Serveur d'impression

Configurer le pare-feu Windows pour autoriser l'accès à SQL Server – SQL Server – Bien choisir son serveur d impression

Le 13 juin 2019 - 54 minutes de lecture

<! – ->

S'APPLIQUE À : OuiSQL Server (Windows uniquement) nonBase de données SQL Azure nonAzure SQL Data Warehouse nonEntrepôt de données parallèle S'APPLIQUE À: OuiSQL Server (Windows uniquement) Non.Base de données SQL Azure Non.Azure SQL Data Warehouse Non.Entrepôt de données parallèle

Les systèmes de pare-feu empêchent les accès non autorisés aux ressources de l'ordinateur.Les systèmes de pare-feu empêchent les accès non autorisés aux ressources de l'ordinateur. Si un pare-feu est activé alors qu’il n’est pas configuré correctement, les tentatives de connexion à serveur SQLserveur SQL peut être bloqué.Si un pare-feu est activé mais n'est pas configuré correctement, tente de se connecter à serveur SQLserveur SQL pourrait être bloqué.

Pour accéder à une instance de serveur SQLserveur SQL à travers un pare-feu, vous devez configurer le pare-feu sur l'ordinateur en cours d'exécution serveur SQLserveur SQL.Pour accéder à une instance du serveur SQLserveur SQL à travers un pare-feu, vous devez configurer le pare-feu sur l'ordinateur en cours d'exécution serveur SQLserveur SQL. Le pare-feu est un composant de MicrosoftMicrosoft Les fenêtres.Le pare-feu est un composant de MicrosoftMicrosoft Les fenêtres. Vous pouvez également installer un pare-feu d'une autre société.Vous pouvez également installer un pare-feu d'une autre société. Cet article explique comment configurer le Pare-feu Windows, mais les bases s'appliquent à d'autres programmes de pare-feu.Cet article explique comment configurer le pare-feu Windows, mais les principes de base s'appliquent à d'autres programmes de pare-feu.

Remarques

Cet article fournit une vue d'ensemble de la configuration du pare-feu et résume les informations pouvant intéresser un administrateur. serveur SQLserveur SQL.Cet article fournit une vue d'ensemble de la configuration du pare-feu et résume les informations. serveur SQLserveur SQL administrateur. Pour plus d'informations sur le pare-feu et des informations strictes sur le pare-feu, voir la documentation relative au pare-feu, par exemple, Pare-feu Windows avec sécurité avancée et IPsec.Pour obtenir des informations sur le pare-feu et le pare-feu, voir la documentation sur le pare-feu, telle que Pare-feu Windows avec sécurité avancée et IPsec.

Utilisateurs familiers avec l'élément fenêtre pare-feu dans le Panneau de configuration et avec le composant logiciel enfichable MFP du pare-feu Windows (Microsoft Management Console) doté de fonctionnalités de sécurité avancées et sachant quels paramètres de pare-feu ils souhaitent configurer peuvent accéder directement aux éléments de la liste suivante:Les utilisateurs familiers avec le fenêtre pare-feu élément dans le Panneau de configuration et avec le composant logiciel enfichable MMC (Pare-feu Windows avec Advanced Management Console) et qui sait quels paramètres de pare-feu ils souhaitent configurer

Informations de base sur le pare-feuInformations de base sur le pare-feu

Les pare-feu examinent les paquets entrants et les comparent à un ensemble de règles.Les pare-feu inspectent les paquets entrants et les comparent à un ensemble de règles. Si les règles autorisent le paquet, le pare-feu le transmet au protocole TCP / IP pour traitement ultérieur.Si les règles autorisent le paquet, le pare-feu passe le protocole TCP / IP pour un traitement supplémentaire. Si les règles n'autorisent pas le paquet, le pare-feu ignore le paquet et, si la journalisation est activée, crée une entrée dans le fichier journal du pare-feu.Si les règles n'autorisent pas le paquet, le pare-feu le rejette et, si la journalisation est activée, crée une entrée dans le fichier de journalisation du pare-feu.

La liste du trafic autorisé est renseignée de l'une des manières suivantes:La liste des personnes est l’une des suivantes:

  • Lorsque l'ordinateur sur lequel le pare-feu est activé initie la communication, le pare-feu crée une entrée dans la liste afin que la réponse soit autorisée.Lorsque le pare-feu activé est activé sur l'ordinateur, le pare-feu crée une entrée dans la liste afin que la réponse soit autorisée. La réponse entrante est considérée comme sollicitée et vous n'avez pas à configurer cet élément.La réponse entrante est considérée comme sollicitée et vous ne la configurez pas.

  • Un administrateur configure les exceptions de pare-feu.Un administrateur configure les exceptions au pare-feu. Cela permet d'accéder aux programmes spécifiés exécutés sur votre ordinateur ou aux ports de connexion spécifiés sur votre ordinateur.Cela vous permet d'accéder à votre ordinateur sur votre ordinateur. Dans ce cas, l'ordinateur accepte le trafic entrant non sollicité lorsqu'il agit en tant que serveur, écouteur ou homologue.Dans ce cas, l'ordinateur accepte le trafic entrant non sollicité lorsqu'il agit en tant que serveur, écouteur ou homologue. C'est le type de configuration qui doit être complété pour se connecter à serveur SQLserveur SQL.C'est le type de configuration qui doit être complété pour se connecter à serveur SQLserveur SQL.

Choisir une stratégie de pare-feu est plus complexe que de déterminer si un port donné doit être ouvert ou fermé.Choisir une stratégie de pare-feu est plus complexe que décider si un port donné doit être ouvert ou fermé. Lors de la conception d'une stratégie de pare-feu pour votre organisation, veillez à prendre en compte toutes les règles et options de configuration disponibles.Lors de la conception d'un pare-feu pour votre entreprise, veillez à prendre en compte toutes les règles et configurations disponibles. Cet article ne traite pas de toutes les options de pare-feu possibles.Cet article ne passe pas en revue toutes les options de pare-feu possibles. Nous vous recommandons de consulter les documents suivants:Nous vous recommandons de consulter les documents suivants:

Mise en route du pare-feu Windows avec fonctions de sécurité avancéesGuide de démarrage du pare-feu Windows avec fonctions de sécurité avancées

Guide de conception du pare-feu Windows avec fonctions de sécurité avancées (en anglais)Guide de conception du Pare-feu Windows avec sécurité avancée

Introduction à l'isolation du serveur et du domaineIntroduction à l'isolation de serveurs et de domaines

Paramètres de pare-feu par défautParamètres de pare-feu par défaut

Pour planifier la configuration de votre pare-feu, la première étape consiste à déterminer l'état actuel du pare-feu pour votre système d'exploitation.La première étape de la planification de la configuration de votre pare-feu consiste à déterminer l'état actuel du pare-feu pour votre système d'exploitation. Si le système d'exploitation était mis à niveau à partir d'une version précédente, les anciens paramètres de pare-feu pourraient être conservés.Si le système d'exploitation a été mis à niveau à partir d'une version précédente, le pare-feu précédent a été préservé. De même, les paramètres du pare-feu peuvent avoir été modifiés par un autre administrateur ou par une stratégie de groupe de votre domaine.En outre, le pare-feu peut être modifié par un autre administrateur ou par une stratégie de groupe de votre domaine.

Remarques

L'activation du pare-feu affectera d'autres programmes accédant à cet ordinateur, tels que le partage de fichiers et d'imprimantes, ainsi que les connexions Bureau à distance.Cela sera fait à l'avenir et pourra communiquer avec d'autres utilisateurs, tels que l'accès à distance et les connexions de bureau à distance. Les administrateurs doivent prendre en compte toutes les applications qui s'exécutent sur l'ordinateur avant de définir les paramètres du pare-feu.Les administrateurs doivent prendre en compte toutes les applications en cours d'exécution sur l'ordinateur avant d'ajuster les paramètres du pare-feu.

