Condividi tramite


Configure the Windows Firewall to Allow SQL Server Access

I sistemi firewall consentono di impedire l'accesso non autorizzato alle risorse del computer. Se un firewall è attivato, ma non configurato correttamente, i tentativi di connessione a SQL Server potrebbero essere bloccati.

Per accedere a un'istanza di SQL Server attraverso un firewall, è necessario configurare il firewall nel computer in cui viene eseguito SQL Server per consentire l'accesso. Il firewall è un componente di Microsoft Windows. È possibile anche installare un firewall di un altro produttore. In questo argomento viene illustrato come configurare Windows Firewall, ma i principi di base si applicano anche ad altri tipi di firewall.

Nota

In questo argomento viene fornita una panoramica della configurazione del firewall e vengono riepilogate le informazioni di interesse per un amministratore di SQL Server. Per ulteriori informazioni sul firewall, vedere la documentazione di riferimento, ad esempio Windows Firewall with Advanced Security and IPSec.

Gli utenti che già conoscono l'elemento Windows Firewall del Pannello di controllo, lo snap-in MMC Windows Firewall con sicurezza avanzata e le impostazioni da configurare possono passare direttamente agli argomenti elencati di seguito:

Informazioni di base sul firewall

Il meccanismo alla base del funzionamento dei firewall è il controllo dei pacchetti in ingresso seguito dal confronto rispetto a un set di regole. Se le regole consentono il pacchetto, esso viene passato al protocollo TCP/IP per un'elaborazione ulteriore. Se non lo consentono, il pacchetto viene ignorato e, se la registrazione è abilitata, viene creata una voce nel file di registrazione del firewall.

L'elenco del traffico consentito viene creato in uno dei modi seguenti:

  • Quando il computer che include il firewall abilitato avvia la comunicazione, il firewall crea una voce nell'elenco in modo da consentire la risposta. La risposta in ingresso è considerata traffico richiesto e non è necessario effettuare alcuna configurazione.

  • Le eccezioni per il firewall vengono configurate dall'amministratore. In questo modo è possibile accedere a programmi specificati in esecuzione o a porte di connessione specificate nel computer. In questo caso, il computer accetta il traffico in ingresso non richiesto quando svolge le funzioni di server, listener o peer. Questo è il tipo di configurazione che deve essere completato per connettersi a SQL Server.

La scelta del tipo di firewall più adatto alle proprie esigenze non si limita alla decisione relativa alla necessità di aprire o chiudere una determinata porta e presuppone che vengano prese in considerazione tutte le regole e le opzioni di configurazione disponibili. In questo argomento non verranno esaminate tutte le possibili opzioni del firewall. Si consiglia di consultare i documenti seguenti:

Guida introduttiva a Windows Firewall con sicurezza avanzata

Pagina concernente la guida alla progettazione di Windows Firewall con sicurezza avanzata

Pagina concernente l'introduzione all'isolamento di dominio e server

Impostazioni del firewall predefinite

Il primo passaggio della pianificazione della configurazione del firewall consiste nel determinare lo stato corrente del firewall per il sistema operativo in uso. Se quest'ultimo è stato aggiornato da una versione precedente, è possibile che le impostazioni del firewall siano state conservate o che siano state modificate da un altro amministratore o da Criteri di gruppo nel dominio.

Nota

L'attivazione del firewall influisce su altri programmi a cui è consentito l'accesso al computer, ad esempio la condivisione di file e stampanti e le connessioni desktop remoto. Prima di modificare le impostazioni del firewall, gli amministratori devono tener conto di tutte le applicazioni in esecuzione nel computer.

Programmi di configurazione del firewall

Sono disponibili tre metodi per configurare le impostazioni di Windows Firewall.

  • Elemento Windows Firewall nel Pannello di controllo

    L'elemento Windows Firewall può essere aperto dal Pannello di controllo.

    Importante

    Le modifiche apportate all'elemento Windows Firewall nel Pannello di controllo influiscono solo sul profilo corrente. È preferibile non usare l'elemento Windows Firewall del Pannello di controllo nei dispositivi mobili, ad esempio i laptop, in quanto il profilo potrebbe subire delle modifiche quando è connesso in una configurazione diversa. Se ciò accade, il profilo configurato in precedenza non sarà più attivo. Per ulteriori informazioni sui profili, vedere Guida introduttiva a Windows Firewall con sicurezza avanzata.

