Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Aplica-se a:
SQL Server para Windows
Os sistemas de firewall ajudam a impedir o acesso não autorizado aos recursos do computador. Se um firewall estiver ativado, mas não configurado corretamente, as tentativas de conexão com o SQL Server poderão ser bloqueadas.
Para acessar uma instância do SQL Server por meio de um firewall, você deve configurar o firewall no computador que está executando o SQL Server. O firewall é um componente do Microsoft Windows. Você também pode instalar um firewall de outro fornecedor. Este artigo descreve como configurar o Firewall do Windows, mas os princípios básicos se aplicam a outros programas de firewall.
Observação
Este artigo fornece uma visão geral da configuração do firewall e resume informações de interesse para um administrador do SQL Server. Para obter mais informações sobre o firewall e informações autoritativas sobre o firewall, consulte a documentação do firewall, como o guia de implantação de segurança do Firewall do Windows.
Os utilizadores familiarizados com a gestão do Firewall do Windows , e sabem quais configurações do firewall querem ajustar, podem passar diretamente para os artigos mais avançados.
- Configurar o Firewall do Windows para acesso ao Mecanismo de Banco de Dados
- Configurar o Firewall do Windows para permitir o acesso ao Analysis Services
- Configurar um firewall para acesso ao servidor de relatório
Informações básicas sobre firewall
Os firewalls funcionam inspecionando os pacotes recebidos e comparando-os com o seguinte conjunto de regras:
O pacote atende aos padrões ditados pelas regras e, em seguida, o firewall passa o pacote para o protocolo TCP/IP para mais processamento.
O pacote não atende aos padrões especificados pelas regras.
Em seguida, o firewall descarta o pacote.
Se o registo estiver ativado, é criada uma entrada no ficheiro de registo da firewall.
A lista de tráfego permitido é preenchida de uma das seguintes maneiras:
automaticamente: Quando um computador com um firewall ativado inicia a comunicação, o firewall cria uma entrada na lista para que a resposta seja permitida. A resposta é considerada tráfego solicitado e não há nada que precise ser configurado.
Manualmente: Um administrador configura exceções ao firewall. Ele permite o acesso a programas ou portas especificadas no seu computador. Nesse caso, o computador aceita tráfego de entrada não solicitado quando atua como servidor, ouvinte ou par. A configuração deve ser concluída para se conectar ao SQL Server.
Escolher uma estratégia de firewall é mais complexo do que apenas decidir se uma determinada porta deve ser aberta ou fechada. Ao projetar uma estratégia de firewall para sua empresa, certifique-se de considerar todas as regras e opções de configuração disponíveis para você. Este artigo não analisa todas as opções de firewall possíveis. Recomendamos que reveja os seguintes documentos:
- Guia de Implantação do Firewall do Windows
- Guia de Design do Firewall do Windows
- Introdução ao Isolamento de Servidor e Domínio
Configurações padrão do firewall
A primeira etapa no planejamento da configuração do firewall é determinar o status atual do firewall para seu sistema operacional. Se o sistema operacional foi atualizado de uma versão anterior, as configurações de firewall anteriores podem ser preservadas. A Diretiva de Grupo ou o Administrador pode alterar as configurações de firewall no domínio.
Observação
Ativar o firewall afeta outros programas que acessam este computador, como compartilhamento de arquivos e impressão e conexões de área de trabalho remota. Os administradores devem considerar todos os aplicativos em execução no computador antes de ajustar as configurações do firewall.
Programas para configurar o firewall
Configure as definições do Firewall do Windows com o Console Microsoft de Gerenciamento , o PowerShell ou o netsh .
Console de Gerenciamento Microsoft (MMC)
O snap-in MMC do Firewall do Windows com Segurança Avançada permite definir configurações de firewall mais avançadas. Este snap-in apresenta a maioria das opções de firewall de uma forma fácil de usar e apresenta todos os perfis de firewall. Para obter mais informações, consulte Usando o snap-in do Firewall do Windows com Segurança Avançada mais adiante neste artigo.