Programmes pour configurer le pare-feuProgrammes pour configurer le pare-feu

Configurez les paramètres du pare-feu Windows avec Console de gestion Microsoft ou Netsh.Configurez le pare-feu Windows avec Console de gestion Microsoft or Netsh.

  • Console de gestion Microsoft (MMC)Console de gestion Microsoft (MMC)

    Le composant logiciel enfichable MMC Pare-feu Windows avec des fonctionnalités de sécurité avancées vous permet de configurer des paramètres de pare-feu plus avancés.Le composant logiciel enfichable MMC Pare-feu Windows avec fonctions avancées de sécurité vous permet de configurer des paramètres de pare-feu plus avancés. Ce composant logiciel enfichable présente la plupart des options de pare-feu de manière simple et expose tous les profils de pare-feu.Ce composant logiciel enfichable présente toutes les options de pare-feu de manière simple et présente tous les profils de pare-feu. Pour plus d'informations, voir Utilisation du logiciel de pare-feu Windows avec des fonctionnalités de sécurité avancées, plus loin dans cet article.Pour plus d'informations, voir Utilisation du pare-feu Windows avec sécurité du composant logiciel enfichable avancé dans cet article.

  • NetshNetsh

    L'outil netsh.exe peut être utilisé par un administrateur pour configurer et surveiller des ordinateurs Windows à partir d'une invite de commande ou à l'aide d'un fichier de commandes .thé netsh.exe Les administrateurs Windows peuvent être utilisés par un administrateur pour configurer des ordinateurs Windows. . Utiliser l'outil Netsh , vous pouvez diriger les commandes de contexte que vous entrez dans l’application d’assistance appropriée, qui les exécute ensuite.En utilisant le Netsh helper, outil, helper, l’assistant exécute ensuite la commande. Une application auxiliaire est un fichier de bibliothèque de liens dynamiques (.dll) qui étend les fonctionnalités de l'outil. Netsh Fournir la configuration, l'analyse et la prise en charge d'un ou plusieurs services, utilitaires ou protocoles.Un assistant est un fichier de bibliothèque de liens dynamiques (.dll) qui étend les fonctionnalités du Netsh outil en fournissant la configuration, la surveillance et le support pour un ou plusieurs services, utilitaires ou protocoles. Tous les systèmes d'exploitation prenant en charge serveur SQLserveur SQL avoir un programme d'assistance pare-feu.Tous les systèmes d'exploitation prenant en charge serveur SQLserveur SQL avoir un assistant de pare-feu. Windows Server 2008Windows Server 2008 a également une application avancée de pare-feu advfirewall.a également un pare-feu avancé appelé helper advfirewall. Pas d'informations détaillées sur l'utilisation de Netsh n'est pas fourni dans cet article.Les détails d'utilisation Netsh ne sont pas abordés dans cet article. Cependant, bon nombre des options de configuration décrites peuvent être configurées via Netsh.Cependant, de nombreuses options de configuration peuvent être configurées à l’aide de Netsh. Par exemple, exécutez le script suivant à partir d'une invite de commande pour ouvrir le port TCP 1433:Par exemple, exécutez le script suivant sur le port TCP 1433:

    netsh firewall set protocole d'ouverture de port = port TCP = 1433 nom = mode SQLPort = ENABLE scope = profil SUBNET = CURRENT  
    

    Voici un exemple similaire qui utilise l'application d'assistance Windows Firewall avec des fonctionnalités de sécurité avancées:Un exemple similaire utilisant l’assistant Pare-feu Windows pour sécurité avancée:

    le pare-feu netsh advfirewall ajoute le nom de la règle = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN  
    

    Pour plus d'informations sur Netsh, voir les liens suivants:Pour plus d'informations sur Netsh, voir les liens suivants:

  • Pour Linux : Sous Linux, vous devez également ouvrir les ports associés aux services auxquels vous devez accéder.Pour Linux: Sous Linux, vous devez également ouvrir les ports. Différentes distributions de Linux et différents pare-feu ont leurs propres procédures.Différentes distributions de Linux et différents pare-feu ont leurs propres procédures. Pour deux exemples, voir SQL Server sur Red Hat et SQL Server sur SUSE.Pour deux exemples, voir SQL Server sur Red Hat et SQL Server sur SUSE.

Ports utilisés par serveur SQLserveur SQLUtilisé par les ports serveur SQLserveur SQL

Les tableaux suivants peuvent vous aider à identifier les ports utilisés par serveur SQLserveur SQL.Les tableaux suivants peuvent vous aider à identifier les ports utilisés par serveur SQLserveur SQL.

Ports utilisés par le moteur de base de donnéesPorts utilisés par le moteur de base de données

Le tableau suivant répertorie les ports fréquemment utilisés par le Moteur de base de donnéesMoteur de base de données.Les listes de tableaux suivantes sont fréquemment utilisées par le Moteur de base de donnéesMoteur de base de données.

ScénarioScénario deport commentairescommentaires
serveur SQLserveur SQL par défaut qui fonctionne via TCPinstance par défaut fonctionnant sur TCP Port TCP 1433Port TCP 1433 C'est le port le plus commun autorisé à traverser le pare-feu.C'est le port le plus commun autorisé à traverser le pare-feu. Il s’applique aux connexions de routine à partir de l’installation par défaut du Moteur de base de donnéesMoteur de base de données, ou une instance nommée qui est la seule instance qui s'exécute sur l'ordinateur.Il s’applique aux connexions de routine à l’installation par défaut du Moteur de base de donnéesMoteur de base de données, ou une instance nommée qui est la seule instance en cours d'exécution sur l'ordinateur. (Les instances nommées ont des considérations spéciales.(Les instances nommées ont des considérations spéciales. Voir Ports dynamiques plus loin dans cet article.)Voir Ports dynamiques plus loin dans cet article.)
serveur SQLserveur SQL dans la configuration par défautinstances nommées dans la configuration par défaut Le port TCP est un port dynamique déterminé au début du processus. Moteur de base de donnéesMoteur de base de données .Le port TCP est un port dynamique Moteur de base de donnéesMoteur de base de données départs. Voir la discussion suivante dans la section Ports dynamiques.Voir la discussion ci-dessous dans la section Ports dynamiques. Le port UDP 1434 peut être requis pour le service serveur SQLserveur SQL Navigateur lors de l'utilisation d'instances nommées.Le port UDP 1434 peut être requis pour la serveur SQLserveur SQL Service de navigation lorsque vous utilisez des instances nommées.
serveur SQLserveur SQL lorsqu'il est configuré pour utiliser un port fixeinstances nommées lorsqu'elles sont configurées pour utiliser un port fixe Le numéro de port configuré par l'administrateur.Le numéro de port configuré par l'administrateur. Voir la discussion suivante dans la section Ports dynamiques.Voir la discussion ci-dessous dans la section Ports dynamiques.
Login administrateur dédiéConnexion Admin Dédiée Port TCP 1434 pour l'instance par défaut.Port TCP 1434 pour l'instance par défaut. D'autres ports sont utilisés pour les instances nommées.D'autres ports sont utilisés pour les instances nommées. Recherchez le numéro de port dans le journal des erreurs.Consultez le journal des erreurs pour connaître le numéro de port. Par défaut, les connexions à distance à la connexion administrateur dédiée ne sont pas activées.Par défaut, les connexions à distance à la connexion d'administrateur dédié (DAC) ne sont pas activées. Pour activer un DAC distant, utilisez la facette Configuration de la surface d’exposition.Pour activer le DAC distant, utilisez la facette Configuration de la surface d'exposition. Pour plus d'informations, voir Configuration de la surface d'exposition.Pour plus d'informations, voir Configuration de la surface d'exposition.
serveur SQLserveur SQL Navigateur de serviceService de navigateur Port UDP 1434Port UDP 1434 Le service serveur SQLserveur SQL Le navigateur écoute les connexions entrantes vers une instance nommée et fournit au client le numéro de port TCP correspondant à cette instance nommée.thé serveur SQLserveur SQL Le numéro de port TCP qui correspond à cette instance nommée. Normalement le service serveur SQLserveur SQL Le navigateur est lancé à chaque fois que les instances nommées du Moteur de base de donnéesMoteur de base de données sont utilisés.Normalement le serveur SQLserveur SQL Le service de navigation est démarré lorsque des instances nommées du Moteur de base de donnéesMoteur de base de données sont utilisés. Il n'est pas nécessaire que le service serveur SQLserveur SQL Commencez si le client est configuré pour se connecter au port spécifique de l'instance nommée.thé serveur SQLserveur SQL Il n'est pas nécessaire de démarrer le service de navigation si le client est configuré pour se connecter au port spécifique de l'instance nommée.
serveur SQLserveur SQL qui s'exécute sur un noeud final HTTP.instance fonctionnant sur un noeud final HTTP. Peut être spécifié lors de la création d'un noeud final HTTP.Peut être spécifié lors de la création d'un noeud final HTTP. Le port par défaut est TCP 80 pour le trafic CLEAR_PORT et le port 443 pour le trafic SSL_PORT.La valeur par défaut est le port TCP 80 pour CLEAR_PORT et 443 pour le trafic SSL_PORT. Utilisé pour une connexion HTTP via une URL.Utilisé pour une connexion HTTP via une URL.
serveur SQLserveur SQL qui s'exécute sur un point de terminaison HTTPS.instance par défaut s'exécutant sur un point de terminaison HTTPS. Port TCP 443Port TCP 443 Utilisé pour une connexion HTTPS via une URL.Utilisé pour une connexion HTTPS via une URL. HTTPS est une connexion HTTP qui utilise Secure Sockets Layer (SSL).HTTPS est une connexion HTTP qui utilise SSL (Secure Sockets Layer).
Courtier de serviceCourtier de service Port TCP 4022.Port TCP 4022. Pour vérifier le port utilisé, exécutez la requête suivante:Pour vérifier le port utilisé, exécutez la requête suivante:

