como configurar o firewall do Windows, mas os princípios básicos se aplicam a outros programas de firewall.
Observação
Este tópico fornece uma visão geral da configuração do firewall e resume as informações de interesse para um administrador do SQL Server. Para obter mais informações sobre o firewall e informações de firewall autoritativas, consulte a documentação do firewall, como o Firewall do Windows com Segurança Avançada e IPsec.
Os usuários familiarizados com o item Firewall do Windows no Painel de Controle e com o snap-in do Console de Gerenciamento da Microsoft (MMC) de Segurança Avançada e que sabem quais configurações de firewall desejam configurar podem acessar diretamente os tópicos da lista a seguir:
Configurar um Firewall do Windows para acesso ao Mecanismo de Banco de Dados
Configurar o Firewall do Windows para permitir o acesso ao Analysis Services
Informações básicas do firewall
Os firewalls funcionam inspecionando pacotes de entrada e comparando-os com um conjunto de regras. Se as regras permitirem o pacote, o firewall passará o pacote para o protocolo TCP/IP para processamento adicional. Se as regras não permitirem o pacote, o firewall descartará o pacote e, se o registro em log estiver habilitado, criará uma entrada no arquivo de log do firewall.
A lista de tráfego permitido é preenchida de uma das seguintes maneiras:
Quando o computador que tem o firewall habilitado inicia a comunicação, o firewall cria uma entrada na lista para que a resposta seja permitida. A resposta de entrada é considerada tráfego solicitado e você não precisa configurar isso.
Um administrador configura exceções para o firewall. Isso permite o acesso a programas especificados em execução em seu computador ou acesso a portas de conexão especificadas em seu computador. Nesse caso, o computador aceita tráfego de entrada não solicitado quando funciona como servidor, ouvinte ou item par. Esse é o tipo de configuração que deve ser concluída para se conectar ao SQL Server.
Escolher a estratégia de firewall é uma tarefa mais complexa do que simplesmente decidir se uma dada porta deve ficar aberta ou fechada. Ao criar uma estratégia de firewall para sua empresa, considere todas as regras e opções de configuração disponíveis para você. Este tópico não analisa todas as opções de firewall possíveis. Recomendamos que você examine os seguintes documentos:
Guia de Introdução ao Firewall do Windows com Segurança Avançada
Guia de Design de Segurança Avançada do Firewall do Windows
Introdução ao isolamento de servidor e domínio
Configurações de firewall padrão
A primeira etapa do planejamento da configuração do firewall é determinar o status atual do firewall do sistema operacional. Se o sistema operacional tiver sido atualizado de uma versão anterior, as configurações de firewall anteriores poderão ter sido preservadas. Além disso, as configurações de firewall podem ter sido alteradas por outro administrador ou por uma Política de Grupo em seu domínio.
Observação
Ativar o firewall afetará outros programas que acessam esse computador, como compartilhamento de arquivos e impressão e conexões de área de trabalho remota. Os administradores devem considerar todos os aplicativos que estão em execução no computador antes de ajustar as configurações do firewall.
Programas para configurar o Firewall
Há três maneiras de definir as configurações do Firewall do Windows.
Item do Firewall do Windows no Painel de Controle
O item firewall do Windows pode ser aberto no Painel de Controle.
Importante
As alterações feitas no item firewall do Windows no Painel de Controle afetam apenas o perfil atual. Dispositivos móveis, por exemplo, um laptop, não devem usar o item firewall do Windows no Painel de Controle, pois o perfil pode mudar quando ele está conectado em uma configuração diferente. Em seguida, o perfil configurado anteriormente não estará em vigor. Para obter mais informações sobre perfis, consulte o Guia de Introdução ao Firewall do Windows com Segurança Avançada.
