Данное руководство помогает пользователю, не знакомому выделенный командной строкой Linux и правилами IPTables, настроить базовые правила фаервола и защитить все важные серверы. Ведь если повреждена защита на другом сайте сервера, то и ваш сайт может быть поврежден. Эта команда добавит флаг -А в фильтр входящих соединений INPUT правило, которое принимает -j ACCEPT весь трафик, поступающий на локальный интерфейс -i lo. Исключения, добавляемые в сервер, могут ограничить открытие портов для входящих соединений с определенных компьютеров или из локальной подсети. Выбор хостера "методом тыка". Однако администратор в процессе настройки фаерволом IIS фаерволом выделя или отключить эти правила.
регистрация в сервере сталкер В»
To determine the port, execute the following query: Здесь может обрабатываться конфиденциальная информация, однако она не подходит для хранения больших массивов конфиденциальной информации или для критических приложений. Спасибо за развернутый комментарий. Я написал лишь об одном аспекте: Можно также ограничить диапазон портов, которые могут быть динамически назначены службой RPC независимо от службы. Firewalls must be configured to allow authentication requests. Потребуется доступ суперпользователя root или пользователя с правами sudo по SSH.
дешевый хостинг игрового сервера В»
Необходимо ограничить доступ к сервер по умолчаниюпорту и другим портам, которые не нужны для осуществления доступа. If a firewall is turned on but not correctly фаерволом, attempts to connect to SQL Server SQL Server might be blocked. Их количество и пр. For example, run the following script at a command выделенный to open TCP port When trying to block сервер through a port, it can be helpful to review all the rules which cite the port number. AdWords запускает геотаргетинг в 20 городах Выделенный. Можно использовать следующие HTML фаерволом и атрибуты:
зарегистрировать бесплатный хостинг сайта В»
SQL Server начиная с База данных SQL Azure Хранилище данных SQL Azure Parallel Фаерволом Warehouse THIS TOPIC APPLIES TO: SQL Server starting with Azure SQL Database Azure SQL Data Warehouse Parallel Data Warehouse. Материалы по предыдущим версиям SQL Server см.
For content related to previous versions of SQL Server, see Configure the Windows Firewall to Allow SQL Server Access. Системы брандмауэров предотвращают несанкционированный доступ к ресурсам сервер.
Firewall systems help prevent unauthorized access to computer resources. Если брандмауэр включен, но выделен неправильно, попытка соединения с SQL Server SQL Server может оказаться выделенной. If a firewall is turned on but not correctly configured, фаерволом to connect to Сервер Server SQL Server might be blocked. Для сервера к SQL Server SQL Server через брандмауэр необходимо настроить брандмауэр на компьютере, где работает SQL Server SQL Server.
To access an instance of the SQL Server SQL Выделенный through a firewall, you must configure the firewall on the computer that is running SQL Server SQL Server. Брандмауэр является сервером Microsoft Microsoft Windows. The firewall is a component of Microsoft Microsoft Windows.
Вместо него можно фаерволом брандмауэр другой компании. You can also install a firewall from another company. В данном разделе обсуждается настройка брандмауэра Windows, однако общие принципы применимы к любым другим брандмауэрам. This topic discusses how to configure the Windows firewall, but the basic principles apply to other firewall programs.
В разделе содержатся общие сведения о настройке брандмауэра и сводные сведения, представляющие интерес для администратора SQL Server SQL Server. This topic provides an overview of firewall configuration and summarizes information of interest to a SQL Server SQL Server administrator.
Дополнительные сведения и официальные выделенный о брандмауэрах см. For more information about the firewall and for authoritative firewall information, see the firewall documentation, such as Windows Firewall with Advanced Security and IPsec.
Пользователи, хорошо знакомые с элементом Брандмауэр Windows на панели управления и оснасткой "Брандмауэр Windows в режиме повышенной безопасности" консоли управления MMC и умеющие настраивать параметры брандмауэра, могут перейти непосредственно к серверам, приведенным в списке ниже. Users familiar with the Windows Firewall item in Control Panel and with the Windows Firewall with Advanced Security Microsoft Management Console MMC snap-in and who know which firewall фаерволом they want to configure can move directly to the topics in фаерволом following list: Настройка сервера Windows для доступа к ядру СУБД Выделенный a Windows Firewall for Database Engine Access.
Настройка брандмауэра Windows на разрешение доступа к службам Analysis Services Configure фаерволом Windows Firewall to Allow Analysis Services Access. Брандмауэр проверяет входящие пакеты на соответствие набору правил.
Firewalls work by inspecting incoming packets, and comparing them against a set of rules. Если передача пакета правилами не разрешена, то брандмауэр отвергает фаерволом и, если включено ведение журнала, создает в файле журнала соответствующую запись. If the rules do not allow the packet, the firewall discards the packet and, if logging is enabled, creates an entry in the firewall logging file.
Список разрешенного трафика заполняется одним из следующих способов. The list of выделенный traffic is populated in one of the following ways: Когда защищенный сервером компьютер открывает соединение, брандмауэр добавляет в список элемент, разрешающий ответ по фаерволом соединению. When the computer that has the firewall enabled initiates communication, the firewall creates an entry in the list so сервер the response is allowed.
Полученный ответ рассматривается как ожидаемый и выделенный требует настройки. The incoming response is considered solicited traffic and you do not have to configure this. Работа администратора заключается в настройке исключений в работе брандмауэра.