SELECT nom, protocole_desc, port, state_desc

FROM sys.tcp_endpoints

WHERE type_desc = & # 39; SERVICE_BROKER & # 39;

Il n'y a pas de port par défaut pour serveur SQLserveur SQLCourtier de serviceCourtier de servicemais c'est la configuration typique utilisée dans les exemples de documentation en ligne.Il n'y a pas de port par défaut pour serveur SQLserveur SQLCourtier de serviceCourtier de serviceMais c'est le cas.
Mise en miroir de bases de donnéesMise en miroir de bases de données Port choisi par l'administrateur.Port choisi par l'administrateur. Pour déterminer le port, exécutez la requête suivante:Pour déterminer le port, exécutez la requête suivante:

SELECT nom, protocole_desc, port, state_desc FROM sys.tcp_endpoints

WHERE type_desc = & # 39; DATABASE_MIRRORING & # 39;

Il n'y a pas de port par défaut pour la mise en miroir de bases de données; Toutefois, les exemples de la documentation en ligne utilisent le port TCP 5022 ou 7022.Il n'y a cependant pas de port par défaut pour la mise en miroir de bases de données. Les exemples de documentation en ligne utilisent les ports TCP 5022 ou 7022. Il est très important d'éviter d'interrompre un point de terminaison mis en miroir, surtout en mode haute sécurité avec basculement automatique.Il est très important d'éviter d'interrompre un point de terminaison miroir utilisé, en particulier en mode haute sécurité avec basculement automatique. Votre configuration de pare-feu doit éviter de rompre le quorum.Votre configuration de pare-feu doit éviter de rompre le quorum. Pour plus d'informations, voir Spécifier une adresse réseau de serveur (mise en miroir de bases de données).Pour plus d'informations, voir Spécifier une adresse réseau de serveur (mise en miroir de bases de données).
Réplicationréplication Connexions de réplication vers serveur SQLserveur SQL utiliser le type de ports standard Moteur de base de donnéesMoteur de base de données (Port TCP 1433 pour l'instance par défaut, etc.)Connexions de réplication vers serveur SQLserveur SQL utiliser la régulière typique Moteur de base de donnéesMoteur de base de données ports (port TCP 1433 pour l'instance d'instance, etc.)

La synchronisation Web et l'accès FTP / UNC pour l'instantané de réplication nécessitent l'ouverture de ports supplémentaires sur le pare-feu.La synchronisation Web et l'accès FTP / UNC pour la capture instantanée de réplication nécessitent l'ouverture de ports supplémentaires sur le pare-feu. Pour transférer les données initiales et le schéma d'un emplacement à un autre, la réplication peut utiliser FTP (port TCP 21), la synchronisation via HTTP (port TCP 80) ou le partage de fichiers.La réplication peut utiliser FTP (port TCP 21), la synchronisation sur HTTP (port TCP 80) ou le partage de fichiers. Le partage de fichiers utilise les ports UDP 137 et 138 et le port TCP 139 avec NetBIOS.Le partage de fichiers utilise les ports UDP 137 et 138, et le port TCP 139 s'il utilise NetBIOS. Le partage de fichiers utilise le port TCP 445.Le partage de fichiers utilise le port TCP 445.

Pour la synchronisation via HTTP, la réplication utilise le point de terminaison IIS (dont les ports sont configurables, mais le port 80 par défaut), mais le processus IIS se connecte au système dorsal. serveur SQLserveur SQL via les ports standard (1433 pour l'instance par défaut).Pour la synchronisation via HTTP, la réplication utilise le point de terminaison IIS (les ports sont configurables mais configurés à 80 par défaut), mais le processus IIS se connecte au serveur principal. serveur SQLserveur SQL via les ports standard (1433 pour l’instance par défaut.

Lors de la synchronisation Web via FTP, un transfert FTP a lieu entre IIS et l'éditeur. serveur SQLserveur SQL , pas entre l’abonné et IIS.Lors de la synchronisation Web via FTP, le transfert FTP s'effectue entre IIS et le serveur SQLserveur SQL éditeur, pas entre abonné et IIS.

Transact-SQLTransact-SQL débogueurdébogueur Port TCP 135Port TCP 135

Voir Considérations spéciales pour le port 135Voir Considérations spéciales pour le port 135

L'exception IPsec peut également être requise.L'exception IPsec peut également être requise.

Si tu utilises Visual StudioVisual Studio, sur l'ordinateur hôte Visual StudioVisual Studio vous devez aussi ajouter devenv.exe dans la liste des exceptions et ouvrez le port TCP 135.Si vous utilisez Visual StudioVisual Studio, sur le Visual StudioVisual Studio ordinateur hôte, vous devez également ajouter devenv.exe dans la liste des exceptions et ouvrez le port TCP 135.

Si tu utilises Studio de gestionStudio de gestion, sur l'ordinateur hôte Studio de gestionStudio de gestion vous devez aussi ajouter ssms.exe dans la liste des exceptions et ouvrez le port TCP 135.Si vous utilisez Studio de gestionStudio de gestion, sur le Studio de gestionStudio de gestion ordinateur hôte, vous devez également ajouter ssms.exe dans la liste des exceptions et ouvrez le port TCP 135. Pour plus d'informations, voir Configurer les règles de pare-feu avant d'exécuter le débogueur TSQL.Pour plus d'informations, voir Configurer les règles de pare-feu avant d'exécuter le débogueur TSQL.

Pour des instructions détaillées sur la configuration du pare-feu Windows pour Moteur de base de donnéesMoteur de base de donnéesVoir Configuration d’un pare-feu Windows pour accéder au moteur de base de données.Pare-feu Windows pour le pare-feu Windows Moteur de base de donnéesMoteur de base de donnéesPare-feu Windows pour l'accès au moteur de base de données.

