• Artigo

Configurando o Firewall do Windows para permitir acesso ao SQL Server

Os sistemas de Firewall ajudam a impedir o acesso não autorizado aos recursos do computador. Se um firewall estiver ativado mas não corretamente configurado, as tentativas de conexão ao SQL Server poderão ser bloqueadas.

Para acessar uma instância do SQL Server através de um firewall, é necessário configurar o firewall no computador que está executando o SQL Server. O firewall é um componente do Microsoft Windows. Você também pode instalar um firewall de outra empresa. Este tópico discute como configurar o firewall do Windows, mas os princípios básicos se aplicam a outros programas de firewall.

ObservaçãoObservação

Este tópico apresenta uma visão geral da configuração do firewall e resume informações de interesse de um administrador do SQL Server. Para obter mais informações sobre o firewall e informações sobre firewall autoritativo, consulte a documentação do firewall, como Windows Firewall with Advanced Security and IPsec e Windows Firewall with Advanced Security - Content Roadmap.

Os usuários que já estão familiarizados com o item Firewall do Windows no Painel de Controle e com o snap-in Firewall do Windows com Segurança Avançada do Console de Gerenciamento Microsoft (MMC) e sabem as configurações de firewall que desejam definir podem passar diretamente para os tópicos desta lista:

Neste tópico

Este tópico tem as seguintes seções:

Informações básicas sobre o firewall

Configurações padrão do firewall

Programas para configurar o firewall

Portas usadas pelo Mecanismo de Banco de Dados

Portas usadas pelo Analysis Services

Portas usadas pelo Reporting Services

Portas usadas pelo Integration Services

Portas e serviços adicionais

Interação com outras regras do firewall

Visão geral de perfis do firewall

Configurações adicionais do firewall usando o item Firewall do Windows no Painel de Controle

Usando o snap-in Firewall do Windows com Segurança Avançada

Solucionando problemas de configurações do firewall

Informações básicas sobre o firewall

Os firewalls inspecionam pacotes recebidos e os comparam a um conjunto de regras. Se as regras autorizarem o pacote, o firewall o transmitirá ao protocolo TCP/IP para processamento adicional. Se as regras não autorizarem o pacote, o firewall o descartará e, se o log estiver habilitado, criará uma entrada em seu arquivo de log.

A lista de tráfego permitido é preenchida de uma das seguintes maneiras:

  • Quando o computador que tem o firewall habilitado inicia a comunicação, o firewall cria uma entrada na lista de forma que a resposta seja permitida. A resposta recebida é considerada tráfego solicitado, e você não precisa configurá-la.

  • Um administrador configura as exceções do firewall. Isto permite acesso a determinados programas executados em seu computador ou acesso a portas de conexão especificadas do computador. Nesse caso, o computador aceita tráfego de entrada não solicitado quando funciona como servidor, ouvinte ou item de mesmo nível. Esse é o tipo de configuração que deve ser concluída para que se possa estabelecer conexão com o SQL Server.

Escolher a estratégia de firewall é uma tarefa mais complexa do que simplesmente decidir se uma dada porta deve ficar aberta ou fechada. Ao elaborar uma estratégia de firewall para sua empresa, é importante que você considere todas as regras e opções de configuração disponíveis. Este tópico não examina todas as opções de firewall possíveis. É recomendável consultar os seguintes documentos (em inglês):

Getting Started with Windows Firewall with Advanced Security in Windows Vista and Windows Server 2008

Windows Firewall with Advanced Security Design Guide

Introduction to Server and Domain Isolation

Configurações padrão do firewall

A primeira etapa do planejamento da configuração do firewall é determinar o status atual do firewall do sistema operacional. Se o sistema operacional foi atualizado de uma versão anterior, as configurações de firewall anteriores podem ter sido preservadas. Além disso, as configurações de firewall podem ter sido alteradas por outro administrador ou por uma Diretiva de Grupo do seu domínio. No entanto, as configurações padrão são estas:

  • Windows Server 2008

    O firewall está ativo e bloqueando conexões remotas.

  • Windows Server 2003

    O firewall está desativado. Os administradores devem considerar a possibilidade de ativar o firewall.