PowerShell
Consulte o exemplo a seguir para abrir a porta TCP 1433 e a porta UDP 1434 para a instância padrão do SQL Server e o Serviço de Navegador do SQL Server:
New-NetFirewallRule -DisplayName "SQLServer default instance" -Direction Inbound -LocalPort 1433 -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "SQLServer Browser service" -Direction Inbound -LocalPort 1434 -Protocol UDP -Action Allow
Para obter mais exemplos, consulte New-NetFirewallRule.
Linha de comando com netsh
O netsh.exe é uma ferramenta do administrador para configurar e monitorar computadores baseados no Windows em um prompt de comando ou usando um arquivo em lotes. Usando a ferramenta netsh, você pode direcionar os comandos de contexto inseridos para o auxiliar apropriado, e o auxiliar faz o comando. Um auxiliar é um arquivo de biblioteca de vínculo dinâmico (.dll) que estende a funcionalidade. O auxiliar fornece: configuração, monitoramento e suporte para um ou mais serviços, utilitários ou protocolos para a ferramenta netsh.
Você pode usar o assistente do Firewall do Windows para Segurança Avançada, chamado advfirewall. Muitas das opções de configuração descritas podem ser configuradas a partir da linha de comando usando netsh advfirewall. Por exemplo, execute o seguinte script em um prompt de comando para abrir a porta TCP 1433:
netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN
Para obter mais informações sobre netsh, consulte os seguintes links:
- Sintaxe, contextos e formatação do comando Netsh
- Use o firewall netsh advfirewall em vez do firewall netsh para controlar o comportamento do Firewall do Windows
Para Linux
No Linux, você também precisa abrir as portas associadas aos serviços aos quais você precisa acessar. Diferentes distribuições de Linux e diferentes firewalls têm seus próprios procedimentos. Para dois exemplos, consulte:
- Guia de início rápido: instale o SQL Server e crie um banco de dados no Red Hat
- Guia de início rápido: instale o SQL Server e crie um banco de dados no SUSE Linux Enterprise Server
Portas usadas pelo SQL Server
As tabelas a seguir podem ajudá-lo a identificar as portas que estão sendo usadas pelo SQL Server.
Portas usadas pelo Mecanismo de Banco de Dados
Por padrão, as portas típicas usadas pelo SQL Server e pelos serviços associados do mecanismo de banco de dados são: TCP 1433, 4022, 135, 1434, UDP 1434. A tabela a seguir explica essas portas com mais detalhes. Uma instância nomeada usa portas dinâmicas.
A tabela a seguir lista as portas usadas com freqüência pelo Mecanismo de Banco de Dados.
| Cenário | Porto | Observações |
|---|---|---|
| Instância padrão em execução sobre TCP | Porta TCP 1433 | A porta mais comum permitida através do firewall. Ele se aplica a conexões de rotina para a instalação padrão do Mecanismo de Banco de Dados ou uma instância nomeada que é a única instância em execução no computador. (As instâncias nomeadas têm considerações especiais. Consulte Portas dinâmicas mais adiante neste artigo.) |
| Instâncias nomeadas com porta padrão | A porta TCP é uma porta dinâmica determinada no momento em que o Mecanismo de Banco de Dados é iniciado. | Consulte a seguinte discussão na seção Portas dinâmicas. A porta UDP 1434 pode ser necessária para o Serviço de Navegador do SQL Server quando você estiver usando instâncias nomeadas. |
| Instâncias nomeadas com porta fixa | O número da porta configurado pelo administrador. | Consulte a seguinte discussão na seção Portas dinâmicas. |
| Conexão de administrador dedicada | Porta TCP 1434 para a instância padrão. Outras portas são usadas para instâncias nomeadas. Verifique o log de erros quanto ao número da porta. | Por padrão, as conexões remotas com a Conexão de Administrador Dedicado (DAC) não estão habilitadas. Para habilitar o DAC remoto, use a faceta Configuração da Área de Superfície. Para obter mais informações, consulte Configuração da área de superfície. |