    L'elemento Windows Firewall nel Pannello di controllo consente di configurare le opzioni di base, tra cui:

    • Abilitazione e disabilitazione dell'elemento Windows Firewall nel Pannello di controllo.

    • Abilitazione e disabilitazione delle regole

    • Concessione di eccezioni relative a porte e programmi

    • Impostazione di alcune restrizioni dell'ambito

    L'elemento Windows Firewall del Pannello di controllo risulta particolarmente adatto agli utenti che hanno scarsa familiarità con la configurazione del firewall e che effettuano la configurazione delle opzioni di base del firewall per computer non portatili. È anche possibile aprire l'elemento di Windows Firewall in Pannello di controllo dal run comando usando la procedura seguente:

    Per aprire l'elemento Windows Firewall

    1. Fare clic sul pulsante Start , scegliere Esegui, quindi immettere firewall.cpl.

    2. Fare clic su OK.

  • Microsoft Management Console (MMC)

    Lo snap-in MMC Windows Firewall con sicurezza avanzata consente di configurare impostazioni del firewall più avanzate. Questo snap-in presenta la maggior parte delle opzioni di firewall in una modalità di facile utilizzo e presenta tutti i profili firewall. Per altre informazioni, vedere Utilizzo dello snap-in Windows Firewall con sicurezza avanzata più avanti in questo argomento.

  • netsh

    Lo strumento netsh.exe può essere usato da un amministratore per configurare e monitorare i computer basati su Windows al prompt dei comandi o usando un file batch**.** Usando lo strumento netsh , è possibile indirizzare i comandi di contesto immessi all'helper appropriato e quindi l'helper esegue il comando. Un helper è un file DLL (Dynamic Link Library, libreria di collegamento dinamico) che estende la funzionalità dello strumento netsh e fornisce configurazione, monitoraggio e supporto per uno o più servizi, utilità o protocolli. Tutti i sistemi operativi che supportano SQL Server dispongono di un helper del firewall. Windows Server 2008 ha anche un helper del firewall avanzato denominato advfirewall. I dettagli sull'uso di netsh non vengono descritti in questo argomento. Tuttavia, molte delle opzioni di configurazione descritte possono essere configurate con netsh. Ad esempio, eseguire lo script seguente al prompt dei comandi per aprire la porta TCP 1433:

    netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT  
    

    Esempio simile utilizzando l'helper Windows Firewall con sicurezza avanzata:

    netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN  
    

    Per altre informazioni su netsh, vedere i collegamenti seguenti:

Porte utilizzate da SQL Server

Le tabelle seguenti consentono di identificare le porte usate da SQL Server.

Porte utilizzate dal Motore di database

Nella tabella seguente sono indicate le porte più usate dal motore di database.