Ports dynamiquesPorts dynamiques

Par défaut, les instances nommées (y compris SQL Server ExpressSQL Server Express) utilisent des ports dynamiques.Par défaut, les instances nommées (y compris SQL Server ExpressSQL Server Express) utilisent des ports dynamiques. Cela signifie que chaque fois que le Moteur de base de donnéesMoteur de base de données démarre, il identifie un port disponible et utilise ce numéro de port.Cela signifie que chaque fois Moteur de base de donnéesMoteur de base de données démarre, il identifie un port disponible et utilise ce numéro de port. Si l'instance nommée est la seule instance de Moteur de base de donnéesMoteur de base de données installé, il utilisera probablement le port TCP 1433.Si l'instance nommée est la seule instance de Moteur de base de donnéesMoteur de base de données installé, il utilisera probablement le port TCP 1433. Si d'autres instances de Moteur de base de donnéesMoteur de base de données sont installés, le port utilisé sera probablement un port TCP différent.Si d'autres instances du Moteur de base de donnéesMoteur de base de données sont installés, il utilisera probablement un autre port TCP. Parce que le port sélectionné peut changer à chaque fois que le Moteur de base de donnéesMoteur de base de données est démarré, il est difficile de configurer le pare-feu pour permettre l’accès au bon numéro de port.Parce que le port sélectionné peut changer à chaque fois Moteur de base de donnéesMoteur de base de données est démarré, il est difficile de configurer le pare-feu pour permettre l’accès au bon numéro de port. Par conséquent, si un pare-feu est utilisé, nous vous recommandons de reconfigurer le Moteur de base de donnéesMoteur de base de données d'utiliser le même numéro de port à chaque fois.Par conséquent, si un pare-feu est utilisé, nous vous recommandons de reconfigurer le Moteur de base de donnéesMoteur de base de données d'utiliser le même numéro de port à chaque fois. Ceci est appelé port fixe ou port statique.Ceci s'appelle un port fixe ou un port statique. Pour plus d'informations, voir Configurer un serveur pour écouter un port TCP spécifique (Gestionnaire de configuration SQL Server).Pour plus d'informations, voir Configuration d'un serveur pour l'écoute d'un port TCP spécifique (Gestionnaire de configuration SQL Server).

L'alternative à la configuration d'une instance nommée pour l'écoute sur un port fixe consiste à créer une exception dans le pare-feu pour un programme. serveur SQLserveur SQL, tel que sqlservr.exe (pour le Moteur de base de donnéesMoteur de base de données).Une alternative à la configuration d'une instance nommée pour écouter un port fixe serveur SQLserveur SQL programme tel que sqlservr.exe (pour le Moteur de base de donnéesMoteur de base de données). Cette approche peut être pratique, mais le numéro de port n’apparaît pas dans la colonne. Port local de la page Règles entrantes lorsque vous utilisez le composant logiciel enfichable MMC du Pare-feu Windows avec des fonctionnalités de sécurité avancées.Cela peut être pratique, mais cela n'apparaîtra pas dans le Port local colonne de la Règles entrantes Pare-feu Windows avec composant logiciel enfichable MMC. Cela peut rendre plus difficile la vérification des ports ouverts.Cela peut être plus difficile de vérifier quels ports sont ouverts. Une autre chose à considérer est qu'un service pack ou une mise à jour cumulative peut changer le chemin d'accès au fichier exécutable. serveur SQLserveur SQL , ce qui peut invalider la règle de pare-feu.Une autre considération est qu'une mise à jour cumulative d'or de Service Pack peut changer le chemin d'accès à serveur SQLserveur SQL exécutable qui invalidera la règle de pare-feu.

Pour ajouter une exception de programme au pare-feu à l'aide du Pare-feu Windows avec des fonctionnalités de sécurité avancéesPour ajouter un programme Pare-feu Windows avec sécurité avancée
  1. Dans le menu Démarrer, tapez wf.msc.Dans le menu Démarrer, tapez wf.msc. Cliquer sur Pare-feu Windows avec fonctions de sécurité avancées.Cliquez sur Pare-feu Windows avec sécurité avancée.

  2. Dans le volet de gauche, cliquez sur Règles entrantes.Dans le volet gauche, cliquez sur Règles entrantes.

  3. Dans le volet de droite, sous Stock, cliquer sur Nouvelle règle. leAssistant Nouvelle règle entrante ouvreDans le volet de droite, sous Stock Cliquez sur Nouvelle règle …. Assistant Nouvelle règle entrante ouvre

  4. Dans Type de règle, cliquer sur Programme.nous Type de règle, Cliquez sur Programme. Cliquer sur Suivant.Cliquez sur Suivant.

  5. Dans Programme, cliquer sur Ce chemin de programme.nous Programme, Cliquez sur Ce chemin de programme. Cliquer sur Feuilleter localiser votre instance de SQL Server.Cliquez sur Feuilleter localiser votre instance de SQL Server. Le programme s'appelle sqlservr.exe.Le programme s'appelle sqlservr.exe. Il est normalement situé à l'emplacement suivant:Il est normalement situé à:

    C: Programmes Microsoft SQL Server MSSQL13. MSSQL Binn sqlservr.exe

    Cliquer sur Suivant.Cliquez sur Suivant.

  6. Dans action, cliquer sur Autoriser la connexion.nous action, Cliquez sur Autoriser la connexion.

  7. Dans Profil, incluez les trois profils.Profil, incluez les trois profils. Cliquer sur Suivant.Cliquez sur Suivant.

  8. Dans prénom, tapez un nom pour la règle.nous prénom, tapez un nom pour la règle. Cliquer sur terminer.Cliquez sur terminer.

Pour plus d'informations sur les noeuds finaux, voir Configurer le moteur de base de données pour qu'il écoute sur plusieurs ports TCP et vues de catalogue de noeuds finaux (Transact-SQL).Pour plus d'informations sur les noeuds finaux, voir Configuration du moteur de base de données pour l'écoute de plusieurs vues de catalogue de ports TCP et de points de terminaison (Transact-SQL).

Ports utilisés par Analysis ServicesPorts utilisés par Analysis Services

Le tableau suivant répertorie les ports fréquemment utilisés par Services d'analyseServices d'analyse.Le tableau suivant répertorie les ports fréquemment utilisés par Services d'analyseServices d'analyse.

fonctionnalitéfonctionnalité deport commentairescommentaires
Services d'analyseServices d'analyse Port TCP 238 pour l'instance par défautPort TCP 2383 pour l'instance par défaut Port standard pour l'instance par défaut de Services d'analyseServices d'analyse.Le port standard pour l'instance par défaut de Services d'analyseServices d'analyse.
serveur SQLserveur SQL Navigateur de serviceService de navigateur Le port TCP 2382 requis uniquement pour une instance nommée Services d'analyseServices d'analyseLe port TCP 2382 n’est nécessaire que pour un Services d'analyseServices d'analyse instance nommée Demandes de connexion client à une instance nommée de Services d'analyseServices d'analyse qui ne définissent pas un numéro de port sont dirigés vers le port 2382, qui est le port écouté par serveur SQLserveur SQL Navigateur.Demandes de connexion client pour une instance nommée de Services d'analyseServices d'analyse qui ne spécifient pas un numéro de port sont dirigés vers le port 2382, le port sur lequel serveur SQLserveur SQL Le navigateur écoute. serveur SQLserveur SQL Le navigateur redirige ensuite la demande vers le port utilisé par l'instance nommée.Le navigateur redirige ensuite la demande vers le port utilisé par l'instance nommée.
Services d'analyseServices d'analyse configuré pour une utilisation sur IIS / HTTPconfiguré pour une utilisation via IIS / HTTP

(Le service de tableau croisé dynamique utilise HTTP ou HTTPS)(Le service de tableau croisé dynamique utilise HTTP ou HTTPS)

Port TCP 80Port TCP 80 Utilisé pour une connexion HTTP via une URL.Utilisé pour une connexion HTTP via une URL.
Services d'analyseServices d'analyse configuré pour une utilisation via IIS / HTTPSconfiguré pour une utilisation via IIS / HTTPS

(Le service PivotTable® utilise HTTP ou HTTPS)(Le service de tableau croisé dynamique utilise HTTP ou HTTPS)

Port TCP 443Port TCP 443 Utilisé pour une connexion HTTPS via une URL.Utilisé pour une connexion HTTPS via une URL. HTTPS est une connexion HTTP qui utilise SSL (Secure Sockets Layer).HTTPS est une connexion HTTP qui utilise SSL (Secure Sockets Layer).