  • Windows Vista

    O firewall está ativo e bloqueando conexões remotas.

  • Windows XP, Service Pack 2 ou mais recente

    O firewall está ativo e bloqueando conexões remotas.

  • Windows XP, Service Pack 1 ou anterior

    O firewall está desativado e deve ser ativado.

ObservaçãoObservação

A ativação do firewall afetará outros programas que acessam este computador, como o compartilhamento de arquivos e impressoras, e conexões de área de trabalho remota. Os administradores devem considerar todos os aplicativos que estão em execução no computador antes de ajustar as configurações do firewall.

Programas para configurar o firewall

Há três maneiras de configurar o Firewall do Windows.

  • Item Firewall do Windows no Painel de Controle

    O item Firewall do Windows pode ser aberto do Painel de Controle.

    Observação importanteImportante

    Alterações feitas no item Firewall do Windows do Painel de Controle afetam somente o perfil atual. Dispositivos móveis, como laptops, não devem usar o item Firewall do Windows do Painel de Controle, uma vez que o perfil pode mudar quando conectado em uma configuração diferente. Por isso o perfil anteriormente configurado não terá efeito. Para obter mais informações sobre perfis, consulte Getting Started with Windows Firewall with Advanced Security in Windows Vista and Windows Server 2008.

    O item Firewall do Windows no Painel de Controle permite configurar opções básicas. Entre elas estão as seguintes:

    • Ativar ou desativar o item Firewall do Windows no Painel de Controle

    • Habilitar e desabilitar regras

    • Conceder exceções para portas e programas

    • Definir algumas restrições de escopo

    O item Firewall do Windows no Painel de Controle é mais apropriado para usuários que não têm experiência em configuração de firewall e que estão configurando opções básicas do firewall para computadores que não são móveis. Você também pode abrir o item Firewall do Windows no Painel de Controle através do comando run executando o seguinte procedimento:

    Para abrir o item Firewall do Windows

    1. No menu Iniciar, clique em Executar e digite firewall.cpl.

    2. Clique em OK.

  • Console de Gerenciamento Microsoft (MMC)

    O snap-in Firewall do Windows com Segurança Avançada do MMC permite definir configurações de firewall mais avançadas. Este snap-in só está disponível para o Microsoft Vista e o Windows Server 2008, mas apresenta a maioria das opções de firewall de um jeito fácil de usar, além de todos os perfis de firewall. Para obter mais informações, consulte Usando o snap-in Firewall do Windows com Segurança Avançada, mais adiante neste tópico.

  • netsh

    A ferramenta netsh.exe pode ser usada por um administrador para configurar e monitorar computadores baseados no Windows em um prompt de comando ou através de um arquivo em lotes**.** Com a ferramenta netsh, você pode direcionar para o auxiliar apropriado os comandos de contexto inseridos e, depois, o auxiliar executará o comando. Um auxiliar é um arquivo .dll que estende a funcionalidade da ferramenta netsh oferecendo configuração, monitoramento e suporte para um ou mais serviços, utilitários ou protocolos. Todos os sistemas operacionais que dão suporte ao SQL Server têm um auxiliar de firewall. O MicrosoftWindows Vista e o Windows Server 2008 também têm um auxiliar de firewall avançado, chamado advfirewall. Os detalhes sobre como usar o netsh não são abordados neste tópico. Todavia, muitas das opções de configuração descritas podem ser configuradas usando o netsh. Por exemplo, execute o seguinte script em um prompt de comando para abrir a porta TCP 1433:

    netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT

    Um exemplo semelhante usando o auxiliar do Firewall do Windows para Segurança Avançada:

    netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN

    Para obter informações sobre scripts para configurar o SQL Server usando netsh, consulte How to use a script to programmatically open ports for SQL Server to use on systems that are running Windows XP Service Pack. Para obter mais informações sobre o netsh, consulte os seguintes links:

Portas usadas pelo SQL Server

As tabelas a seguir podem ajudá-lo a identificar as portas que são usadas pelo SQL Server.

Portas usadas pelo Mecanismo de Banco de Dados

A tabela a seguir lista as portas que são mais usadas pelo Mecanismo de Banco de Dados.