Scenario Porta Commenti
SQL Server'istanza predefinita in esecuzione su TCP Porta TCP 1433 Si tratta della porta più comune consentita dal firewall. Viene usata nelle connessioni di routine all'installazione predefinita del motore di database o a un'istanza denominata che rappresenta l'unica istanza in esecuzione nel computer. Le istanze denominate hanno considerazioni speciali. Vedere Porte dinamiche più avanti in questo argomento.
SQL Server istanze denominate nella configurazione predefinita La porta TCP è una porta dinamica determinata all'avvio del motore di database. Vedere la discussione che segue nella sezione Porte dinamiche. La porta UDP 1434 potrebbe essere necessaria per il servizio browser SQL Server quando si usano istanze denominate.
SQL Server istanze denominate quando sono configurate per l'uso di una porta fissa Il numero di porta configurato dall'amministratore. Vedere la discussione che segue nella sezione Porte dinamiche.
Dedicated Admin Connection Porta TCP 1434 per l'istanza predefinita. Per le istanze denominate vengono utilizzate altre porte. Per informazioni sul numero di porta, controllare il log degli errori. Per impostazione predefinita, le connessioni amministrative dedicate (DAC, Dedicated Administrator Connection) remote non sono abilitate. Per abilitare le connessioni DAC remote, utilizzare il facet Configurazione superficie di attacco. Per ulteriori informazioni, vedere Surface Area Configuration.
Servizio SQL Server Browser Porta UDP 1434 Il servizio SQL Server Browser è in ascolto delle connessioni in ingresso a un'istanza denominata e fornisce al client il numero di porta TCP corrispondente a tale istanza denominata. In genere il servizio SQL Server Browser viene avviato ogni volta che si usano istanze denominate del motore di database. Il servizio SQL Server Browser non deve essere avviato se il client è configurato per connettersi alla porta specifica dell'istanza denominata.
SQL Server'istanza in esecuzione su un endpoint HTTP. Può essere specificata quando viene creato un endpoint HTTP. Le impostazioni predefinite sono la porta TCP 80 per il traffico CLEAR_PORT e la porta 443 per il traffico SSL_PORT. Utilizzata per una connessione HTTP tramite un URL.
SQL Server'istanza predefinita in esecuzione su un endpoint HTTPS. Porta TCP 443 Utilizzata per una connessione HTTPS tramite un URL. HTTPS è una connessione HTTP che utilizza il protocollo SSL (Secure Sockets Layer).
Broker di servizio Porta TCP 4022. Per verificare la porta utilizzata, eseguire la query seguente:

SELECT name, protocol_desc, port, state_desc

FROM sys.tcp_endpoints

WHERE type_desc = 'SERVICE_BROKER'
Non esiste alcuna porta predefinita per SQL ServerService Broker, ma questa è la configurazione convenzionale usata negli esempi della documentazione online di .
Mirroring del database Porta scelta dall'amministratore. Per determinare la porta, eseguire la query seguente:

SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints

WHERE type_desc = 'DATABASE_MIRRORING'
Per il mirroring del database non sono disponibili porte predefinite, tuttavia negli esempi della documentazione online viene utilizzata la porta TCP 7022. È molto importante evitare di interrompere un endpoint del mirroring in uso, soprattutto in modalità a protezione elevata con failover automatico. La configurazione del firewall deve evitare di interrompere il quorum. Per altre informazioni, vedere Specificare un indirizzo di rete del server. Mirroring del database.
Replica Le connessioni di replica a SQL Server usano le normali porte del motore di database (porta TCP 1433 per l'istanza predefinita e così via)

La sincronizzazione Web e l'accesso FTP/UNC per snapshot di replica richiedono l'apertura di porte aggiuntive sul firewall. Per trasferire lo schema e i dati iniziali da una posizione all'altra, per la replica possono essere utilizzati il protocollo FTP (porta TCP 21), la sincronizzazione su HTTP (porta TCP 80) o la condivisione di file. Nella condivisione di file vengono utilizzate le porte UDP 137 e 138 a la porta TCP 139 in caso di utilizzo di NetBios. La condivisione file utilizza la porta TCP 445.
Per la sincronizzazione su HTTP, la replica usa l'endpoint IIS (porte per le quali sono configurabili ma la porta 80 per impostazione predefinita), ma il processo IIS si connette al back-end SQL Server tramite le porte standard (1433 per l'istanza predefinita).

Durante la sincronizzazione Web tramite FTP, il trasferimento FTP avviene tra IIS e il server di pubblicazione di SQL Server, non tra il sottoscrittore e IIS.
Debugger Transact-SQL Porta TCP 135

Vedere Considerazioni speciali per la porta 135

Potrebbe essere necessaria anche l'eccezione IPsec .
Se si usa Visual Studio, nel computer host di Visual Studio, è necessario aggiungere anche Devenv.exe all'elenco di eccezioni e aprire la porta TCP 135.

Se si usa Management Studio, nel computer host di Management Studio, è necessario aggiungere anche ssms.exe all'elenco di eccezioni e aprire la porta TCP 135. Per altre informazioni, vedere Configurare il debugger Transact-SQL.

Per istruzioni dettagliate su come configurare Windows Firewall per il motore di database, vedere Configurare Windows Firewall per l'accesso al motore di database.