Si les utilisateurs accèdent à Services d'analyseServices d'analyse via IIS et Internet, vous devez ouvrir le port sur lequel IIS doit être écouté dans la chaîne de connexion cliente.Si les utilisateurs accèdent Services d'analyseServices d'analyse via IIS et Internet, vous devez ouvrir le port sur lequel IIS écoute et spécifier ce port dans la chaîne de connexion du client. Dans ce cas, il ne faut pas être ouvert pour l'accès direct à Services d'analyseServices d'analyse.Dans ce cas, aucun port ne doit être ouvert pour un accès direct à Services d'analyseServices d'analyse. Le port par défaut 2389 et le port 2382, sont tous soumis à des restrictions.Le port par défaut 2389 et le port 2382 doivent être restreints ainsi que tous les autres ports non requis.

Pour obtenir des instructions détaillées sur la configuration du Pare-feu Windows pour Services d'analyseServices d'analyse, consultez le logiciel Windows pour autoriser l’accès à Analysis Services.Pour obtenir des instructions étape par étape pour configurer le pare-feu Windows pour Services d'analyseServices d'analyseVoir Configuration du pare-feu Windows pour autoriser l'accès à Analysis Services.

Ports utilisés par Reporting ServicesPorts utilisés par Reporting Services

Tableau suivant répertorie les ports qui ont été utilisés par Services de rapportServices de rapport.Le tableau suivant répertorie les ports fréquemment utilisés par Services de rapportServices de rapport.

FonctionnalitéFonctionnalité dePort commentairescommentaires
Services de rapportServices de rapport Services WebServices Web Port TCP 80Port TCP 80 Utilisé pour une connexion HTTP à Services de rapportServices de rapport via une URL.Utilisé pour une connexion HTTP à Services de rapportServices de rapport via une URL. Nous vous recommandons de ne pas utiliser la règle préconfigurée Services sur le Web (HTTP).Nous vous recommandons de ne pas utiliser la règle préconfigurée. Services World Wide Web (HTTP). Pour plus d'informations, consultez ci-dessous la section Interaction avec d'autres règles de pare-feu.Pour plus d'informations, voir la section Interaction avec d'autres règles de pare-feu ci-dessous.
Services de rapportServices de rapport configuré pour une utilisation via HTTPSconfiguré pour une utilisation via HTTPS Port TCP 443Port TCP 443 Utilisé pour une connexion HTTPS via une URL.Utilisé pour une connexion HTTPS via une URL. HTTPS est une connexion HTTP qui utilise SSL (Secure Sockets Layer).HTTPS est une connexion HTTP qui utilise SSL (Secure Sockets Layer). Nous vous recommandons de ne pas utiliser la règle préconfigurée Services World Wide Web sécurisés (HTTPS).Nous vous recommandons de ne pas utiliser la règle préconfigurée. Services Web sécurisés (HTTPS). Pour plus d'informations, consultez ci-dessous la section Interaction avec d'autres règles de pare-feu.Pour plus d'informations, voir la section Interaction avec d'autres règles de pare-feu ci-dessous.

Lorsque Services de rapportServices de rapport se connecter à une instance du Moteur de base de donnéesMoteur de base de données ou Services d'analyseServices d'analyseVous devez également ouvrir les ports appropriés pour ces services.Quand Services de rapportServices de rapport se connecte à une instance du Moteur de base de donnéesMoteur de base de données ou Services d'analyseServices d'analyse, vous devez également ouvrir les ports appropriés pour ces services. Pour obtenir des instructions détaillées sur la configuration du Pare-feu Windows pour Services de rapportServices de rapport, consultez le configurateur pour accéder au serveur de rapports.Pour obtenir des instructions pas à pas sur la configuration du pare-feu Windows pour Services de rapportServices de rapport, Configurez un pare-feu pour l’accès au serveur de rapports.

Ports utilisés par Integration ServicesPorts utilisés par Integration Services

Le tableau suivant répertorie les ports qui sont utilisés par le service Services d'intégrationServices d'intégration .Le tableau suivant répertorie les ports utilisés par le Services d'intégrationServices d'intégration un service.

FonctionnalitéFonctionnalité dePort commentairescommentaires
MicrosoftMicrosoft Appels de procédure distante (MS RPC)remote procedure calls (MS RPC)

Utilisé par le runtime Integration ServicesIntegration Services .Used by the Integration ServicesIntegration Services runtime.

Port TCP 135TCP port 135

Consultez Considérations spéciales relatives au port 135See Special Considerations for Port 135

Le service Integration ServicesIntegration Services utilise DCOM sur le port 135.Tea Integration ServicesIntegration Services service uses DCOM on port 135. Le Gestionnaire de contrôle des services utilise le port 135 pour effectuer des tâches telles que le démarrage et l&#39;arrêt du service Integration ServicesIntegration Services ainsi que la transmission des demandes de contrôle au service en exécution.The Service Control Manager uses port 135 to perform tasks such as starting and stopping the Integration ServicesIntegration Services service and transmitting control requests to the running service. Le numéro de port ne peut pas être modifié.The port number cannot be changed.

Ce port ne doit être ouvert que si vous vous connectez à une instance distante du service Integration ServicesIntegration Services de Management StudioManagement Studio ou d&#39;une application personnalisée.This port is only required to be open if you are connecting to a remote instance of the Integration ServicesIntegration Services service from Management StudioManagement Studio or a custom application.

Pour obtenir des instructions pas à pas pour configurer le Pare-feu Windows pour Integration ServicesIntegration Services, consultez Service Integration Services (service SSIS).For step-by-step instructions to configure the Windows Firewall for Integration ServicesIntegration Services, see Integration Services Service (SSIS Service).

Ports et services supplémentairesAdditional Ports and Services

Le tableau suivant répertorie les ports et services dont SQL ServerSQL Server peut dépendre.The following table lists ports and services that SQL ServerSQL Server might depend on.

ScénarioScenario dePort commentairescommentaires
Windows Management InstrumentationWindows Management Instrumentation

Pour plus d&#39;informations sur WMI, consultez WMI Provider for Configuration Management Concepts.For more information about WMI, see WMI Provider for Configuration Management Concepts

WMI s&#39;exécute dans le cadre d&#39;un hôte de service partagé avec les ports attribués via DCOM.WMI runs as part of a shared service host with ports assigned through DCOM. WMI peut utiliser le port TCP 135.WMI might be using TCP port 135.