Cenário

Porta

Comentários

Instância padrão do SQL Server executando sobre TCP

Porta TCP 1433

Esta é a porta mais comum permitida pelo firewall. Ela se aplica a conexões de rotina com a instalação padrão do Mecanismo de Banco de Dados ou com uma instância nomeada, que é a única em execução no computador. (Existem considerações especiais para instâncias nomeadas. Consulte Portas dinâmicas, mais adiante neste tópico.)

Instâncias nomeadas do SQL Server na configuração padrão

A porta TCP é uma porta dinâmica determinada no momento em que o Mecanismo de Banco de Dados é iniciado.

Consulte a discussão abaixo, na seção Portas dinâmicas. A porta UDP 1434 pode ser necessária para o Serviço Navegador do SQL Server quando você usa instâncias nomeadas.

Instâncias nomeadas do SQL Server quando configuradas para usar uma porta fixa

O número de porta configurado pelo administrador.

Consulte a discussão abaixo, na seção Portas dinâmicas.

Conexão de Administrador Dedicada

Porta TCP 1434 para a instância padrão. Outras portas são usadas para instâncias nomeadas. Verifique o número da porta no log de erros.

Por padrão, as conexões remotas com a Conexão de Administrador Dedicada (DAC) não são habilitadas. Para habilitar a DAC remota, use a faceta Configuração da Área da Superfície. Para obter mais informações, consulte Compreendendo a Configuração da Área da Superfície.

Serviço Navegador do SQL Server

Porta UDP 1434

O serviço Navegador do SQL Server verifica se há conexões de entrada com uma instância nomeada e informa para o cliente o número da porta TCP que corresponde a essa instância nomeada. Normalmente o serviço Navegador do SQL Server é iniciado sempre que são usadas instâncias nomeadas do Mecanismo de Banco de Dados. O serviço Navegador do SQL Server não precisa ser iniciado se o cliente está configurado para se conectar à porta específica da instância nomeada.

Instância do SQL Server executando em um ponto de extremidade HTTP.

Pode ser especificada quando um ponto de extremidade HTTP é criado. O padrão é a porta TCP 80 para tráfego CLEAR_PORT e 443 para tráfego SSL_PORT.

Usada para uma conexão HTTP por meio de uma URL.

Instância padrão do SQL Server executando sobre um ponto de extremidade HTTPS

Porta TCP 443

Usada para uma conexão HTTPS por meio de uma URL. HTTPS é uma conexão HTTP que usa o protocolo SSL.

Service Broker

Porta TCP 4022. Para verificar a porta usada, execute a seguinte consulta:

SELECT name, protocol_desc, port, state_desc

FROM sys.tcp_endpoints

WHERE type_desc = 'SERVICE_BROKER'

Não existe uma porta padrão para o SQL ServerService Broker, mas esta é a configuração convencional usada nos exemplos dos Manuais Online.

Espelhamento de Banco de Dados

Porta escolhida pelo administrador. Para determinar a porta, execute a seguinte consulta:

SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints

WHERE type_desc = 'DATABASE_MIRRORING'

Não existe uma porta padrão para o Espelhamento de Banco de dados, mas os exemplos dos Manuais Online usam a porta TCP 7022. É muito importante evitar interromper um ponto de extremidade de espelhamento em uso, principalmente no modo de alta segurança com failover automático. Sua configuração de firewall deve evitar dividir o quorum. Para obter mais informações, consulte Especificando um endereço de rede do servidor (Espelhamento de banco de dados).

Replicação

As conexões de replicação com o SQL Server usam as portas normais típicas do Mecanismo de Banco de Dados (porta TCP 1433 para a instância padrão etc.)

A sincronização da Web e o acesso FTP/UNC para instantâneo de replicação exigem a abertura de portas adicionais no firewall. Para transferir o esquema e os dados iniciais de um local para outro, a replicação pode usar o protocolo FTP (porta TCP 21) ou sincronizar via HTTP (porta TCP 80) ou Compartilhamento de Arquivos e Impressoras (porta TCP 137,138 ou 139).