Porte dinamiche

Per impostazione predefinita, le istanze denominate, incluse SQL Server Express, usano porte dinamiche. Ciò significa che ogni volta che il motore di database viene avviato, identifica una porta disponibile e usa tale numero di porta. Se l'istanza denominata è l'unica istanza del motore di database installata, è probabile che venga usata la porta TCP 1433. Se sono installate altre istanze del motore di database, è probabile che venga usata una porta TCP diversa. Poiché la porta selezionata potrebbe cambiare ogni volta che viene avviato il motore di database, è difficile configurare il firewall per consentire l'accesso al numero di porta corretto. Pertanto, se viene usato un firewall, è consigliabile riconfigurare il motore di database per usare lo stesso numero di porta ogni volta. In questi casi si parla quindi di porta fissa o porta statica. Per altre informazioni, vedere Configurazione di un server per l'attesa su una porta TCP specifica (Gestione configurazione SQL Server).

Un'alternativa alla configurazione di un'istanza denominata in modo che sia in ascolto su una porta fissa consiste nel creare un'eccezione nel firewall per un programma di SQL Server, ad esempio sqlservr.exe per il motore di database. Anche se può risultare utile, il numero di porta non verrà visualizzato nella colonna Porta locale della pagina Regole in entrata quando si usa lo snap-in MMC Windows Firewall con sicurezza avanzata. Questa operazione può rendere più difficile il controllo delle porte aperte. Un'altra considerazione è che un Service Pack o un aggiornamento cumulativo può modificare il percorso dell'eseguibile SQL Server che invaliderà la regola del firewall.

Nota

La procedura riportata di seguito utilizza l'elemento Windows Firewall del Pannello di controllo. Lo snap-in MMC Windows Firewall con sicurezza avanzata consente di configurare una regola più complessa, inclusa la configurazione di un'eccezione del servizio che può risultare utile per offrire una difesa più avanzata. Vedere Utilizzo dello snap-in Windows Firewall con sicurezza avanzata più avanti.

Per aggiungere un'eccezione del programma al firewall utilizzando l'elemento Windows Firewall nel Pannello di controllo
  1. Nella scheda Eccezioni dell'elemento Windows Firewall nel Pannello di controllo fare clic su Aggiungi programma.

  2. Passare al percorso dell'istanza di SQL Server che si desidera consentire tramite il firewall, ad esempio C:\Programmi\Microsoft SQL Server\MSSQL12.<>instance_name\MSSQL\Binn, selezionare sqlservr.exee quindi fare clic su Apri.

  3. Fare clic su OK.

Per altre informazioni sugli endpoint, vedere Configurare il Motore di database in modo che sia in ascolto su più porte TCP e Viste del catalogo degli endpoint (Transact-SQL&).

Porte utilizzate da Analysis Services

Nella tabella seguente sono elencate le porte più usate da Analysis Services.

Funzionalità Porta Commenti
Analysis Services Porta TCP 2383 per l'istanza predefinita Porta standard per l'istanza predefinita di Analysis Services.
Servizio SQL Server Browser Porta TCP 2382 necessaria solo per un'istanza denominata di Analysis Services Le richieste di connessione client per un'istanza denominata di Analysis Services che non specificano un numero di porta vengono indirizzate alla porta 2382, la porta su cui SQL Server Browser è in ascolto. SQL Server Browser reindirizza quindi la richiesta alla porta usata dall'istanza denominata.
Analysis Services configurato per l'uso tramite IIS/HTTP

(La tabella pivot?? Il servizio usa HTTP o HTTPS)
Porta TCP 80 Utilizzata per una connessione HTTP tramite un URL.
Analysis Services configurato per l'uso tramite IIS/HTTPS

(La tabella pivot?? Il servizio usa HTTP o HTTPS)
Porta TCP 443 Utilizzata per una connessione HTTPS tramite un URL. HTTPS è una connessione HTTP che utilizza il protocollo SSL (Secure Sockets Layer).

Se gli utenti accedono ad Analysis Services tramite IIS e Internet, è necessario aprire la porta in cui IIS è in ascolto e specificare tale porta nella stringa di connessione client. In questo caso non è necessario aprire alcuna porta per l'accesso diretto ad Analysis Services. È consigliabile limitare la porta predefinita 2389 e la porta 2382 insieme a tutte le altre porte non necessarie.