O item firewall do Windows no Painel de Controle permite que você configure opções básicas. Estes incluem o seguinte:
Ativar ou desativar o item do Firewall do Windows no Painel de Controle
Habilitar e desabilitar regras
Concedendo exceções para portas e programas
Definindo algumas restrições de escopo
O item firewall do Windows no Painel de Controle é mais apropriado para usuários que não têm experiência na configuração de firewall e que estão configurando opções básicas de firewall para computadores que não são móveis. Você também pode abrir o item Firewall do Windows no Painel de Controle com o comando
runusando o seguinte procedimento:Para abrir o item do Firewall do Windows
No menu Iniciar , clique em Executar e, em seguida, insira
firewall.cpl.Clique em OK.
Console de Gerenciamento da Microsoft (MMC)
O snap-in do MMC Firewall do Windows com Segurança Avançada permite definir configurações de firewall mais avançadas. Este snap-in apresenta a maioria das opções de firewall de um jeito fácil de usar, além de todos os perfis de firewall. Para obter mais informações, consulte Como usar o Firewall do Windows com Snap-in de Segurança Avançada mais adiante neste tópico.
netsh
A ferramenta netsh.exe pode ser usada por um administrador para configurar e monitorar computadores baseados no Windows em um prompt de comando ou usando um arquivo em lote**.** Usando a ferramenta netsh , você pode direcionar os comandos de contexto inseridos para o auxiliar apropriado e, em seguida, executar o comando. Um auxiliar é um arquivo de Biblioteca de Link Dinâmico (.dll) que estende a funcionalidade da ferramenta netsh fornecendo configuração, monitoramento e suporte para um ou mais serviços, utilitários ou protocolos. Todos os sistemas operacionais que dão suporte ao SQL Server têm um auxiliar de firewall. O Windows Server 2008 também tem um auxiliar de firewall avançado chamado advfirewall. Os detalhes do uso do netsh não são discutidos neste tópico. No entanto, muitas das opções de configuração descritas podem ser configuradas usando netsh. Por exemplo, execute o seguinte script em um prompt de comando para abrir a porta TCP 1433:
netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENTUm exemplo semelhante usando o auxiliar do Firewall do Windows para Segurança Avançada:
netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAINPara obter mais informações sobre o netsh, consulte os seguintes links:
Portas usadas pelo SQL Server
As tabelas a seguir podem ajudar a identificar as portas que são usadas pelo SQL Server.
Portas usadas pelo mecanismo de banco de dados
A tabela a seguir lista as portas que são mais usadas pelo Mecanismo de Banco de Dados.
| Cenário | Porto | Comentários |
|---|---|---|
| Instância padrão do SQL Server em execução no TCP | Porta TCP 1433 | Essa é a porta mais comum permitida por meio do firewall. Ela se aplica a conexões de rotina com a instalação padrão do Mecanismo de Banco de Dadosou com uma instância nomeada, que é a única em execução no computador. (Instâncias nomeadas têm considerações especiais. Consulte portas dinâmicas mais adiante neste tópico.) |
| Instâncias nomeadas do SQL Server na configuração padrão | A porta TCP é uma porta dinâmica determinada no momento em que o Mecanismo de Banco de Dados é iniciado. | Consulte a discussão abaixo na seção Portas Dinâmicas. A porta UDP 1434 pode ser necessária para o Serviço de Navegador do SQL Server quando você estiver usando instâncias nomeadas. |
| Instâncias nomeadas do SQL Server quando configuradas para utilizar uma porta fixa | O número de porta configurado pelo administrador. | Consulte a discussão abaixo na seção Portas Dinâmicas. |
| Conexão de Administrador Dedicada | Porta TCP 1434 para a instância padrão. Outras portas são usadas para instâncias nomeadas. Verifique o número da porta no log de erros. | Por padrão, as conexões remotas com o DAC (Conexão de Administrador Dedicado) não estão habilitadas. Para habilitar a DAC remota, use a faceta Configuração da Área da Superfície. Para obter mais informações, consulte Surface Area Configuration. |