Para sincronização por HTTP, a replicação usa o ponto de extremidade do IIS (portas que podem ser configuradas, mas o padrão é a porta 80); no entanto, o processo do IIS se conecta ao SQL Server back-end através das portas padrão (1433 para a instância padrão).

Durante a sincronização da Web usando FTP, a transferência por FTP ocorre entre o IIS e o publicador do SQL Server, não entre o assinante e o IIS.

Para obter mais informações, consulte Configuring Microsoft Internet Security and Acceleration Server for Microsoft SQL Server 2000 Replication over the Internet.

Depurador Transact-SQL

Porta TCP 135

Consulte Considerações especiais sobre a porta 135

A exceção IPsec também pode ser necessária.

Se estiver usando Visual Studio, no computador host Visual Studio, você também deverá adicionar Devenv.exe à lista Exceções e abrir a porta TCP 135.

Se estiver usando o Management Studio, no computador host Management Studio, você também deverá adicionar ssms.exe à lista Exceções e abrir a porta TCP 135. Para obter mais informações, consulte Configurando e iniciando o depurador Transact-SQL.

Para obter instruções passo a passo sobre como configurar o Firewall do Windows para o Mecanismo de Banco de Dados, consulte Como configurar um Firewall do Windows para acesso ao Mecanismo de Banco de Dados.

Portas dinâmicas

Por padrão, as instâncias nomeadas (incluindo SQL Server Express) usam portas dinâmicas. Isso significa que sempre que o Mecanismo de Banco de Dados é iniciado, identifica uma porta disponível e usa esse número de porta. Se a instância nomeada for a única instância do Mecanismo de Banco de Dados instalada, provavelmente ele usará a porta TCP 1433. Se outras instâncias do Mecanismo de Banco de Dados estiverem instaladas, provavelmente ele usará outra porta TCP. Como a porta selecionada pode mudar cada vez que o Mecanismo de Banco de Dados é iniciado, é difícil configurar o firewall para permitir acesso para o número de porta correto. Portanto, se um firewall for usado, é recomendável reconfigurar o Mecanismo de Banco de Dados para usar sempre o mesmo número de porta. Isso é chamado de porta fixa ou porta estática. Para obter mais informações, consulte Configurando uma porta fixa.

Uma alternativa à configuração de uma instância nomeada para escutar em uma porta fixa é criar uma exceção no firewall para a um programa do SQL Server, como sqlservr.exe (para Mecanismo de Banco de Dados). Isso pode ser conveniente, mas o número da porta não será exibido na coluna Porta Local da página Regras de Entrada quando você usar o snap-in Firewall do Windows com Segurança Avançada do MMC. Isso pode tornar mais difícil auditar quais portas estão abertas. Outra consideração é que um service pack ou atualização cumulativa pode alterar o caminho para o executável do SQL Server, o que invalidará a regra do firewall.

ObservaçãoObservação

O procedimento a seguir usa o item Firewall do Windows no Painel de Controle. O snap-in Firewall do Windows com Segurança Avançada do MMC pode configurar uma regra mais complexa. Isso inclui configurar uma exceção de serviço, que pode ser útil para proporcionar defesa mais vigorosa. Consulte abaixo Usando o snap-in Firewall do Windows com Segurança Avançada.

Para adicionar uma exceção de programa ao firewall usando o item Firewall do Windows no Painel de Controle

  1. Na guia Exceções do item Firewall do Windows, clique em Adicionar um programa.

  2. Localize a instância do SQL Server que você deseja permitir através do firewall, por exemplo C:\Arquivos de Programas\Microsoft SQL Server\MSSQL10.<nome_da_instância>\MSSQL\Binn, selecione sqlservr.exe e clique em Abrir.

  3. Clique em OK.

Para obter mais informações sobre pontos de extremidade, consulte Protocolos de rede e pontos de extremidade TDS e exibições do catálogo de pontos de extremidade (Transact-SQL).

Portas usadas pelo Analysis Services

A tabela a seguir lista as portas que são mais usadas pelo Analysis Services.

Recurso

Porta

Comentários

Analysis Services

Porta TCP 2383 para a instância padrão

A porta padrão para a instância padrão do Analysis Services.