Per istruzioni dettagliate su come configurare Windows Firewall per Analysis Services, vedere Configurare Windows Firewall per consentire l'accesso ad Analysis Services.

Porte utilizzate da Reporting Services

Nella tabella seguente sono elencate le porte più usate da Reporting Services.

Funzionalità Porta Commenti
Servizi web di Reporting Services Porta TCP 80 Usata per una connessione HTTP a Reporting Services tramite un URL. È consigliabile non usare la regola preconfigurata Servizi Web (HTTP) . Per ulteriori informazioni, vedere la sezione Interazione con altre regole del firewall più avanti.
Reporting Services configurato per l'uso tramite IIS/HTTPS Porta TCP 443 Utilizzata per una connessione HTTPS tramite un URL. HTTPS è una connessione HTTP che utilizza il protocollo SSL (Secure Sockets Layer). È consigliabile non usare la regola preconfigurata Servizi Web protetti (HTTP) . Per ulteriori informazioni, vedere la sezione Interazione con altre regole del firewall più avanti.

Quando Reporting Services si connette a un'istanza del motore di database di Analysis Services, è necessario aprire anche le porte appropriate per tali servizi. Per istruzioni dettagliate su come configurare Windows Firewall per Reporting Services, vedere Configurare un firewall per l'accesso al server di report.

Porte utilizzate da Integration Services

Nella tabella seguente sono elencate le porte usate dal servizio Integration Services.

Funzionalità Porta Commenti
Microsoft Remote Procedure Call (MS RPC)

Usato dal runtime di Integration Services.
Porta TCP 135

Vedere Considerazioni speciali per la porta 135
Il servizio Integration Services usa il protocollo DCOM sulla porta 135. Service Control Manager usa la porta 135 per eseguire attività come l'avvio e l'arresto del servizio Integration Services e la trasmissione delle richieste di controllo al servizio in esecuzione. Il numero di porta non può essere modificato.

Questa porta deve essere aperta solo se si esegue la connessione a un'istanza remota del servizio Integration Services da Management Studio o a un'applicazione personalizzata.

Per istruzioni dettagliate per configurare Windows Firewall per Integration Services, vedere Configurare Windows Firewall per l'accesso al servizio SSIS.

Porte e servizi aggiuntivi

Nella tabella seguente sono elencati i servizi e le porte da cui potrebbe dipendere SQL Server.

Scenario Porta Commenti
Strumentazione gestione Windows (WMI)

Per ulteriori informazioni su Strumentazione gestione Windows (WMI), vedere WMI Provider for Configuration Management Concepts.
WMI viene eseguito come parte di un host del servizio condiviso con porte assegnate tramite DCOM e potrebbe utilizzare la porta TCP 135.

Vedere Considerazioni speciali per la porta 135
Gestione configurazione SQL Server usa WMI per elencare e gestire i servizi. È consigliabile usare il gruppo di regole preconfigurate Strumentazione gestione Windows (WMI) . Per ulteriori informazioni, vedere la sezione Interazione con altre regole del firewall più avanti.
Microsoft Distributed Transaction Coordinator (MS DTC) Porta TCP 135

Vedere Considerazioni speciali per la porta 135
Se l'applicazione usa transazioni distribuite, può essere necessario configurare il firewall in modo da consentire il flusso del traffico di Microsoft Distributed Transaction Coordinator (MS DTC) tra istanze MS DTC separate e tra MS DTC e strumenti di gestione risorse come SQL Server. È consigliabile utilizzare il gruppo di regole preconfigurato Distributed Transaction Coordinator .

Quando è configurato un solo oggetto MS DTC condiviso per l'intero cluster in un gruppo di risorse distinto, è necessario aggiungere sqlservr.exe come eccezione al firewall.
Il pulsante sfoglia in Management Studio usa UDP per connettersi al servizio SQL Server Browser. Per altre informazioni, vedere Servizio SQL Server Browser (Motore di database e SSAS). Porta UDP 1434 UDP è un protocollo senza connessione.

