防火墻系統(tǒng)有助于阻止對計算機資源進行未經(jīng)授權(quán)的訪問。如果防火墻已打開但卻未正確配置，則可能會阻止連接 SQL Server。

若要通過防火墻訪問 SQL Server 實例，必須在運行 SQL Server 的計算機上配置防火墻以允許訪問。防火墻是 Microsoft Windows 的一個組件。也可以安裝其他公司的防火墻。本主題討論如何配置 Windows 防火墻，不過所述基本原理也適用于其他防火墻程序。

注意

本主題概述了防火墻配置并匯總了 SQL Server 管理員所需的信息。有關(guān)防火墻的詳細信息以及權(quán)威信息，請參閱防火墻文檔，例如 Windows Firewall with Advanced Security and IPsec（高級安全 Windows 防火墻和 IPsec）和 Windows Firewall with Advanced Security - Content Roadmap（高級安全 Windows 防火墻 - 內(nèi)容概覽）。

用戶如果熟悉“控制面板”中的“Windows 防火墻”項，熟悉高級安全 Windows 防火墻的 Microsoft 管理控制臺 (MMC) 管理單元，以及知道要配置哪些防火墻設(shè)置，可以直接轉(zhuǎn)至以下列表中的主題：

如何為數(shù)據(jù)庫引擎訪問配置 Windows 防火墻

如何為 Analysis Services 訪問配置 Windows 防火墻

如何將防火墻配置為允許報表服務(wù)器訪問

如何為 Integration Services 配置 Windows 防火墻

主題內(nèi)容

本主題包含以下部分：

基本防火墻信息

默認防火墻設(shè)置

用于配置防火墻的程序

數(shù)據(jù)庫引擎使用的端口

Analysis Services 使用的端口

Reporting Services 使用的端口

Integration Services 使用的端口

其他端口和服務(wù)

與其他防火墻規(guī)則的交互

防火墻配置文件概述

使用“控制面板”中的“Windows 防火墻”項進行其他防火墻設(shè)置

使用高級安全 Windows 防火墻管理單元

解決防火墻設(shè)置問題

基本防火墻信息

防火墻的工作原理是檢查傳入的數(shù)據(jù)包并將其與一組規(guī)則進行比較。如果規(guī)則允許數(shù)據(jù)包通過，則防火墻將把該數(shù)據(jù)包傳遞給 TCP/IP 協(xié)議以進行其他處理。如果規(guī)則不允許數(shù)據(jù)包通過，則防火墻將丟棄該數(shù)據(jù)包，此外，如果已啟用日志記錄，防火墻還將在防火墻日志文件中創(chuàng)建一個條目。

允許的通信的列表采用以下某種方式進行填充：

當啟用了防火墻的計算機開始通信時，防火墻會在列表中創(chuàng)建一個條目以便允許響應(yīng)。傳入響應(yīng)將被視為請求的通信，并且您不必對此進行配置。

管理員可配置防火墻例外。這樣將允許訪問計算機上運行的指定程序，或訪問計算機上的指定連接端口。在此情況下，當計算機充當服務(wù)器、偵聽器或?qū)Φ确綍r，將會接受未經(jīng)請求的傳入通信。必須完成此類配置才能連接到 SQL Server。

選擇防火墻策略遠較只是確定應(yīng)打開還是關(guān)閉給定端口復(fù)雜。當為企業(yè)設(shè)計防火墻策略時，請確?？紤]所有可供使用的規(guī)則和配置選項。本主題不討論所有可能的防火墻選項。建議您查看以下文檔：

Getting Started with Windows Firewall with Advanced Security in Windows Vista and Windows Server 2008（Windows Vista 和 Windows Server 2008 中的高級安全 Windows 防火墻入門）

Windows Firewall with Advanced Security Design Guide

Introduction to Server and Domain

默認防火墻設(shè)置

規(guī)劃防火墻配置的第一步是確定操作系統(tǒng)的防火墻的當前狀態(tài)。如果操作系統(tǒng)是從早期版本升級而來，則可能已保留以前的防火墻設(shè)置。此外，防火墻設(shè)置可能已由其他管理員或域中的組策略更改。不過，默認設(shè)置如下所示：