| Serviço Navegador do SQL Server | Porta UDP 1434 | O serviço SQL Server Browser escuta conexões de entrada para uma instância nomeada e fornece ao cliente o número da porta TCP que corresponde a essa instância nomeada. Normalmente o serviço Navegador do SQL Server é iniciado sempre que são usadas instâncias nomeadas do Mecanismo de Banco de Dados . O serviço SQL Server Browser não precisará ser iniciado se o cliente estiver configurado para se conectar à porta específica da instância nomeada. |
| Instância do SQL Server em execução em um ponto de extremidade HTTP. | Pode ser especificada quando um ponto de extremidade HTTP é criado. O padrão é a porta TCP 80 para tráfego de CLEAR_PORT e 443 para SSL_PORT tráfego. | Usada para uma conexão HTTP por meio de uma URL. |
| Instância padrão do SQL Server em execução em um endpoint HTTPS. | Porta TCP 443 | Usada para uma conexão HTTPS por meio de uma URL. HTTPS é uma conexão HTTP que usa ssl (camada de soquetes seguros). |
| Corretor de Serviço | Porta TCP 4022. Para verificar a porta usada, execute a seguinte consulta:SELECT name, protocol_desc, port, state_descFROM sys.tcp_endpointsWHERE type_desc = 'SERVICE_BROKER' |
Não há uma porta padrão para o SQL ServerService Broker, mas essa é a configuração convencional usada nos exemplos do Books Online. |
| Espelhamento de Banco de Dados | Porta escolhida pelo administrador. Para determinar a porta, execute a seguinte consulta:SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpointsWHERE type_desc = 'DATABASE_MIRRORING' |
Não há nenhuma porta padrão para espelhamento de banco de dados, no entanto, os exemplos do Books Online usam a porta TCP 7022. É muito importante evitar interromper um endpoint de espelhamento em uso, especialmente com failover automático em modo de alta segurança. Sua configuração de firewall deve evitar dividir o quorum. Para obter mais informações, confira Especificar um endereço de rede do servidor (espelhamento de banco de dados). |
| Replicação | As conexões de replicação com o SQL Server usam as portas típicas do Mecanismo de Banco de Dados regular (porta TCP 1433 para a instância padrão etc.) A sincronização da Web e o acesso FTP/UNC para o instantâneo de replicação exigem que portas adicionais sejam abertas no firewall. Para transferir o esquema e os dados iniciais de um local para outro, a replicação pode usar o FTP (porta TCP 21) ou sincronizar via HTTP (porta TCP 80) ou Compartilhamento de Arquivos. O compartilhamento de arquivos usa a porta UDP 137 e 138 e a porta TCP 139 se ela estiver usando NetBIOS. O compartilhamento de arquivos usa a porta TCP 445. |
Para sincronizar por HTTP, a replicação usa o ponto de extremidade do servidor IIS (cujas portas são configuráveis, mas é a porta 80 por padrão), mas o processo do IIS se conecta ao SQL Server de back-end por meio das portas padrão (1433 para a instância padrão). Durante a sincronização da Web usando FTP, a transferência por FTP ocorre entre o IIS e o publicador do SQL Server , e não entre o assinante e o IIS. |
| Depurador do Transact-SQL | Porta TCP 135 Consulte Considerações especiais sobre a porta 135 A exceção IPsec também pode ser necessária. |
Se estiver usando o Visual Studio, no computador host do Visual Studio, você também deverá adicionar Devenv.exe à lista exceções e abrir a porta TCP 135. Se estiver usando o Management Studio, no computador host do Management Studio, você também deverá adicionar ssms.exe à lista exceções e abrir a porta TCP 135. Para obter mais informações, consulte Configurar o depurador de Transact-SQL. |
Para obter instruções passo a passo para configurar o Firewall do Windows para o Mecanismo de Banco de Dados, consulte Configurar um Firewall do Windows para Acesso ao Mecanismo de Banco de Dados.