Il firewall include un'impostazione, denominata UnicastResponsesToMulticastBroadcastDisabled Property of the INetFwProfile Interface che controlla il comportamento del firewall relativamente alle risposte unicast a una richiesta UDP di trasmissione (o multicast). Sono possibili due comportamenti:

Se l'impostazione è TRUE, non sono consentite risposte unicast a una trasmissione. I servizi di enumerazione non possono essere eseguiti correttamente.

Se l'impostazione è FALSE (impostazione predefinita), le risposte unicast sono consentite per 3 secondi. La durata non è configurabile. in una rete di latenza congestionata o elevata o per i server caricati pesantemente, tenta di enumerare istanze di SQL Server potrebbe restituire un elenco parziale, che potrebbe causare errori agli utenti.
Traffico IPsec Porta UDP 500 e porta UDP 4500 Se i criteri di dominio richiedono che le comunicazioni di rete vengano eseguite tramite IPsec, è necessario aggiungere anche le porte UDP 4500 e UDP 500 all'elenco delle eccezioni. IPsec è un'opzione che usa la Creazione guidata nuova regola connessioni in entrata nello snap-in Windows Firewall. Per altre informazioni, vedere Utilizzo dello snap-in Windows Firewall con sicurezza avanzata più avanti.
Utilizzo dell'autenticazione di Windows con domini trusted Per consentire le richieste di autenticazione, è necessario configurare i firewall. Per ulteriori informazioni, vedere Configurazione di un firewall per domini e trust.
SQL Server e clustering di Windows Il clustering richiede porte aggiuntive che non sono direttamente correlate alla SQL Server. Per ulteriori informazioni, vedere Enable a network for cluster use.
Spazi dei nomi URL riservati in HTTP Server API (HTTP.SYS) Probabilmente la porta TCP 80, ma può essere configurata su altre porte. Per informazioni generali, vedere Configuring HTTP and HTTPS. Per informazioni specifiche di SQL Server sulla prenotazione di un endpoint HTTP.SYS che usa HttpCfg.exe, vedere Informazioni su prenotazioni e registrazione URL (Gestione configurazione SSRS).

Considerazioni speciali per la porta 135

Quando si utilizza RPC con TCP/IP o UDP/IP come trasporto, le porte in ingresso spesso vengono assegnate dinamicamente ai servizi di sistema, se necessario. Vengono utilizzate le porte TCP/IP e UDP/IP che sono più grandi della porta 1024 e spesso vengono definite in modo informale "porte RPC casuali". In questi casi, i client RPC si basano sul mapper di endpoint RPC per indicare le porte dinamiche assegnate al server. Per alcuni servizi basati su RPC è possibile configurare una porta specifica anziché consentire a RPC un'assegnazione dinamica. È inoltre possibile limitare l'intervallo di porte assegnate dinamicamente da RPC a un piccolo intervallo, indipendentemente dal servizio. Poiché la porta 135 viene utilizzata per molti servizi, viene attaccata di frequente da utenti malintenzionati. Quando si apre la porta 135, limitare l'ambito della regola del firewall.

Per ulteriori informazioni sulla porta 135, consultare i riferimenti seguenti:

Interazione con altre regole del firewall

Per effettuare la configurazione di Windows Firewall, è necessario utilizzare regole e gruppi di regole. Ogni regola o gruppo di regole in genere è associato a un particolare programma o un servizio ed è possibile che tale programma o servizio modifichi o elimini la regola all'insaputa dell'utente. I gruppi di regole Servizi Web (HTTP) e Servizi Web (HTTPS) , ad esempio, sono associati a IIS. L'abilitazione di queste regole comporterà l'apertura delle porte 80 e 443 e l'attivazione delle funzionalità di SQL Server che dipendono da tali porte. È tuttavia possibile che gli amministratori che configurano IIS le modifichino o disabilitino. Pertanto, se si usa la porta 80 o la porta 443 per SQL Server, è necessario creare una regola o un gruppo di regole personalizzato che gestisce la configurazione della porta desiderata indipendentemente dalle altre regole IIS.