Serviço Navegador do SQL Server

A porta TCP 2382 só é necessária para uma instância nomeada do Analysis Services

As solicitações de conexão de clientes para uma instância nomeada do Analysis Services que não especificam um número de porta são direcionadas para a 2382, que é a porta em que o Navegador do SQL Server escuta. Em seguida, o Navegador do SQL Server redireciona a solicitação à porta usada pela instância nomeada.

Analysis Services configurado para uso por IIS/HTTP

(O Serviço PivotTable® usa HTTP ou HTTPS)

Porta TCP 80

Usada para uma conexão HTTP por meio de uma URL.

Analysis Services configurado para uso por IIS/HTTPS

(O Serviço PivotTable® usa HTTP ou HTTPS)

Porta TCP 443

Usada para uma conexão HTTPS por meio de uma URL. HTTPS é uma conexão HTTP que usa o protocolo SSL.

Se usuários acessarem o Analysis Services por meio do IIS ou da Internet, você deverá abrir a porta em que o IIS está escutando e especificá-la na cadeia de conexão do cliente. Nesse caso, nenhuma porta deve ser aberta para acessar diretamente o Analysis Services. A porta padrão 2389 e a porta 2382 devem ser limitadas juntas com todas as outras portas que não são necessárias.

Para obter instruções passo a passo sobre como configurar o Firewall do Windows para o Analysis Services, consulte Como configurar o Firewall do Windows para acesso ao Analysis Services.

Portas usadas pelo Reporting Services

A tabela a seguir lista as portas que são mais usadas pelo Reporting Services.

Recurso

Porta

Comentários

Serviços Web do Reporting Services

Porta TCP 80

Usada para uma conexão HTTP com o Reporting Services por meio de uma URL. Não é recomendável usar a regra pré-configurada Serviços da World Wide Web (HTTP). Para obter mais informações, consulte a seção Interação com outras regras do firewall abaixo.

Reporting Services configurado para uso por HTTPS

Porta TCP 443

Usada para uma conexão HTTPS por meio de uma URL. HTTPS é uma conexão HTTP que usa o protocolo SSL. Não é recomendável usar a regra pré-configurada Serviços Seguros da World Wide Web (HTTPS). Para obter mais informações, consulte a seção Interação com outras regras do firewall abaixo.

Quando o Reporting Services se conecta a uma instância do Mecanismo de Banco de Dados ou Analysis Services, você também deve abrir as portas apropriadas para esses serviços. Para obter instruções passo a passo sobre como configurar o Firewall do Windows para o Reporting Services, consulte Como configurar um firewall para acesso ao servidor de relatório.

Portas usadas pelo Integration Services

A tabela a seguir lista as portas que são usadas pelo serviço Integration Services.

Recurso

Porta

Comentários

Chamadas de procedimento remoto da Microsoft (MS RPC)

Usada pelo tempo de execução do Integration Services.

Porta TCP 135

Consulte Considerações especiais sobre a porta 135

O serviço Integration Services usa o DCOM na porta 135. O Gerenciador de Controle de Serviços usa a porta 135 para executa tarefas como iniciar e parar o serviço Integration Services e transmitir solicitações de controle ao serviço em execução. O número da porta não pode ser alterado.

Esta porta só precisa ser aberta se você está se conectando a uma instância remota do serviço Integration Services a partir do Management Studio ou de um aplicativo personalizado.

Para obter instruções passo a passo sobre como configurar o Firewall do Windows para o Integration Services, consulte Configurando um Firewall do Windows para acesso ao Integration Services e Como configurar um firewall do Windows para o Integration Services.

Portas e serviços adicionais

A tabela a seguir lista portas e serviços dos quais o SQL Server pode depender.

Cenário

Porta

Comentários

Instrumentação de Gerenciamento do Windows

Para obter mais informações sobre a WMI, consulte Provedor WMI para conceitos de gerenciamento de configuração.

A WMI é executada como parte de um host de serviço compartilhado com portas atribuídas por DCOM. A WMI pode estar usando a porta TCP 135.

Consulte Considerações especiais sobre a porta 135

O SQL Server Configuration Manager usa a WMI para listar e gerenciar serviços. É recomendável usar o grupo de regras pré-configuradas Instrumentação de Gerenciamento do Windows (WMI). Para obter mais informações, consulte a seção Interação com outras regras do firewall abaixo.