Portas dinâmicas
Por padrão, as instâncias nomeadas (incluindo SQL Server Express) usam portas dinâmicas. Isso significa que sempre que o Mecanismo de Banco de Dados é iniciado, ele identifica uma porta disponível e usa esse número de porta. Se a instância nomeada for a única instância do Mecanismo de Banco de Dados instalada, ela provavelmente usará a porta TCP 1433. Se outras instâncias do Mecanismo de Banco de Dados estiverem instaladas, ele provavelmente usará uma porta TCP diferente. Como a porta selecionada pode mudar sempre que o Mecanismo de Banco de Dados é iniciado, é difícil configurar o firewall para habilitar o acesso ao número de porta correto. Portanto, se um firewall for usado, recomendamos reconfigurar o Mecanismo de Banco de Dados para usar o mesmo número de porta todas as vezes. Isso é chamado de porta fixa ou porta estática. Para obter mais informações, confira Configurar um servidor para escuta em uma porta TCP específica (SQL Server Configuration Manager).
Uma alternativa para configurar uma instância nomeada para escutar em uma porta fixa é criar uma exceção no firewall para um programa do SQL Server, como sqlservr.exe (para o Mecanismo de Banco de Dados). Isso pode ser conveniente, mas o número da porta não aparecerá na coluna Porta Local da página Regras de Entrada quando você estiver usando o firewall do Windows com o snap-in MMC de Segurança Avançada. Isso pode dificultar a auditoria de quais portas estão abertas. Outra consideração é que um service pack ou atualização cumulativa pode alterar o caminho para o executável do SQL Server que invalidará a regra de firewall.
Observação
O procedimento a seguir usa o item firewall do Windows no Painel de Controle. O snap-in do MMC do Firewall do Windows com Segurança Avançada pode configurar regras mais complexas. Isso inclui a configuração de uma exceção de serviço que pode ser útil para fornecer defesa detalhadamente. Veja como usar o Firewall do Windows com Snap-in de Segurança Avançada abaixo.
Para adicionar uma exceção de programa ao firewall usando o item firewall do Windows no Painel de Controle.
Na guia Exceções do item Firewall do Windows no Painel de Controle, clique em Adicionar um programa.
Navegue até o local da instância do SQL Server que você deseja permitir por meio do firewall, por exemplo, C:\Arquivos de Programas\Microsoft SQL Server\MSSQL12.<>instance_name\MSSQL\Binn, selecione sqlservr.exee clique em Abrir.
Clique em OK.
Para obter mais informações sobre pontos de extremidade, veja Configurar o Mecanismo de Banco de Dados para escutar em várias portas TCP e Exibições de catálogo de pontos de extremidade (Transact-SQL).
Portas usadas pelo Analysis Services
A tabela a seguir lista as portas que são mais usadas pelo Serviços de análise.
| Característica | Porto | Comentários |
|---|---|---|
| Serviços de análise | Porta TCP 2383 para a instância padrão | A porta padrão para a instância padrão do Serviços de análise. |
| Serviço Navegador do SQL Server | A porta TCP 2382 só é necessária para uma instância nomeada do Serviços de análise | As solicitações de conexão do cliente para uma instância nomeada do Analysis Services que não especificam um número de porta são direcionadas para a porta 2382, a porta na qual o SQL Server Browser escuta. SQL Server redireciona a solicitação à porta usada pela instância nomeada. |
| Serviços de análise configurado para uso por IIS/HTTP (O serviço PivotTable usa HTTP ou HTTPS) |
Porta TCP 80 | Usada para uma conexão HTTP por meio de uma URL. |
| Serviços de análise configurado para uso por IIS/HTTPS (O serviço da Tabela Dinâmica usa HTTP ou HTTPS) |
Porta TCP 443 | Usada para uma conexão HTTPS por meio de uma URL. HTTPS é uma conexão HTTP que usa ssl (camada de soquetes seguros). |
Se os usuários acessarem o Analysis Services por meio do IIS e da Internet, você deverá abrir a porta na qual o IIS está escutando e especificar essa porta na cadeia de conexão do cliente. Nesse caso, nenhuma porta deve ser aberta para acessar diretamente o Serviços de análise. A porta padrão 2389 e a porta 2382 devem ser restritas junto com todas as outras portas que não são necessárias.