Consultez Considérations spéciales relatives au port 135See Special Considerations for Port 135

SQL ServerSQL Server utilise WMI pour lister et gérer des services.Configuration Manager uses WMI to list and manage services. Nous vous recommandons d’utiliser la règle préconfigurée Windows Management Instrumentation (WMI).We recommend that you use the preconfigured rule group Windows Management Instrumentation (WMI). Pour plus d&#39;informations, consultez ci-dessous la section Interaction avec d&#39;autres règles de pare-feu .For more information, see the Interaction with Other Firewall Rules section below.
MicrosoftMicrosoft Distributed Transaction Coordinator (MS DTC)Distributed Transaction Coordinator (MS DTC) Port TCP 135TCP port 135

Consultez Considérations spéciales relatives au port 135See Special Considerations for Port 135

Si votre application utilise des transactions distribuées, vous devez éventuellement configurer le pare-feu pour autoriser le trafic MS DTC ( MicrosoftMicrosoft Distributed Transaction Coordinator) entre des instances MS DTC distinctes, et entre MS DTC et les gestionnaires de ressources tels que SQL ServerSQL Server.If your application uses distributed transactions, you might have to configure the firewall to allow MicrosoftMicrosoft Distributed Transaction Coordinator (MS DTC) traffic to flow between separate MS DTC instances, and between the MS DTC and resource managers such as SQL ServerSQL Server. Nous vous recommandons d&#39;utiliser le groupe de règles préconfigurées Distributed Transaction Coordinator .We recommend that you use the preconfigured Distributed Transaction Coordinator rule group.

Lorsqu&#39;un MS DTC partagé unique est configuré pour l&#39;intégralité du cluster dans un groupe de ressources distinct, vous devez ajouter sqlservr.exe comme exception au pare-feu.When a single shared MS DTC is configured for the entire cluster in a separate resource group you should add sqlservr.exe as an exception to the firewall.

Le bouton Parcourir dans Management StudioManagement Studio utilise UDP pour se connecter au service SQL ServerSQL Server Browser.The browse button in Management StudioManagement Studio uses UDP to connect to the SQL ServerSQL Server Browser Service. Pour plus d’informations, consultez Service SQL Server Browser (moteur de base de données et SSAS).For more information, see SQL Server Browser Service (Database Engine and SSAS). Port UDP 1434UDP port 1434 UDP est un protocole sans connexion.UDP is a connectionless protocol.

Le pare-feu a un paramètre, nommé Propriété UnicastResponsesToMulticastBroadcastDisabled de l’interface INetFwProfile , qui contrôle le comportement du pare-feu par rapport aux réponses de monodiffusion (unicast) à une demande UDP multidiffusion (ou multicast).The firewall has a setting, which is named UnicastResponsesToMulticastBroadcastDisabled Property of the INetFwProfile Interface which controls the behavior of the firewall with respect to unicast responses to a broadcast (or multicast) UDP request. Il a deux comportements :It has two behaviors:

Si le paramètre est TRUE, aucune réponse de monodiffusion à une diffusion n&#39;est autorisée.If the setting is TRUE, no unicast responses to a broadcast are permitted at all. L&#39;énumération des services échouera.Enumerating services will fail.

Si le paramètre est FALSE (valeur par défaut), les réponses de monodiffusion sont autorisées pendant 3 secondes.If the setting is FALSE (default), unicast responses are permitted for 3 seconds. La durée n&#39;est pas configurable.The length of time is not configurable. Dans un réseau encombré ou à latence élevée, ou pour les serveurs très chargés, toute tentative d’énumération des instances de SQL ServerSQL Server peut retourner une liste partielle, qui peut induire les utilisateurs en erreur.in a congested or high-latency network, or for heavily loaded servers, tries to enumerate instances of SQL ServerSQL Server might return a partial list, which might mislead users.

Trafic IPsecIPsec traffic Port UDP 500 et port UDP 4500UDP port 500 and UDP port 4500 Si la stratégie de domaine exige que les communications réseau s&#39;effectuent par le biais du protocole IPsec, vous devez également ajouter les ports UDP 4500 et UDP 500 à la liste des exceptions.If the domain policy requires network communications to be done through IPsec, you must also add UDP port 4500 and UDP port 500 to the exception list. IPsec est une option de l’ Assistant Nouvelle règle de trafic entrant dans le composant logiciel enfichable Pare-feu Windows.IPsec is an option using the New Inbound Rule Wizard in the Windows Firewall snap-in. Pour plus d’informations, consultez ci-dessous Utilisation du composant logiciel enfichable Pare-feu Windows avec fonctions avancées de sécurité .For more information, see Using the Windows Firewall with Advanced Security Snap-in below.
Utilisation de l&#39;authentification Windows avec les domaines approuvésUsing Windows Authentication with Trusted Domains Les pare-feu doivent être configurés pour autoriser des demandes d&#39;authentification.Firewalls must be configured to allow authentication requests. Pour plus d&#39;informations, consultez Comment faire pour configurer un pare-feu pour les domaines et les approbations.For more information, see How to configure a firewall for domains and trusts.
SQL ServerSQL Server et le clustering Windowsand Windows Clustering Le clustering requiert des ports supplémentaires qui ne sont pas directement en rapport avec SQL ServerSQL Server.Clustering requires additional ports that are not directly related to SQL ServerSQL Server. Pour plus d&#39;informations, consultez Activer un réseau pour une utilisation du cluster.For more information, see Enable a network for cluster use.
Des espaces de noms réservés de l&#39;URL dans l&#39;API HTTP Server (HTTP.SYS)URL namespaces reserved in the HTTP Server API (HTTP.SYS) Probablement le port TCP 80, mais la configuration d&#39;autres ports est possible.Probably TCP port 80, but can be configured to other ports. Pour les informations générales, consultez Configuration de HTTP et HTTPS.For general information, see Configuring HTTP and HTTPS. Pour des informations spécifiques à SQL ServerSQL Server en ce qui concerne la réservation d’un point de terminaison HTTP.SYS à l’aide de HttpCfg.exe, consultez À propos des réservations et de l’inscription d’URL (Gestionnaire de configuration de SSRS).Pour SQL ServerSQL Server specific information about reserving an HTTP.SYS endpoint using HttpCfg.exe, see About URL Reservations and Registration (SSRS Configuration Manager).

Considérations spéciales relatives au port 135Special Considerations for Port 135

Lorsque vous utilisez RPC avec TCP/IP ou avec UDP/IP comme transport, les ports entrants sont fréquemment attribués de manière dynamique aux services système en fonction des besoins ; les ports TCP/IP et UDP/IP qui sont supérieurs au port 1024 sont utilisés.When you use RPC with TCP/IP or with UDP/IP as the transport, inbound ports are frequently dynamically assigned to system services as required; TCP/IP and UDP/IP ports that are larger than port 1024 are used. Ces ports sont souvent appelés de façon informelle « ports RPC aléatoires ».These are frequently informally referred to as "random RPC ports." Dans ces cas, les clients RPC comptent sur le mappeur de points de terminaison RPC pour leur indiquer quels ports dynamiques ont été attribués au serveur.In these cases, RPC clients rely on the RPC endpoint mapper to tell them which dynamic ports were assigned to the server. Pour certains services basés sur RPC, vous pouvez configurer un port spécifique au lieu de laisser RPC en attribuer un dynamiquement.For some RPC-based services, you can configure a specific port instead of letting RPC assign one dynamically. Vous pouvez également limiter la plage de ports que RPC attribue dynamiquement, indépendamment du service.You can also restrict the range of ports that RPC dynamically assigns to a small range, regardless of the service. Étant donné que le port 135 est utilisé pour de nombreux services, il est fréquemment attaqué par des utilisateurs malveillants.Because port 135 is used for many services it is frequently attacked by malicious users. Lorsque vous ouvrez le port 135, pensez à restreindre l&#39;étendue de la règle de pare-feu.When opening port 135, consider restricting the scope of the firewall rule.