Coordenador de Transações Distribuídas da Microsoft (MS DTC)

Porta TCP 135

Consulte Considerações especiais sobre a porta 135

Se o seu aplicativo usa transações distribuídas, talvez seja necessário configurar o firewall para permitir que o tráfego do Coordenador de Transações Distribuídas da Microsoft (MS DTC) flua entre instâncias separadas do MS DTC e entre o MS DTC e gerenciadores de recursos, como o SQL Server. É recomendável usar o grupo de regras pré-configuradas Coordenador de Transações Distribuídas.

Quando um único MS DTC compartilhado é configurado para o cluster inteiro em um grupo de recursos separado, você deve adicionar sqlservr.exe como uma exceção ao firewall.

O botão Procurar do Management Studio usa UDP para se conectar ao Serviço Navegador do SQL Server. Para obter mais informações, consulte Serviço Navegador do SQL Server.

Porta UDP 1434

UDP é um protocolo sem conexão.

O firewall tem uma configuração, chamada Propriedade UnicastResponsesToMulticastBroadcastDisabled da Interface INetFwProfile, que controla seu comportamento no que diz respeito a respostas unicast para uma solicitação UDP difusão (ou multicast).  Ele tem dois comportamentos:

  • Se a configuração for TRUE, não serão permitidas respostas unicast para uma difusão. A enumeração de serviços falhará.

  • Se a configuração for FALSE (padrão), serão permitidas respostas unicast durante 3 segundos. O período de tempo não é configurável; em uma rede congestionada ou de alta latência, ou para servidores que suportam grandes cargas, as tentativas de enumerar instâncias do SQL Server podem retornar uma lista parcial, o que pode enganar os usuários.

Tráfego IPsec

Portas UDP 500 e 4500

Se a diretiva do domínio exigir que as comunicações de rede sejam feitas por meio de IPsec, você também deverá adicionar as portas UDP 4500 e 500 à lista de exceções. IPsec é uma opção que usa o Assistente para Nova Regra de Entrada no snap-in Firewall do Windows. Para obter mais informações, consulte Usando o snap-in Firewall do Windows com Segurança Avançada abaixo.

Usando a Autenticação do Windows com domínios confiáveis

Os firewalls devem ser configurados para permitir solicitações de autenticação.

Para obter mais informações, consulte Como configurar um firewall para domínios e relações de confiança.

SQL Server e clustering do Windows

O clustering requer portas adicionais que não estão diretamente relacionadas ao SQL Server.

Para obter mais informações, consulte Enable a network for cluster use.

Namespaces URL reservados na API de servidor HTTP (HTTP.SYS)

Provavelmente a porta TCP 80, mas podem ser configurados para outras portas. Para obter informações gerais, consulte Configuring HTTP and HTTPS.

Para obter informações específicas do SQL Server sobre como reservar um ponto de extremidade HTTP.SYS usando HttpCfg.exe, consulte Reservando namespaces URL usando Http.sys.

Considerações especiais sobre a porta 135

Quando você usa RPC com TCP/IP ou com UDP/IP como transporte, as portas de entrada costumam ser atribuídas dinamicamente para serviços do sistema de acordo com a necessidade; as portas TCP/IP e UDP/IP maiores que a 1024 são usadas. Essas portas normalmente são chamadas informalmente de “portas RPC aleatórias”. Nesses casos, os clientes RPC dependem do mapeador de ponto de extremidade RPC para saber quais portas dinâmicas foram atribuídas ao servidor. Para alguns serviços baseados em RPC, você pode configurar uma porta específica em vez de deixar que a RPC atribua uma dinamicamente. Você também pode diminuir o intervalo de portas que a RPC atribui dinamicamente, seja qual for o serviço. Como a porta 135 é usada para muitos serviços, ela é invadida por usuários mal-intencionados com bastante freqüência. Quando abrir a porta 135, considere a possibilidade de restringir o escopo da regra do firewall.