Para obter instruções passo a passo para configurar o Firewall do Windows para Analysis Services, consulte Configurar o Firewall do Windows para permitir o acesso ao Analysis Services.
Portas usadas pelo Reporting Services
A tabela a seguir lista as portas que são mais usadas pelo Reporting Services.
| Característica | Porto | Comentários |
|---|---|---|
| Reporting Services Serviços Web | Porta TCP 80 | Usada para uma conexão HTTP com o Reporting Services por meio de uma URL. Recomendamos que você não use a regra pré-configurada World Wide Web Services (HTTP). Para obter mais informações, consulte a seção Interação com outras regras de firewall abaixo. |
| Reporting Services configurado para uso por HTTPS | Porta TCP 443 | Usada para uma conexão HTTPS por meio de uma URL. HTTPS é uma conexão HTTP que usa ssl (camada de soquetes seguros). Recomendamos que você não use a regra pré-configurada HTTPS (Secure World Wide Web Services). Para obter mais informações, consulte a seção Interação com outras regras de firewall abaixo. |
Quando o Reporting Services se conecta a uma instância do Mecanismo de Banco de Dados ou Serviços de análise, você também deve abrir as portas apropriadas para esses serviços. Para obter instruções passo a passo para configurar o Firewall do Windows para Reporting Services, configure um firewall para acesso ao servidor de relatório.
Portas usadas pelo Integration Services
A tabela a seguir lista as portas que são usadas pelo serviço Integration Services .
| Característica | Porto | Comentários |
|---|---|---|
| Microsoft chamadas de procedimento remoto (MS RPC) Usada pelo runtime do Integration Services . |
Porta TCP 135 Consulte Considerações especiais sobre a porta 135 |
O serviço Integration Services usa o DCOM na porta 135. O Service Control Manager usa a porta 135 para executar tarefas como iniciar e parar o serviço do Integration Services e transmitir solicitações de controle para o serviço em execução. O número da porta não pode ser alterado. Essa porta só precisará ser aberta se você estiver se conectando a uma instância remota do serviço Integration Services do Management Studio ou a um aplicativo personalizado. |
Para obter instruções passo a passo para configurar o Firewall do Windows para Integration Services, consulte Configurar um Firewall do Windows para Acesso ao Serviço SSIS.
Portas e serviços adicionais
A tabela a seguir lista portas e serviços dos quais o SQL Server pode depender.
| Cenário | Porto | Comentários |
|---|---|---|
| Instrumentação de Gestão do Windows Para obter mais informações sobre o WMI, consulte WMI Provider for Configuration Management Concepts |
A WMI é executada como parte de um host de serviço compartilhado com portas atribuídas por DCOM. A WMI pode estar usando a porta TCP 135. Consulte Considerações especiais sobre a porta 135 |
SQL Server Configuration Manager usa a WMI para listar e gerenciar serviços. É recomendável usar o grupo de regras pré-configuradas WMI (Instrumentação de Gerenciamento do Windows) . Para obter mais informações, consulte a seção Interação com outras regras de firewall abaixo. |
| Microsoft MS DTC (Coordenador de Transações Distribuídas) | Porta TCP 135 Consulte Considerações especiais sobre a porta 135 |
Se o seu aplicativo usa transações distribuídas, talvez seja necessário configurar o firewall para permitir que o tráfego do Coordenador de Transações Distribuídas da Microsoft (MS DTC) flua entre instâncias separadas do MS DTC e entre o MS DTC e gerenciadores de recursos, como o SQL Server. É recomendável usar o grupo de regras pré-configuradas Coordenador de Transações Distribuídas . Quando um único MS DTC compartilhado é configurado para todo o cluster em um grupo de recursos separado, você deve adicionar sqlservr.exe como uma exceção ao firewall. |
