Windows服务器防火墙配置规范

Posted 2020-08-31

本文属于一篇内部规范文档，整理的初衷是为了规范、统一集团的Windows服务器（仅仅SQL Server数据库服务器）防火墙设置，仅仅供内部其它同事设置Windows防火墙时作为参考的文档资料。如有不足，敬请指正。后续将不断完善、整理该文档。文档里面部分内容直接摘抄自MSDN，敬请知晓！

 

 

 

文档类型	Windows服务器防火墙配置规范
创建日期	2017-02-06
版本变化	V1.0

 

 

修改记录

 

修改人	修改日期	版本	修改描述
孔令波	2017-02-06	V1.0	创建制定文档

 

 

注意事项：Windows服务器防火墙必须开启，不能因为繁琐或图省事直接关闭防火墙。

 

 

 

 

 

、

SQL Server组件使用的端口

 

 

 

数据库引擎使用的端口

 

 

应用场景	端口	注释
SQL Server 默认实例	TCP端口 1433	这是允许通过防火墙的最常用端口。 它适用于与默认数据库引擎安装或作为计算机上唯一运行实例的命名实例之间的例行连接。 （命名实例具有特殊的注意事项。 请参阅本主题后面的动态端口。）
SQL Server 命名实例	此TCP端口是在启动数据库引擎时确定的动态端口。	请参阅下面 动态端口部分中的描述。 当使用命名实例时， SQL Server Browser 服务可能需要 UDP 端口 1434。
SQL Server 命名实例	由管理员配置的端口号。	请参阅下面 动态端口部分中的描述。
专用管理连接	对于默认实例，为 TCP 端口 1434。 其他端口用于命名实例。 有关端口号，请查看错误日志。	默认情况下，不会启用与专用管理员连接 (DAC) 的远程连接。 若要启用远程 DAC，请使用外围应用配置器方面。 有关详细信息，请参阅 Surface Area Configuration。
SQL Server Browser 服务	UDP 端口 1434	SQL Server Browser 服务用于侦听指向命名实例的传入连接，并为客户端提供与此命名实例对应的 TCP 端口号。 通常，只要使用 SQL Server 的命名实例，就会启动数据库引擎Browser服务。 如果客户端配置为连接到命名实例的特定端口，则不必启动 SQL Server Browser 服务。
SQL Server 实例。	可以在创建 HTTP 端点时指定。 对于 CLEAR_PORT 通信，默认端口为 TCP 端口 80，对于 SSL_PORT 通信，默认端口为 443。	用于通过 URL 实现的 HTTP 连接。
SQL Server 默认实例。	TCP 端口 443	用于通过 URL 实现的 HTTPS 连接。 HTTPS 是使用安全套接字层 (SSL) 的 HTTP 连接。
Service Broker	TCP 端口 4022。 若要验证使用的端口，请执行下面的查询： SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = \'SERVICE_BROKER\'	对于 SQL ServerService Broker，没有默认端口，不过这是联机丛书示例中使用的常规配置。
数据库镜像	管理员选择的端口。 若要确定此端口，请执行以下查询： SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = \'DATABASE_MIRRORING\'	对于数据库镜像，没有默认端口，不过联机丛书示例使用 TCP 端口 7022。 务必避免中断正在使用的镜像端点，尤其是处于带有自动故障转移功能的高安全模式下时。 防火墙配置必须避免破坏仲裁。 有关详细信息，请参阅指定服务器网络地址（数据库镜像）。
复制	与 SQL Server 的复制连接使用典型的常规数据库引擎端口（供默认实例使用的 TCP 端口 1433 等） 复制快照的 Web 同步和 FTP/UNC 访问要求在防火墙上打开其他端口。 为了将初始数据和架构从一个位置传输到另一个位置，复制可以使用 FTP（TCP 端口 21）或者通过 HTTP（TCP 端口 80）或文件共享进行的同步。 文件共享使用 UDP 端口 137 和 138，如果使用 NetBios，则还有 TCP 端口 139。 文件共享使用 TCP 端口 445。	对于通过 HTTP 进行的同步，复制使用 IIS 端点（其端口可配置，但默认情况下为端口 80），不过 IIS 进程通过标准端口（对于默认实例为 1433）连接到后端 SQL Server。 在使用 FTP 进行 Web 同步期间，FTP 传输是在 IIS 和 SQL Server 发布服务器之间进行，而非在订阅服务器和 IIS 之间进行。
Transact-SQL 调试器	TCP 端口 135 请参阅 端口 135 的特殊注意事项 可能还需要 IPsec 例外。	如果使用 Visual Studio，则在 Visual Studio 主机计算机上，还必须将 Devenv.exe 添加到“例外”列表中并打开 TCP 端口 135。 如果使用 Management Studio，则在 Management Studio 主机计算机上，还必须将 ssms.exe 添加到“例外”列表中并打开 TCP 端口 135。 有关详细信息，请参阅运行 TSQL 调试器之前配置防火墙规则。

 

 

 

 

 

 

 

Analysis Services 使用的端口

 

下表列出了 Analysis Services经常使用的端口。

 

功能	端口	注释
Analysis Services	对于默认实例，为 TCP 端口 2383。	默认 Analysis Services实例的标准端口。
SQL Server Browser 以上是关于Windows服务器防火墙配置规范的主要内容，如果未能解决你的问题，请参考以下文章 windows server 2008 防火墙配置 GCM Windows 防火墙配置 windows防火墙的算法及基本配置 设置Windows防火墙以允许被ICMP Ping（两种配置方式） 配置 windows server FTP开启防火墙例外后然然无法访问的解决办法 Windows2008防火墙怎么设置端口例外,服务器配置mysql如何开放远程访问