| Serviço Navegador do SQL Server | Porta UDP 1434 | O serviço de navegador do SQL Server escuta conexões de entrada para uma instância nomeada. O serviço fornece ao cliente o número da porta TCP que corresponde a essa instância nomeada. Normalmente, o serviço Navegador do SQL Server é iniciado sempre que instâncias nomeadas do Mecanismo de Banco de Dados são usadas. O serviço Navegador do SQL Server não será necessário se o cliente estiver configurado para se conectar à porta específica da instância nomeada. |
| Instância com endpoint HTTP. | Pode ser especificado quando um ponto de extremidade HTTP é criado. O padrão é a porta TCP 80 para tráfego CLEAR_PORT e 443 para tráfego SSL_PORT. |
Usado para uma conexão HTTP através de uma URL. |
| Instância padrão com ponto de extremidade HTTPS | Porta TCP 443 | Usado para uma conexão HTTPS através de uma URL. HTTPS é uma conexão HTTP que usa Transport Layer Security (TLS), anteriormente conhecida como Secure Sockets Layer (SSL). |
| Agente de Serviços | Porta TCP 4022. Para verificar a porta usada, execute a seguinte consulta:SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'SERVICE_BROKER' |
Não há uma porta padrão para o SQL Server Service Broker, os exemplos dos Manuais Online usam a configuração convencional. |
| Espelhamento de banco de dados | O administrador escolheu a porta. Para determinar a porta, execute a seguinte consulta:SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'DATABASE_MIRRORING' |
Não há uma porta padrão para espelhamento de banco de dados, no entanto, os exemplos dos Manuais Online usam a porta TCP 5022 ou 7022. É importante evitar interromper um ponto de extremidade de espelhamento em funcionamento, especialmente no modo de alta segurança com mudança automática. A configuração do firewall deve evitar a quebra de quórum. Para obter mais informações, consulte Especificar um endereço de rede do servidor (espelhamento de banco de dados). |
| Replicação | As conexões de replicação com o SQL Server usam as típicas portas regulares do Mecanismo de Banco de Dados (a porta TCP 1433 é a instância padrão) A sincronização da Web e o acesso FTP/UNC para snapshot de replicação exigem que mais portas sejam abertas no firewall. Para transferir os dados iniciais e o esquema de um local para outro, a replicação pode usar FTP (porta TCP 21) ou sincronizar por HTTP (porta TCP 80) ou compartilhamento de arquivos. O compartilhamento de arquivos usa as portas UDP 137 e 138 e a porta TCP 139 se usado junto com o NetBIOS. A Partilha de Ficheiros utiliza a porta TCP 445. |
Para sincronização por HTTP, a replicação usa o ponto de extremidade do IIS (configurável; porta 80 padrão), mas o processo do IIS se conecta ao SQL Server de back-end por meio das portas padrão (1433 para a instância padrão. Durante a sincronização da Web usando FTP, a transferência FTP é entre o IIS e o editor do SQL Server, não entre o assinante e o IIS. |
| Transact-SQL depurador | Porta TCP 135 Consulte Considerações especiais para a porta 135 A exceção IPsec também pode ser necessária. |
Se estiver usando o Visual Studio, no computador host do Visual Studio, você também deverá adicionar devenv.exe à lista de exceções e abrir a porta TCP 135.Se estiver usando o Management Studio, no computador host do Management Studio, você também deverá adicionar ssms.exe à lista Exceções e abrir a porta TCP 135. Para obter mais informações, consulte Configurar regras de firewall antes de executar o depurador Transact-SQL. |
Para obter instruções passo a passo sobre como configurar o Firewall do Windows para o Mecanismo de Banco de Dados, consulte Configurar o Firewall do Windows para acesso ao Mecanismo de Banco de Dados.