| O botão Procurar do Management Studio usa UDP para se conectar ao Serviço Navegador do SQL Server . Para obter mais informações, veja Serviço SQL Server Browser (Mecanismo de Banco de Dados e SSAS). | Porta UDP 1434 | UDP é um protocolo sem-conexão. O firewall possui uma configuração chamada de propriedade UnicastResponsesToMulticastBroadcastDisabled da Interface INetFwProfile, que controla o comportamento do firewall em relação às respostas unicast a uma solicitação UDP de broadcast (ou multicast). Ele tem dois comportamentos: Se a configuração for TRUE, nenhuma resposta unicast a uma transmissão será permitida. A enumeração de serviços falhará. Se a configuração for FALSE (predefinição), as respostas unicast serão permitidas por 3 segundos. O período de tempo não é configurável. Em uma rede congestionada ou de alta latência, ou em servidores sob carga pesada, a tentativa de enumerar instâncias do SQL Server pode retornar uma lista parcial, o que pode enganar os usuários. |
| Tráfego IPsec | Portas UDP 500 e 4500 | Se a política do domínio exigir que as comunicações de rede sejam feitas por meio de IPsec, você também deverá adicionar as portas UDP 4500 e 500 à lista de exceções. IPsec é uma opção que usa o Assistente para Nova Regra de Entrada no snap-in Firewall do Windows. Para obter mais informações, consulte Como usar o Firewall do Windows com Snap-in de Segurança Avançada abaixo. |
| Usando a Autenticação do Windows com domínios confiáveis | Os firewalls devem ser configurados para permitir solicitações de autenticação. | Para obter mais informações, consulte Como configurar um firewall para domínios e relações de confiança. |
| SQL Server e clustering do Windows | O clustering requer portas adicionais que não estão diretamente relacionadas ao SQL Server. | Para obter mais informações, consulte Enable a network for cluster use. |
| Namespaces URL reservados na API de servidor HTTP (HTTP.SYS) | Provavelmente a porta TCP 80, mas podem ser configurados para outras portas. Para obter informações gerais, consulte Configuring HTTP and HTTPS. | Para obter informações específicas do SQL Server sobre como reservar um ponto de extremidade HTTP.SYS usando HttpCfg.exe, consulte Informações sobre Reservas e Registro de URLs (Gerenciador de Configuração do SSRS). |
Considerações especiais para a porta 135
Quando você usa RPC com TCP/IP ou com UDP/IP como transporte, as portas de entrada são frequentemente atribuídas dinamicamente aos serviços do sistema, conforme necessário; As portas TCP/IP e UDP/IP maiores que a porta 1024 são usadas. Elas são frequentemente chamadas de "portas RPC aleatórias". Nesses casos, os clientes RPC dependem do mapeador de ponto de extremidade RPC para informar quais portas dinâmicas foram atribuídas ao servidor. Para alguns serviços baseados em RPC, você pode configurar uma porta específica em vez de deixar que a RPC atribua uma dinamicamente. Você também pode restringir o intervalo de portas que o RPC atribui dinamicamente a um pequeno intervalo, independentemente do serviço. Como a porta 135 é usada para muitos serviços, ela é frequentemente atacada por usuários mal-intencionados. Quando abrir a porta 135, considere a possibilidade de restringir o escopo da regra do firewall.
Para obter mais informações sobre a porta 135, consulte as seguintes referências:
Visão geral do serviço e requisitos de porta de rede para o sistema Windows Server
Como configurar a alocação de porta dinâmica da RPC para funcionar com os firewalls
Interação com outras regras de firewall
O Firewall do Windows usa regras e grupos de regras para estabelecer sua configuração. Cada regra ou grupo de regras geralmente está associado a um programa ou serviço específico, e esse programa ou serviço pode modificar ou excluir essa regra sem o seu conhecimento. Por exemplo, o grupo de regras Serviços da World Wide Web (HTTP) e Serviços Seguros da World Wide Web (HTTPS) está associado ao IIS. A habilitação dessas regras abrirá as portas 80 e 443, e os recursos do SQL Server que dependem das portas 80 e 443 funcionarão se essas regras estiverem habilitadas. Porém, os administradores que configuram o IIS podem modificar ou desabilitar essas regras. Portanto, se você estiver usando a porta 80 ou a porta 443 para o SQL Server, crie sua própria regra ou grupo de regras que mantenha a configuração de porta desejada independentemente das outras regras do IIS.