Lo snap-in MMC Windows Firewall con sicurezza avanzata consente tutto il traffico che corrisponde alle regole di concessione applicabili. Pertanto, se esistono due regole applicabili entrambe alla porta 80 (con parametri diversi), il traffico che corrisponde all'una o all'altra verrà consentito. Se una regola consente il traffico sulla porta 80 da una subnet locale e l'altra il traffico da qualsiasi indirizzo, l'effetto finale è che tutto il traffico verso la porta 80 verrà consentito, indipendentemente dall'origine. Per gestire efficacemente l'accesso a SQL Server, gli amministratori devono verificare periodicamente tutte le regole del firewall abilitate sul server.

Panoramica sui profili del firewall

I profili del firewall vengono illustrati in Guida introduttiva a Windows Firewall con sicurezza avanzata nella sezione relativa al firewall host con riconoscimento del percorso di rete. Per riepilogare, i sistemi operativi sono in grado di identificare e memorizzare ciascuna delle reti alle quali si connettono per tutto quello che riguarda la connettività, le connessioni e la categoria.

Sono disponibili tre tipi di percorsi di rete in Windows Firewall con sicurezza avanzata:

  • Dominio. Windows può autenticare l'accesso al controller di dominio per il dominio al quale il computer viene unito.

  • Pubblica. Ad eccezione di quelle del dominio, tutte le reti sono inizialmente classificate come pubbliche. Le reti che rappresentano connessioni dirette a Internet o che si trovano in luoghi pubblici, ad esempio aeroporti e Internet caffè, dovrebbero essere sempre pubbliche.

  • Privata. Una rete identificata da un utente o da un'applicazione come privata. Solo le reti attendibili devono essere identificate come reti private. In genere gli utenti desiderano identificare come private le reti domestiche o di piccole aziende.

L'amministratore può creare un profilo per ogni tipo di percorso di rete, contenente diversi criteri del firewall. È possibile applicare un solo profilo alla volta. L'ordine di applicazione è il seguente:

  1. Se tutte le interfacce vengono autenticate nel controller di dominio per il dominio del quale il computer è membro, il profilo del dominio viene applicato.

  2. Se tutte le interfacce sono autenticate nel controller di dominio o sono connesse a reti classificate come percorsi di rete privati, viene applicato il profilo privato.

  3. In caso contrario, viene applicato il profilo pubblico.

Utilizzare lo snap-in MMC Windows Firewall con sicurezza avanzata per visualizzare e configurare tutti i profili del firewall. L'elemento Windows Firewall del Pannello di controllo configura solo il profilo corrente.

Impostazioni aggiuntive del firewall mediante l'elemento Windows Firewall del Pannello di controllo

Le eccezioni aggiunte al firewall possono limitare l'apertura della porta alle connessioni in ingresso da computer specifici o dalla subnet locale. Questa restrizione dell'ambito di apertura della porta è consigliata e può ridurre il livello di esposizione del computer agli utenti malintenzionati.

Nota

L'uso dell'elemento Windows Firewall del Pannello di controllo configura solo il profilo del firewall corrente.

Per modificare l'ambito dell'eccezione di un firewall mediante l'elemento Windows Firewall del Pannello di controllo

  1. Nell'elemento Windows Firewall del Pannello di controllo selezionare un programma o una porta nella scheda Eccezioni , quindi fare clic su Proprietà o Modifica.

  2. Nella finestra di dialogo Modifica programma o Modifica porta fare clic su Cambia ambito.

  3. Scegliere una delle opzioni seguenti:

    • Tutti i computer (compresi quelli in Internet)

      Non consigliato. Questa opzione consente a tutti i computer che riescono a comunicare con il computer dell'utente di connettersi al programma o alla porta specificata. Questa impostazione potrebbe essere necessaria per consentire la presentazione delle informazioni a utenti anonimi su Internet, ma aumenta l'esposizione a utenti malintenzionati. L'esposizione può essere ulteriormente aumentata se insieme a questa impostazione viene abilitato anche l'attraversamento NAT (Network Address Translation), ad esempio l'opzione Consenti attraversamento confini.