Pour plus d&#39;informations sur le port 135, consultez les rubriques de référence suivantes :For more information about port 135, see the following references:

Interaction avec d&#39;autres règles de pare-feuInteraction with Other Firewall Rules

Le Pare-feu Windows utilise des règles et des groupes de règles pour établir sa configuration.The Windows Firewall uses rules and rule groups to establish its configuration. Chaque règle ou groupe de règles est généralement associé à un programme ou service particulier, et ce programme ou service peut modifier ou supprimer qui règle à votre insu.Each rule or rule group is generally associated with a particular program or service, and that program or service might modify or delete that rule without your knowledge. Par exemple, les groupes de règles Services World Wide Web (HTTP) et Services World Wide Web (HTTPS) sont associés à IIS.For example, the rule groups World Wide Web Services (HTTP) et World Wide Web Services (HTTPS) are associated with IIS. L&#39;activation de ces règles ouvrira les ports 80 et 443, et les fonctionnalités de SQL ServerSQL Server qui dépendent des ports 80 et 443 fonctionneront si ces règles sont activées.Enabling those rules will open ports 80 and 443, and SQL ServerSQL Server features that depend on ports 80 and 443 will function if those rules are enabled. Toutefois, les administrateurs qui configurent IIS peuvent modifier ou désactiver ces règles.However, administrators configuring IIS might modify or disable those rules. Par conséquent, si vous utilisez le port 80 ou le port 443 pour SQL ServerSQL Server, vous devez créer votre propre règle ou groupe de règles qui conserve votre configuration de port souhaitée indépendamment des autres règles IIS.Therefore, if you are using port 80 or port 443 for SQL ServerSQL Server, you should create your own rule or rule group that maintains your desired port configuration independently of the other IIS rules.

Le composant logiciel enfichable MMC du Pare-feu Windows avec fonctions avancées de sécurité autorise tout trafic qui correspond aux règles d&#39;autorisation applicables.The Windows Firewall with Advanced Security MMC snap-in allows any traffic that matches any applicable allow rule. S&#39;il existe deux règles qui s&#39;appliquent toutes deux au port 80 (avec des paramètres différents), le trafic qui correspond à l&#39;une ou l&#39;autre règle sera autorisé.So if there are two rules that both apply to port 80 (with different parameters), traffic that matches either rule will be permitted. Si une règle autorise le trafic sur le port 80 du sous-réseau local et l&#39;autre règle autorise le trafic à partir de n&#39;importe quelle adresse, le résultat fait que tout le trafic vers le port 80 est autorisé indépendamment de la source.So if one rule allows traffic over port 80 from local subnet and one rule allows traffic from any address, the net effect is that all traffic to port 80 is permitted regardless of the source. Pour gérer efficacement l&#39;accès à SQL ServerSQL Server, les administrateurs doivent périodiquement examiner toutes les règles de pare-feu activées sur le serveur.To effectively manage access to SQL ServerSQL Server, administrators should periodically review all firewall rules enabled on the server.

Vue d&#39;ensemble des profils de pare-feuOverview of Firewall Profiles

Les profils de pare-feu sont examinés dans le Guide de prise en main du Pare-feu Windows avec fonctions avancées de sécurité de la section Pare-feu d’hôte prenant en charge l’emplacement réseau.Firewall profiles are discussed in Windows Firewall with Advanced Security Getting Started Guide in the section Network location-aware host firewall. Pour résumer, les systèmes d&#39;exploitation identifient et gardent en mémoire chacun des réseaux auxquels ils se connectent (connectivité, connexions et catégorie).To summarize, the operating systems identify and remember each of the networks to which they connect with regard to connectivity, connections, and category.

Il existe trois types d&#39;emplacements réseau dans le Pare-feu Windows avec fonctions avancées de sécurité :There are three network location types in Windows Firewall with Advanced Security:

  • Domaine.Domain. Windows peut authentifier l&#39;accès au contrôleur de domaine pour le domaine auquel l&#39;ordinateur est joint.Windows can authenticate access to the domain controller for the domain to which the computer is joined.

  • Public.Public. En dehors des réseaux de domaine, tous les réseaux sont catégorisés initialement en tant que publics.Other than domain networks, all networks are initially categorized as public. Les réseaux qui représentent des connexions directes à l&#39;Internet ou qui se trouvent à emplacements publics, tels que les aéroports et les cafés, doivent rester publics.Networks that represent direct connections to the Internet or are in public locations, such as airports and coffee shops should be left public.

  • Privé.Private. Réseau identifié par un utilisateur ou une application comme privé.A network identified by a user or application as private. Seuls les réseaux de confiance doivent être identifiés en tant que réseaux privés.Only trusted networks should be identified as private networks. Les utilisateurs identifient généralement comme privés les réseaux domestiques ou les réseaux pour petites entreprises.Users will likely want to identify home or small business networks as private.

L&#39;administrateur peut créer un profil pour chaque type d&#39;emplacement réseau, chaque profil contenant des stratégies de pare-feu différentes.The administrator can create a profile for each network location type, with each profile containing different firewall policies. Un seul profil est appliqué à la fois.Only one profile is applied at any time. L&#39;ordre des profils est appliqué comme suit :Profile order is applied as follows:

  1. Si toutes les interfaces sont authentifiées au contrôleur de domaine pour le domaine dans lequel l&#39;ordinateur est membre, le profil de domaine est appliqué.If all interfaces are authenticated to the domain controller for the domain of which the computer is a member, the domain profile is applied.

  2. Si toutes les interfaces sont authentifiées au contrôleur de domaine ou sont connectées à des réseaux classifiés comme emplacements de réseau privés, le profil privé est appliqué.If all interfaces are either authenticated to the domain controller or are connected to networks that are classified as private network locations, the private profile is applied.

  3. Autrement, le profil public est appliqué.Otherwise, the public profile is applied.

Utilisez le composant logiciel enfichable MMC du Pare-feu Windows avec fonctions avancées de sécurité pour afficher et configurer tous les profils de pare-feu.Use the Windows Firewall with Advanced Security MMC snap-in to view and configure all firewall profiles. L&#39;élément du Pare-feu Windows dans le Panneau de configuration configure seulement le profil actuel.Tea Windows Firewall item in Control Panel only configures the current profile.

Paramètres de pare-feu supplémentaires utilisant l&#39;élément Pare-feu Windows dans le Panneau de configurationAdditional Firewall Settings Using the Windows Firewall Item in Control Panel

Les exceptions que vous ajoutez au pare-feu peuvent restreindre l&#39;ouverture du port aux connexions entrantes à partir d&#39;ordinateurs spécifiques ou du sous-réseau local.Exceptions that you add to the firewall can restrict the opening of the port to incoming connections from specific computers or the local subnet. Cette restriction de la portée d&#39;ouverture de port peut réduire la surface d&#39;exposition de votre ordinateur aux utilisateurs malveillants, et elle est recommandée.This restriction of the scope of the port opening can reduce how much your computer is exposed to malicious users, and is recommended.

Remarques

L’utilisation de l’élément Pare-feu Windows dans le Panneau de configuration configure seulement le profil de pare-feu actuel.En utilisant le Windows Firewall item in Control Panel only configures the current firewall profile.

Pour modifier l&#39;étendue d&#39;une exception de pare-feu à l&#39;aide de l&#39;élément Pare-feu Windows dans le Panneau de configurationTo change the scope of a firewall exception using the Windows Firewall item in Control Panel

  1. Dans Pare-feu Windows du Panneau de configuration, sélectionnez un programme ou un port sous l&#39;onglet Exceptions , puis cliquez sur Propriétés ou Edit.dans le Windows Firewall item in Control Panel, select a program or port on the Exceptions tab, and then click Properties ou Edit.

  2. Dans la boîte de dialogue Modifier un programme ou Modifier un port , cliquez sur Modifier l&#39;étendue.dans le Edit a Program ou Edit a Port dialog box, click Change Scope.

  3. Choisissez l&#39;une des options suivantes :Choose one of the following options:

    • N&#39;importe quel ordinateur (y compris ceux présents sur Internet)Any computer (including those on the Internet)

      Option non recommandée.Not recommended. Cela autorisera tout ordinateur qui peut adresser votre ordinateur à se connecter au programme ou port spécifié.This will allow any computer that can address your computer to connect to the specified program or port. Ce paramètre peut être nécessaire pour autoriser la présentation d&#39;informations à des utilisateurs anonymes sur Internet, mais augmente votre exposition aux utilisateurs malveillants.This setting might be necessary to allow information to be presented to anonymous users on the internet, but increases your exposure to malicious users. Votre exposition peut être accrue encore plus si vous activez ce paramètre et également autorisez la traversée NAT (Network Address Translation), comme l&#39;option Autoriser la traversée latérale.Your exposure can be further increased if you enable this setting and also allow Network Address Translation (NAT) traversal, such as the Allow edge traversal option.