O snap-in do Windows Firewall com MMC de Segurança Avançada permite qualquer tráfego que corresponda a qualquer regra de permissão aplicável. Portanto, se houver duas regras que se aplicam à porta 80 (com parâmetros diferentes), o tráfego que corresponde a qualquer regra será permitido. Portanto, se uma regra permite o tráfego pela porta 80 da sub-rede local e uma regra permite o tráfego de qualquer endereço, o efeito líquido é que todo o tráfego para a porta 80 é permitido independentemente da origem. Para gerenciar o acesso ao SQL Servercom eficiência, os administradores devem revisar periodicamente todas as regras de firewall habilitadas no servidor.
Visão geral dos perfis de firewall
Os perfis de firewall são discutidos no Guia de Introdução ao Firewall do Windows com Segurança Avançada na seção Firewall de host com reconhecimento de localização de rede. Para resumir, os sistemas operacionais identificam e lembram cada uma das redes às quais se conectam em relação à conectividade, conexões e categoria.
Há três tipos de local de rede no Firewall do Windows com Segurança Avançada:
Domínio. Windows pode autenticar o acesso ao controlador de domínio para o domínio ao qual o computador está conectado.
Público. Além das redes de domínio, todas as redes são inicialmente categorizadas como públicas. Redes que representam conexões diretas à Internet ou estão em locais públicos, como aeroportos e cafés, devem ser configuradas como públicas.
Privado. Uma rede identificada por um usuário ou aplicativo como privada. Somente redes confiáveis devem ser identificadas como redes privadas. Os usuários provavelmente desejarão identificar redes domésticas ou de pequenas empresas como privadas.
O administrador pode criar um perfil para cada tipo de local de rede, com cada perfil contendo políticas de firewall diferentes. Somente um perfil é aplicado a qualquer momento. A ordem de perfis é aplicada da seguinte maneira:
Se todas as interfaces forem autenticadas no controlador de domínio para o domínio do qual o computador é membro, o perfil de domínio será aplicado.
Se todas as interfaces forem autenticadas no controlador de domínio ou estiverem conectadas a redes classificadas como locais de rede privada, o perfil privado será aplicado.
Caso contrário, será aplicado o perfil público.
Use o snap-in Firewall do Windows com Segurança Avançada do MMC para exibir e configurar todos os perfis do firewall. O item Firewall do Windows no Painel de Controle configura apenas o perfil atual.
Configurações adicionais de firewall usando o Item de Firewall do Windows no Painel de Controle
As exceções que você adiciona ao firewall podem restringir a abertura da porta a conexões de entrada de computadores específicos ou da sub-rede local. Essa restrição do escopo da abertura da porta pode reduzir o quanto seu computador é exposto a usuários mal-intencionados e é recomendável.
Observação
Se você usar o item Firewall do Windows no Painel de Controle configurará apenas o perfil do firewall.
Para alterar o escopo de uma exceção de firewall usando o item firewall do Windows no Painel de Controle
No item Firewall do Windows no Painel de Controle, selecione um programa ou porta na guia Exceções e clique em Propriedades ou Editar.
Na caixa de diálogo Editar um Programa ou Editar uma Porta , clique em Alterar Escopo.
