Configurare Windows Firewall per consentire l'accesso a SQL Server

  • Articolo

I sistemi firewall consentono di impedire l'accesso non autorizzato alle risorse del computer. Se un firewall viene abilitato ma non configurato correttamente, i tentativi di connessione a SQL Server potrebbero essere bloccati.

Per accedere a un'istanza di SQL Server attraverso un firewall, è necessario configurare il firewall nel computer in cui viene eseguito SQL Server per consentire l'accesso. Il firewall è un componente di Microsoft Windows. È possibile anche installare un firewall di un altro produttore. In questo argomento viene illustrato come configurare Windows Firewall, ma i principi di base si applicano anche ad altri tipi di firewall.

[!NOTA]

In questo argomento viene fornita una panoramica della configurazione del firewall e vengono riepilogate le informazioni utili a un amministratore di SQL Server. Per ulteriori informazioni sul firewall, vedere la documentazione di riferimento, ad esempio Windows Firewall with Advanced Security and IPsec e Windows Firewall with Advanced Security - Content Roadmap.

Gli utenti che già conoscono l'elemento Windows Firewall del Pannello di controllo, lo snap-in MMC Windows Firewall con sicurezza avanzata e le impostazioni da configurare possono passare direttamente agli argomenti elencati di seguito:

In questo argomento

Questo argomento contiene le sezioni seguenti:

Informazioni di base sul firewall

Impostazioni del firewall predefinite

Programmi di configurazione del firewall

Porte utilizzate dal Motore di database

Porte utilizzate da Analysis Services

Porte utilizzate da Reporting Services

Porte utilizzate da Integration Services

Porte e servizi aggiuntivi

Interazione con altre regole del firewall

Cenni preliminari sui profili del firewall

Impostazioni aggiuntive del firewall mediante l'elemento Windows Firewall del Pannello di controllo

Utilizzo dello snap-in Windows Firewall con sicurezza avanzata

Risoluzione dei problemi relativi alle impostazioni del firewall

Informazioni di base sul firewall

Il meccanismo alla base del funzionamento dei firewall è il controllo dei pacchetti in ingresso seguito dal confronto rispetto a un set di regole. Se le regole consentono il pacchetto, esso viene passato al protocollo TCP/IP per un'elaborazione ulteriore. Se non lo consentono, il pacchetto viene ignorato e, se la registrazione è abilitata, viene creata una voce nel file di registrazione del firewall.

L'elenco del traffico consentito viene creato in uno dei modi seguenti:

  • Quando il computer che include il firewall abilitato avvia la comunicazione, il firewall crea una voce nell'elenco in modo da consentire la risposta. La risposta in ingresso è considerata traffico richiesto e non è necessario effettuare alcuna configurazione.

  • Le eccezioni per il firewall vengono configurate dall'amministratore. In questo modo è possibile accedere a programmi specificati in esecuzione o a porte di connessione specificate nel computer. In questo caso, il computer accetta il traffico in ingresso non richiesto quando svolge le funzioni di server, listener o peer. Questo è il tipo di configurazione che è necessario completare per connettersi a SQL Server.

La scelta del tipo di firewall più adatto alle proprie esigenze non si limita alla decisione relativa alla necessità di aprire o chiudere una determinata porta e presuppone che vengano prese in considerazione tutte le regole e le opzioni di configurazione disponibili. In questo argomento non verranno esaminate tutte le possibili opzioni del firewall. Si consiglia di consultare i documenti seguenti:

Guida introduttiva a Windows Firewall con sicurezza avanzata

Windows Firewall with Advanced Security Design Guide

Introduction to Server and Domain Isolation

Impostazioni del firewall predefinite

Il primo passaggio della pianificazione della configurazione del firewall consiste nel determinare lo stato corrente del firewall per il sistema operativo in uso. Se quest'ultimo è stato aggiornato da una versione precedente, è possibile che le impostazioni del firewall siano state conservate o che siano state modificate da un altro amministratore o da Criteri di gruppo nel dominio. Le impostazioni predefinite sono tuttavia le seguenti:

  • Windows Server 2008

    Il firewall è attivo e consente il blocco delle connessioni remote.

  • Windows Vista

    Il firewall è attivo e consente il blocco delle connessioni remote.