Windows Server 2008

防火墻打開并禁止遠程連接。

Windows Server 2003

防火墻關(guān)閉。管理員應(yīng)考慮打開防火墻。

Windows Vista

防火墻打開并禁止遠程連接。

Windows XP Service Pack 2 或更高版本

防火墻打開并禁止遠程連接。

Windows XP Service Pack 1 或更低版本

防火墻關(guān)閉，應(yīng)打開防火墻。

注意

打開防火墻將影響訪問此計算機的其他程序，例如文件和打印共享以及遠程桌面連接。在調(diào)整防火墻設(shè)置之前，管理員應(yīng)對計算機上運行的所有應(yīng)用程序加以考慮。

用于配置防火墻的程序

有三種配置 Windows 防火墻設(shè)置的方式。

“控制面板”中的“Windows 防火墻”項

可以從“控制面板”打開“Windows 防火墻”項。

重要提示

在“控制面板”中的“Windows 防火墻”項中所做的更改只會影響當前配置文件。諸如便攜式計算機之類的移動設(shè)備不應(yīng)使用“控制面板”中的“Windows 防火墻”項，因為當以其他配置連接設(shè)備時配置文件可能會更改。這樣以前配置的配置文件將失效。有關(guān)配置文件的詳細信息，請參閱 Getting Started with Windows Firewall with Advanced Security in Windows Vista and Windows Server 2008（Windows Vista 和 Windows Server 2008 中的高級安全 Windows 防火墻入門）。

使用“控制面板”中的“Windows 防火墻”項可配置基本選項。其中包括：

打開或關(guān)閉“控制面板”中的“Windows 防火墻”項

啟用和禁用規(guī)則

配置例外的端口和程序

設(shè)置一些范圍限制

“控制面板”中的“Windows 防火墻”項最適合于防火墻配置經(jīng)驗不足的用戶以及要為非移動的計算機配置基本防火墻選項的用戶。也可以采用以下步驟通過 run 命令打開“控制面板”中的“Windows 防火墻”項：

打開“Windows 防火墻”項

在“開始”菜單上，單擊“運行”，然后輸入 firewall.cpl。

單擊“確定”。

Microsoft 管理控制臺 (MMC)

使用高級安全 Windows 防火墻 MMC 管理單元可以配置更高級的防火墻設(shè)置。此管理單元僅可供 Microsoft Vista 和 Windows Server 2008 使用；不過，它以一種易于使用的方式呈現(xiàn)大多數(shù)防火墻選項，并且會顯示所有防火墻配置文件。有關(guān)詳細信息，請參閱本主題后面的使用高級安全 Windows 防火墻管理單元。

netsh

管理員可以在命令提示符下使用 netsh.exe 工具配置和監(jiān)視基于 Windows 的計算機，也可以使用批處理文件執(zhí)行此操作。通過使用 netsh 工具，可以將輸入的上下文命令定向到相應(yīng)幫助器，然后由幫助器執(zhí)行此命令。幫助器是一個動態(tài)鏈接庫 (.dll) 文件，它通過對一種或多種服務(wù)、實用工具或協(xié)議提供配置、監(jiān)視和支持來擴展 netsh 工具的功能。所有支持 SQL Server 的操作系統(tǒng)都具有防火墻幫助器。MicrosoftWindows Vista 和 Windows Server 2008 也具有稱作 advfirewall 的高級防火墻幫助器。本主題不討論有關(guān)使用 netsh 的詳細信息。不過，所述配置選項中的許多選項都可以通過使用 netsh 加以配置。例如，在命令提示符下運行以下腳本，以打開 TCP 端口 1433：

netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT 

使用高級安全 Windows 防火墻幫助器的一個類似示例：

netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN 

有關(guān)使用 netsh 配置 SQL Server 的腳本，請參閱如何在運行 Windows XP Service Pack 2 的系統(tǒng)上使用腳本以編程方式打開端口供 SQL Server 使用。有關(guān) netsh 的詳細信息，請參閱以下鏈接：