    • Uniquement mon réseau (ou sous-réseau)My network (subnet) only

      Ce paramètre plus sécurisé que N&#39;importe quel ordinateur.This is a more secure setting than Any computer. Seuls les ordinateurs présents sur le sous-réseau local de votre réseau peuvent se connecter au programme ou port.Only computers on the local subnet of your network can connect to the program or port.

    • Liste personnalisée :Custom list:

    Seuls les ordinateurs qui correspondent aux adresses IP de votre liste peuvent se connecter.Only computers that have the IP addresses you list can connect. Ce paramètre peut être plus sécurisé que l’option Uniquement mon réseau (ou sous-réseau); toutefois, les ordinateurs clients utilisant DHCP peuvent parfois modifier leur adresse IP.This can be a more secure setting than My network (subnet) only, however, client computers using DHCP can occasionally change their IP address. L&#39;ordinateur prévu ne sera alors pas en mesure de se connecter.Then the intended computer will not be able to connect. Un autre ordinateur, que vous n&#39;aviez pas projeté d&#39;autoriser, peut accepter l&#39;adresse IP répertoriée puis être en mesure de se connecter.Another computer, which you had not intended to authorize, might accept the listed IP address and then be able to connect. L&#39;option Liste personnalisée peut être appropriée pour lister des autres serveurs qui sont configurés pour utiliser une adresse IP fixe ; toutefois, les adresses IP peuvent être usurpées par un intrus.Tea Custom list option might be appropriate for listing other servers which are configured to use a fixed IP address; however, IP addresses might be spoofed by an intruder. Les règles de pare-feu restrictives ne sont fortes que si votre infrastructure réseau l&#39;est aussi.Restricting firewall rules are only as strong as your network infrastructure.

Utilisation du composant logiciel enfichable Pare-feu Windows avec fonctions avancées de sécuritéUsing the Windows Firewall with Advanced Security Snap-in

Des paramètres de pare-feu avancés supplémentaires peuvent être configurés en utilisant le composant logiciel enfichable MMC du Pare-feu Windows avec fonctions avancées de sécurité.Additional advanced firewall settings can be configured by using the Windows Firewall with Advanced Security MMC snap-in. Le composant logiciel enfichable inclut un Assistant Règle et expose des paramètres supplémentaires qui ne sont pas disponibles dans l’élément Pare-feu Windows du Panneau de configuration.The snap-in includes a rule wizard and exposes additional settings that are not available in the Windows Firewall item in Control Panel. Ces paramètres sont les suivants :These settings include the following:

  • Paramètres de chiffrementEncryption settings

  • Restrictions de servicesServices restrictions

  • Restriction des connexions pour les ordinateurs par nomRestricting connections for computers by name

  • Restriction des connexions à des utilisateurs ou profils spécifiquesRestricting connections to specific users or profiles

  • Traversée latérale autorisant le trafic de contourner les routeurs NAT (Network Address Translation)Edge traversal allowing traffic to bypass Network Address Translation (NAT) routers

  • Configuration de règles de trafic sortantConfiguring outbound rules

  • Configuration de règles de sécuritéConfiguring security rules

  • Présence nécessaire d&#39;IPsec pour les connexions entrantesRequiring IPsec for incoming connections

Pour créer une règle de pare-feu à l&#39;aide de l&#39;Assistant Nouvelle règleTo create a new firewall rule using the New Rule wizard

  1. Dans le menu Démarrer, cliquez sur Exécuter, tapez WF.msc, puis cliquez sur d'accord.On the Start menu, click Run, type WF.msc, puis cliquez sur d'accord.

  2. Dans le Pare-feu Windows avec fonctions avancées de sécurité, dans le volet gauche, cliquez avec le bouton droit sur Règles de trafic entrant, puis cliquez sur Nouvelle règle.dans le Windows Firewall with Advanced Security, in the left pane, right-click Inbound Rules, puis cliquez sur New Rule.

  3. Exécutez l&#39; Assistant Nouvelle règle de trafic entrant à l&#39;aide des paramètres que vous souhaitez.Complete the New Inbound Rule Wizard using the settings that you want.

Résolution des problèmes liés aux paramètres du pare-feuTroubleshooting Firewall Settings

Les outils et techniques suivants peuvent être utiles pour résoudre les problèmes liés au pare-feu :The following tools and techniques can be useful in troubleshooting firewall issues:

  • L&#39;état effectif du port repose sur l&#39;union de toutes les règles en rapport avec le port.The effective port status is the union of all rules related to the port. Lors de la tentative de bloquer l&#39;accès via un port, il peut être utile d&#39;examiner toutes les règles qui citent le numéro de port.When trying to block access through a port, it can be helpful to review all the rules which cite the port number. Pour cela, utilisez le composant logiciel enfichable MMC du Pare-feu Windows avec fonctions avancées de sécurité et triez les règles du trafic entrant et sortant par numéro de port.To do this, use the Windows Firewall with Advanced Security MMC snap-in and sort the inbound and outbound rules by port number.

  • Examinez les ports qui sont actifs sur l&#39;ordinateur sur lequel SQL ServerSQL Server s&#39;exécute.Review the ports that are active on the computer on which SQL ServerSQL Server is running. Ce processus de vérification inclut l&#39;identification des ports TCP/IP qui écoutent, ainsi que de l&#39;état des ports.This review process includes verifying which TCP/IP ports are listening and also verifying the status of the ports.

    Pour identifier les ports qui sont à l’écoute, utilisez l’utilitaire de ligne de commande netstat .To verify which ports are listening, use the netstat command-line utility. l’utilitaire netstat affiche non seulement les connexions TCP actives, mais également diverses statistiques et informations IP.In addition to displaying active TCP connections, the netstat utility also displays a variety of IP statistics and information.

    Pour lister les ports TCP/IP qui sont à l&#39;écouteTo list which TCP/IP ports are listening

    1. Ouvrez la fenêtre d&#39;invite de commandes.Open the Command Prompt window.

    2. À l’invite de commandes, tapez netstat -n -a.At the command prompt, type netstat -n -a.

      Le commutateur -n demander netstat d’afficher l’adresse numérique et le numéro de port des connexions TCP actives.Tea -n switch instructs netstat to numerically display the address and port number of active TCP connections. Le commutateur -une demander netstat d’afficher les ports TCP et UDP écoutés par l’ordinateur.Tea -une switch instructs netstat to display the TCP and UDP ports on which the computer is listening.

  • L’utilitaire PortQry peut être utilisé pour signaler l’état des ports TCP/IP comme à l’écoute, pas à l’écoute ou filtré.Tea PortQry utility can be used to report the status of TCP/IP ports as listening, not listening, or filtered. (Lorsque l&#39;état est filtré, le port peut être à l&#39;écoute ou non ; cet état indique que l&#39;utilitaire n&#39;a pas reçu de réponse du port.) l’utilitaire PortQry peut être téléchargé à partir du Centre de téléchargement Microsoft.(With a filtered status, the port might or might not be listening; this status indicates that the utility did not receive a response from the port.) The PortQry utility is available for download from the Microsoft Download Center.

Voir aussiSee Also

Vue d&#39;ensemble des services et exigences de ports réseau pour le système Windows Server Service overview and network port requirements for the Windows Server system
Procédure : configurer les paramètres de pare-feu (Azure SQL Database)How to: Configure Firewall Settings (Azure SQL Database)

<! – ->

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.