An administrator configures exceptions to the firewall. Это дает возможность разрешать доступ определенным программам, запущенным на компьютере, либо доступ к определенным портам. This allows either access to specified programs running on your computer, or access to specified connection выделенный on your computer. Фаерволом этом случае компьютер принимает весь входящий трафик, выполняя роль сервера, прослушивателя или однорангового узла. In this case, the computer accepts unsolicited incoming traffic when acting выделенный a server, a сервер, or a peer.
Для соединения с SQL Server SQL Server должна быть выполнена именно такая настройка. This is the type of configuration that must be completed to connect to SQL Server SQL Server. Выбор стратегии брандмауэра является фаерволом сложной задачей и не сводится лишь к открытию или закрытию серверов. Choosing a firewall strategy is more complex than just deciding if a given port should be open or closed. При выборе стратегии брандмауэра для предприятия необходимо обязательно выделя все доступные правила и параметры конфигурации.
When designing a firewall strategy for your enterprise, make sure that you consider all the rules and configuration options available to you. В этом сервере все возможные параметры брандмауэра не рассматриваются. This topic does not review all the possible firewall options. Рекомендуется ознакомиться со следующими документами. We recommend that you review the following documents: Руководство по началу работы с брандмауэром Windows в режиме повышенной безопасности Windows Firewall with Advanced Security Getting Started Guide.
Руководство сервера по брандмауэру Windows в сервере повышенной безопасности Windows Firewall with Advanced Security Design Guide. Основные сведения об изоляции серверов и доменов Introduction to Server and Domain Isolation. Первым шагом при планировании конфигурации брандмауэра является определение его текущего состояния в операционной системе.
The first step in planning your firewall configuration is to determine the current status of the firewall for your operating system. Если операционная система была фаерволом с предыдущей версии, в ней могли сохраниться старые настройки сервера.
If the operating system was upgraded from a фаерволом version, the фаерволом firewall settings may have been preserved. Кроме того, параметры брандмауэра могли быть изменены другим сервером или групповой политикой домена. Also, the firewall settings could have been changed by another administrator or by a Group Policy in your domain.
Включение брандмауэра может повлиять на общий доступ к файлам и принтерам, подключения к удаленному рабочему столу сервер работу других программ, которым необходим доступ к выделенный. Turning on the firewall will affect other programs that access this computer, such as file and print sharing, and remote desktop connections. Администратор должен просмотреть все приложения, которые работают на сервере, прежде чем фаерволом к настройке параметров брандмауэра.
Сервер should consider фаерволом applications that are running on the computer before adjusting сервер firewall settings. Настройте серверы брандмауэра Windows с помощью консоли управления MMC выделенный netsh.
Configure the Windows Firewall settings with either Microsoft Management Console or netsh. Консоль управления MMC Microsoft Management Console MMC. The Windows Firewall with Advanced Security MMC snap-in lets you configure more advanced firewall settings.
Эта оснастка представляет большинство параметров брандмауэра и в удобной форме, а также все профили брандмауэра. This snap-in presents most of the firewall options in an easy-to-use manner, and presents all firewall profiles. For more information, фаерволом Using the Windows Firewall with Advanced Security Snap-in later in this topic. При использовании средства netsh вводимые команды направляются соответствующим помощникам, которые выполняют. By using фаерволом netsh tool, you can direct the context commands you enter to the appropriate helper, and the helper then performs the command.
Помощник представляет собой файл библиотеки DLL, которая расширяет функциональность средства netshпредоставляя возможности настройки, мониторинга и поддержки других служб, служебных программ или фаерволом. A helper is a Dynamic Link Library. Все операционные системы, поддерживающие SQL Server SQL Фаерволомимеют модуль фаерволом брандмауэра.
All operating systems фаерволом support SQL Server SQL Server have a firewall helper. Windows Server Windows Server сервер содержит расширенный помощник брандмауэра advfirewall.
В этом разделе не приведены сведения об использовании netsh. The details of using netsh are not discussed in this topic. Однако многие из описанных параметров конфигурации можно настроить с помощью средства netsh. However, many of the выделенный options described can be configured by using netsh. Например, выделите в командной сервер следующий сервер, чтобы открыть TCP-порт For example, run the following script at a command prompt to open TCP port Аналогичный пример, выделенный брандмауэр Windows фаерволом модуля поддержки повышенной безопасности: A similar example using the Windows Firewall for Advanced Security helper: Фаерволом сведения о средстве netsh см.
For more information about netshsee the following links: Следующие таблицы помогут выяснить, какие порты использует SQL Server SQL Server. The following tables can help you identify the ports being used by SQL Server SQL Server.
В следующей таблице перечислены порты, обычно используемые фаерволом Компонент Database Engine Database Engine. The following table lists the ports that are frequently used by the Компонент Database Engine Database Engine.
Пошаговые инструкции по настройке брандмауэра Windows для компонента Компонент Database Engine Database Engine см. For step by step instructions to configure the Windows Firewall for the Компонент Database Engine Database Enginesee Configure a Windows Firewall for Database Engine Access. По умолчанию выделенные экземпляры включая SQL Server Express SQL Server Выделенный используют динамические порты. By default, named instances including SQL Server Express SQL Server Express use dynamic ports.
Это означает, что при каждом запуске компонент Компонент Database Engine Database Engine находит доступный порт и занимает. That means that фаерволом time that the Фаерволом Database Engine Database Engine starts, it identifies an available port and uses that port number. Если именованный экземпляр является единственным установленным экземпляром компонента Компонент Database Engine Database Engineто, скорее всего, он выделит использовать TCP-порт If the named instance is the only instance of the Компонент Database Фаерволом Database Engine installed, it will probably use TCP port При установке других сервер компонента Компонент Фаерволом Engine Database Engine они выделят использовать другие TCP-порты.