    • Solo la rete (subnet) locale

      Questa impostazione offre una protezione maggiore rispetto a Tutti i computer. Solo i computer che si trovano nella subnet locale della rete possono connettersi al programma o alla porta.

    • Elenco personalizzato:

    Solo i computer che dispongono degli indirizzi IP elencati possono connettersi. Questa opzione offre un livello di protezione ancora più elevato di Solo la rete (subnet) locale, anche se i computer client che usano DHCP possono modificare occasionalmente l'indirizzo IP. Pertanto il computer desiderato non sarà in grado di connettersi. Un altro computer, a cui non è stata concessa l'autorizzazione, potrebbe accettare l'indirizzo IP elencato ed essere in grado di connettersi. L'opzione Elenco personalizzato può risultare adatta per elencare altri server configurati per l'utilizzo di un indirizzo IP fisso anche se gli indirizzi IP possono essere soggetti a spoofing da parte di un intruso. L'efficacia delle regole di limitazione del firewall equivale solo a quella dell'infrastruttura di rete.

Utilizzo dello snap-in Windows Firewall con sicurezza avanzata

È possibile configurare impostazioni del firewall avanzate aggiuntive tramite lo snap-in MMC Windows Firewall con sicurezza avanzata. Lo snap-in include una procedura guidata di creazione delle regole ed espone impostazioni aggiuntive non disponibili nell'elemento Windows Firewall del Pannello di controllo. Tali impostazioni includono quanto segue:

  • Impostazioni di crittografia

  • Restrizioni dei servizi

  • Restrizione delle connessioni per i computer in base al nome

  • Restrizione delle connessioni a utenti o profili specifici

  • Attraversamento dei confini che consente al traffico di ignorare i router NAT (Network Address Translation)

  • Configurazione di regole in uscita

  • Configurazione di regole di sicurezza

  • Richiesta di IPsec per le connessioni in ingresso

Per creare una nuova regola del firewall utilizzando la Creazione guidata nuova regola connessioni in entrata

  1. Dal menu Start scegliere Esegui, digitare WF.msc, quindi fare clic su OK.

  2. In Windows Firewall con sicurezza avanzata, nel riquadro sinistro, fare clic con il pulsante destro del mouse su Regole in entrata, quindi scegliere Nuova regola.

  3. Completare la Creazione guidata nuova regola connessioni in entrata utilizzando le impostazioni desiderate.

Risoluzione dei problemi relativi alle impostazioni del firewall

Le tecniche e gli strumenti illustrati di seguito possono risultare utili per la risoluzione dei problemi del firewall.

  • Lo stato della porta più efficace è l'unione di tutte le regole relative alla porta. Quando si tenta di bloccare l'accesso attraverso una porta, può essere utile verificare tutte le regole in cui viene citato il numero della porta. A questo scopo, utilizzare lo snap-in MMC Windows Firewall con sicurezza avanzata e ordinare le regole in entrata e in uscita in base al numero della porta.

  • Verificare le porte attive nel computer su cui è in esecuzione SQL Server. Questo processo di verifica include l'individuazione delle porte TCP/IP in attesa, nonché dello stato delle porte.

    Per verificare quali porte siano in attesa, usare l'utilità da riga di comando netstat . Oltre alle connessioni TCP attive, l'utilità netstat visualizza anche un'ampia gamma di statistiche e informazioni relative al protocollo IP.

    Per elencare le porte TCP/IP in attesa

    1. Aprire una finestra del prompt dei comandi.

    2. Al prompt dei comandi digitare netstat -n -a.

      L'opzione -n indica a netstat di visualizzare in valori numerici l'indirizzo e il numero di porta delle connessioni TCP attive. L'opzione -a indica a netstat di visualizzare le porte TCP e UDP su cui è in attesa il computer.

  • L'utilità PortQry può essere usata per indicare lo stato delle porte TCP/IP come in attesa, non in attesa o filtrato. Uno stato filtrato non indica se la porta è o non è in attesa, bensì che l'utilità non ha ricevuto alcuna risposta dalla porta. È possibile scaricare l'utilità PortQry dalla pagina relativa nell' area download Microsoft.

Vedere anche

Panoramica dei servizi e requisiti per le porte di rete per il sistema server Windows