如何使用 Netsh.exe 工具和命令行開關(guān)

如何使用“netsh advfirewall firewall”上下文而非“netsh firewall”上下文控制 Windows Server 2008 和 Windows Vista 中的 Windows 防火墻行為

“netsh firewall”命令及“profile=all”參數(shù)不配置基于 Windows Vista 的計算機上的公共配置文件

解決 Windows XP Service Pack 2 中 Windows 防火墻的設(shè)置問題（高級用戶）

SQL Server 使用的端口

下面幾個表可有助于您確定 SQL Server 所使用的端口。

數(shù)據(jù)庫引擎使用的端口

 

 解決防火墻設(shè)置問題

以下工具和方法對于解決防火墻問題會非常有用：

有效端口狀態(tài)是與端口相關(guān)的所有規(guī)則的總體作用結(jié)果。當試圖禁止通過某一端口訪問時，查看引用該端口號的所有規(guī)則將會非常有用。為此，請使用高級安全 Windows 防火墻 MMC 管理單元，并按端口號對入站和出站規(guī)則進行排序。

查看在運行 SQL Server 的計算機上處于活動狀態(tài)的端口。此檢查過程包括確認正在偵聽的 TCP/IP 端口，同時確認這些端口的狀態(tài)。

若要驗證哪些端口正在偵聽，請使用 netstat 命令行實用工具。除了顯示活動 TCP 連接以外，netstat 實用工具還將顯示多種 IP 統(tǒng)計信息和其他信息。

列出正在偵聽的 TCP/IP 端口

1.打開命令提示符窗口。

2.在命令提示符下，鍵入 netstat -n -a

3.-n 開關(guān)指示 netstat 以數(shù)字方式顯示活動 TCP 連接的地址和端口號。-a 開關(guān)指示 netstat 顯示計算機正在偵聽的 TCP 和 UDP 端口。

PortQry 實用工具可用于報告 TCP/IP 端口的狀態(tài)（正在偵聽、未在偵聽或已篩選）。（對于已篩選狀態(tài)，端口可能正在偵聽，也可能未在偵聽；此狀態(tài)指示實用工具沒有收到端口的響應(yīng)。）PortQry 實用工具可以從 Microsoft 下載中心下載。

有關(guān)故障排除的其他主題，請參閱：

Troubleshooting Windows Firewall with Advanced Security in Windows Vista and Windows Server 2008 - Diagnostics and Tools（解決 Windows Vista 和 Windows Server 2008 中的高級安全 Windows 防火墻問題 - 診斷和工具）

故障排除（數(shù)據(jù)庫引擎）

故障排除（Analysis Services - 數(shù)據(jù)挖掘）

故障排除 (Reporting Services)

故障排除 (Integration Services)

使用高級安全 Windows 防火墻管理單元

在運行 Vista 或 Windows Server 2008 的計算機上，可以通過使用高級安全 Windows 防火墻 MMC 管理單元來配置其他高級防火墻設(shè)置。此管理單元包括規(guī)則向?qū)?，并提?ldquo;控制面板”中的“Windows 防火墻”項中未提供的附加設(shè)置。這些設(shè)置包括：

加密設(shè)置

服務(wù)限制

按名稱限制計算機的連接

限制連接到特定用戶或配置文件

邊緣遍歷允許通信繞過網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 路由器

配置出站規(guī)則

配置安全規(guī)則

傳入連接需要 IPsec

使用新建規(guī)則向?qū)?chuàng)建新防火墻規(guī)則

1.開始”菜單上，單擊“運行”，鍵入 WF.msc，然后單擊“確定”。

2.高級安全 Windows 防火墻”的左窗格中，右鍵單擊“入站規(guī)則”，然后單擊“新建規(guī)則”。

3.所需設(shè)置完成“新建入站規(guī)則向?qū)?rdquo;。

使用“控制面板”中的“Windows 防火墻”項進行其他防火墻設(shè)置

添加到防火墻的例外可以限制端口僅對來自特定計算機或本地子網(wǎng)的傳入連接打開。這種對端口打開范圍的限制可以大大減少計算機對惡意用戶的暴露程度，因此建議采用此類限制。

