《配置 Windows 防火墙以允许 SQL Server 访问》由会员分享,可在线阅读,更多相关《配置 Windows 防火墙以允许 SQL Server 访问(16页珍藏版)》请在金锄头文库上搜索。
1、配置 Windows 防火墙以允许 SQL Server 访问防火墙系统有助于阻止对计算机资源进行未经授权的访问。如果防火墙已打开但却未正确配置,则可能会阻止连接 SQL Server。若要通过防火墙访问 SQL Server 实例,必须在运行 SQL Server 的计算机上配置防火墙以允许访问。防火墙是 Microsoft Windows 的一个组件。也可以安装其他公司的防火墙。本主题讨论如何配置 Windows 防火墙,不过所述基本原理也适用于其他防火墙程序。注意 本主题概述了防火墙配置并汇总了 SQL Server 管理员所需的信息。有关防火墙的详细信息以及权威信息,请参阅防火墙文档,
2、例如 Windows Firewall with Advanced Security and IPsec(高级安全 Windows 防火墙和 IPsec)和 Windows Firewall with Advanced Security - Content Roadmap(高级安全 Windows 防火墙 - 内容概览) 。用户如果熟悉“控制面板”中的“Windows 防火墙”项,熟悉高级安全 Windows 防火墙的 Microsoft 管理控制台 (MMC) 管理单元,以及知道要配置哪些防火墙设置,可以直接转至以下列表中的主题: 如何为数据库引擎访问配置 Windows 防火墙 如何为 A
3、nalysis Services 访问配置 Windows 防火墙 如何将防火墙配置为允许报表服务器访问 如何为 Integration Services 配置 Windows 防火墙 主题内容 本主题包含以下部分:基本防火墙信息 默认防火墙设置 用于配置防火墙的程序 数据库引擎使用的端口 Analysis Services 使用的端口 Reporting Services 使用的端口 Integration Services 使用的端口 其他端口和服务 与其他防火墙规则的交互 防火墙配置文件概述 使用“控制面板”中的“Windows 防火墙”项进行其他防火墙设置 使用高级安全 Windows
4、 防火墙管理单元 解决防火墙设置问题 基本防火墙信息 防火墙的工作原理是检查传入的数据包并将其与一组规则进行比较。如果规则允许数据包通过,则防火墙将把该数据包传递给 TCP/IP 协议以进行其他处理。如果规则不允许数据包通过,则防火墙将丢弃该数据包,此外,如果已启用日志记录,防火墙还将在防火墙日志文件中创建一个条目。允许的通信的列表采用以下某种方式进行填充: 当启用了防火墙的计算机开始通信时,防火墙会在列表中创建一个条目以便允许响应。传入响应将被视为请求的通信,并且您不必对此进行配置。 管理员可配置防火墙例外。这样将允许访问计算机上运行的指定程序,或访问计算机上的指定连接端口。在此情况下,当计
5、算机充当服务器、侦听器或对等方时,将会接受未经请求的传入通信。必须完成此类配置才能连接到 SQL Server。选择防火墙策略远较只是确定应打开还是关闭给定端口复杂。当为企业设计防火墙策略时,请确保考虑所有可供使用的规则和配置选项。本主题不讨论所有可能的防火墙选项。建议您查看以下文档:Windows Firewall with Advanced Security Getting Started Guide(高级安全 Windows 防火墙入门指南) Windows Firewall with Advanced Security Design Guide(高级安全 Windows 防火墙设计指南
6、) Introduction to Server and Domain Isolation(服务器和域隔离简介) 默认防火墙设置 规划防火墙配置的第一步是确定操作系统的防火墙的当前状态。如果操作系统是从早期版本升级而来,则可能已保留以前的防火墙设置。此外,防火墙设置可能已由其他管理员或域中的组策略更改。不过,默认设置如下所示: Windows Server 2008防火墙打开并禁止远程连接。 Windows Server 2003防火墙关闭。管理员应考虑打开防火墙。 Windows Vista防火墙打开并禁止远程连接。 Windows XP Service Pack 2 或更高版本防火墙打开并
7、禁止远程连接。 Windows XP Service Pack 1 或更低版本防火墙关闭,应打开防火墙。注意 打开防火墙将影响访问此计算机的其他程序,例如文件和打印共享以及远程桌面连接。在调整防火墙设置之前,管理员应对计算机上运行的所有应用程序加以考虑。用于配置防火墙的程序 有三种配置 Windows 防火墙设置的方式。 “控制面板 ”中的“Windows 防火墙”项 可以从“控制面板”打开“Windows 防火墙”项。重要提示 在“控制面板” 中的“Windows 防火墙”项中所做的更改只会影响当前配置文件。诸如便携式计算机之类的移动设备不应使用“控制面板” 中的“Windows 防火墙”项
8、,因为当以其他配置连接设备时配置文件可能会更改。这样以前配置的配置文件将失效。有关配置文件的详细信息,请参阅 Windows Firewall with Advanced Security Getting Started Guide(高级安全 Windows 防火墙入门指南) 。使用“控制面板”中的“Windows 防火墙”项可配置基本选项。其中包括: 打开或关闭“控制面板”中的“Windows 防火墙”项 启用和禁用规则 配置例外的端口和程序 设置一些范围限制“控制面板” 中的“Windows 防火墙”项最适合于防火墙配置经验不足的用户以及要为非移动的计算机配置基本防火墙选项的用户。也可以采
9、用以下步骤通过 run 命令打开“控制面板” 中的“Windows 防火墙”项:打开“Windows 防火墙”项5. 在“开始” 菜单上,单击 “运行” ,然后输入 firewall.cpl。6. 单击“确定” 。 Microsoft 管理控制台 (MMC) 使用高级安全 Windows 防火墙 MMC 管理单元可以配置更高级的防火墙设置。此管理单元仅可从 Microsoft Vista 和 Windows Server 2008 开始可供使用;不过,它以一种易于使用的方式呈现大多数防火墙选项,并且会显示所有防火墙配置文件。有关详细信息,请参阅本主题后面的 使用高级安全 Windows 防火墙
10、管理单元。 netsh 管理员可以在命令提示符下使用 netsh.exe 工具配置和监视基于 Windows 的计算机,也可以使用批处理文件执行此操作。通过使用 netsh 工具,可以将输入的上下文命令定向到相应帮助器,然后由帮助器执行此命令。帮助器是一个动态链接库 (.dll) 文件,它通过对一种或多种服务、实用工具或协议提供配置、监视和支持来扩展 netsh 工具的功能。所有支持 SQL Server 的操作系统都具有防火墙帮助器。MicrosoftWindows Vista 和 Windows Server 2008 也具有称作 advfirewall 的高级防火墙帮助器。本主题不讨论有
11、关使用 netsh 的详细信息。不过,所述配置选项中的许多选项都可以通过使用 netsh 加以配置。 例如,在命令提示符下运行以下脚本,以打开 TCP 端口 1433:复制 netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT使用高级安全 Windows 防火墙帮助器的一个类似示例:复制 netsh advfirewall firewall add rule name = SQLPort dir = in pr
12、otocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN有关使用 netsh 配置 SQL Server 的脚本,请参阅 如何在运行 Windows XP Service Pack 2 的系统上使用脚本以编程方式打开端口供 SQL Server 使用。 有关 netsh 的详细信息,请参阅以下链接: 如何使用 Netsh.exe 工具和命令行开关 如何使用“netsh advfirewall firewall”上下文而非“netsh firewall”上下文控制 Windows Se
13、rver 2008 和 Windows Vista 中的 Windows 防火墙行为 “netsh firewall”命令及“profile=all”参数不配置基于 Windows Vista 的计算机上的公共配置文件 解决 Windows XP Service Pack 2 中 Windows 防火墙的设置问题(高级用户) SQL Server 使用的端口 下面几个表可有助于您确定 SQL Server 所使用的端口。数据库引擎使用的端口下表列出了数据库引擎经常使用的端口。应用场景 端口 注释通过 TCP 运行的 SQL Server 默认实例TCP 端口 1433 这是允许通过防火墙的最常
14、用端口。它适用于与默认数据库引擎安装或作为计算机上唯一运行实例的命名实例之间的例行连接。(命名实例具有特殊的注意事项。请参阅本主题后面的动态端口)。采用默认配置的 SQL Server 命名实例此 TCP 端口是在启动数据库引擎时确定的动态端口。 请参阅下面动态端口部分中的描述。当使用命名实例时,SQL Server Browser 服务可能需要 UDP 端口 1434。配置为使用固定端口的 SQL 由管理员配置的端口号。 请参阅下面动态端口部分中的描述。Server 命名实例专用管理员连接 对于默认实例,为 TCP 端口 1434。其他端口用于命名实例。有关端口号,请查看错误日志。默认情况下
15、,不会启用与专用管理员连接 (DAC) 的远程连接。若要启用远程 DAC,请使用外围应用配置器方面。有关详细信息,请参阅了解外围应用配置器。SQL Server Browser 服务UDP 端口 1434 SQL Server Browser 服务用于侦听指向命名实例的传入连接,并为客户端提供与此命名实例对应的 TCP 端口号。通常,只要使用数据库引擎的命名实例,就会启动 SQL Server Browser 服务。如果客户端配置为连接到命名实例的特定端口,则不必启动 SQL Server Browser 服务。通过 HTTP 端点运行的 SQL Server 实例。可以在创建 HTTP 端点
16、时指定。对于 CLEAR_PORT 通信,默认端口为 TCP 端口 80,对于 SSL_PORT 通信,默认端口为 443。用于通过 URL 实现的 HTTP 连接。通过 HTTPS 端点运行的 SQL Server 默认实例。TCP 端口 443 用于通过 URL 实现的 HTTPS 连接。HTTPS 是使用安全套接字层 (SSL) 的 HTTP 连接。Service Broker TCP 端口 4022。若要验证使用的端口,请执行下面的查询:SELECT name, protocol_desc, port, state_desc 对于 SQL ServerService Broker,没有默认端口,不过这是联机丛书示例中使用的常规配置。FROM sys.tcp_endpoints WHERE type_desc = SERVICE_BROKER 数据库镜像 管理员选择的端口。若要确定此端口,请执行以下查询:SELECT name, protocol