Portas dinâmicas
Por padrão, instâncias nomeadas (incluindo o SQL Server Express) usam portas dinâmicas. Sempre que o Mecanismo de Banco de Dados é iniciado, ele identifica uma porta disponível e usa esse número de porta. Se a instância nomeada for a única instância do Mecanismo de Banco de Dados instalada, ela provavelmente usará a porta TCP 1433. Se outras instâncias do Mecanismo de Banco de Dados estiverem instaladas, ele provavelmente usará uma porta TCP diferente. Como a porta selecionada pode mudar sempre que o Mecanismo de Banco de Dados é iniciado, é difícil configurar o firewall para habilitar o acesso ao número de porta correto. Se um firewall for usado, recomendamos reconfigurar o Mecanismo de Banco de Dados para usar sempre o mesmo número de porta. Recomenda-se uma porta fixa ou uma porta estática. Para mais informações, consulte Configurar o SQL Server para escutar numa porta TCP específica.
Uma alternativa à configuração de uma instância nomeada para escutar em uma porta fixa é criar uma exceção no firewall para um programa do SQL Server, como sqlservr.exe (para o Mecanismo de Banco de Dados). O número da porta não aparecerá na coluna Porta Local da página Regras de Entrada quando estiveres a usar o snap-in MMC do Firewall do Windows com Segurança Avançada. Pode ser difícil auditar quais portas estão abertas. Outra consideração é que um service pack ou atualização cumulativa pode alterar o caminho para o arquivo executável do SQL Server e invalidar a regra de firewall.
Para adicionar uma exceção para o SQL Server usando o Firewall do Windows com Segurança Avançada, consulte o snap-in "Usar o Firewall do Windows com Segurança Avançada" mais adiante neste artigo.
Portas usadas pelo Analysis Services
Por padrão, as portas típicas usadas pelo SQL Server Analysis Services e serviços associados são: TCP 2382, 2383, 80, 443. A tabela a seguir explica essas portas com mais detalhes.
A tabela a seguir lista as portas usadas com freqüência pelo Analysis Services.
| Funcionalidade | Porto | Observações |
|---|---|---|
| Analysis Services | Porta TCP 2383 para a instância padrão | A porta padrão para a instância predefinida do Analysis Services. |
| Serviço Navegador do SQL Server | Porta TCP 2382 necessária apenas para uma instância nomeada do Analysis Services | As solicitações de conexão de cliente para uma instância nomeada do Analysis Services que não especificam um número de porta são direcionadas para a porta 2382, a porta na qual o Navegador do SQL Server escuta. Em seguida, o Navegador do SQL Server redireciona a solicitação para a porta usada pela instância nomeada. |
| Analysis Services configurado para uso através de IIS/HTTP (O PivotTable® Service usa HTTP ou HTTPS) |
Porta TCP 80 | Usado para uma conexão HTTP através de uma URL. |
| Analysis Services configurado para uso por meio de IIS/HTTPS (O PivotTable® Service usa HTTP ou HTTPS) |
Porta TCP 443 | Usado para uma conexão HTTPS através de uma URL. HTTPS é uma conexão HTTP que usa TLS. |
Se os usuários acessarem o Analysis Services por meio do IIS e da Internet, você deverá abrir a porta na qual o IIS está escutando. Em seguida, especifique a porta na cadeia de conexão do cliente. Nesse caso, nenhuma porta precisa estar aberta para acesso direto ao Analysis Services. A porta padrão 2389 e a porta 2382 devem ser restritas juntamente com todas as outras portas que não são necessárias.
Para obter instruções passo a passo para configurar o Firewall do Windows para Analysis Services, consulte Configurar o Firewall do Windows para permitir acesso ao Analysis Services.
Portas utilizadas pelo Reporting Services
Por padrão, as portas típicas usadas pelo SQL Server Reporting Services e serviços associados são: TCP 80, 443. A tabela a seguir explica essas portas com mais detalhes.
A tabela a seguir lista as portas usadas com freqüência pelo Reporting Services.
| Funcionalidade | Porto | Observações |
|---|---|---|
| Serviços de Relatórios de Web | Porta TCP 80 | Usado para uma conexão HTTP com o Reporting Services por meio de uma URL. Recomendamos que você não use a regra pré-configurada Serviços da World Wide Web (HTTP). Para obter mais informações, consulte a seção Interação com outras regras de firewall mais adiante neste artigo. |
| Serviços de Relatórios configurados para uso com o HTTPS | Porta TCP 443 | Usado para uma conexão HTTPS através de uma URL. HTTPS é uma conexão HTTP que usa TLS. Recomendamos que você não use a regra pré-configurada Secure World Wide Web Services (HTTPS). Para obter mais informações, consulte a seção Interação com outras regras de firewall mais adiante neste artigo. |
Quando o Reporting Services se conecta a uma instância do Mecanismo de Banco de Dados ou do Analysis Services, você também deve abrir as portas apropriadas para esses serviços. Para obter instruções passo a passo sobre como configurar o Firewall do Windows para Reporting Services, Configurar um firewall para acesso ao servidor de relatório.
Portas usadas pelo Integration Services
A tabela a seguir lista as portas usadas pelo serviço Integration Services.
| Funcionalidade | Porto | Observações |
|---|---|---|
| Chamadas de procedimento remoto da Microsoft (MS RPC) Usado pelo ambiente de execução do Integration Services. |
Porta TCP 135 Consulte Considerações especiais para a porta 135 |
O serviço Integration Services usa DCOM na porta 135. O Gerenciador de Controle de Serviço usa a porta 135 para executar tarefas como iniciar e parar o serviço Integration Services e transmitir solicitações de controle para o serviço em execução. O número da porta não pode ser alterado. Essa porta só precisa estar aberta se você estiver se conectando a uma instância remota do serviço Integration Services a partir do Management Studio ou de um aplicativo personalizado. |
Para obter instruções passo a passo para configurar o Windows Firewall para os Serviços de Integração, consulte Serviço Serviços de Integração (Serviço SSIS).
Outros portos e serviços
A tabela a seguir lista portas e serviços dos quais o SQL Server pode depender.
| Cenário | Porto | Observações |
|---|---|---|
| Windows Management Instrumentation Para obter mais informações sobre WMI (Instrumentação de Gerenciamento do Windows), consulte Provedor WMI para gerenciamento de configuração |
O WMI é executado como parte de um host de serviço compartilhado com portas atribuídas por meio do DCOM. O WMI pode estar usando a porta TCP 135. Consulte Considerações especiais para a porta 135 |
O SQL Server Configuration Manager usa WMI para listar e gerenciar serviços. Recomendamos que você use o grupo de regras pré-configurado WMI (Instrumentação de Gerenciamento do Windows). Para obter mais informações, consulte a seção Interação com outras regras de firewall mais adiante neste artigo. |
| Coordenador de Transações Distribuídas da Microsoft (MS DTC) | Porta TCP 135 Consulte Considerações especiais para a porta 135 |
Se seu aplicativo usa transações distribuídas, talvez seja necessário configurar o firewall para permitir que o tráfego do Microsoft Distributed Transaction Coordinator (MS DTC) flua entre instâncias separadas do MS DTC e entre o MS DTC e os gerenciadores de recursos, como o SQL Server. Recomendamos que você use o grupo de regras pré-configurado Coordenador de Transações Distribuídas. Quando um único MS DTC compartilhado é configurado para todo o cluster em um grupo de recursos separado, você deve adicionásqlservr.exe como uma exceção ao firewall. |
| O botão Procurar no Management Studio usa UDP para se conectar ao Serviço de Navegador do SQL Server. Para obter mais informações, consulte Serviço Navegador do SQL Server (Mecanismo de Banco de Dados e SSAS). | Porta UDP 1434 | UDP é um protocolo sem conexão. O firewall tem uma configuração (propriedade UnicastResponsesToMulticastBroadcastDisabled da interface INetFwProfile) que controla o comportamento do firewall e as respostas unicast a uma solicitação UDP de difusão (ou multicast). Tem dois comportamentos: Se a configuração for TRUE, nenhuma resposta unicast a uma transmissão será permitida. A enumeração de serviços falha.Se a configuração estiver definida para FALSE (padrão), as respostas unicast serão permitidas durante 3 segundos. O período de tempo não é configurável. Em uma rede congestionada ou de alta latência, ou para servidores muito carregados, as tentativas de enumerar instâncias do SQL Server podem retornar uma lista parcial, o que pode enganar os usuários. |
| tráfego IPsec | Porta UDP 500 e porta UDP 4500 | Se a diretiva de domínio exigir que as comunicações de rede sejam feitas por meio de IPsec, você também deverá adicionar a porta UDP 4500 e a porta UDP 500 à lista de exceções. O IPsec é uma opção disponível através do Assistente de Nova Regra de Entrada no snap-in do Firewall do Windows. Para obter mais informações, consulte o snap-in Usar o Firewall do Windows com Segurança Avançada mais adiante neste artigo. |
| Usando a autenticação do Windows com domínios confiáveis | Os firewalls devem ser configurados para permitir solicitações de autenticação. | Para obter mais informações, consulte Como configurar um firewall para domínios e relações de confiança do Ative Directory. |
| SQL Server e Clusterização do Windows | O clustering requer portas extras que não estão diretamente relacionadas ao SQL Server. | Para obter mais informações, consulte Habilitar uma rede para uso de cluster. |
| Namespaces de URL reservados na API do Servidor HTTP (HTTP.SYS) | Provavelmente porta TCP 80, mas pode ser configurado para outras portas. Para obter informações gerais, consulte Configurando HTTP e HTTPS. | Para obter informações específicas do SQL Server sobre como reservar um endpoint HTTP.SYS usando HttpCfg.exe, consulte Sobre reservas e registro de URL (Gerenciador de Configuração do Servidor de Relatórios). |
Considerações especiais para a porta 135
Quando você usa RPC com TCP/IP ou com UDP/IP como transporte, as portas de entrada são atribuídas dinamicamente aos serviços do sistema, conforme necessário. São utilizadas portas TCP/IP e UDP/IP maiores que a porta 1024. As portas são chamadas portas RPC aleatórias. Nesses casos, os clientes RPC dependem do mapeador de pontos de extremidade RPC para informar quais portas dinâmicas foram atribuídas ao servidor. Para alguns serviços baseados em RPC, você pode configurar uma porta específica em vez de permitir que a RPC atribua uma dinamicamente. Você também pode restringir o intervalo de portas que o RPC atribui dinamicamente a um pequeno intervalo, independente do serviço. Como a porta 135 é usada para muitos serviços, ela é frequentemente atacada por usuários mal-intencionados. Ao abrir a porta 135, considere restringir o escopo da regra de firewall.
Para obter mais informações sobre a porta 135, consulte as seguintes referências:
- Visão geral do Serviço e requisitos de porta de rede para o Windows
- Chamada de procedimento remoto (RPC)
- Como configurar a alocação de porta dinâmica RPC para ser usada com firewalls
Interação com outras regras de firewall
O Firewall do Windows usa regras e grupos de regras para estabelecer sua configuração. Cada regra ou grupo de regras está associado a um determinado programa ou serviço, e esse programa ou serviço pode modificar ou excluir essa regra sem o seu conhecimento. Por exemplo, os grupos de regras de Serviços da World Wide Web (HTTP) e de Serviços da World Wide Web (HTTPS) estão associados ao IIS. Habilitar essas regras abre as portas 80 e 443, e os recursos do SQL Server que dependem das portas 80 e 443 funcionam se essas regras estiverem habilitadas. No entanto, os administradores que configuram o IIS podem modificar ou desativar essas regras. Se você estiver usando a porta 80 ou a porta 443 para SQL Server, deverá criar sua própria regra ou grupo de regras que mantenha sua configuração de porta preferida independentemente das outras regras do IIS.
O snap-in MMC Firewall do Windows com Segurança Avançada admite todo o tráfego que corresponda a uma regra de permissão aplicável. Portanto, se houver duas regras que se aplicam à porta 80 (com parâmetros diferentes). É permitido o tráfego que corresponda a qualquer uma das regras. Portanto, se uma regra permite o tráfego pela porta 80 da sub-rede local e uma regra permite o tráfego de qualquer endereço, o efeito líquido é que todo o tráfego para a porta 80 é independente da origem. Para gerenciar efetivamente o acesso ao SQL Server, os administradores devem revisar periodicamente todas as regras de firewall habilitadas no servidor.
Visão geral dos perfis de firewall
Os perfis de firewall são usados pelos sistemas operacionais para identificar e lembrar cada uma das redes por: conectividade, conexões e categoria.
Há três tipos de local de rede no Firewall do Windows com Segurança Avançada:
Domain: O Windows pode autenticar o acesso ao controlador de domínio para o domínio ao qual o computador está associado.
pública : Com exceção das redes de domínio, todas as redes são inicialmente categorizadas como públicas. As redes que representem ligações diretas à Internet ou que se encontrem em locais públicos, como aeroportos e cafés, devem ser tornadas públicas.
Private: uma rede identificada por um usuário ou aplicativo como privada. Apenas as redes fidedignas devem ser identificadas como redes privadas. Os usuários provavelmente querem identificar redes domésticas ou de pequenas empresas como privadas.
O administrador pode criar um perfil para cada tipo de local de rede, com cada perfil contendo diferentes políticas de firewall. Apenas um perfil é aplicado de cada vez. A ordem dos perfis é aplicada da seguinte forma:
O perfil de domínio é aplicado se todas as interfaces forem autenticadas no controlador de domínio do qual o computador é membro.
Se todas as interfaces forem autenticadas no controlador de domínio ou estiverem conectadas a redes classificadas como locais de rede privada, o perfil privado será aplicado.
Caso contrário, aplica-se o perfil público.
Use o snap-in MMC do Firewall do Windows com Segurança Avançada para exibir e configurar todos os perfis de firewall. O item Firewall do Windows no Painel de Controle apenas configura o perfil atual.
Configurações adicionais de firewall usando o item Firewall do Windows no Painel de Controle
O firewall adicionado pode restringir a abertura da porta para conexões de entrada de computadores específicos ou sub-rede local. Limite o escopo da abertura da porta para reduzir o quanto seu computador está exposto a usuários mal-intencionados.
Usar o item do Firewall do Windows no Painel de Controle configura apenas o perfil de firewall atual.
Alterar o escopo de uma exceção de firewall usando o item Firewall do Windows no Painel de Controle
No item Firewall do Windows no Painel de Controle, selecione um programa ou porta na guia Exceções do e selecione Propriedades ou Editar.
Na caixa de diálogo Editar um Programa ou Editar uma Porta, seleccione Alterar Escopo.
Escolha uma das seguintes opções:
Qualquer computador (incluindo computadores na Internet): Não recomendado. Qualquer computador que possa endereçar seu computador para se conectar ao programa ou porta especificado. Essa configuração pode ser necessária para permitir que informações sejam apresentadas a usuários anônimos na Internet, mas aumenta sua exposição a usuários mal-intencionados. A habilitação desta configuração permite a travessia de Network Address Translation (NAT) e, funções como a Edge Traversal, aumentam a exposição.
Minha rede (sub-rede) apenas: Uma configuração mais segura do que Qualquer computador. Somente computadores na sub-rede local da rede podem se conectar ao programa ou à porta.
Lista personalizada: Somente computadores que têm os endereços IP listados podem se conectar. Uma configuração segura pode ser mais segura do que Minha rede (sub-rede) apenas, no entanto, os computadores clientes que usam DHCP podem ocasionalmente alterar seu endereço IP, o que desativa a capacidade de conexão. Outro computador, que você não pretendia autorizar, pode aceitar o endereço IP listado e se conectar a ele. A lista personalizada é apropriada para listar outros servidores configurados para usar um endereço IP fixo.
Os intrusos podem falsificar endereços IP. As regras de firewall restritivas são tão fortes quanto à sua infraestrutura de rede.
Utilize o complemento Firewall do Windows com Segurança Avançada
As configurações avançadas de firewall podem ser definidas usando o snap-in MMC do Firewall do Windows com Segurança Avançada. O snap-in inclui um assistente de regras e configurações que não estão disponíveis no item do Firewall do Windows no Painel de Controle. Essas configurações incluem:
- Configurações de criptografia
- Restrições de serviços
- Restringindo conexões para computadores por nome
- Restringir ligações a utilizadores ou perfis específicos
- Travessia de borda permitindo que o tráfego ignore roteadores NAT (Network Address Translation)
- Configuração de regras de saída
- Configurando regras de segurança
- Exigindo IPsec para conexões de entrada
Criar uma nova regra de firewall usando o assistente Nova regra
- No menu Iniciar, selecione Executar, digite
wf.msce, em seguida, selecione OK. - No Firewall do Windows com Segurança Avançada, no painel esquerdo, clique com o botão direito do rato em Regras de Entradae, em seguida, selecione Nova Regra.
- Conclua o Assistente de Nova Regra de Entrada usando as configurações desejadas.
Adicionar uma exceção de programa para o executável do SQL Server
No menu Iniciar, digite
wf.msc. Pressione Enter ou selecione o resultado da pesquisawf.mscpara abrir o Firewall do Windows Defender com Segurança Avançada.No painel esquerdo, selecione Regras de entrada.
No painel direito, em Ações, selecione Nova regra.... Assistente de Nova Regra de Entrada é aberto.
Em Regra, digite, selecione Programa . Selecione Avançar.
Em Programa , selecione Este caminho do programa. Selecione Procurar para localizar sua instância do SQL Server. O programa é chamado
sqlservr.exe. Normalmente está localizado emC:\Program Files\Microsoft SQL Server\MSSQL<VersionNumber>.<InstanceName>\MSSQL\Binn\sqlservr.exe. Selecione Avançar.Em Ação, selecione Permitir a conexão. Selecione Avançar.
No Perfil, inclua os três perfis. Selecione Avançar.
Em Nome, digite um nome para a regra. Selecione Concluir.
Para obter mais informações sobre pontos de extremidade, consulte:
Solucionar problemas de configurações de firewall
As seguintes ferramentas e técnicas podem ser úteis na solução de problemas de firewall:
O status de porto efetivo é a união de todas as regras relacionadas ao porto. Pode ser útil rever todas as regras que citam o número da porta, ao tentar bloquear o acesso a uma porta. Analise as regras com o snap-in MMC do Firewall do Windows com Segurança Avançada e classifique as regras de entrada e saída por número de porta.
Examine as portas que estão ativas no computador no qual o SQL Server está sendo executado. O processo de revisão inclui verificar quais portas TCP/IP estão escutando e também verificar o status das portas.
O utilitário PortQry pode ser usado para relatar o status das portas TCP/IP como escutando, não escutando ou filtradas. (O utilitário pode não receber resposta da porta se tiver um status filtrado.) O utilitário PortQry está disponível para download no Centro de Download da Microsoft.
Listar quais portas TCP/IP estão escutando
Para verificar quais portas estão escutando, exibir conexões TCP ativas e estatísticas de IP use o utilitário de linha de comando netstat.
Abra a janela do prompt de comando.
No prompt de comando, digite
netstat -n -a.O comutador
-ninstrui o netstat a exibir numericamente o endereço e o número da porta das conexões TCP ativas. O switch-ainstrui o netstat a exibir as portas TCP e UDP nas quais o computador está a ouvir.