使用“控制面板”中的“Windows 防火墻”項更改防火墻例外的范圍

1.控制面板”中的“Windows 防火墻”項的“例外”選項卡上，選擇一個程序或端口，然后單擊“屬性”或“編輯”。

2.編輯程序”或“編輯端口”對話框中，單擊“更改范圍”。

3.以下選項之一：

任何計算機(包括 Internet 上的計算機)

建議不要使用。這將使任何可尋址到您計算機的計算機都可以連接到指定程序或端口。如果要允許向 Internet 上的匿名用戶呈現(xiàn)信息，則此設(shè)置可能是必需的，不過這會增加您對于惡意用戶的暴露程度。如果啟用此設(shè)置，同時還允許網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 遍歷（例如“允許邊緣遍歷”選項），則會進一步增加您的暴露程度。

僅我的網(wǎng)絡(luò)(子網(wǎng))

這是比“任何計算機”更安全的設(shè)置。只有網(wǎng)絡(luò)的本地子網(wǎng)中的計算機可以連接到相應(yīng)程序或端口。

自定義列表：

只有具有列表中的 IP 地址的計算機可以連接。這是比“僅我的網(wǎng)絡(luò)(子網(wǎng))”更安全的設(shè)置，不過，使用 DHCP 的客戶端計算機有時候會更改它們的 IP 地址。這樣的話，目標計算機將無法連接。另一臺您未打算授權(quán)的計算機可能接受這一列出的 IP 地址，從而能夠連接。如果希望列出其他配置為使用固定 IP 地址的服務(wù)器，則可能最好選擇“自定義列表”選項；不過，入侵者可能會假冒 IP 地址。限制防火墻規(guī)則的作用大小取決于網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的優(yōu)劣。

防火墻配置文件概述

Getting Started with Windows Firewall with Advanced Security in Windows Vista and Windows Server 2008（Windows Vista 和 Windows Server 2008 中的高級安全 Windows 防火墻入門）中的 Network location-aware host firewall（識別網(wǎng)絡(luò)位置的主機防火墻）部分介紹了防火墻配置文件。為了進行匯總，Windows Vista 和 Windows Server 2008 可按照連接性、連接數(shù)和類別來識別并記住與它們連接的每個網(wǎng)絡(luò)。

在高級安全 Windows 防火墻中有三種網(wǎng)絡(luò)位置類型：

域。Windows 可以驗證對計算機所聯(lián)接域的域控制器的訪問。

公共。除域網(wǎng)絡(luò)之外，其他所有網(wǎng)絡(luò)最初都歸為公共網(wǎng)絡(luò)一類。直接連到 Internet 的網(wǎng)絡(luò)或者位于公共場所（如機場和咖啡店）的網(wǎng)絡(luò)應(yīng)保留為公共網(wǎng)絡(luò)。

專用。由用戶或應(yīng)用程序標識為專用的網(wǎng)絡(luò)。只應(yīng)將可信網(wǎng)絡(luò)標識為專用網(wǎng)絡(luò)。用戶很可能希望將家庭網(wǎng)絡(luò)或小型企業(yè)網(wǎng)絡(luò)標識為專用網(wǎng)絡(luò)。

管理員可以為每種網(wǎng)絡(luò)位置類型創(chuàng)建一個配置文件，每個配置文件均包含不同的防火墻策略。在任何時候只能應(yīng)用一個配置文件。應(yīng)用配置文件的順序如下：

1.如要向計算機所屬域的域控制器驗證所有接口，則應(yīng)用域配置文件。

2.如要向域控制器驗證所有接口或者所有接口均連接到歸為專用網(wǎng)絡(luò)位置一類的網(wǎng)絡(luò)，則應(yīng)用專用配置文件。

3.否則，應(yīng)用公共配置文件。