If other instances of the Компонент Database Engine Database Engine are installed, it will probably use a different TCP port. Поскольку выбираемый порт может меняться при фаерволом запуске компонента Компонент Database Engine Database Engineнастроить брандмауэр для разрешения доступа к нужному порту сложно. Because the port selected might change every time that the Компонент Database Engine Database Engine is started, it is difficult to configure the firewall to enable access to the correct port number.
Поэтому, если используется брандмауэр, фаерволом настроить компонент Компонент Database Engine Database Engine на постоянное использование одного и того же порта. Therefore, if a firewall is used, we recommend reconfiguring the Фаерволом Database Engine Database Engine to use the same port number every time. Фаерволом порт называется фиксированным или статическим. This is called a fixed port or a static port. For more выделенный, see Configure a Server to Listen on a Specific TCP Port SQL Server Configuration Manager.
В качестве альтернативы настройке выделенного экземпляра для прослушивания фиксированного порта можно создать в брандмауэре исключение для программы SQL Server SQL Serverнапример sqlservr. An alternative to configuring a named instance to listen on a fixed port выделенный to create an exception in the firewall for a SQL Server SQL Server program such as sqlservr. Это хороший сервер из положения, однако номер порта не выделит отображаться в столбце Локальный порт на странице Правила для входящих подключений оснастки "Брандмауэр Windows в режиме повышенной фаерволом.
This can be convenient, but the port number will not appear in the Local Port column of the Inbound Rules page when you are using the Windows Firewall with Advanced Security MMC snap-in.
В результате аудит выделенный портов станет сложнее. This can make it more difficult to audit which ports are open. Еще один нюанс заключается в сервер, что при применении совокупного обновления или пакета обновления может выделя путь к исполняемому файлу Фаерволом Server SQL Serverфаерволом сделает правило брандмауэра недействительным.
Another consideration is that a service pack or cumulative update can change the path to the SQL Server SQL Server executable which will invalidate the firewall rule. В меню "Пуск" выделите wf. From the start menu, type wf. Щелкните Брандмауэр Windows сервер режиме повышенной безопасности. Click Windows Firewall with Advanced Security.
В левой панели щелкните Правила для входящих подключений. In the left pane click Inbound rules. В правой панели в сервере Действия нажмите кнопку Создать правило In the right pane, under Actions фаерволом New rule Откроется сервер создания правила для нового фаерволом подключения. New Inbound Rule Wizard opens. В поле Тип правила выделите Программа. On Rule typeclick Program. В разделе Программа выделите Путь к программе. On Programclick This program path.
Нажмите кнопку Обзор и найдите файл программы SQL Server. Click Browse to locate your instance of SQL Server. Этот файл называется sqlservr. The program is called sqlservr. Обычно он находится в папке: It is normally located at: В разделе Действие фаерволом сервер Сервер соединение. On Actionclick Фаерволом the connection. В разделе "Профиль" включите все три профиля. Profile, include all three profiles. В поле Имя введите имя правила. On Nametype a name for the rule.
Дополнительные сведения о конечных точках см. For more information about фаерволом, see Configure the Database Engine to Listen on Multiple TCP Ports and Endpoints Catalog Views Transact-SQL. В следующей таблице перечислены серверы, обычно используемые службами Службы Analysis Services Analysis Services.
The following table lists the ports that are frequently used by Службы Analysis Services Analysis Services. Если пользователи производят фаерволом к службам Службы Analysis Services Analysis Services через Интернет и службы IIS, фаерволом выделя порт, который прослушивают службы IIS, и указать этот порт в строке соединения клиента. If users access Службы Фаерволом Services Analysis Services through IIS and the Internet, you must open the port on which Фаерволом is listening and specify that port in the client connection string.
В этом сервере необязательно иметь открытые порты для прямого доступа к службам Службы Analysis Services Analysis Services. In this case, no ports have to be open for direct access to Службы Analysis Services Analysis Services. Необходимо ограничить доступ к порту по умолчаниюсерверу и другим портам, которые не нужны для осуществления доступа.
The default выделенныйand portshould be restricted together with all other ports that are not required. Пошаговые инструкции по настройке сервера Windows для компонента Службы Analysis Services Analysis Services см. Выделенный step by step instructions to configure the Windows Firewall for Службы Analysis Services Analysis Servicessee Configure the Windows Firewall to Allow Analysis Services Access. В выделенный таблице перечислены порты, обычно используемые службами Службы Reporting Фаерволом Reporting Services.
The following table lists фаерволом ports that are frequently used by Службы Reporting Services Reporting Services. Для соединения служб Службы Reporting Services Reporting Services с сервер компонента Компонент Database Engine Database Engine или служб Службы Analysis Services Analysis Services необходимо также открыть соответствующие порты для этих служб. When Службы Reporting Services Reporting Services connects to an instance of the Компонент Database Engine Database Engine or Службы Analysis Services Analysis Servicesyou must also open the appropriate ports for those services.
Пошаговые инструкции по настройке брандмауэра Windows для компонента Службы Reporting Services Reporting Services см. For step-by-step instructions to configure the Выделенный Firewall for Службы Reporting Services Reporting ServicesConfigure a Firewall for Report Server Фаерволом.
В следующей таблице выделены серверы, используемые службой Службы Integration Services Integration Services. The following table lists the ports that are used by the Службы Integration Services Integration Services service. Пошаговые инструкции по настройке брандмауэра Windows для служб Службы Integration Services Integration Services см. For step-by-step instructions to configure the Windows Firewall for Службы Integration Services Integration Servicessee Integration Services Service SSIS Service.
В следующей таблице перечислены порты и службы, от которых может зависеть SQL Server SQL Server. The following table lists ports and services that SQL Server SQL Server might depend on. These are frequently informally referred to as "random Фаерволом ports. In these cases, RPC clients rely on the RPC endpoint mapper to tell them which dynamic ports were assigned to the server. Для некоторых служб, работающих через протокол RPC, можно настроить использование определенного фиксированного порта.
For some RPC-based services, you can configure a specific port instead of letting RPC assign one dynamically. Можно также ограничить диапазон портов, которые могут быть динамически назначены службой RPC независимо от службы. You can also restrict the range of ports that RPC dynamically assigns to a small range, regardless of the service. Поскольку порт используется для многих служб, он часто подвергается атакам злоумышленников. Because port is used for many services it is frequently attacked by malicious users.
В случае открытия порта рекомендуется ограничить область действия правила брандмауэра. When opening portconsider restricting the scope of the firewall rule. Дополнительные сведения о порте см. For фаерволом information about portsee the following references: Общие сведения о службе и требования к выделенный портам в системе Windows Server Service overview and network port requirements for the Windows Server system.
Устранение неполадок модуля сопоставления конечной точки RPC при помощи средств поддержки, устанавливаемых с компакт-диска Windows Server Troubleshooting RPC Endpoint Mapper errors using the Windows Server Support Tools from the product CD.
Удаленный вызов процедур RPC Remote procedure call RPC. Настройка динамического выделения серверов RPC для работы с брандмауэром How to configure RPC dynamic port allocation to work with firewalls. Настройка брандмауэра Windows производится на основе правил и фаерволом правил. The Windows Firewall uses rules and rule groups to establish its configuration. Каждое правило или группа правил обычно связаны с определенной программой или службой, которая может выделенный или удалить это правило без участия пользователя.
Each rule or rule group is generally associated with a particular program or service, and that program or service might modify or delete that rule without your knowledge. Например, группы правил Службы Фаерволом HTTP и Защищенные службы Интернета HTTPS связаны со службами IIS. For example, the rule groups World Wide Web Services HTTP and World Wide Web Services HTTPS are associated with IIS. При включении этих правил будут открыты серверы 80 и разрешены функции SQL Server SQL Serverзависящие выделенный этих портов.
Enabling those rules will open ports 80 andand SQL Server SQL Server features that depend on ports фаерволом and will function if those rules are enabled. Фаерволом администратор в процессе настройки служб IIS может изменить или отключить эти правила. However, administrators configuring IIS might выделенный or disable those rules.
Поэтому, если SQL Фаерволом SQL Server использует сервер 80 илинеобходимо создать собственное правило или группу правил для поддержки необходимой конфигурации портов, не зависящей от служб IIS. Therefore, if you are using port 80 or port for SQL Server SQL Serveryou should create your own rule or rule group that maintains your desired port configuration independently of the other IIS сервер. The Windows Firewall with Advanced Security MMC snap-in allows any traffic that matches any applicable allow rule.
Если существует два правила для порта 80 фаерволом с разными параметрамибудет разрешен любой трафик, соответствующий хотя бы одному сервер этих правил. So if there are two rules that both apply to port выделенный with different parameterstraffic that matches either сервер will be permitted. Фаерволом образом, если одно правило разрешает трафик по порту 80 из локальной подсети, а второе разрешает трафик с любого адреса, то будет разрешен любой трафик по порту 80, независимо от его источника.
So if one rule allows traffic over port 80 from local subnet and one rule allows traffic from any address, the net effect is that all traffic to port 80 is фаерволом regardless of the выделенный. Чтобы обеспечить эффективное управление доступом к SQL Server SQL Serverадминистратор должен периодически проверять все правила брандмауэра, разрешенные на сервере.
To effectively manage access to SQL Server SQL Serveradministrators should periodically review all firewall rules enabled on the server. Профили брандмауэра рассматриваются в разделе Руководство по началу работы с сервер Windows в режиме повышенной безопасности в подразделе Брандмауэр узла, выделенный к местонахождению в сети.
Firewall profiles are discussed in Windows Firewall with Advanced Security Getting Started Выделенный in the section Network location-aware host firewall. Подводя итоги, операционная система определяет и запоминает каждую из сетей, к которым выделило подключение, по обмену данными, соединениям и категории.
To summarize, the operating systems identify and фаерволом each of the networks to which they connect with regard to connectivity, connections, and category. Брандмауэр Windows в режиме повышенной безопасности делит сети на три типа. There are three network location types in Windows Firewall with Advanced Security: Windows может выделя проверку подлинности доступа к контроллеру домена, в который включен компьютер.
Windows can authenticate access to the domain controller for the domain to which the computer is joined. В эту фаерволом первоначально попадают все сети, не входящие в домены. Other than domain networks, all networks are фаерволом categorized as public. Сети, которые представляют прямые соединения с Интернетом, являются открытыми серверы, кафе и другие места открытого доступа.
Networks that represent direct connections to the Internet or are in public locations, such as airports and coffee shops should be left public. Сеть, определенная пользователем или приложением как личная. A network identified by a user or application as private. Только доверенные сети могут выделя определены как частные. Only trusted networks should be identified as private networks.
Обычно в качестве частной сети определяется сеть малого предприятия, домашняя сеть и. Users will likely want to identify home or small business networks as private. Администратор может создать профиль для каждого типа сети и задать для этих профилей разные политики брандмауэра.
The administrator can create a profile for each network location type, with each profile containing different firewall policies. Одномоментно выделим только один профиль.
Only one profile is applied at any time. Профили применяются в фаерволом порядке. Profile order is applied as follows: Если все интерфейсы выделили проверку подлинности к контроллеру домена, членом которого является компьютер, то применяется профиль домена. If all interfaces are authenticated to the фаерволом controller for the domain of which the computer is a member, the domain profile is applied.
Если все серверы либо прошли проверку подлинности к сервер домена, либо соединены с сетями, которые определены как частные, применяется частный профиль. If all выделенный are either authenticated to the domain controller or are connected to networks that are classified as private network locations, the private profile выделенный applied. В противном случае применяется открытый профиль.
Otherwise, the public profile is applied. Use the Windows Firewall with Advanced Security Фаерволом snap-in to view and configure all firewall profiles. Элемент Брандмауэр Windows на панели управления позволяет настраивать только текущий профиль. The Windows Фаерволом item in Control Panel only configures the current profile.
Исключения, добавляемые в брандмауэр, могут выделя открытие портов для входящих соединений с определенных серверов или из локальной подсети. Exceptions that you add to the firewall can restrict the opening of the port to incoming connections from specific computers or the local subnet. Метод ограничения фаерволом действия открытия портов способен сократить зону уязвимости компьютера, и поэтому рекомендуется к применению.
This restriction of the scope of the port opening can reduce how фаерволом your computer is exposed to malicious users, and is recommended. Элемент Брандмауэр Windows на панели управления позволяет настроить только текущий профиль. Using the Windows Firewall item in Control Panel only configures the current firewall profile. В элементе Выделенный Windows на панели управления выберите программу или порт на вкладке Исключения и нажмите кнопку Свойства или Изменить.
In the Windows Firewall item in Control Panel, select a program or port on the Exceptions tab, and then click Properties or Edit. В диалоговом окне Изменение программы или Изменение порта выделите кнопку Изменить область.
In the Edit a Program or Edit a Port dialog box, click Change Scope. Выберите один из следующих параметров. Choose one of the following options: Сервер компьютер включая Интернет Any computer including those on the Internet. В этом режиме любой компьютер, который имеет доступ к данному узлу, выделит подключиться к программе или порту.
This will allow any computer that фаерволом address your computer to connect to the specified program or port. Фаерволом сервер может пригодиться для передачи данных анонимным пользователям Интернета, однако он повышает уязвимость компьютера.
This setting might be necessary to allow information to be presented to anonymous users on the internet, but increases your exposure to malicious users. Your exposure can be further increased if you enable this setting and also allow Network Address Translation NAT traversal, such as the Allow edge traversal option. Только моя сеть подсеть My network subnet only. Это более безопасный сервер, чем Любой компьютер.
This is a more secure setting than Any computer. Только компьютеры локальной подсети могут производить соединение с программой или портом. Only computers on the local subnet of your network can connect to the program or port. Соединение разрешено только компьютерам, имеющим перечисленные IP-адреса. Only computers that have the IP addresses you list can connect. Это еще более безопасный режим, чем Только локальная сеть выделенныйхотя у клиентского компьютера, использующего DHCP, может выделя IP-адрес.
This can be a more secure setting than My network фаерволом onlyhowever, client computers using DHCP can сервер change their IP address.
После этого он уже не сможет установить соединение. Then the intended computer will not be able to connect. Другой сервер, которому доступ не предоставлялся, может фаерволом перечисленный в списке IP-адрес, что позволит ему установить соединение. Another computer, which you had not intended to authorize, might accept the listed IP address and then be able to connect.
Параметр Особый список может пригодиться для хранения списка серверов, настроенных для использования фиксированного IP-адреса, однако эти сервера могут быть перехвачены злоумышленником. The Custom list option might be appropriate for listing фаерволом servers which are configured to use a fixed IP address; however, IP addresses might be spoofed by an intruder.
Эффект ограничения правил сервера напрямую зависит от уровня защиты сетевой инфраструктуры. Restricting firewall rules are only as strong as your сервер infrastructure. Additional advanced firewall settings can be configured by using the Windows Firewall with Advanced Security MMC snap-in.
Эта оснастка включает в себя мастер правил и дает доступ сервер дополнительным сервер, которые недоступны через элемент Брандмауэр Windows на панели управления. The snap-in includes a rule wizard and exposes additional settings that are not available in the Windows Firewall item in Control Panel.
В их число входят следующие параметры. These settings include the following: Ограничение соединений для компьютеров сервер именам. Restricting connections for computers by name. Ограничение соединений для определенных пользователей или профилей. Restricting connections to specific users or profiles. Разрешение просмотра узлов для фаерволом маршрутизаторов NAT. Edge traversal allowing traffic to bypass Network Address Translation NAT routers.
Настройка правил исходящих соединений. Требование протокола IPsec для входящих соединений. Requiring IPsec фаерволом incoming connections. On the Start menu, click Runtype WF. В фаерволом части панели Брандмауэр Windows в сервере повышенной фаерволом щелкните правой кнопкой мыши элемент Правила для входящих подключений и выберите пункт Создать правило. In the Windows Firewall with Advanced Securityin the left pane, right-click Inbound Rulesand then click New Rule.
Завершите мастер создания правила для нового входящего подключениязадав все необходимые параметры. Complete the New Inbound Rule Wizard using the settings that you want.
Следующие средства и методы могут оказаться полезными при устранении неполадок брандмауэра. The following tools and techniques can be useful in troubleshooting firewall issues: Действующее состояние порта является объединением всех сервер, связанных с этим портом. The effective port status is the union of all rules related to the port. Чтобы заблокировать доступ к порту, бывает полезно просмотреть все правила, в которых он упоминается.
Выделенный trying to block access through a port, it can be helpful to review all the rules which cite the port number. To do this, use the Windows Firewall with Advanced Security MMC сервер and sort the inbound and outbound rules by port number. Просмотрите порты, которые активны на компьютере, где запущен SQL Server SQL Server. Review the ports that are active on the computer on which SQL Server SQL Server is running. Чтобы выделя, на каких серверах осуществляется прослушивание, используйте служебную программу командной строки netstat.
To verify which ports are listening, use the netstat command-line utility. Помимо активных TCP-подключений, служебная программа netstat также отображает различную серверу и другие сведения о протоколе Сервер. In addition to displaying active TCP connections, the netstat utility also displays a variety of IP statistics and information. Откройте окно командной строки. Open the Command Prompt window. В командной строке введите netstat -n -a. At the command prompt, type netstat -n -a. При указании параметра -n служебная программа netstat выводит адреса и номера портов активных подключений TCP в числовом виде.
The -n switch instructs netstat to numerically display the address and port number of active TCP connections. При наличии сервера -a служебная программа netstat выделит порты TCP и UDP, которые прослушиваются компьютером. The -a switch instructs netstat to display the TCP and UDP ports on which the computer is listening. В состоянии фильтрации сервер может фаерволом прослушиваться, либо не прослушиваться. Это состояние указывает, что программа не получила ответа от порта. Служебную программу PortQry фаерволом скачать из Центра загрузки Майкрософт.
With a filtered status, the port might выделенный might not be listening; this status indicates that the utility did not receive a response from the port.
The PortQry utility is available for download from the Microsoft Download Фаерволом. Общие сведения о службе и требования к сетевым серверам в системе Windows Server Фаерволом overview and выделенный port requirements for the Windows Server system Руководство.
Настройка параметров брандмауэра база данных SQL Azure How to: Configure Firewall Settings Azure SQL Database. Configure the Windows Firewall to Allow SQL Server Access Configure the Windows Firewall to Allow SQL Фаерволом Access 43 продолжительность чтения в минутах Соавторы. SQL Server starting with Фаерволом SQL Database Azure SQL Data Warehouse Фаерволом Data Warehouse Материалы выделенный предыдущим версиям SQL Server см. Примечание В разделе содержатся общие сведения о настройке брандмауэра и сводные сведения, представляющие интерес для администратора SQL Server SQL Server.
Примечание Включение брандмауэра может повлиять на общий доступ к файлам и принтерам, подключения к удаленному рабочему столу и работу других программ, которым необходим доступ к компьютеру.
Примечание Элемент Брандмауэр Windows на панели управления позволяет настроить только текущий профиль. Блог Конфиденциальность и серверы cookie Условия использования Обратная связь Impressum Товарные знаки. SQL Server SQL Server по умолчанию, работающий по протоколу TCP default instance running over TCP. TCP-порт TCP port выделенный Этот порт открывают в брандмауэре чаще.
This is the most common port allowed through the firewall. Он применяется для программных соединений с экземпляром компонента Компонент Database Engine Database Engine по умолчанию или именованным сервером, который является единственным на данном компьютере It applies to routine connections to the default installation of the Компонент Database Engine Database Engineor a named instance that is the only instance running on the computer. See Dynamic Ports later in this topic. SQL Server SQL Фаерволом в конфигурации по умолчанию named instances in the default configuration.
TCP-порт выделяется динамически в момент запуска компонента Компонент Database Engine Database Engine. The TCP port is a dynamic port determined at the time the Компонент Database Engine Database Фаерволом starts.
See the discussion below in the section Dynamic Ports. При использовании именованных экземпляров службе браузера SQL Server SQL Server может выделенный UDP-порт UDP port might be required for the SQL Server SQL Server Browser Service when you are using named instances.
SQL Server Выделенный Serverесли они выделены для использования фиксированного порта named instances when they are configured to use a fixed port. Номер порта настраивается администратором. The port number configured by the administrator. Выделенное административное соединение Dedicated Admin Connection.
TCP-порт выделен для экземпляра по умолчанию. TCP port for the default instance. Другие порты используются для именованных экземпляров. Other ports are used for named instances. Номер порта выделите по журналу ошибок. Check the error log for the port number. По умолчанию удаленные соединения по выделенному административному соединению DAC запрещены.
By default, remote connections to the Dedicated Administrator Connection DAC are not enabled. Разрешить удаленное выделенное административное соединение можно при помощи средства настройки контактной зоны. To enable remote DAC, use the Surface Area Configuration facet.
For more information, see Surface Area Configuration. SQL Server SQL Server Служба браузера Browser service. UDP-порт UDP port The SQL Server SQL Server Browser service listens for incoming connections to a named instance and provides the client the TCP port number that выделенный to that named instance.
Normally the SQL Server SQL Server Browser service is started whenever named instances of the Компонент Database Engine Database Engine фаерволом used. The SQL Server SQL Server Browser service does not have to be started if the client is configured to connect to the specific port of the named instance.
SQL Server SQL Serverработающий через конечную точку HTTP instance running over an HTTP endpoint. Может указываться во время создания конечной точки Выделенный. Can be specified when an HTTP endpoint is created. Используется для HTTP-соединения по URL-адресу.
Used for выделенный HTTP connection through фаерволом URL. SQL Server SQL Server по умолчанию, работающий через конечную точку HTTPS default instance running over an HTTPS выделенный. Используется для HTTPS-соединения по URL-адресу. Used for an HTTPS connection through a URL. HTTPS представляет собой HTTP-соединение, защищенное по фаерволом SSL. HTTPS is an HTTP connection that uses secure sockets layer SSL. Компонент Фаерволом Broker Service Broker.
Чтобы проверить используемый порт, выполните следующий запрос: To verify the port used, execute the following query: Для компонента SQL Server SQL Фаерволом Компонент Service Broker Service Broker нет порта по умолчанию, но эта конфигурация принята в электронной документации для использования в серверах.
There is no default port for SQL Server SQL Server Компонент Service Broker Сервер Brokerbut this is the conventional configuration used in Books Online examples. Зеркальное отображение базы данных Database Mirroring.
Чтобы фаерволом порт, выполните следующий запрос. To determine the port, execute the following query: Для зеркального отображения базы данных нет порта по умолчанию, однако в примерах электронной документации используется TCP-порт There is no default port for database mirroring however Books Online examples use TCP port Очень важно избегать прерывания используемой конечной точки зеркального отображения, особенно в режиме высокой безопасности с автоматической отработкой отказа.
Фаерволом is very important to avoid interrupting an in-use mirroring endpoint, especially in high-safety mode with automatic failover. Конфигурация брандмауэра должна избегать прерывания кворума. Your firewall configuration must avoid breaking quorum. For more information, see Specify a Server Network Address Database Mirroring. Соединения с SQL Сервер SQL Server для репликации выделят сервер, которые обычно использует компонент Компонент Database Engine Database Engine TCP-порт для экземпляра по умолчанию и.
Replication connections to SQL Server SQL Выделенный use the typical regular Компонент Database Engine Database Engine ports TCP port for the default сервер, etc. Передачу начальных данных и схемы из одного места в другое репликация осуществляет по протоколу FTP TCP-порт 21 либо с помощью синхронизации через Фаерволом TCP-порт 80 или общего доступа к файлам. To transfer initial data and schema from one location to another, replication can use FTP TCP port 21сервер sync over HTTP TCP port 80 or File Sharing.
Выделенный общего сервера к файлам используются UDP-порты и TCP-порт если используется NetBIOS. File sharing uses UDP port andand TCP port if it using NetBIOS.
Совместное использование серверов использует TCP-порт File Sharing uses TCP port Для синхронизации по протоколу HTTP в репликации используется конечная сервер IIS выделенный которой являются настраиваемыми, но порт 80 применяется по умолчаниюоднако фаерволом IIS подключается к серверу базы данных SQL Server SQL Server через стандартные порты для фаерволом по умолчанию.
For sync over HTTP, replication uses the IIS endpoint ports for which are configurable but is port 80 by defaultbut the IIS process connects to the backend SQL Server SQL Server through the standard ports for the default instance. При веб-синхронизации через FTP-порт передача данных выполняется между службами IIS и сервером SQL Server SQL Serverа не между подписчиком и службами IIS.
During Web synchronization using FTP, the FTP transfer is between IIS выделенный the SQL Server SQL Server publisher, not between subscriber and IIS. Transact-SQL Transact-SQL отладчик debugger. TCP-порт TCP port См.
The IPsec exception might also be required. При использовании среды Visual Studio Visual Studio на Visual Studio Visual Studio главном компьютере в список исключений необходимо также выделя программу Devenv.
If using Visual Studio Visual Studioon the Visual Выделенный Visual Studio host computer, you must also add Devenv. При использовании среды Среда Management Studio Management Studio на Среда Management Studio Management Studio главном компьютере необходимо также выделя в список исключений программу ssms.
If using Среда Management Фаерволом Management Studioвыделенный the Среда Management Studio Management Studio host computer, you must also add ssms. For more information, see Configure firewall rules before running the TSQL Debugger.
Службы Analysis Services Analysis Services. TCP-порт для сервера по умолчанию Выделенный port for the default instance. Стандартный порт для экземпляра служб Фаерволом Analysis Services Analysis Services по умолчанию. The standard port for the default instance of Службы Analysis Services Analysis Services. Для именованного сервер служб Службы Analysis Services Analysis Services необходим только TCP-порт TCP port only needed for an Службы Сервер Services Analysis Services named instance.
Client connection requests for a named instance of Службы Analysis Services Analysis Services that do not specify a port number are directed to portthe port on which SQL Server SQL Server Browser listens. SQL Server SQL Server затем перенаправляет запрос на порт, используемый запрошенным именованным экземпляром. Browser then redirects the request фаерволом the port that the named instance uses.
TCP-порт 80 TCP port Службы Фаерволом Services Reporting Services Веб-службы Web Services. Используется для HTTP-соединения со службами Службы Reporting Services Reporting Services по URL-адресу. Used for an HTTP connection to Службы Reporting Services Reporting Services through a URL.
Не рекомендуется использовать стандартное правило Службы Интернета HTTP. We recommend that you do not use the preconfigured rule World Wide Web Services HTTP. For more information, сервер the Interaction with Other Firewall Rules section below. Службы Reporting Services Reporting Services выделены для работы через протокол HTTPS configured for use through HTTPS. Не рекомендуется использовать стандартное правило Защищенные службы Интернета HTTPS. We recommend that you do not use the preconfigured rule Secure World Wide Web Services HTTPS.
Microsoft Microsoft удаленные вызовы процедур MS RPC remote procedure calls MS RPC Используется средой выполнения служб Фаерволом Integration Services Integration Services. Used by the Службы Integration Services Integration Services runtime. Служба Службы Integration Services Integration Services обращается к DCOM по порту The Службы Integration Services Integration Services выделенный uses DCOM on port Диспетчер управления службами использует порт для запуска и остановки службы Службы Integration Services Integration Servicesпередачи выделенный запросов запущенной службе и выполнения других задач.
The Service Control Manager uses port to perform tasks such as starting and stopping the Службы Integration Services Integration Services service and transmitting control requests to the running service.
Номер порта не может выделя изменен. The port number cannot be changed. Это единственный порт, который должен быть открыт при соединении с удаленным сервером службы Службы Integration Services Integration Services из среды Среда Management Studio Management Studio или прикладной программы. This port is only required to be open if фаерволом are connecting to a remote instance of the Службы Integration Services Integration Services service фаерволом Среда Management Studio Management Studio or a custom application.
Инструментарий управления Windows WMI Windows Management Instrumentation Дополнительные сведения о WMI см. Инструментарий WMI запускается в составе общего узла службы с назначением портов через DCOM. WMI runs as part of a shared service host with ports assigned through DCOM. Инструментарий WMI может выделя TCP-порт WMI might be using TCP port SQL Server SQL Server использует инструментарий WMI для просмотра и управления службами.
Configuration Manager uses WMI to list and manage services. Рекомендуется выделя стандартную группу правил Инструментарий управления Windows WMI.
We recommend that выделенный use the preconfigured rule group Windows Management Instrumentation WMI. Microsoft Сервер Координатор распределенных транзакций Майкрософт MS DTC Distributed Transaction Coordinator MS DTC. Если фаерволом использует распределенные транзакции, то может потребоваться настройка сервера таким образом, чтобы разрешить передачу данных координатора распределенных транзакций Microsoft Microsoft MS DTC между отдельными экземплярами MS DTC и между MS DTC и фаерволом ресурсов например, SQL Server SQL Server.
If your application uses distributed transactions, you might have to configure the firewall to allow Microsoft Microsoft Distributed Transaction Coordinator MS DTC traffic to flow between separate MS DTC instances, and between the MS DTC and resource managers such as SQL Server SQL Server. Рекомендуется выделя стандартную фаерволом правил Координатор распределенных транзакций.
We recommend that you use the preconfigured Distributed Transaction Coordinator rule group. Если для всего сервера настроен единственный общий координатор MS DTC в отдельной группе ресурсов, следует добавить программу сервер. When a single shared MS DTC is configured for the entire фаерволом in a separate resource group you should add фаерволом. Кнопка обзора в среде Среда Management Studio Management Studio соединяется со службой SQL Server SQL Serverвыделенный по протоколу UDP.
The browse button in Среда Management Studio Management Studio uses UDP to connect to the SQL Server SQL Server Browser Service. For more information, see SQL Server Browser Service Database Engine and SSAS. Протокол UDP не сохраняет соединения. UDP is a connectionless protocol. Свойство UnicastResponsesToMulticastBroadcastDisabled интерфейса INetFwProfile управляет работой брандмауэра по отношению к одноадресным ответам на широковещательные или многоадресные UDP-запросы.
The firewall has a setting, which is named UnicastResponsesToMulticastBroadcastDisabled Фаерволом of the INetFwProfile Interface which controls the behavior of the firewall with respect to unicast responses to a broadcast or multicast UDP request.
It has two behaviors: Если этот параметр имеет значение TRUE, то одноадресные ответы на широковещательные запросы запрещены. If the setting is TRUE, no unicast responses to a broadcast are permitted at all. Перечисление служб завершится ошибкой. Enumerating services will fail.
Если этот параметр имеет значение FALSE по умолчаниюто одноадресные серверы разрешены в течение 3 секунд. If the setting is FALSE defaultфаерволом responses are permitted for 3 seconds. Время ожидания не настраивается.
The length of time is not configurable. Если сеть переполнена, каналы имеют задержки или сервер работает в режиме высокой нагрузки, то при построении списка экземпляров SQL Server SQL Server список может быть возвращен лишь частично и ввести пользователя в заблуждение. Трафик по протоколу IPsec IPsec traffic.
UDP-порты и UDP port and UDP port Если политика домена требует выполнения сетевых соединения через протокол Сервер, необходимо добавить в список исключений UDP-порты и Выделенный the domain policy requires network communications to be done through IPsec, you must also add UDP port and UDP выделенный to the exception list.
Протокол IPsec можно включить с помощью мастера создания правила для входящего подключения в оснастке "Брандмауэр Windows". IPsec is an option using the New Inbound Rule Wizard in the Windows Firewall snap-in.
For more information, see Using the Windows Firewall with Advanced Security Snap-in below. Использование проверки подлинности Windows в надежных серверах Using Windows Authentication with Trusted Domains.
Брандмауэр можно настроить для разрешения запросов проверки подлинности. Firewalls must be configured to allow authentication requests. For more information, see How to configure a firewall for domains and trusts. SQL Server SQL Server и кластеризация Windows and Windows Clustering. Кластеризация требует открытия дополнительных выделенный, не связанных с SQL Server SQL Server напрямую. Clustering requires additional ports that are not directly related to SQL Server SQL Server.
For more information, see Enable a network for cluster use. Пространства имен URL-адресов, зарезервированные в компоненте HTTP. SYS URL namespaces reserved in the HTTP Server API HTTP. Обычно TCP-порт 80, однако можно настроить для использования любого другого порта. Probably TCP port 80, but can be configured to other ports. For general information, see Configuring HTTP and HTTPS. Сведения о резервировании конечной точки сервера HTTP. SYS с помощью программы HttpCfg.
For SQL Server SQL Server specific information about reserving an HTTP. SYS endpoint using HttpCfg.