[!NOTA]

L'attivazione del firewall influisce su altri programmi a cui è consentito l'accesso al computer, ad esempio la condivisione di file e stampanti e le connessioni desktop remoto. Prima di modificare le impostazioni del firewall, gli amministratori devono tener conto di tutte le applicazioni in esecuzione nel computer.

Programmi di configurazione del firewall

Sono disponibili tre metodi per configurare le impostazioni di Windows Firewall.

  • Elemento Windows Firewall nel Pannello di controllo

    L'elemento Windows Firewall può essere aperto dal Pannello di controllo.

    Nota importanteImportante

    Le modifiche apportate all'elemento Windows Firewall nel Pannello di controllo influiscono solo sul profilo corrente. È preferibile non utilizzare questa modalità di configurazione nei dispositivi mobili, ad esempio i laptop, in quanto il profilo potrebbe subire delle modifiche quando è connesso in una configurazione diversa. Se ciò accade, il profilo configurato in precedenza non è più attivo. Per ulteriori informazioni sui profili, vedere Guida introduttiva a Windows Firewall con sicurezza avanzata.

    L'elemento Windows Firewall nel Pannello di controllo consente di configurare le opzioni di base, inclusi i seguenti:

    • Abilitazione e disabilitazione dell'elemento Windows Firewall nel Pannello di controllo.

    • Abilitazione e disabilitazione delle regole

    • Concessione di eccezioni relative a porte e programmi

    • Impostazione di alcune restrizioni dell'ambito

    L'elemento Windows Firewall del Pannello di controllo risulta particolarmente adatto agli utenti che hanno scarsa familiarità con la configurazione del firewall e che effettuano la configurazione delle opzioni di base del firewall per computer non portatili. L'apertura di Windows Firewall nel Pannello di controllo può essere eseguita anche dal comando run tramite la procedura riportata di seguito:

    Per aprire l'elemento Windows Firewall

    1. Fare clic sul pulsante Start, scegliere Esegui, quindi immettere firewall.cpl.

    2. Scegliere OK.

  • Microsoft Management Console (MMC)

    Lo snap-in MMC Windows Firewall con sicurezza avanzata consente di configurare impostazioni del firewall più avanzate. Questo snap-in è disponibile solo a partire da Microsoft Vista e Windows Server 2008, tuttavia sono contenuti tutti i profili del firewall e la maggior parte delle opzioni del firewall in una modalità di facile utilizzo. Per ulteriori informazioni, vedere Utilizzo dello snap-in Windows Firewall con sicurezza avanzata più avanti in questo argomento.

  • netsh

    Lo strumento netsh.exe può essere utilizzato da un amministratore per configurare e monitorare computer basati su Windows a un prompt dei comandi o tramite un file batch**.** Lo strumento netsh consente di indirizzare i comandi contestuali all'helper appropriato in modo che l'helper esegua il comando desiderato. Un helper è un file DLL (Dynamic Link Library, libreria di collegamento dinamico) che estende la funzionalità dello strumento netsh e fornisce configurazione, monitoraggio e supporto per uno o più servizi, utilità o protocolli. Tutti i sistemi operativi che supportano SQL Server dispongono di un helper del firewall. Microsoft Windows Vista e Windows Server 2008 dispongono anche di un helper del firewall avanzato denominato advfirewall. I dettagli sull'utilizzo di netsh non vengono descritti in questo argomento. Tuttavia, molte delle opzioni di configurazione descritte possono essere configurate tramite netsh. Ad esempio, eseguire lo script seguente al prompt dei comandi per aprire la porta TCP 1433:

    netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT

    Esempio simile utilizzando l'helper Windows Firewall con sicurezza avanzata:

    netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN

    Per ulteriori informazioni su netsh, vedere i collegamenti seguenti:

Porte utilizzate da SQL Server

Le tabelle seguenti consentono di identificare le porte utilizzate da SQL Server.

Porte utilizzate dal Motore di database

Nella tabella seguente sono indicate le porte più utilizzate dal Motore di database.

Scenario

Porta

Commenti

Istanza predefinita di SQL Server in esecuzione su TCP

Porta TCP 1433

Si tratta della porta più comune consentita dal firewall. Viene utilizzata nelle connessioni di routine all'installazione predefinita del Motore di databaseo a un'istanza denominata che rappresenta l'unica istanza in esecuzione nel computer. Le istanze denominate presuppongo alcune considerazioni speciali. Vedere Porte dinamiche più avanti in questo argomento.

Istanze denominate di SQL Server nella configurazione predefinita

La porta TCP è una porta dinamica determinata all'avvio del Motore di database. 

Vedere la discussione che segue nella sezione Porte dinamiche. La porta UDP 1434 potrebbe essere richiesta per il servizio SQL Server Browser durante l'utilizzo di istanze denominate.

Istanze denominate di SQL Server quando vengono configurate per l'utilizzo di una porta fissa

Il numero di porta configurato dall'amministratore.

Vedere la discussione che segue nella sezione Porte dinamiche.

Dedicated Admin Connection

Porta TCP 1434 per l'istanza predefinita. Per le istanze denominate vengono utilizzate altre porte. Per informazioni sul numero di porta, controllare il log degli errori.

Per impostazione predefinita, le connessioni amministrative dedicate (DAC, Dedicated Administrator Connection) remote non sono abilitate. Per abilitare le connessioni DAC remote, utilizzare il facet Configurazione superficie di attacco. Per ulteriori informazioni, vedere Configurazione superficie di attacco.

Servizio SQL Server Browser

Porta UDP 1434

Il servizio SQL Server Browser è in attesa delle connessioni in ingresso a un'istanza denominata e fornisce al client il numero di porta TCP corrispondente. In genere il servizio SQL Server Browser viene avviato ogni volta che si utilizzano istanze denominate del Motore di database e non è necessario avviarlo se il client è configurato per la connessione alla porta specifica dell'istanza denominata.

Istanza di SQL Server in esecuzione su un endpoint HTTP.

Può essere specificata quando viene creato un endpoint HTTP. Le impostazioni predefinite sono la porta TCP 80 per il traffico CLEAR_PORT e la porta 443 per il traffico SSL_PORT.

Utilizzata per una connessione HTTP tramite un URL.

Istanza predefinita di SQL Server in esecuzione su un endpoint HTTPS.

Porta TCP 443

Utilizzata per una connessione HTTPS tramite un URL. HTTPS è una connessione HTTP che utilizza il protocollo SSL (Secure Sockets Layer).

Service Broker

Porta TCP 4022. Per verificare la porta utilizzata, eseguire la query seguente:

SELECT name, protocol_desc, port, state_desc

FROM sys.tcp_endpoints

WHERE type_desc = 'SERVICE_BROKER'

Per SQL Server Service Broker non sono disponibili porte predefinite, ma questa è la configurazione convenzionale utilizzata negli esempi della documentazione online.

Mirroring del database

Porta scelta dall'amministratore. Per determinare la porta, eseguire la query seguente:

SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints

WHERE type_desc = 'DATABASE_MIRRORING'

Per il mirroring del database non sono disponibili porte predefinite, tuttavia negli esempi della documentazione online viene utilizzata la porta TCP 7022. È molto importante evitare di interrompere un endpoint del mirroring in uso, soprattutto in modalità a protezione elevata con failover automatico. La configurazione del firewall deve evitare di interrompere il quorum. Per ulteriori informazioni, vedere Specificare un indirizzo di rete del server (Mirroring del database).

Replica

Per le connessioni di replica a SQL Server vengono utilizzate le tipiche porte standard del Motore di database (porta TCP 1433 per l'istanza predefinita e così via).

La sincronizzazione Web e l'accesso FTP/UNC per snapshot di replica richiedono l'apertura di porte aggiuntive sul firewall. Per trasferire lo schema e i dati iniziali da una posizione all'altra, per la replica possono essere utilizzati il protocollo FTP (porta TCP 21), la sincronizzazione su HTTP (porta TCP 80) o la condivisione di file. Nella condivisione di file vengono utilizzate le porte UDP 137 e 138 a la porta TCP 139 in caso di utilizzo di NetBios. A partire da Windows 2003, la condivisione di file utilizza la porta TCP 445.

Per la sincronizzazione su HTTP, la replica utilizza l'endpoint IIS, ovvero le porte per le quali è configurabile, anche se la porta 80 rappresenta l'impostazione predefinita, ma il processo IIS si connette al back-end SQL Server tramite le porte standard (1433 per l'istanza predefinita).

Durante la sincronizzazione Web tramite FTP, il trasferimento FTP avviene tra IIS e il server di pubblicazione SQL Server, non tra il sottoscrittore e IIS.

Debugger Transact-SQL

Porta TCP 135

Vedere Considerazioni speciali per la porta 135

Potrebbe essere necessaria anche l'eccezione IPsec.

Se si utilizza Visual Studio, nel computer host di Visual Studio, è necessario aggiungere anche Devenv.exe all'elenco di eccezioni e aprire la porta TCP 135.

Se si utilizza Management Studio, nel computer host di Management Studio, è necessario aggiungere anche ssms.exe all'elenco di eccezioni e aprire la porta TCP 135. Per ulteriori informazioni, vedere Configurazione del debugger Transact-SQL.

Per istruzioni dettagliate su come configurare Windows Firewall per il Motore di database, vedere Configurazione di Windows Firewall per l'accesso al Motore di database.

Porte dinamiche

Per impostazione predefinita, per le istanze denominate, inclusa SQL Server Express, vengono utilizzate porte dinamiche. Ciò significa che ogni volta che il Motore di database viene avviato, identifica una porta disponibile e ne utilizza il numero. Se l'istanza denominata è l'unica istanza del Motore di database installata, è probabile che venga utilizzata la porta TCP 1433. Se sono installate altre istanze del Motore di database, è probabile che venga utilizzata una porta TCP diversa. Poiché la porta selezionata potrebbe cambiare ogni volta che il Motore di database viene avviato, è difficile configurare il firewall per abilitare l'accesso al numero di porta corretto. Pertanto, se si utilizza un firewall, è consigliabile riconfigurare il Motore di database affinché utilizzi ogni volta lo stesso numero di porta. In questi casi si parla quindi di porta fissa o porta statica. Per ulteriori informazioni, vedere Configurazione di un server per l'attesa su una porta TCP specifica (Gestione configurazione SQL Server).

Un'alternativa alla configurazione di un'istanza denominata affinché si metta in attesa su una porta fissa consiste nel creare un'eccezione nel firewall per un programma di SQL Server, ad esempio sqlservr.exe per il Motore di database. Anche se può risultare utile, il numero di porta non verrà visualizzato nella colonna Porta locale della pagina Regole in entrata quando si utilizza lo snap-in MMC Windows Firewall con sicurezza avanzata. Questa operazione può rendere più difficile il controllo delle porte aperte. È inoltre necessario tenere presente che il percorso del file eseguibile di SQL Server può essere modificato da un Service Pack o da un aggiornamento cumulativo, invalidando la regola del firewall.

[!NOTA]

La procedura riportata di seguito utilizza l'elemento Windows Firewall del Pannello di controllo. Lo snap-in MMC Windows Firewall con sicurezza avanzata consente di configurare una regola più complessa, inclusa la configurazione di un'eccezione del servizio che può risultare utile per offrire una difesa più avanzata. Vedere Utilizzo dello snap-in Windows Firewall con sicurezza avanzata più avanti.

Per aggiungere un'eccezione del programma al firewall utilizzando l'elemento Windows Firewall nel Pannello di controllo

  1. Nella scheda Eccezioni dell'elemento Windows Firewall nel Pannello di controllo fare clic su Aggiungi programma.

  2. Passare al percorso dell'istanza di SQL Server che si vuole consentire nel firewall, ad esempio C:\Program Files\Microsoft SQL Server\MSSQL11.<instance_name>\MSSQL\Binn, selezionare sqlservr.exe, quindi fare clic su Apri.

  3. Scegliere OK.

Per ulteriori informazioni sugli endpoint, vedere Configurazione del Motore di database per l'attesa su più porte TCP e Viste del catalogo degli endpoint (Transact-SQL).

Porte utilizzate da Analysis Services

Nella tabella seguente sono indicate le porte più utilizzate da Analysis Services.

Funzionalità

Porta

Commenti

Analysis Services

Porta TCP 2383 per l'istanza predefinita

La porta standard per l'istanza predefinita di Analysis Services.

Servizio SQL Server Browser

Porta TCP 2382 necessaria solo per un'istanza denominata di Analysis Services

Le richieste di connessione client per un'istanza denominata di Analysis Services che non specificano un numero di porta vengono indirizzate alla porta 2382, ovvero la porta su cui è in attesa SQL Server Browser. Tramite SQL Server Browser la richiesta viene quindi reindirizzata alla porta utilizzata dall'istanza denominata.

Analysis Services configurato per l'utilizzo tramite IIS/HTTP

Il Servizio PivotTable® utilizza HTTP o HTTPS

Porta TCP 80

Utilizzata per una connessione HTTP tramite un URL.

Analysis Services configurato per l'utilizzo tramite IIS/HTTPS

Il Servizio PivotTable® utilizza HTTP o HTTPS

Porta TCP 443

Utilizzata per una connessione HTTPS tramite un URL. HTTPS è una connessione HTTP che utilizza il protocollo SSL (Secure Sockets Layer).

Se gli utenti accedono a Analysis Services tramite IIS e Internet, è necessario aprire la porta su cui IIS è in attesa e specificare la porta nella stringa di connessione client. In questo caso, non è necessario aprire alcuna porta per l'accesso diretto ad Analysis Services. È consigliabile limitare la porta predefinita 2389 e la porta 2382 insieme a tutte le altre porte non necessarie.

Per istruzioni dettagliate su come configurare Windows Firewall per Analysis Services, vedere Configurare Windows Firewall per consentire l'accesso ad Analysis Services.

Porte utilizzate da Reporting Services

Nella tabella seguente sono indicate le porte più utilizzate da Reporting Services.

Funzionalità

Porta

Commenti

Servizi Web Reporting Services

Porta TCP 80

Utilizzata per una connessione HTTP a Reporting Services tramite un URL. È consigliabile non utilizzare la regola preconfigurata Servizi Web (HTTP). Per ulteriori informazioni, vedere la sezione Interazione con altre regole del firewall più avanti.

Reporting Services configurato per l'utilizzo tramite HTTPS

Porta TCP 443

Utilizzata per una connessione HTTPS tramite un URL. HTTPS è una connessione HTTP che utilizza il protocollo SSL (Secure Sockets Layer). È consigliabile non utilizzare la regola preconfigurata Servizi Web protetti (HTTP). Per ulteriori informazioni, vedere la sezione Interazione con altre regole del firewall più avanti.

Quando Reporting Services si connette a un'istanza del Motore di database o di Analysis Services, è necessario aprire anche le porte adatte per quei servizi. Per istruzioni dettagliate su come configurare Windows Firewall per Reporting Services, vedere Configurare un firewall per l'accesso al server di report.

Porte utilizzate da Integration Services

Nella tabella seguente sono indicate le porte utilizzate dal servizio Integration Services.

Funzionalità

Porta

Commenti

Microsoft Remote Procedure Calls (MS RPC)

Utilizzate dal runtime di Integration Services.

Porta TCP 135

Vedere Considerazioni speciali per la porta 135

Il servizio Integration Services utilizza il protocollo DCOM sulla porta 135. La porta 135 viene utilizzata da Gestione controllo servizi per eseguire attività quali l'avvio e l'arresto del servizio Integration Services e la trasmissione di richieste di controllo al servizio in esecuzione. Il numero di porta non può essere modificato.

Questa porta deve essere aperta solo se si sta effettuando la connessione a un'istanza remota del servizio Integration Services da Management Studio o da un'applicazione personalizzata.

Per istruzioni dettagliate su come configurare Windows Firewall per Integration Services, vedere Configurare un Windows Firewall per l'accesso al servizio SSIS.

Porte e servizi aggiuntivi

Nella tabella riportata di seguito sono elencati i servizi e le porte da cui potrebbe dipendere SQL Server.

Scenario

Porta

Commenti

Strumentazione gestione Windows

Per ulteriori informazioni su Strumentazione gestione Windows (WMI), vedere Concetti relativi al provider WMI per Gestione configurazione.

WMI viene eseguito come parte di un host del servizio condiviso con porte assegnate tramite DCOM e potrebbe utilizzare la porta TCP 135.

Vedere Considerazioni speciali per la porta 135

Gestione configurazione SQL Server utilizza WMI per elencare e gestire servizi. È consigliabile utilizzare il gruppo di regole preconfigurate Strumentazione gestione Windows (WMI). Per ulteriori informazioni, vedere la sezione Interazione con altre regole del firewall più avanti.

Microsoft Distributed Transaction Coordinator (MS DTC)

Porta TCP 135

Vedere Considerazioni speciali per la porta 135

Se nell'applicazione vengono utilizzate transazioni distribuite, può essere necessario configurare il firewall in modo da consentire il flusso del traffico di Microsoft Distributed Transaction Coordinator (MS DTC) tra istanze MS DTC separate e tra MS DTC e strumenti di gestione delle risorse come SQL Server. È consigliabile utilizzare il gruppo di regole preconfigurato Distributed Transaction Coordinator.

Quando è configurato un solo oggetto MS DTC condiviso per l'intero cluster in un gruppo di risorse distinto, è necessario aggiungere sqlservr.exe come eccezione al firewall.

Il pulsante Sfoglia in Management Studio utilizza il protocollo UDP per connettersi al servizio SQL Server Browser. Per ulteriori informazioni, vedere Servizio SQL Server Browser (Motore database e SSAS).

Porta UDP 1434

UDP è un protocollo senza connessione.

Il firewall include un'impostazione, denominata UnicastResponsesToMulticastBroadcastDisabled Property of the INetFwProfile Interface che controlla il comportamento del firewall relativamente alle risposte unicast a una richiesta UDP di trasmissione (o multicast). Sono possibili due comportamenti:

  • Se l'impostazione è TRUE, non sono consentite risposte unicast a una trasmissione. I servizi di enumerazione non possono essere eseguiti correttamente.

  • Se l'impostazione è FALSE (impostazione predefinita), le risposte unicast sono consentite per 3 secondi. La durata non è configurabile. In una rete congestionata o ad alta latenza o nei server con carico elevato i tentativi di enumerazione delle istanze di SQL Server potrebbero restituire un elenco parziale e fuorviante per gli utenti.

Traffico IPsec

Porta UDP 500 e porta UDP 4500

Se i criteri di dominio richiedono che le comunicazioni di rete vengano eseguite tramite IPsec, è necessario aggiungere anche la porta UDP 4500 e la porta UDP 500 all'elenco delle eccezioni. IPsec è un'opzione che utilizza la Creazione guidata nuova regola connessioni in entrata nello snap-in Windows Firewall. Per ulteriori informazioni, vedere Utilizzo dello snap-in Windows Firewall con sicurezza avanzata più avanti.

Utilizzo dell'autenticazione di Windows con domini trusted

Per consentire le richieste di autenticazione, è necessario configurare i firewall.

Per ulteriori informazioni, vedere Configurazione di un firewall per domini e trust.

SQL Server e servizio cluster di Windows

Il clustering richiede porte aggiuntive non direttamente correlate a SQL Server.

Per ulteriori informazioni, vedere Enable a network for cluster use.

Spazi dei nomi URL riservati in HTTP Server API (HTTP.SYS)

Probabilmente la porta TCP 80, ma può essere configurata su altre porte. Per informazioni generali, vedere Configuring HTTP and HTTPS.

Per informazioni specifiche di SQL Server su come riservare un endpoint HTTP.SYS mediante HttpCfg.exe, vedere Informazioni su prenotazioni e registrazione URL.

Considerazioni speciali per la porta 135

Quando si utilizza RPC con TCP/IP o UDP/IP come trasporto, le porte in ingresso spesso vengono assegnate dinamicamente ai servizi di sistema, se necessario. Vengono utilizzate le porte TCP/IP e UDP/IP che sono più grandi della porta 1024 e spesso vengono definite in modo informale "porte RPC casuali". In questi casi, i client RPC si basano sul mapper di endpoint RPC per indicare le porte dinamiche assegnate al server. Per alcuni servizi basati su RPC è possibile configurare una porta specifica anziché consentire a RPC un'assegnazione dinamica. È inoltre possibile limitare l'intervallo di porte assegnate dinamicamente da RPC a un piccolo intervallo, indipendentemente dal servizio. Poiché la porta 135 viene utilizzata per molti servizi, viene attaccata di frequente da utenti malintenzionati. Quando si apre la porta 135, limitare l'ambito della regola del firewall.

Per ulteriori informazioni sulla porta 135, consultare i riferimenti seguenti:

Interazione con altre regole del firewall

Per effettuare la configurazione di Windows Firewall, è necessario utilizzare regole e gruppi di regole. Ogni regola o gruppo di regole in genere è associato a un particolare programma o un servizio ed è possibile che tale programma o servizio modifichi o elimini la regola all'insaputa dell'utente. I gruppi di regole Servizi Web (HTTP) e Servizi Web (HTTPS), ad esempio, sono associati a IIS. L'abilitazione di queste due regole comporterà l'apertura delle porte 80 e 443 e l'attivazione delle caratteristiche di SQL Server che dipendono da tali porte. È tuttavia possibile che gli amministratori che configurano IIS le modifichino o disabilitino. Pertanto, se si utilizza la porta 80 o la porta 443 per SQL Server, è necessario creare una regola o un gruppo di regole personalizzate che mantenga la configurazione delle porte desiderata, indipendentemente dalle altre regole IIS.