Para obter mais informações sobre a porta 135, consulte as seguintes referências:

Interação com outras regras do firewall

O Firewall do Windows usa regras e grupos de regras para estabelecer sua configuração. Cada regra ou grupo de regras geralmente está associado a um determinado programa ou serviço, que, por sua vez, pode modificar ou excluir a regra sem que você saiba. Por exemplo, o grupo de regras Serviços da World Wide Web (HTTP) e Serviços Seguros da World Wide Web (HTTPS) está associado ao IIS. Se essas regras foram habilitadas, as portas 80 e 443 serão abertas, e os recursos do SQL Server que dependem delas funcionarão corretamente. Porém, os administradores que configuram o IIS podem modificar ou desabilitar essas regras. Por isso, se você estiver usando as portas 80 ou 443 para o SQL Server, deverá criar sua própria regra ou seu próprio grupo de regras que mantenha a configuração de porta desejada, independentemente das outras regras do IIS.

O snap-in Firewall do Windows com Segurança Avançada do MMC permite qualquer tráfego que corresponda a qualquer regra de permissão aplicável. Assim, se houver duas regras que se aplicam à porta 80 (com parâmetros diferentes), o tráfego que corresponder a uma delas será permitido. Portanto, se uma regra permitir o tráfego pela porta 80 da sub-rede local e outra regra permitir o tráfego de qualquer endereço, o resultado é que todo o tráfego para a porta 80 será permitido independentemente da origem. Para gerenciar o acesso ao SQL Server com eficiência, os administradores devem revisar periodicamente todas as regras de firewall habilitadas no servidor.

Visão geral de perfis do firewall

Os perfis de firewall são discutidos em Getting Started with Windows Firewall with Advanced Security in Windows Vista and Windows Server 2008 na seção Network location-aware host firewall. Para resumir, Windows Vista e Windows Server 2008 identificam e se lembram de cada uma das redes com as quais se conectam no que diz respeito a conectividade, conexões e categoria.

Há três tipos de local de rede no Firewall do Windows com Segurança Avançada:

  • Domínio. O Windows pode autenticar o acesso ao controlador de domínio do domínio em que o computador ingressou.

  • Público. Diferentemente das redes de domínio, todas as redes são inicialmente classificadas como públicas. Redes que representam conexões diretas à Internet ou estão em locais públicos, como aeroportos e cafés, devem ser configuradas como públicas.

  • Privado. Uma rede identificada por um usuário ou aplicativo como privada. Somente redes confiáveis devem ser identificadas como redes privadas. Os usuários normalmente desejam identificar redes domésticas ou de pequena empresa como privadas.

O administrador pode criar um perfil para cada tipo de local de rede, com cada perfil contendo diretivas de firewall diferentes. Somente um perfil é aplicado a qualquer momento. A ordem de perfis é aplicada da seguinte maneira:

  1. Se todas as interfaces forem autenticadas no controlador de domínio para o domínio do qual o computador é membro, será aplicado o perfil de domínio.

  2. Se todas as interfaces forem autenticadas no controlador de domínio ou conectadas a redes classificadas como locais de rede privados, será aplicado o perfil privado.

  3. Caso contrário, será aplicado o perfil público.

Use o snap-in Firewall do Windows com Segurança Avançada do MMC para exibir e configurar todos os perfis do firewall. O item Firewall do Windows no Painel de Controle configura apenas o perfil atual.

Configurações adicionais do firewall usando o item Firewall do Windows no Painel de Controle

As exceções que você adiciona ao firewall podem restringir a abertura da porta a conexões de entrada de computadores específicos ou da sub-rede local. Essa restrição do escopo da abertura de porta pode reduzir o nível de exposição do seu computador a usuários mal-intencionados e é recomendável.

ObservaçãoObservação

Se você usar o item Firewall do Windows no Painel de Controle configurará apenas o perfil do firewall.

Para alterar o escopo de uma exceção do firewall usando o item Firewall do Windows no Painel de Controle

  1. No item Firewall do Windows do Painel de Controle, selecione um programa ou porta na guia Exceções e clique em Propriedades ou em Editar.