Escolha uma das seguintes opções:
Qualquer computador (incluindo aqueles na Internet)
Não recomendado. Isso permitirá que qualquer computador que possa endereçar seu computador se conecte ao programa ou porta especificado. Esta configuração pode ser necessária para permitir a apresentação de informações a usuários anônimos na Internet, mas aumenta sua exposição a usuários mal-intencionados. Sua exposição poderá aumentar ainda mais se você habilitar essa configuração e também permitir a passagem NAT (Conversão de Endereços de Rede), como a opção Permitir passagem de borda.
Somente minha rede (sub-rede)
Essa é uma configuração mais segura do que qualquer computador. Somente computadores da sub-rede local da sua rede podem se conectar ao programa ou à porta.
Lista personalizada:
Somente os computadores que têm os endereços IP listados podem se conectar. Essa pode ser uma configuração mais segura do que somente Minha rede (sub-rede), no entanto, computadores cliente que usam DHCP podem ocasionalmente alterar seu endereço IP. Em seguida, o computador pretendido não poderá se conectar. Outro computador, que você não tinha a intenção de autorizar, pode aceitar o endereço IP listado e, em seguida, ser capaz de se conectar. A opção de lista personalizada pode ser apropriada para listar outros servidores configurados para usar um endereço IP fixo; no entanto, os endereços IP podem ser falsificados por um intruso. Restringir regras de firewall é um procedimento apenas tão seguro quanto sua infraestrutura de rede.
Usando o Firewall do Windows com Snap-in de Segurança Avançada
Configurações de firewall avançadas adicionais podem ser configuradas usando o Firewall do Windows com o snap-in MMC de Segurança Avançada. O snap-in inclui um assistente de regra e expõe configurações adicionais que não estão disponíveis no item firewall do Windows no Painel de Controle. Essas configurações incluem o seguinte:
Configurações de criptografia
Restrições de serviços
Restrição de conexões de computadores por nome
Restrição de conexões para usuários ou perfis específicos
Percurso de borda que permita que o tráfego ignore os roteadores de conversão de endereço de rede (NAT)
Configuração de regras de saída
Configuração de regras de segurança
Exigência de IPsec para conexões de entrada
Para criar uma nova regra de firewall usando o assistente Nova Regra
No menu Iniciar, clique em Executar, digite WF.msc e clique em OK.
No Firewall do Windows com Segurança Avançada, no painel esquerdo, clique com o botão direito do mouse em Regras de Entrada e clique em Nova Regra.
Complete o Assistente de Nova Regra de Entrada usando as configurações desejadas.
Solução de problemas de configurações de firewall
As seguintes ferramentas e técnicas podem ser úteis para solucionar problemas de firewall:
O status efetivo da porta é a combinação de todas as regras relacionadas a ela. Ao tentar bloquear o acesso por meio de uma porta, pode ser útil examinar todas as regras que citam o número da porta. Para fazer isso, use o Firewall do Windows com o snap-in MMC de Segurança Avançada e classifique as regras de entrada e saída por número de porta.
Revise as portas que estão ativas no computador em que o SQL Server está em execução. Esse processo de revisão inclui verificar quais portas TCP/IP estão escutando e também verificar o status das portas.
Para verificar quais portas estão escutando, use o utilitário de linha de comando netstat . Além de exibir conexões TCP ativas, o utilitário netstat também exibe uma variedade de estatísticas e informações de IP.
Para listar quais portas TCP/IP estão escutando
Abra a janela do prompt de comando.
No prompt de comando, digite
netstat -n -a.O comutador -n instrui o netstat a exibir numericamente o endereço e o número da porta de conexões TCP ativas. O comutador -a instrui netstat a exibir as portas TCP e UDP nas quais o computador está escutando.
O utilitário PortQry pode ser usado para relatar o status das portas TCP/IP como escutando, não escutando ou filtrado. (Com um status filtrado, a porta pode ou não estar escutando; esse status indica que o utilitário não recebeu uma resposta da porta.) O utilitário PortQry está disponível para download no Centro de Download da Microsoft.
Consulte Também
Visão geral do serviço e requisitos de porta de rede para o sistema Windows Server