Lo snap-in MMC Windows Firewall con sicurezza avanzata consente tutto il traffico che corrisponde alle regole di concessione applicabili. Pertanto, se esistono due regole applicabili entrambe alla porta 80 (con parametri diversi), il traffico che corrisponde all'una o all'altra verrà consentito. Se una regola consente il traffico sulla porta 80 da una subnet locale e l'altra il traffico da qualsiasi indirizzo, l'effetto finale è che tutto il traffico verso la porta 80 verrà consentito, indipendentemente dall'origine. Per gestire efficacemente l'accesso a SQL Server, gli amministratori devono verificare periodicamente tutte le regole del firewall abilitate sul server.

Cenni preliminari sui profili del firewall

I profili del firewall vengono illustrati in Guida introduttiva a Windows Firewall con sicurezza avanzata nella sezione relativa al firewall host con riconoscimento del percorso di rete. Per riepilogare, a partire da Windows Vista e Windows Server 2008, i sistemi operativi sono in grado di identificare e memorizzare ciascuna delle reti alle quali si connettono per tutto quello che riguarda la connettività, le connessioni e la categoria.

Sono disponibili tre tipi di percorsi di rete in Windows Firewall con sicurezza avanzata:

  • Dominio. Windows può autenticare l'accesso al controller di dominio per il dominio al quale il computer viene unito.

  • Pubblica. Ad eccezione di quelle del dominio, tutte le reti sono inizialmente classificate come pubbliche. Le reti che rappresentano connessioni dirette a Internet o che si trovano in luoghi pubblici, ad esempio aeroporti e Internet caffè, dovrebbero essere sempre pubbliche.

  • Privata. Una rete identificata da un utente o da un'applicazione come privata. Solo le reti attendibili devono essere identificate come reti private. In genere gli utenti desiderano identificare come private le reti domestiche o di piccole aziende.

L'amministratore può creare un profilo per ogni tipo di percorso di rete, contenente diversi criteri del firewall. È possibile applicare un solo profilo alla volta. L'ordine di applicazione è il seguente:

  1. Se tutte le interfacce vengono autenticate nel controller di dominio per il dominio del quale il computer è membro, il profilo del dominio viene applicato.

  2. Se tutte le interfacce sono autenticate nel controller di dominio o sono connesse a reti classificate come percorsi di rete privati, viene applicato il profilo privato.

  3. In caso contrario, viene applicato il profilo pubblico.

Utilizzare lo snap-in MMC Windows Firewall con sicurezza avanzata per visualizzare e configurare tutti i profili del firewall. L'elemento Windows Firewall del Pannello di controllo configura solo il profilo corrente.

Impostazioni aggiuntive del firewall mediante l'elemento Windows Firewall del Pannello di controllo

Le eccezioni aggiunte al firewall possono limitare l'apertura della porta alle connessioni in ingresso da computer specifici o dalla subnet locale. Questa restrizione dell'ambito di apertura della porta è consigliata e può ridurre il livello di esposizione del computer agli utenti malintenzionati.

[!NOTA]

L'utilizzo dell'elemento Windows Firewall del Pannello di controllo configura solo il profilo del firewall corrente.

Per modificare l'ambito dell'eccezione di un firewall mediante l'elemento Windows Firewall del Pannello di controllo

  1. Nell'elemento Windows Firewall del Pannello di controllo selezionare un programma o una porta nella scheda Eccezioni, quindi fare clic su Proprietà o Modifica.

  2. Nella finestra di dialogo Modifica programma o Modifica porta fare clic su Cambia ambito.

  3. Selezionare una delle opzioni seguenti:

    • Tutti i computer (compresi quelli in Internet)

      Non consigliata. Questa opzione consente a tutti i computer che riescono a comunicare con il computer dell'utente di connettersi al programma o alla porta specificata. Questa impostazione potrebbe essere necessaria per consentire la presentazione delle informazioni a utenti anonimi su Internet, ma aumenta l'esposizione a utenti malintenzionati. L'esposizione può essere ulteriormente aumentata se insieme a questa impostazione viene abilitato anche l'attraversamento NAT (Network Address Translation), ad esempio l'opzione Consenti attraversamento confini.

    • Solo la rete (subnet) locale

      Questa impostazione offre una protezione maggiore rispetto a Tutti i computer. Solo i computer che si trovano nella subnet locale della rete possono connettersi al programma o alla porta.

    • Elenco personalizzato:

    Solo i computer che dispongono degli indirizzi IP elencati possono connettersi. Questa opzione offre un livello di protezione ancora più elevato di Solo la rete (subnet) locale, anche se i computer client che utilizzano DHCP possono modificare occasionalmente l'indirizzo IP. Pertanto il computer desiderato non sarà in grado di connettersi. Un altro computer, a cui non è stata concessa l'autorizzazione, potrebbe accettare l'indirizzo IP elencato ed essere in grado di connettersi. L'opzione Elenco personalizzato può risultare adatta per elencare altri server configurati per l'utilizzo di un indirizzo IP fisso anche se gli indirizzi IP possono essere soggetti a spoofing da parte di un intruso. L'efficacia delle regole di limitazione del firewall equivale solo a quella dell'infrastruttura di rete.

Utilizzo dello snap-in Windows Firewall con sicurezza avanzata

A partire da Vista e Windows Server 2008, è possibile configurare impostazioni del firewall avanzate aggiuntive tramite lo snap-in MMC Windows Firewall con sicurezza avanzata. Lo snap-in include una procedura guidata di creazione delle regole ed espone impostazioni aggiuntive non disponibili nell'elemento Windows Firewall del Pannello di controllo, Sono incluse le seguenti impostazioni:

  • Impostazioni di crittografia

  • Restrizioni dei servizi

  • Restrizione delle connessioni per i computer in base al nome

  • Restrizione delle connessioni a utenti o profili specifici

  • Attraversamento dei confini che consente al traffico di ignorare i router NAT (Network Address Translation)

  • Configurazione di regole in uscita

  • Configurazione di regole di sicurezza

  • Richiesta di IPsec per le connessioni in ingresso

Per creare una nuova regola del firewall utilizzando la Creazione guidata nuova regola connessioni in entrata

  1. Nel menu Start, scegliere Esegui, digitare WF.msc e quindi fare clic su OK.

  2. In Windows Firewall con sicurezza avanzata, nel riquadro sinistro, fare clic con il pulsante destro del mouse su Regole in entrata, quindi scegliere Nuova regola.

  3. Completare la Creazione guidata nuova regola connessioni in entrata utilizzando le impostazioni desiderate.

Risoluzione dei problemi relativi alle impostazioni del firewall

Le tecniche e gli strumenti illustrati di seguito possono risultare utili per la risoluzione dei problemi del firewall.

  • Lo stato della porta più efficace è l'unione di tutte le regole relative alla porta. Quando si tenta di bloccare l'accesso attraverso una porta, può essere utile verificare tutte le regole in cui viene citato il numero della porta. A questo scopo, utilizzare lo snap-in MMC Windows Firewall con sicurezza avanzata e ordinare le regole in entrata e in uscita in base al numero della porta.

  • Verificare le porte attive nel computer su cui è in esecuzione SQL Server. Questo processo di verifica include l'individuazione delle porte TCP/IP in attesa, nonché dello stato delle porte.

    Per verificare quali porte siano in attesa, utilizzare l'utilità da riga di comando netstat. Oltre alle connessioni TCP attive, l'utilità netstat visualizza anche un'ampia gamma di statistiche e informazioni relative al protocollo IP.

    Per elencare le porte TCP/IP in attesa

    1. Aprire una finestra del prompt dei comandi.

    2. Al prompt dei comandi digitare netstat -n -a.

      L'opzione -n indica a netstat di visualizzare in valori numerici l'indirizzo e il numero di porta delle connessioni TCP attive. L'opzione -a indica a netstat di visualizzare le porte TCP e UDP su cui è in attesa il computer.

  • L'utilità PortQry può essere utilizzata per indicare lo stato delle porte come in attesa, non in attesa o filtrato. Uno stato filtrato non indica se la porta è o non è in attesa, bensì che l'utilità non ha ricevuto alcuna risposta dalla porta. È possibile scaricare l'utilità PortQry dalla pagina relativa all'area download Microsoft.

Vedere anche

Altre risorse

Panoramica dei servizi e requisiti per le porte di rete per il sistema server Windows