  2. Na caixa de diálogo Editar um Programa ou Editar uma Porta, clique em Alterar Escopo.

  3. Escolha uma das seguintes opções:

    • Qualquer computador (inclusive na Internet)

      Não recomendável. Isso permitirá que qualquer computador que pode se dirigir a seu computador se conecte ao programa ou à porta especificada. Esta configuração pode ser necessária para permitir a apresentação de informações a usuários anônimos na Internet, mas aumenta sua exposição a usuários mal-intencionados. Sua exposição pode ser ainda maior se você habilitar esta configuração e também permitir NAT transversal, como a opção Permitir percurso de borda.

    • Somente minha rede (sub-rede)

      Esta configuração é mais segura do que Qualquer computador. Somente computadores da sub-rede local da sua rede podem se conectar ao programa ou à porta.

    • Lista personalizada:

    Somente computadores que têm os endereços IP contidos na lista podem se conectar. Esta configuração pode ser mais segura do que Somente minha rede (sub-rede), mas os computadores cliente que usam DHCP podem alterar o endereço IP ocasionalmente. Por isso o computador desejado não poderá se conectar. Outro computador, que você não pretendia autorizar, pode aceitar o endereço IP listado e se conectar. A opção Lista personalizada pode ser apropriada para listar outros servidores configurados para usar um endereço IP fixo, mas os endereços IP podem ser falsificados por um invasor. Restringir regras de firewall é um procedimento apenas tão seguro quanto sua infra-estrutura de rede.

Usando o snap-in Firewall do Windows com Segurança Avançada

Em computadores que executam o Vista ou o Windows Server 2008, outras configurações avançadas do firewall podem ser definidas usando o snap-in Firewall do Windows com Segurança Avançada do MMC. O snap-in inclui um assistente de regra e expõe configurações adicionais que não estão disponível no item Firewall do Windows do Painel de Controle. Essas configurações incluem:

  • Configurações de criptografia

  • Restrições de serviços

  • Restrição de conexões de computadores por nome

  • Restrição de conexões para usuários ou perfis específicos

  • Percurso de borda que permita que o tráfego ignore os roteadores de conversão de endereço de rede (NAT)

  • Configuração de regras de saída

  • Configuração de regras de segurança

  • Exigência de IPsec para conexões de entrada

Para criar uma nova regra de firewall usando o assistente de Nova Regra

  1. No menu Iniciar, clique em Executar, digite WF.msce clique em OK.

  2. No painel esquerdo do Firewall do Windows com Segurança Avançada, clique com o botão direito do mouse em Regras de Entrada e clique em Nova Regra.

  3. Complete o Assistente de Nova Regra de Entrada usando as configurações desejadas.

Solucionando problemas de configurações do firewall

As seguintes ferramentas e técnicas podem ser úteis para solucionar problemas de firewall:

  • O status efetivo da porta é a combinação de todas as regras relacionadas a ela. Quando se tenta bloquear o acesso por uma porta, pode ser útil revisar todas as regras que citam o número da porta. Para isso, use o snap-in Firewall do Windows com Segurança Avançada do MMC e classifique as regras de entrada e de saída por número de porta.

  • Revise as portas que estão ativas no computador em que o SQL Server está em execução. Esse processo inclui a verificação de quais portas TCP/IP estão sendo escutadas e também a verificação do status das portas.

    Para verificar quais portas estão sendo escutadas, use o utilitário de linha de comando netstat. Além de exibir as conexões TCP ativas, o utilitário netstat também exibe uma variedade de estatísticas e informações de IP.

    Para listar quais portas TCP/IP estão escutando

    1. Abra a janela do prompt de comando.

    2. No prompt de comando, digite netstat -n -a.

      A opção -n instrui o netstat a exibir numericamente o endereço e o número de porta das conexões TCP ativas. A opção -a instrui o netstat a exibir as portas TCP e UDP em que o computador está escutando.

  • O utilitário PortQry pode ser usado para relatar o status das portas TCP/IP como escutando, não escutando ou filtrado. (Com o status filtrado, a porta pode ou não estar escutando; esse status indica que o utilitário não recebeu uma resposta da porta.) O utilitário PortQry está disponível para download no Centro de Download da Microsoft.

Para ver outros tópicos de solução de problemas, consulte: