SlideShare una empresa de Scribd logo

Configurar firewall de windows para permitir el acceso a sql server

Descargar como DOCX, PDF
J
Jesus Garcia Guevara

investigacion

Educación
1 de 14
Configurar Firewall de Windows para permitir el acceso a SQL Server SQL Server 2014 Otras versiones Los sistemas de firewall ayudan a evitar el acceso no autorizado a los recursos de los equipos. Si un firewall está activado pero no está configurado correctamente, es posible que se bloqueen los intentos de conexión a SQL Server. Para obtener acceso a una instancia de SQL Server a través de un firewall, debe configurar el firewall en el equipo en el que se ejecuta SQL Server para que permita el acceso. El firewall es un componente de Microsoft Windows. También puede instalar un firewall de otra compañía. En este tema se discute cómo configurar el firewall de Windows, pero los principios básicos se aplican a otros programas de firewall. Los usuarios que conozcan el elemento Firewall de Windows del Panel de control y el complemento Microsoft Management Console (MMC) de Firewall de Windows con seguridad avanzada, y que sepan qué opciones del firewall desean configurar pueden ir directamente a los temas de la lista siguiente:  Configurar Firewall de Windows para el acceso al motor de base de datos  Configurar Firewall de Windows para permitir el acceso a Analysis Services  Configurar un firewall para el acceso al servidor de informes Información básica del firewall Los firewalls funcionan inspeccionando los paquetes entrantes y comparándolos con un conjunto de reglas. Si las reglas permiten el paquete, el firewall pasa el paquete al protocolo TCP/IP para su procesamiento adicional. Si las reglas no permiten el paquete, el firewall descarta el paquete y, si está habilitado el registro, crea una entrada en el archivo de registro del firewall. La lista de tráfico permitido se rellena de una de las maneras siguientes:  Cuando el equipo que tiene el firewall habilitado inicia la comunicación, el firewall crea una entrada en la lista para que se permita la respuesta. La respuesta de entrada se considera tráfico solicitado y no es necesario configurarla.  Un administrador configura las excepciones para el firewall. Esto permite el acceso a programas específicos que se ejecutan en el equipo o el acceso a los puertos de conexión especificados en el equipo. En este caso, el equipo acepta el tráfico de entrada no solicitado cuando actúa como un servidor, un agente de escucha o un equipo del mismo nivel. Éste es el tipo de configuración que se debe completar para conectar a SQL Server. Elegir una estrategia del firewall es más complejo que decidir simplemente si un puerto determinado debe estar abierto o cerrado. Al diseñar una estrategia de firewall para la empresa, asegúrese considerar todas las reglas y opciones de configuración disponibles. En este tema no se revisan todas las posibles opciones de firewall. Se recomienda que revise los siguientes documentos:
Guía de introducción del Firewall de Windows con seguridad avanzada Guía de diseño del Firewall de Windows con seguridad avanzada Introducción al aislamiento de servidor y dominio Configuración predeterminada del firewall El primer paso para planear la configuración del firewall es determinar el estado actual del firewall para el sistema operativo. Si el sistema operativo se actualizó desde una versión anterior, se puede haber conservado la configuración de firewall anterior. Además, otro administrador o una Directiva de grupo podría haber cambiado la configuración del firewall en el dominio. Programas para configurar el firewall Hay tres maneras de configurar el Firewall de Windows.  Elemento Firewall de Windows del Panel de control El elemento Firewall de Windows se puede abrir desde el Panel de control. Importante Los cambios realizados en el elemento Firewall de Windows del Panel de control solo afectan al perfil actual. Los dispositivos móviles, por ejemplo un portátil, no deben utilizar el elemento Firewall de Windows del Panel de control, dado que el perfil podría cambiar cuando se conecte con una configuración diferente. Entonces, el perfil configurado previamente no estará en vigor. Para obtener más información sobre los perfiles, vea Guía de introducción del Firewall de Windows con seguridad avanzada. El elemento Firewall de Windows del Panel de control permite configurar opciones básicas. Entre ellas, figuran: o Activar o desactivar el elemento Firewall de Windows en el Panel de control o Habilitar y deshabilitar reglas o Conceder excepciones para puertos y programas o Establecer algunas restricciones de ámbito El elemento Firewall de Windows del Panel de control es muy adecuado para los usuarios que tengan experiencia en la configuración de firewall y que estén configurando opciones de firewall básicas para equipos que no sean móviles. También puede abrir el elemento Firewall de Windows del Panel de control con el comando run utilizando el procedimiento siguiente: Para abrir el elemento Firewall de Windows 5. En el menú Inicio, haga clic en Ejecutar y, a continuación, escriba firewall.cpl. 6. Haga clic en Aceptar.
 Microsoft Management Console (MMC) El complemento MMC del Firewall de Windows con seguridad avanzada permite establecer opciones de configuración de firewall más avanzadas. Este complemento presenta la mayoría de las opciones de firewall de una manera fácil de usar y presenta todos los perfiles de firewall. Para obtener más información, vea Usar el complemento Firewall de Windows con seguridad avanzada, más adelante en este tema.  netsh Un administrador puede utilizar la herramienta netsh.exe para configurar y supervisar los equipos basados en Windows en un símbolo del sistema o utilizando un archivo por lotes. Con la herramienta netsh, puede dirigir los comandos de contexto que escriba a la aplicación auxiliar adecuada y, a continuación, esta ejecutará el comando. Una aplicación auxiliar es un archivo de biblioteca de vínculos dinámicos (.dll) que extiende la funcionalidad de la herramienta netsh proporcionando funciones de configuración, supervisión y soporte técnico de uno o más servicios, utilidades o protocolos. Todos los sistemas operativos que admiten SQL Server tienen una aplicación auxiliar de firewall. Windows Server 2008 también tiene una aplicación auxiliar de firewall avanzada denominada advfirewall. Los detalles del uso de netsh no se explican en este tema. Sin embargo, muchas de las opciones de configuración descritas se pueden configurar utilizando netsh. Por ejemplo, ejecute el script siguiente en un símbolo del sistema para abrir el puerto TCP 1433: netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT Un ejemplo similar que usa Firewall de Windows para la aplicación auxiliar Seguridad avanzada: netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN Para obtener más información acerca de netsh, vea los siguientes vínculos: o Cómo utilizar la herramienta Netsh.exe y los modificadores de la línea de comandos o Cómo utilizar el contexto “netsh advfirewall firewall” en lugar del contexto “netsh firewall” para controlar el comportamiento del Firewall de Windows en Windows Server 2008 y en Windows Vista o El comando "netsh firewall" junto con el parámetro "profile=all" no configura el perfil público en un equipo basado en Windows Vista Puertos utilizados por SQL Server Las tablas siguientes pueden ayudarle a identificar los puertos que utiliza SQL Server. Puertos utilizados por el motor de base de datos
La tabla siguiente muestra los puertos de uso frecuente por parte de Motor de base de datos. Escenario Puerto Comentarios Instancia predeterminada de SQL Server ejecutándose sobre TCP Puerto TCP 1433 Éste es el puerto más común que permite el firewall. Se aplica a las conexiones rutinarias a la instalación predeterminada de Motor de base de datos o a una instancia con nombre que sea la única instancia que se ejecuta en el equipo. (Las instancias con nombre tienen consideraciones especiales. Vea Puertos dinámicos más adelante en este tema.) Instancias con nombre de SQL Server en la configuración predeterminada El puerto TCP es un puerto dinámico determinado en el momento en el que se inicia Motor de base de datos. Vea la explicación siguiente en la sección Puertos dinámicos. El puerto UDP 1434 puede ser necesario para el servicio Explorador de SQL Server cuando se utilizan instancias con nombre. Instancias con nombre de SQL Server cuando están configuradas para utilizar un puerto fijo El número de puerto configurado por el administrador. Vea la explicación siguiente en la sección Puertos dinámicos. Conexión de administrador dedicada Puerto TCP 1434 para la instancia predeterminada. Otros puertos se utilizan para las instancias con nombre. Compruebe en el registro de errores el número de puerto. De forma predeterminada, las conexiones remotas a DAC (Conexión de administrador dedicada) no están habilitadas. Para habilitar la DAC remota, utilice la faceta Configuración de área expuesta. Para obtener más información, vea Configuración de Área expuesta. Servicio Explorador de SQL Server Puerto UDP 1434 El servicio Explorador de SQL Server escucha las conexiones entrantes a una instancia con nombre y proporciona al cliente el número de puerto TCP que corresponde a esa instancia con nombre. Normalmente, el servicio Explorador de SQL Server se inicia siempre que se utilizan instancias con nombre de Motor de base de datos. El servicio SQL Server Browser no tiene que iniciarse si el cliente está configurado para
conectarse al puerto específico de la instancia con nombre. La instancia de SQL Server ejecutándose sobre un extremo HTTP. Se puede especificar cuando se crea un extremo HTTP. El valor predeterminado es el puerto TCP 80 para el tráfico de CLEAR_PORT y el puerto 443 para el tráfico de SSL_PORT. Se utiliza para una conexión HTTP a través de una dirección URL. Instancia predeterminada de SQL Server ejecutándose en un extremo HTTPS. Puerto TCP 443 Se utiliza para una conexión HTTPS a través de una dirección URL. HTTPS es una conexión HTTP que utiliza SSL (Capa de sockets seguros). Service Broker Puerto 4022 TCP. Para comprobar el puerto que se usa, ejecute la siguiente consulta: SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'SERVICE_BROKER' No hay ningún puerto predeterminado para SQL Server Service Broker, pero ésta es la configuración convencional utilizada en los ejemplos de los Libros en pantalla. Base de datos en Espejo ( Mirroring ) Puerto elegido por el administrador. Para determinar el puerto, ejecute la siguiente consulta: SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'DATABASE_MIRRORING' No hay ningún puerto predeterminado para la creación de reflejo de la base de datos, sin embargo, en los ejemplos de los Libros en pantalla se usa el puerto TCP 7022. Es muy importante evitar interrumpir un extremo de creación de reflejo que se esté usando, sobre todo en el modo de alta seguridad con conmutación automática por error. La configuración del firewall debe evitar el romper el quórum. Para obtener más información, vea Especificar una dirección de red de servidor (creación de reflejo de la base de datos). Replicación Las conexiones de replicación a SQL Server utilizan los puertos de Motor de base de datos normales (puerto TCP 1433, para la instancia predeterminada, etc.) habituales. La sincronización web y el acceso de tipo FTP/UNC para la instantánea de replicación requieren que se abran Para la sincronización sobre HTTP, la replicación utiliza el extremo IIS (para el que se pueden configurar los puertos, pero cuyo puerto predeterminado es el 80), pero el proceso IIS se conecta al servidor SQL Server a través de los puertos estándar (1433 para la
puertos adicionales en el firewall. Para transferir los datos iniciales y los esquemas de una ubicación a otra, la replicación puede utilizar FTP (puerto TCP 21) o sincronizar sobre HTTP (puerto TCP 80) o Uso compartido de archivos. El uso compartido de archivos utiliza los puertos UDP 137 y 138, y el puerto TCP 139 si usa NetBIOS. El uso compartido de archivos usa el puerto TCP 445. instancia predeterminada). Durante la sincronización web mediante FTP, la transferencia FTP tiene lugar entre IIS y el publicador de SQL Server, no entre el suscriptor e IIS. Depurador de Transact-SQL Puerto TCP 135 Vea Consideraciones especiales para el puerto 135 Quizá sea necesaria también la excepción IPsec. Si utiliza Visual Studio, en el equipo host Visual Studio debe agregar también Devenv.exe a la lista Excepciones y abrir el puerto TCP 135. Si utiliza Management Studio, en el equipo host Management Studio debe agregar también ssms.exe a la lista Excepciones y abrir el puerto TCP 135. Para obtener más información, vea Configurar el depurador de Transact-SQL. Para obtener instrucciones paso a paso para configurar el Firewall de Windows para Motor de base de datos, vea Configurar Firewall de Windows para el acceso al motor de base de datos. Puertos dinámicos De forma predeterminada, las instancias con nombre (incluido SQL Server Express) utilizan puertos dinámicos. Eso significa que cada vez que se inicia Motor de base de datos, identifica un puerto disponible y utiliza ese número de puerto. Si la instancia con nombre es la única instancia de Motor de base de datos instalada, probablemente utilizará el puerto TCP 1433. Si se instalan otras instancias de Motor de base de datos, probablemente utilizará un puerto TCP diferente. Dado que el puerto seleccionado puede cambiar cada vez que se inicia Motor de base de datos, es difícil configurar el firewall para permitir el acceso al número de puerto correcto. Por consiguiente, si se usa un firewall, recomendamos reconfigurar el Motor de base de datos para que utilice siempre el mismo número de puerto. Esto se denomina un puerto fijo o un puerto estático. Para obtener más información, vea Configurar un servidor para que escuche en un puerto TCP específico (Administrador de configuración de SQL Server). Una alternativa a configurar una instancia con nombre para escuchar en un puerto fijo es crear una excepción en el firewall para un programa SQL Server tal como sqlservr.exe (para el Motor de base de datos). Esto puede ser cómodo, pero el número de puerto no aparecerá en la columna Puerto local de la página Reglas de entrada cuando esté utilizando el complemento MMC de Firewall de Windows con seguridad avanzada. Esto puede dificultar más la verificación de qué puertos están abiertos. Otra consideración es que un Service Pack o una actualización acumulativa
puede cambiar la ruta de acceso a la aplicación ejecutable de SQL Server, lo que invalidará la regla de firewall. Para agregar una excepción de programa al firewall utilizando el elemento Firewall de Windows del Panel de control. 1. En la pestaña Excepciones del elemento Firewall de Windows del Panel de control, haga clic en Agregar un programa. 2. Busque la ubicación de la instancia de SQL Server que desea permitir a través del firewall, por ejemplo, C:Program FilesMicrosoft SQL ServerMSSQL12.<instance_name>MSSQLBinn, seleccione sqlservr.exe y haga clic en Abrir. 3. Haga clic en Aceptar. Para obtener más información acerca de los extremos, vea Configurar el motor de base de datos para escuchar en varios puertos TCP y Vistas de catálogo de extremos (Transact-SQL). Puertos utilizados por Analysis Services La tabla siguiente muestra los puertos de uso frecuente por parte de Analysis Services. Característica Puerto Comentarios Analysis Services Puerto TCP 2383 para la instancia predeterminada El puerto estándar para la instancia predeterminada de Analysis Services. Servicio Explorador de SQL Server El puerto TCP 2382 solamente es necesario para una instancia con nombre de Analysis Services Las solicitudes de conexión de cliente para una instancia con nombre de Analysis Services que no especifican un número de puerto se dirigen al puerto 2382, el puerto en el que escucha el Explorador de SQL Server. El Explorador de SQL Server a continuación redirige la solicitud al puerto que utiliza la instancia con nombre. Analysis Services configurado para el uso a través de IIS/HTTP (El Servicio PivotTable® utiliza HTTP o HTTPS) Puerto TCP 80 Se utiliza para una conexión HTTP a través de una dirección URL. Analysis Services configurado para el uso a través de IIS/HTTPS (El Servicio PivotTable® utiliza HTTP o HTTPS) Puerto TCP 443 Se utiliza para una conexión HTTPS a través de una dirección URL. HTTPS es una conexión HTTP que utiliza SSL (Capa de sockets seguros).
Si los usuarios tienen acceso a Analysis Services a través de IIS e Internet, debe abrir el puerto en el que está escuchando IIS y especificar ese puerto en la cadena de conexión del cliente. En este caso, no se tiene que abrir ningún puerto para acceso directo a Analysis Services. El puerto predeterminado, 2389 y el puerto 2382 deben restringirse junto con los demás puertos que no sean necesarios. Para obtener instrucciones paso a paso para configurar el Firewall de Windows para Analysis Services, vea Configurar Firewall de Windows para permitir el acceso a Analysis Services. Puertos utilizados por Reporting Services La tabla siguiente muestra los puertos de uso frecuente por parte de Reporting Services. Característica Puerto Comentarios Servicios web de Reporting Services Puerto TCP 80 Se utiliza para una conexión HTTP a Reporting Services a través de una dirección URL. Recomendamos que no utilice la regla preconfigurada World Wide Web Services (HTTP). Para obtener más información, vea la sección Interacción con otras reglas de firewall más adelante Reporting Services configurado para el uso a través de HTTPS Puerto TCP 443 Se utiliza para una conexión HTTPS a través de una dirección URL. HTTPS es una conexión HTTP que utiliza SSL (Capa de sockets seguros). Recomendamos que no utilice la regla preconfigurada Secure World Wide Web Services (HTTPS). Para obtener más información, vea la sección Interacción con otras reglas de firewall más adelante Cuando Reporting Services se conecta a una instancia de Motor de base de datos o Analysis Services, también debe abrir los puertos adecuados para esos servicios. Para obtener instrucciones paso a paso para configurar el Firewall de Windows para Reporting Services, vea Configurar un firewall para el acceso al servidor de informes. Puertos utilizados por Integration Services La tabla siguiente muestra los puertos de uso frecuente por parte del servicio Integration Services. Característica Puerto Comentarios Llamadas a procedimiento remoto Microsoft (MS RPC) Utilizado por el motor de tiempo de ejecución Integration Services. Puerto TCP 135 Vea Consideraciones especiales para el puerto 135 El servicio Integration Services utiliza DCOM en el puerto 135. El Administrador de control de servicios usa el puerto 135 para realizar tareas tales como iniciar y detener el servicio Integration Services, y transmitir solicitudes de control al servicio en funcionamiento. No se puede cambiar el número de puerto. Solamente es necesario que este puerto esté abierto si se está conectando a una instancia remota del servicio Integration Services desde Management Studio o desde una aplicación personalizada.
Para obtener instrucciones paso a paso para configurar el Firewall de Windows para Integration Services, vea Configurar Firewall de Windows para el acceso al servicio SSIS. Puertos y servicios adicionales La tabla siguiente muestra los puertos y servicios de los que puede depender SQL Server. Escenario Puerto Comentarios Instrumental de administración de Windows Para obtener más información acerca de WMI, vea Conceptos del proveedor WMI de administración de configuración. WMI se ejecuta como parte de un host de servicio compartido con puertos asignados a través de DCOM. WMI podría estar utilizando el puerto TCP 135. Vea Consideraciones especiales para el puerto 135 El Administrador de configuración de SQL Server utiliza WMI para enumerar y administrar servicios. Recomendamos que utilice el grupo de reglas preconfigurado Instrumental de administración de Windows (WMI). Para obtener más información, vea la sección Interacción con otras reglas de firewall más adelante Coordinador de transacciones distribuidas de Microsoft (MS DTC) Puerto TCP 135 Vea Consideraciones especiales para el puerto 135 Si la aplicación utiliza transacciones distribuidas, quizá deba configurar el firewall para permitir que el tráfico del Coordinador de transacciones distribuidas de Microsoft (MS DTC) fluya entre instancias independientes de MS DTC y entre MS DTC y administradores de recursos como SQL Server. Se recomienda usar el grupo de reglas preconfigurado Coordinador de transacciones distribuidas. Cuando se configura un único MS DTC compartido para todo el clúster en un grupo de recursos independiente, se debería agregar sqlservr.exe como excepción al firewall. El botón Examinar en Management Studio utiliza UDP para establecer conexión con el servicio SQL Server Browser. Para obtener más información, vea Servicio SQL Server Browser (motor de base de datos y SSAS). Puerto UDP 1434 UDP es un protocolo sin conexión. El firewall tiene una configuración, que se denomina Propiedad UnicastResponsesToMulticastBroadcastDisabled de la interfaz INetFwProfile y controla el comportamiento del firewall respecto a las respuestas de unidifusión a una solicitud UDP de difusión (o multidifusión). Tiene dos comportamientos.  Si el valor es TRUE, no se permite en absoluto ninguna respuesta de unidifusión a una difusión. La enumeración de servicios producirá
un error.  Si la configuración es FALSE (valor predeterminado), las respuestas de unidifusión se permiten durante 3 segundos. La longitud de tiempo no es configurable. En una red congestionada o de latencia alta, o para servidores muy cargados, los intentos de enumerar instancias de SQL Server pueden devolver una lista parcial, que puede desorientar a los usuarios. Tráfico IPSec Puerto UDP 500 y puerto UDP 4500 Si la directiva de dominio requiere que las comunicaciones se realicen a través de IPSec, también debe agregar los puertos UDP 4500 y 500 a la lista de excepciones. IPSec es una opción que utiliza el Asistente para nueva regla de entrada en el complemento de Firewall de Windows. Para obtener más información, vea Usar Windows con el complemento del Firewall de Windows con seguridad avanzada. Utilizar la autenticación de Windows con dominios de confianza Los firewalls se deben configurar para permitir solicitudes de autenticación. Para obtener más información, vea Cómo configurar un firewall para dominios y confianza. SQL Server y Agrupación en clústeres de Windows La agrupación en clústeres requiere puertos adicionales que no se relacionan directamente con SQL Server. Para obtener más información, vea Habilitar una red para el uso de clústeres. Espacios de nombres URL reservados en la API del Servidor HTTP (HTTP.SYS) Probablemente el puerto TCP 80, pero se puede configurar en otros puertos. Para obtener información general, vea Configurar HTTP y HTTPS. Para ver información específica de SQL Server sobre cómo reservar un extremo HTTP.SYS mediante HttpCfg.exe, vea Acerca de las reservas y el registro de direcciones URL (Administrador de configuración de SSRS). Consideraciones especiales para el puerto 135 Cuando utilice RPC con TCP/IP o con UDP/IP como transporte, los puertos entrantes suelen asignarse dinámicamente a los servicios del sistema cuando es necesario; se utilizan los puertos TCP/IP y UDP/IP mayores que el puerto 1024. Se suelen conocer informalmente como "puertos RPC
aleatorios". En estos casos, los clientes RPC se apoyan en el mapeador de extremos RPC para indicar qué puertos dinámicos se asignaron al servidor. Para algunos servicios basados en RPC, puede configurar un puerto concreto en lugar de permitir que RPC asigne dinámicamente uno. También puede restringir el intervalo de puertos que RPC asigna dinámicamente a un intervalo pequeño, con independencia del servicio. Dado que el puerto 135 se utiliza para muchos servicios, los usuarios malintencionados lo atacan con frecuencia. Al abrir el puerto 135, considere restringir el ámbito de la regla de firewall. Para obtener más información sobre el puerto 135, vea las siguientes referencias:  Introducción al servicio y requisitos del puerto de red para el sistema Windows Server  Cómo solucionar errores del mapeador de extremos de RPC  Llamada a procedimiento remoto (RPC)  Configurar la asignación dinámica de puertos RPC para trabajar con firewalls Interacción con otras reglas de firewall El Firewall de Windows utiliza reglas y grupos de reglas para establecer su configuración. Cada regla o grupo de reglas suele estar asociado con un programa o servicio determinado, y ese programa o servicio podría modificar o eliminar esa regla sin su conocimiento. Por ejemplo, los grupos de reglas World Wide Web Services (HTTP) y World Wide Web Services (HTTPS) están asociados a IIS. Al habilitar esas reglas, se abrirán los puertos 80 y 443, y las características de SQL Server que dependen de los puertos 80 y 443 funcionarán si esas reglas están habilitadas. Sin embargo, los administradores que configuran IIS podrían modificar o deshabilitar esas reglas. Por consiguiente, si está utilizando el puerto 80 o el puerto 443 para SQL Server, debe crear su propia regla o su propio grupo de reglas que mantenga la configuración de puerto que desee independientemente de las demás reglas IIS. El complemento MMC del Firewall de Windows con seguridad avanzada permite cualquier tráfico que coincida con cualquier regla de permiso aplicable. Por lo tanto, si hay dos reglas que se apliquen al puerto 80 (con parámetros diferentes), se permitirá el tráfico que coincida con cualquiera de ellas. Así si una regla permite el tráfico sobre el puerto 80 de la subred local y otra permite el tráfico procedente de cualquier dirección, el efecto de la red será que se permita todo el tráfico dirigido al puerto 80, sin tener en cuenta su origen. Para administrar eficazmente el acceso a SQL Server, los administradores deben revisar periódicamente las reglas de firewall habilitadas en el servidor. Introducción a los perfiles de firewall Los perfiles de firewall se explican en Guía de introducción del Firewall de Windows con seguridad avanzada en la sección Firewall de host con reconocimiento de ubicación de red. En resumen, los sistemas operativos identifican y recuerdan cada una de las redes a las que se conectan con respecto a la conectividad, las conexiones y la categoría. Hay tres tipos de ubicación de red en Firewall de Windows con seguridad avanzada:  Dominio. Windows puede autenticar el acceso al controlador de dominio para el dominio al que está unido el equipo.
 Públicas. Excepto las redes de dominio, todas las redes se categorizan inicialmente como públicas. Las redes que representan conexiones directas a Internet o que están en ubicaciones públicas, tales como aeropuertos o cafeterías, deben dejarse como públicas.  Privadas. Una red identificada por un usuario o una aplicación como privada. Solo las redes confiables se deben identificar como redes privadas. Es probable que los usuarios deseen identificar las redes domésticas o de pequeña empresa como privadas. El administrador puede crear un perfil para cada tipo de ubicación de red, cada perfil conteniendo diferentes directivas de firewall. En cada momento se aplica solamente un perfil. El orden de perfile se aplica de la manera siguiente: 1. Si todas las interfaces se autentican para el controlador de dominio para el dominio del que es miembro el equipo, se aplica el perfil del dominio. 2. Si todas las interfaces se autentican para el controlador de dominio o están conectadas a redes clasificadas como ubicaciones de la red privada, se aplica el perfil privado. 3. De lo contrario, se aplica el perfil público. Utilice el complemento MMD de Firewall de Windows con seguridad avanzada para ver y configurar todos los perfiles del firewall. El elemento Firewall de Windows del Panel de control solo configura el perfil actual. Configuración adicional de Firewall de Windows con el elemento Firewall de Windows del Panel de control Las excepciones que agregue al firewall pueden restringir la apertura del puerto a las conexiones entrantes de equipos concretos o de la subred local. Esta restricción del ámbito de la apertura del puerto puede reducir la exposición del equipo a usuarios malintencionados, y está recomendada. Nota El uso del elemento Firewall de Windows del Panel de control, solamente configura el perfil del firewall actual. Para cambiar el ámbito de una excepción de firewall utilizando el elemento Firewall de Windows del Panel de control 1. En el elemento Firewall de Windows de Panel de control, seleccione un programa o puerto en la pestaña Excepciones y, a continuación, haga clic en Propiedades o Editar. 2. En el cuadro de diálogo Modificar un programa o Modificar un puerto, haga clic en Cambiar ámbito. 3. Elija una de las opciones siguientes: o Cualquier equipo (incluyendo los que están en Internet) No se recomienda. Esto permitirá que cualquier equipo que pueda direccionar su equipo se conecte al programa o al puerto especificados. Esta configuración puede ser necesaria para permitir que se presente información a usuarios anónimos de Internet, pero aumenta la exposición a los usuarios malintencionados. La exposición puede aumentarse aún más si habilita esta configuración y también permite la
exploración transversal de la Traducción de direcciones de red (NAT), como la opción Permitir cruce seguro del perímetro. o Mi red (subred) solamente Esta configuración de seguridad es más segura que Cualquier equipo. Solo los equipos de la subred local de la red pueden conectarse al programa o al puerto. o Lista personalizada: Solo los equipos que tengan las direcciones IP de la lista se pueden conectar. Esta configuración puede ser más segura que Mi red (subred) solamente; sin embargo, los equipos cliente que utilicen DHCP pueden cambiar ocasionalmente su dirección IP. Entonces, el equipo deseado no podrá conectarse. Otro equipo, que no deseara autorizar, podría aceptar la dirección IP de la lista y, en consecuencia, podría conectarse La opción Lista personalizada puede ser adecuada para hacer una lista de otros servidores configurados para utilizar una dirección IP fija; no obstante, un intruso podría suplantar las direcciones IP. Las reglas restrictivas de firewall son tan fuertes como sea la infraestructura de red. Utilizar el complemento Firewall de Windows con seguridad avanzada Se pueden configurar opciones de firewall avanzadas adicionales utilizando el complemento MMC del Firewall de Windows con seguridad avanzada. El complemento incluye un asistente de reglas y expone valores de configuración adicionales que no están disponibles en el elemento Firewall de Windows en el Panel de control. Entre estas opciones de configuración, se incluyen las siguientes:  Configuración de cifrado  Restricciones de servicios  Restringir conexiones para equipos por nombre  Restringir conexiones para usuarios o perfiles específicos  Cruce de perímetro que permite que el tráfico evite los enrutadores de Traducción de direcciones de red (NAT)  Configurar reglas salientes  Configurar reglas de seguridad  Requerir IPSec para conexiones entrantes Para crear una nueva regla de firewall mediante el asistente de Nueva regla 1. En el menú Inicio, haga clic en Ejecutar, escriba WF.msc y, a continuación, haga clic en Aceptar. 2. En el Firewall de Windows con seguridad avanzada, en el panel izquierdo, haga clic con el botón secundario en Reglas de entrada y, a continuación, haga clic en Nueva regla. 3. Complete el Asistente para nueva regla de entrada usando la configuración que desee. Solucionar problemas de configuración del firewall Las herramientas y técnicas siguientes pueden ser útiles para solucionar problemas del firewall:
 El estado efectivo del puerto es la unión de todas las reglas relacionadas con el puerto. Cuando intente bloquear el acceso a través de un puerto, puede ser útil para revisar todas las reglas que citan el número de puerto. Para ello, utilice el complemento MMC del Firewall de Windows con seguridad avanzada y ordene las reglas entrantes y salientes por número de puerto.  Revise los puertos activos en el equipo en el que se esté ejecutando SQL Server. Este proceso de revisión incluye la comprobación de qué puertos TCP/IP están escuchando y también la comprobación del estado de los puertos. Para comprobar qué puertos están escuchando, utilice la utilidad de la línea de comandos netstat. Además de mostrar las conexiones TCP activas, la utilidad netstat también muestra diversa información y estadísticas de IP. Para mostrar qué puertos TCP/IP están escuchando 1. Abra la ventana de símbolo del sistema. 2. En el símbolo del sistema, escriba netstat -n -a. El modificador -n indica a netstat que muestre numéricamente la dirección y el número de puerto de las conexiones TCP activas. El modificador -a indica a netstat que muestre los puertos TCP y UPD en los que está escuchando el equipo.  La utilidad PortQry se puede usar para notificar el estado de los puertos TCP/IP para indicar que están escuchando, no escuchando o filtrados. (Con un estado de filtrado, el puerto puede o no estar escuchando; este estado indica que la utilidad no ha recibido una respuesta del puerto.) La utilidad PortQry se puede descargar desde el Centro de descargas de Microsoft.

Recomendados

Memória Primária
Memória PrimáriaMemória Primária
Memória PrimáriaMarcelo Carvalho
 
The Yocto Project
The Yocto ProjectThe Yocto Project
The Yocto Projectrossburton
 
llvm basic porting for risc v
llvm basic porting for risc vllvm basic porting for risc v
llvm basic porting for risc vTsung-Chun Lin
 
FreeRTOS basics (Real time Operating System)
FreeRTOS basics (Real time Operating System)FreeRTOS basics (Real time Operating System)
FreeRTOS basics (Real time Operating System)Naren Chandra
 
Building Embedded Linux Systems Introduction
Building Embedded Linux Systems IntroductionBuilding Embedded Linux Systems Introduction
Building Embedded Linux Systems IntroductionSherif Mousa
 
강좌 02 ARM 펌웨어 개발 환경 개요
강좌 02 ARM 펌웨어 개발 환경 개요강좌 02 ARM 펌웨어 개발 환경 개요
강좌 02 ARM 펌웨어 개발 환경 개요chcbaram
 
Embedded Operating System - Linux
Embedded Operating System - LinuxEmbedded Operating System - Linux
Embedded Operating System - LinuxEmertxe Information Technologies Pvt Ltd
 
ARM Architecture in Details
ARM Architecture in Details ARM Architecture in Details
ARM Architecture in Details GlobalLogic Ukraine
 

Recomendados

Memória Primária
Memória PrimáriaMemória Primária
Memória PrimáriaMarcelo Carvalho
 
The Yocto Project
The Yocto ProjectThe Yocto Project
The Yocto Projectrossburton
 
llvm basic porting for risc v
llvm basic porting for risc vllvm basic porting for risc v
llvm basic porting for risc vTsung-Chun Lin
 
FreeRTOS basics (Real time Operating System)
FreeRTOS basics (Real time Operating System)FreeRTOS basics (Real time Operating System)
FreeRTOS basics (Real time Operating System)Naren Chandra
 
Building Embedded Linux Systems Introduction
Building Embedded Linux Systems IntroductionBuilding Embedded Linux Systems Introduction
Building Embedded Linux Systems IntroductionSherif Mousa
 
강좌 02 ARM 펌웨어 개발 환경 개요
강좌 02 ARM 펌웨어 개발 환경 개요강좌 02 ARM 펌웨어 개발 환경 개요
강좌 02 ARM 펌웨어 개발 환경 개요chcbaram
 
Embedded Operating System - Linux
Embedded Operating System - LinuxEmbedded Operating System - Linux
Embedded Operating System - LinuxEmertxe Information Technologies Pvt Ltd
 
ARM Architecture in Details
ARM Architecture in Details ARM Architecture in Details
ARM Architecture in Details GlobalLogic Ukraine
 
BKK16-317 How to generate power models for EAS and IPA
BKK16-317 How to generate power models for EAS and IPABKK16-317 How to generate power models for EAS and IPA
BKK16-317 How to generate power models for EAS and IPALinaro
 
Fonte De Alimentação
Fonte De AlimentaçãoFonte De Alimentação
Fonte De AlimentaçãoMarcelo Gonçalves
 
Qemu
QemuQemu
QemuKoganti Ravikumar
 
SoC Power Reduction
SoC Power ReductionSoC Power Reduction
SoC Power ReductionMahesh Dananjaya
 
Scrum solo
Scrum soloScrum solo
Scrum soloEriko Morais
 
Oficina - Os Usos do Google Street View no Ensino
Oficina - Os Usos do Google Street View no Ensino Oficina - Os Usos do Google Street View no Ensino
Oficina - Os Usos do Google Street View no Ensino Fernanda Camargo Giannini
 
Embedded Linux Kernel - Build your custom kernel
Embedded Linux Kernel - Build your custom kernelEmbedded Linux Kernel - Build your custom kernel
Embedded Linux Kernel - Build your custom kernelEmertxe Information Technologies Pvt Ltd
 
Embedded Linux - Building toolchain
Embedded Linux - Building toolchainEmbedded Linux - Building toolchain
Embedded Linux - Building toolchainEmertxe Information Technologies Pvt Ltd
 
Alejandro arreola
Alejandro arreolaAlejandro arreola
Alejandro arreolaAlejandroArreola200
 
How to crear_firewall
How to crear_firewallHow to crear_firewall
How to crear_firewallCristian Lopez
 
FIREWALL
FIREWALLFIREWALL
FIREWALLjavierojedatrejo
 
Tema
TemaTema
TemaGalicia Apellidos
 
Guia basica-securizacion-apache
Guia basica-securizacion-apacheGuia basica-securizacion-apache
Guia basica-securizacion-apacheERWIN AGUILAR
 
Guía detallada de infraestructura común para la implementación de windows ser...
Guía detallada de infraestructura común para la implementación de windows ser...Guía detallada de infraestructura común para la implementación de windows ser...
Guía detallada de infraestructura común para la implementación de windows ser...Ing Jaab
 
Seguridad de las redes
Seguridad de las redesSeguridad de las redes
Seguridad de las redesLesmenCardenas1
 
Apache
ApacheApache
Apachethaynasantos1997
 
W2008
W2008W2008
W2008katheringc2
 
W2008
W2008W2008
W2008Waldir Nuñez Francia
 
Guia de instalacion de windows server 2008
Guia de instalacion de windows server 2008Guia de instalacion de windows server 2008
Guia de instalacion de windows server 2008jorgetar22
 
TSME10_MVSI_S01_MA01.pdfmanual de instalación
TSME10_MVSI_S01_MA01.pdfmanual de instalaciónTSME10_MVSI_S01_MA01.pdfmanual de instalación
TSME10_MVSI_S01_MA01.pdfmanual de instalaciónmariadejesusRiveraLe
 
Servidor escuela
Servidor escuelaServidor escuela
Servidor escuelaAna Celina
 
NSS_Getting_Started_Guide_ES.PDF
NSS_Getting_Started_Guide_ES.PDFNSS_Getting_Started_Guide_ES.PDF
NSS_Getting_Started_Guide_ES.PDFBreydiHenryBlancasDe1
 

Más contenido relacionado

La actualidad más candente

BKK16-317 How to generate power models for EAS and IPA
BKK16-317 How to generate power models for EAS and IPABKK16-317 How to generate power models for EAS and IPA
BKK16-317 How to generate power models for EAS and IPALinaro
 
Oficina - Os Usos do Google Street View no Ensino
Oficina - Os Usos do Google Street View no Ensino Oficina - Os Usos do Google Street View no Ensino
Oficina - Os Usos do Google Street View no Ensino Fernanda Camargo Giannini
 

La actualidad más candente (8)

BKK16-317 How to generate power models for EAS and IPA
BKK16-317 How to generate power models for EAS and IPABKK16-317 How to generate power models for EAS and IPA
BKK16-317 How to generate power models for EAS and IPA
 
Fonte De Alimentação
Fonte De AlimentaçãoFonte De Alimentação
Fonte De Alimentação
 
Qemu
QemuQemu
Qemu
 
SoC Power Reduction
SoC Power ReductionSoC Power Reduction
SoC Power Reduction
 
Scrum solo
Scrum soloScrum solo
Scrum solo
 
Oficina - Os Usos do Google Street View no Ensino
Oficina - Os Usos do Google Street View no Ensino Oficina - Os Usos do Google Street View no Ensino
Oficina - Os Usos do Google Street View no Ensino
 
Embedded Linux Kernel - Build your custom kernel
Embedded Linux Kernel - Build your custom kernelEmbedded Linux Kernel - Build your custom kernel
Embedded Linux Kernel - Build your custom kernel
 
Embedded Linux - Building toolchain
Embedded Linux - Building toolchainEmbedded Linux - Building toolchain
Embedded Linux - Building toolchain
 

Similar a Configurar firewall de windows para permitir el acceso a sql server

Guia basica-securizacion-apache
Guia basica-securizacion-apacheGuia basica-securizacion-apache
Guia basica-securizacion-apacheERWIN AGUILAR
 
Guía detallada de infraestructura común para la implementación de windows ser...
Guía detallada de infraestructura común para la implementación de windows ser...Guía detallada de infraestructura común para la implementación de windows ser...
Guía detallada de infraestructura común para la implementación de windows ser...Ing Jaab
 
Guia de instalacion de windows server 2008
Guia de instalacion de windows server 2008Guia de instalacion de windows server 2008
Guia de instalacion de windows server 2008jorgetar22
 
TSME10_MVSI_S01_MA01.pdfmanual de instalación
TSME10_MVSI_S01_MA01.pdfmanual de instalaciónTSME10_MVSI_S01_MA01.pdfmanual de instalación
TSME10_MVSI_S01_MA01.pdfmanual de instalaciónmariadejesusRiveraLe
 
Servidor escuela
Servidor escuelaServidor escuela
Servidor escuelaAna Celina
 
3.4.2
3.4.23.4.2
3.4.2UNAD
 
Seguridad en SIstemas Operativos *Nix
Seguridad en SIstemas Operativos *NixSeguridad en SIstemas Operativos *Nix
Seguridad en SIstemas Operativos *NixJosé Moreno
 
Seminario de Tecnologia Aplicada
Seminario de Tecnologia AplicadaSeminario de Tecnologia Aplicada
Seminario de Tecnologia AplicadaSamuel Colon Feliz
 
Unidad 9. El proceos de instalación en Linux
Unidad 9. El proceos de instalación en LinuxUnidad 9. El proceos de instalación en Linux
Unidad 9. El proceos de instalación en Linuxcarmenrico14
 

Similar a Configurar firewall de windows para permitir el acceso a sql server (20)

Alejandro arreola
Alejandro arreolaAlejandro arreola
Alejandro arreola
 
How to crear_firewall
How to crear_firewallHow to crear_firewall
How to crear_firewall
 
FIREWALL
FIREWALLFIREWALL
FIREWALL
 
Tema
TemaTema
Tema
 
Guia basica-securizacion-apache
Guia basica-securizacion-apacheGuia basica-securizacion-apache
Guia basica-securizacion-apache
 
Guía detallada de infraestructura común para la implementación de windows ser...
Guía detallada de infraestructura común para la implementación de windows ser...Guía detallada de infraestructura común para la implementación de windows ser...
Guía detallada de infraestructura común para la implementación de windows ser...
 
Seguridad de las redes
Seguridad de las redesSeguridad de las redes
Seguridad de las redes
 
Apache
ApacheApache
Apache
 
W2008
W2008W2008
W2008
 
W2008
W2008W2008
W2008
 
Guia de instalacion de windows server 2008
Guia de instalacion de windows server 2008Guia de instalacion de windows server 2008
Guia de instalacion de windows server 2008
 
TSME10_MVSI_S01_MA01.pdfmanual de instalación
TSME10_MVSI_S01_MA01.pdfmanual de instalaciónTSME10_MVSI_S01_MA01.pdfmanual de instalación
TSME10_MVSI_S01_MA01.pdfmanual de instalación
 
Servidor escuela
Servidor escuelaServidor escuela
Servidor escuela
 
NSS_Getting_Started_Guide_ES.PDF
NSS_Getting_Started_Guide_ES.PDFNSS_Getting_Started_Guide_ES.PDF
NSS_Getting_Started_Guide_ES.PDF
 
3.4.2
3.4.23.4.2
3.4.2
 
Seguridad corporativa
Seguridad corporativaSeguridad corporativa
Seguridad corporativa
 
01 sop pgdiht03
01 sop pgdiht0301 sop pgdiht03
01 sop pgdiht03
 
Seguridad en SIstemas Operativos *Nix
Seguridad en SIstemas Operativos *NixSeguridad en SIstemas Operativos *Nix
Seguridad en SIstemas Operativos *Nix
 
Seminario de Tecnologia Aplicada
Seminario de Tecnologia AplicadaSeminario de Tecnologia Aplicada
Seminario de Tecnologia Aplicada
 
Unidad 9. El proceos de instalación en Linux
Unidad 9. El proceos de instalación en LinuxUnidad 9. El proceos de instalación en Linux
Unidad 9. El proceos de instalación en Linux
 

Más de Jesus Garcia Guevara

Gestión de unidades organizativas y usuarios
Gestión de unidades organizativas y usuariosGestión de unidades organizativas y usuarios
Gestión de unidades organizativas y usuariosJesus Garcia Guevara
 
Planificacion de espacio de nombres y dominios
Planificacion de espacio de nombres y dominiosPlanificacion de espacio de nombres y dominios
Planificacion de espacio de nombres y dominiosJesus Garcia Guevara
 
Realización de la estructura de la empresa montero
Realización de la estructura de la empresa monteroRealización de la estructura de la empresa montero
Realización de la estructura de la empresa monteroJesus Garcia Guevara
 
Configurar firewall de windows para permitir el acceso a sql server
Configurar firewall de windows para permitir el acceso a sql serverConfigurar firewall de windows para permitir el acceso a sql server
Configurar firewall de windows para permitir el acceso a sql serverJesus Garcia Guevara
 
Servidor de impresiones segundo parcial
Servidor de impresiones segundo parcialServidor de impresiones segundo parcial
Servidor de impresiones segundo parcialJesus Garcia Guevara
 
En la máquina servidor segundo parcial
En la máquina servidor segundo parcialEn la máquina servidor segundo parcial
En la máquina servidor segundo parcialJesus Garcia Guevara
 

Más de Jesus Garcia Guevara (20)

Glosario
GlosarioGlosario
Glosario
 
Glosario
GlosarioGlosario
Glosario
 
Diagrama de flujo
Diagrama de flujoDiagrama de flujo
Diagrama de flujo
 
Gestión de unidades organizativas y usuarios
Gestión de unidades organizativas y usuariosGestión de unidades organizativas y usuarios
Gestión de unidades organizativas y usuarios
 
Instalacion de servidores
Instalacion de servidoresInstalacion de servidores
Instalacion de servidores
 
Instalacion del active directory
Instalacion del active directoryInstalacion del active directory
Instalacion del active directory
 
Instalacion windows server 2008
Instalacion windows server 2008Instalacion windows server 2008
Instalacion windows server 2008
 
Investigación dhcp
Investigación dhcpInvestigación dhcp
Investigación dhcp
 
Planificacion de espacio de nombres y dominios
Planificacion de espacio de nombres y dominiosPlanificacion de espacio de nombres y dominios
Planificacion de espacio de nombres y dominios
 
Realización de la estructura de la empresa montero
Realización de la estructura de la empresa monteroRealización de la estructura de la empresa montero
Realización de la estructura de la empresa montero
 
Servidor web
Servidor webServidor web
Servidor web
 
Servidores
ServidoresServidores
Servidores
 
Configurar firewall de windows para permitir el acceso a sql server
Configurar firewall de windows para permitir el acceso a sql serverConfigurar firewall de windows para permitir el acceso a sql server
Configurar firewall de windows para permitir el acceso a sql server
 
Expocision sintesis 1
Expocision sintesis 1Expocision sintesis 1
Expocision sintesis 1
 
Expocision sintesis 1
Expocision sintesis 1Expocision sintesis 1
Expocision sintesis 1
 
Servidores de impresora
Servidores de impresoraServidores de impresora
Servidores de impresora
 
Protocolos usados por ad ds
Protocolos usados por ad dsProtocolos usados por ad ds
Protocolos usados por ad ds
 
Servidor de impresiones segundo parcial
Servidor de impresiones segundo parcialServidor de impresiones segundo parcial
Servidor de impresiones segundo parcial
 
En la máquina servidor segundo parcial
En la máquina servidor segundo parcialEn la máquina servidor segundo parcial
En la máquina servidor segundo parcial
 
Act. 12 Segundo Parcial
Act. 12 Segundo ParcialAct. 12 Segundo Parcial
Act. 12 Segundo Parcial
 

Último

Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfDemetrio Ccesa Rayme
 
Heinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoHeinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoFundación YOD YOD
 
Herramientas de Inteligencia Artificial.pdf
Herramientas de Inteligencia Artificial.pdfHerramientas de Inteligencia Artificial.pdf
Herramientas de Inteligencia Artificial.pdfMARIAPAULAMAHECHAMOR
 
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptxOLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptxjosetrinidadchavez
 
Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.José Luis Palma
 
La Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxLa Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxJunkotantik
 
codigos HTML para blogs y paginas web Karina
codigos HTML para blogs y paginas web Karinacodigos HTML para blogs y paginas web Karina
codigos HTML para blogs y paginas web Karinavergarakarina022
 
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptxEXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptxPryhaSalam
 
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...JAVIER SOLIS NOYOLA
 
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdfDemetrio Ccesa Rayme
 
programa dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para eventoprograma dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para eventoDiegoMtsS
 
RETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxRETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxAna Fernandez
 
Manual - ABAS II completo 263 hojas .pdf
Manual - ABAS II completo 263 hojas .pdfManual - ABAS II completo 263 hojas .pdf
Manual - ABAS II completo 263 hojas .pdfMaryRotonda1
 
2024 - Expo Visibles - Visibilidad Lesbica.pdf
2024 - Expo Visibles - Visibilidad Lesbica.pdf2024 - Expo Visibles - Visibilidad Lesbica.pdf
2024 - Expo Visibles - Visibilidad Lesbica.pdfBaker Publishing Company
 
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdfSELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdfAngélica Soledad Vega Ramírez
 
30-de-abril-plebiscito-1902_240420_104511.pdf
30-de-abril-plebiscito-1902_240420_104511.pdf30-de-abril-plebiscito-1902_240420_104511.pdf
30-de-abril-plebiscito-1902_240420_104511.pdfgimenanahuel
 

Último (20)

Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
 
Heinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoHeinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativo
 
Herramientas de Inteligencia Artificial.pdf
Herramientas de Inteligencia Artificial.pdfHerramientas de Inteligencia Artificial.pdf
Herramientas de Inteligencia Artificial.pdf
 
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptxOLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
 
La Trampa De La Felicidad. Russ-Harris.pdf
La Trampa De La Felicidad. Russ-Harris.pdfLa Trampa De La Felicidad. Russ-Harris.pdf
La Trampa De La Felicidad. Russ-Harris.pdf
 
Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.
 
Sesión de clase: Defendamos la verdad.pdf
Sesión de clase: Defendamos la verdad.pdfSesión de clase: Defendamos la verdad.pdf
Sesión de clase: Defendamos la verdad.pdf
 
La Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxLa Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptx
 
codigos HTML para blogs y paginas web Karina
codigos HTML para blogs y paginas web Karinacodigos HTML para blogs y paginas web Karina
codigos HTML para blogs y paginas web Karina
 
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptxEXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
 
Repaso Pruebas CRECE PR 2024. Ciencia General
Repaso Pruebas CRECE PR 2024. Ciencia GeneralRepaso Pruebas CRECE PR 2024. Ciencia General
Repaso Pruebas CRECE PR 2024. Ciencia General
 
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
 
Power Point: "Defendamos la verdad".pptx
Power Point: "Defendamos la verdad".pptxPower Point: "Defendamos la verdad".pptx
Power Point: "Defendamos la verdad".pptx
 
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 4to Grado Educacion Primaria 2024 Ccesa007.pdf
 
programa dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para eventoprograma dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para evento
 
RETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxRETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docx
 
Manual - ABAS II completo 263 hojas .pdf
Manual - ABAS II completo 263 hojas .pdfManual - ABAS II completo 263 hojas .pdf
Manual - ABAS II completo 263 hojas .pdf
 
2024 - Expo Visibles - Visibilidad Lesbica.pdf
2024 - Expo Visibles - Visibilidad Lesbica.pdf2024 - Expo Visibles - Visibilidad Lesbica.pdf
2024 - Expo Visibles - Visibilidad Lesbica.pdf
 
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdfSELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
 
30-de-abril-plebiscito-1902_240420_104511.pdf
30-de-abril-plebiscito-1902_240420_104511.pdf30-de-abril-plebiscito-1902_240420_104511.pdf
30-de-abril-plebiscito-1902_240420_104511.pdf
 

Configurar firewall de windows para permitir el acceso a sql server

  • 1. Configurar Firewall de Windows para permitir el acceso a SQL Server SQL Server 2014 Otras versiones Los sistemas de firewall ayudan a evitar el acceso no autorizado a los recursos de los equipos. Si un firewall está activado pero no está configurado correctamente, es posible que se bloqueen los intentos de conexión a SQL Server. Para obtener acceso a una instancia de SQL Server a través de un firewall, debe configurar el firewall en el equipo en el que se ejecuta SQL Server para que permita el acceso. El firewall es un componente de Microsoft Windows. También puede instalar un firewall de otra compañía. En este tema se discute cómo configurar el firewall de Windows, pero los principios básicos se aplican a otros programas de firewall. Los usuarios que conozcan el elemento Firewall de Windows del Panel de control y el complemento Microsoft Management Console (MMC) de Firewall de Windows con seguridad avanzada, y que sepan qué opciones del firewall desean configurar pueden ir directamente a los temas de la lista siguiente:  Configurar Firewall de Windows para el acceso al motor de base de datos  Configurar Firewall de Windows para permitir el acceso a Analysis Services  Configurar un firewall para el acceso al servidor de informes Información básica del firewall Los firewalls funcionan inspeccionando los paquetes entrantes y comparándolos con un conjunto de reglas. Si las reglas permiten el paquete, el firewall pasa el paquete al protocolo TCP/IP para su procesamiento adicional. Si las reglas no permiten el paquete, el firewall descarta el paquete y, si está habilitado el registro, crea una entrada en el archivo de registro del firewall. La lista de tráfico permitido se rellena de una de las maneras siguientes:  Cuando el equipo que tiene el firewall habilitado inicia la comunicación, el firewall crea una entrada en la lista para que se permita la respuesta. La respuesta de entrada se considera tráfico solicitado y no es necesario configurarla.  Un administrador configura las excepciones para el firewall. Esto permite el acceso a programas específicos que se ejecutan en el equipo o el acceso a los puertos de conexión especificados en el equipo. En este caso, el equipo acepta el tráfico de entrada no solicitado cuando actúa como un servidor, un agente de escucha o un equipo del mismo nivel. Éste es el tipo de configuración que se debe completar para conectar a SQL Server. Elegir una estrategia del firewall es más complejo que decidir simplemente si un puerto determinado debe estar abierto o cerrado. Al diseñar una estrategia de firewall para la empresa, asegúrese considerar todas las reglas y opciones de configuración disponibles. En este tema no se revisan todas las posibles opciones de firewall. Se recomienda que revise los siguientes documentos:
  • 2. Guía de introducción del Firewall de Windows con seguridad avanzada Guía de diseño del Firewall de Windows con seguridad avanzada Introducción al aislamiento de servidor y dominio Configuración predeterminada del firewall El primer paso para planear la configuración del firewall es determinar el estado actual del firewall para el sistema operativo. Si el sistema operativo se actualizó desde una versión anterior, se puede haber conservado la configuración de firewall anterior. Además, otro administrador o una Directiva de grupo podría haber cambiado la configuración del firewall en el dominio. Programas para configurar el firewall Hay tres maneras de configurar el Firewall de Windows.  Elemento Firewall de Windows del Panel de control El elemento Firewall de Windows se puede abrir desde el Panel de control. Importante Los cambios realizados en el elemento Firewall de Windows del Panel de control solo afectan al perfil actual. Los dispositivos móviles, por ejemplo un portátil, no deben utilizar el elemento Firewall de Windows del Panel de control, dado que el perfil podría cambiar cuando se conecte con una configuración diferente. Entonces, el perfil configurado previamente no estará en vigor. Para obtener más información sobre los perfiles, vea Guía de introducción del Firewall de Windows con seguridad avanzada. El elemento Firewall de Windows del Panel de control permite configurar opciones básicas. Entre ellas, figuran: o Activar o desactivar el elemento Firewall de Windows en el Panel de control o Habilitar y deshabilitar reglas o Conceder excepciones para puertos y programas o Establecer algunas restricciones de ámbito El elemento Firewall de Windows del Panel de control es muy adecuado para los usuarios que tengan experiencia en la configuración de firewall y que estén configurando opciones de firewall básicas para equipos que no sean móviles. También puede abrir el elemento Firewall de Windows del Panel de control con el comando run utilizando el procedimiento siguiente: Para abrir el elemento Firewall de Windows 5. En el menú Inicio, haga clic en Ejecutar y, a continuación, escriba firewall.cpl. 6. Haga clic en Aceptar.
  • 3.  Microsoft Management Console (MMC) El complemento MMC del Firewall de Windows con seguridad avanzada permite establecer opciones de configuración de firewall más avanzadas. Este complemento presenta la mayoría de las opciones de firewall de una manera fácil de usar y presenta todos los perfiles de firewall. Para obtener más información, vea Usar el complemento Firewall de Windows con seguridad avanzada, más adelante en este tema.  netsh Un administrador puede utilizar la herramienta netsh.exe para configurar y supervisar los equipos basados en Windows en un símbolo del sistema o utilizando un archivo por lotes. Con la herramienta netsh, puede dirigir los comandos de contexto que escriba a la aplicación auxiliar adecuada y, a continuación, esta ejecutará el comando. Una aplicación auxiliar es un archivo de biblioteca de vínculos dinámicos (.dll) que extiende la funcionalidad de la herramienta netsh proporcionando funciones de configuración, supervisión y soporte técnico de uno o más servicios, utilidades o protocolos. Todos los sistemas operativos que admiten SQL Server tienen una aplicación auxiliar de firewall. Windows Server 2008 también tiene una aplicación auxiliar de firewall avanzada denominada advfirewall. Los detalles del uso de netsh no se explican en este tema. Sin embargo, muchas de las opciones de configuración descritas se pueden configurar utilizando netsh. Por ejemplo, ejecute el script siguiente en un símbolo del sistema para abrir el puerto TCP 1433: netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT Un ejemplo similar que usa Firewall de Windows para la aplicación auxiliar Seguridad avanzada: netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN Para obtener más información acerca de netsh, vea los siguientes vínculos: o Cómo utilizar la herramienta Netsh.exe y los modificadores de la línea de comandos o Cómo utilizar el contexto “netsh advfirewall firewall” en lugar del contexto “netsh firewall” para controlar el comportamiento del Firewall de Windows en Windows Server 2008 y en Windows Vista o El comando "netsh firewall" junto con el parámetro "profile=all" no configura el perfil público en un equipo basado en Windows Vista Puertos utilizados por SQL Server Las tablas siguientes pueden ayudarle a identificar los puertos que utiliza SQL Server. Puertos utilizados por el motor de base de datos
  • 4. La tabla siguiente muestra los puertos de uso frecuente por parte de Motor de base de datos. Escenario Puerto Comentarios Instancia predeterminada de SQL Server ejecutándose sobre TCP Puerto TCP 1433 Éste es el puerto más común que permite el firewall. Se aplica a las conexiones rutinarias a la instalación predeterminada de Motor de base de datos o a una instancia con nombre que sea la única instancia que se ejecuta en el equipo. (Las instancias con nombre tienen consideraciones especiales. Vea Puertos dinámicos más adelante en este tema.) Instancias con nombre de SQL Server en la configuración predeterminada El puerto TCP es un puerto dinámico determinado en el momento en el que se inicia Motor de base de datos. Vea la explicación siguiente en la sección Puertos dinámicos. El puerto UDP 1434 puede ser necesario para el servicio Explorador de SQL Server cuando se utilizan instancias con nombre. Instancias con nombre de SQL Server cuando están configuradas para utilizar un puerto fijo El número de puerto configurado por el administrador. Vea la explicación siguiente en la sección Puertos dinámicos. Conexión de administrador dedicada Puerto TCP 1434 para la instancia predeterminada. Otros puertos se utilizan para las instancias con nombre. Compruebe en el registro de errores el número de puerto. De forma predeterminada, las conexiones remotas a DAC (Conexión de administrador dedicada) no están habilitadas. Para habilitar la DAC remota, utilice la faceta Configuración de área expuesta. Para obtener más información, vea Configuración de Área expuesta. Servicio Explorador de SQL Server Puerto UDP 1434 El servicio Explorador de SQL Server escucha las conexiones entrantes a una instancia con nombre y proporciona al cliente el número de puerto TCP que corresponde a esa instancia con nombre. Normalmente, el servicio Explorador de SQL Server se inicia siempre que se utilizan instancias con nombre de Motor de base de datos. El servicio SQL Server Browser no tiene que iniciarse si el cliente está configurado para
  • 5. conectarse al puerto específico de la instancia con nombre. La instancia de SQL Server ejecutándose sobre un extremo HTTP. Se puede especificar cuando se crea un extremo HTTP. El valor predeterminado es el puerto TCP 80 para el tráfico de CLEAR_PORT y el puerto 443 para el tráfico de SSL_PORT. Se utiliza para una conexión HTTP a través de una dirección URL. Instancia predeterminada de SQL Server ejecutándose en un extremo HTTPS. Puerto TCP 443 Se utiliza para una conexión HTTPS a través de una dirección URL. HTTPS es una conexión HTTP que utiliza SSL (Capa de sockets seguros). Service Broker Puerto 4022 TCP. Para comprobar el puerto que se usa, ejecute la siguiente consulta: SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'SERVICE_BROKER' No hay ningún puerto predeterminado para SQL Server Service Broker, pero ésta es la configuración convencional utilizada en los ejemplos de los Libros en pantalla. Base de datos en Espejo ( Mirroring ) Puerto elegido por el administrador. Para determinar el puerto, ejecute la siguiente consulta: SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints WHERE type_desc = 'DATABASE_MIRRORING' No hay ningún puerto predeterminado para la creación de reflejo de la base de datos, sin embargo, en los ejemplos de los Libros en pantalla se usa el puerto TCP 7022. Es muy importante evitar interrumpir un extremo de creación de reflejo que se esté usando, sobre todo en el modo de alta seguridad con conmutación automática por error. La configuración del firewall debe evitar el romper el quórum. Para obtener más información, vea Especificar una dirección de red de servidor (creación de reflejo de la base de datos). Replicación Las conexiones de replicación a SQL Server utilizan los puertos de Motor de base de datos normales (puerto TCP 1433, para la instancia predeterminada, etc.) habituales. La sincronización web y el acceso de tipo FTP/UNC para la instantánea de replicación requieren que se abran Para la sincronización sobre HTTP, la replicación utiliza el extremo IIS (para el que se pueden configurar los puertos, pero cuyo puerto predeterminado es el 80), pero el proceso IIS se conecta al servidor SQL Server a través de los puertos estándar (1433 para la
  • 6. puertos adicionales en el firewall. Para transferir los datos iniciales y los esquemas de una ubicación a otra, la replicación puede utilizar FTP (puerto TCP 21) o sincronizar sobre HTTP (puerto TCP 80) o Uso compartido de archivos. El uso compartido de archivos utiliza los puertos UDP 137 y 138, y el puerto TCP 139 si usa NetBIOS. El uso compartido de archivos usa el puerto TCP 445. instancia predeterminada). Durante la sincronización web mediante FTP, la transferencia FTP tiene lugar entre IIS y el publicador de SQL Server, no entre el suscriptor e IIS. Depurador de Transact-SQL Puerto TCP 135 Vea Consideraciones especiales para el puerto 135 Quizá sea necesaria también la excepción IPsec. Si utiliza Visual Studio, en el equipo host Visual Studio debe agregar también Devenv.exe a la lista Excepciones y abrir el puerto TCP 135. Si utiliza Management Studio, en el equipo host Management Studio debe agregar también ssms.exe a la lista Excepciones y abrir el puerto TCP 135. Para obtener más información, vea Configurar el depurador de Transact-SQL. Para obtener instrucciones paso a paso para configurar el Firewall de Windows para Motor de base de datos, vea Configurar Firewall de Windows para el acceso al motor de base de datos. Puertos dinámicos De forma predeterminada, las instancias con nombre (incluido SQL Server Express) utilizan puertos dinámicos. Eso significa que cada vez que se inicia Motor de base de datos, identifica un puerto disponible y utiliza ese número de puerto. Si la instancia con nombre es la única instancia de Motor de base de datos instalada, probablemente utilizará el puerto TCP 1433. Si se instalan otras instancias de Motor de base de datos, probablemente utilizará un puerto TCP diferente. Dado que el puerto seleccionado puede cambiar cada vez que se inicia Motor de base de datos, es difícil configurar el firewall para permitir el acceso al número de puerto correcto. Por consiguiente, si se usa un firewall, recomendamos reconfigurar el Motor de base de datos para que utilice siempre el mismo número de puerto. Esto se denomina un puerto fijo o un puerto estático. Para obtener más información, vea Configurar un servidor para que escuche en un puerto TCP específico (Administrador de configuración de SQL Server). Una alternativa a configurar una instancia con nombre para escuchar en un puerto fijo es crear una excepción en el firewall para un programa SQL Server tal como sqlservr.exe (para el Motor de base de datos). Esto puede ser cómodo, pero el número de puerto no aparecerá en la columna Puerto local de la página Reglas de entrada cuando esté utilizando el complemento MMC de Firewall de Windows con seguridad avanzada. Esto puede dificultar más la verificación de qué puertos están abiertos. Otra consideración es que un Service Pack o una actualización acumulativa
  • 7. puede cambiar la ruta de acceso a la aplicación ejecutable de SQL Server, lo que invalidará la regla de firewall. Para agregar una excepción de programa al firewall utilizando el elemento Firewall de Windows del Panel de control. 1. En la pestaña Excepciones del elemento Firewall de Windows del Panel de control, haga clic en Agregar un programa. 2. Busque la ubicación de la instancia de SQL Server que desea permitir a través del firewall, por ejemplo, C:Program FilesMicrosoft SQL ServerMSSQL12.<instance_name>MSSQLBinn, seleccione sqlservr.exe y haga clic en Abrir. 3. Haga clic en Aceptar. Para obtener más información acerca de los extremos, vea Configurar el motor de base de datos para escuchar en varios puertos TCP y Vistas de catálogo de extremos (Transact-SQL). Puertos utilizados por Analysis Services La tabla siguiente muestra los puertos de uso frecuente por parte de Analysis Services. Característica Puerto Comentarios Analysis Services Puerto TCP 2383 para la instancia predeterminada El puerto estándar para la instancia predeterminada de Analysis Services. Servicio Explorador de SQL Server El puerto TCP 2382 solamente es necesario para una instancia con nombre de Analysis Services Las solicitudes de conexión de cliente para una instancia con nombre de Analysis Services que no especifican un número de puerto se dirigen al puerto 2382, el puerto en el que escucha el Explorador de SQL Server. El Explorador de SQL Server a continuación redirige la solicitud al puerto que utiliza la instancia con nombre. Analysis Services configurado para el uso a través de IIS/HTTP (El Servicio PivotTable® utiliza HTTP o HTTPS) Puerto TCP 80 Se utiliza para una conexión HTTP a través de una dirección URL. Analysis Services configurado para el uso a través de IIS/HTTPS (El Servicio PivotTable® utiliza HTTP o HTTPS) Puerto TCP 443 Se utiliza para una conexión HTTPS a través de una dirección URL. HTTPS es una conexión HTTP que utiliza SSL (Capa de sockets seguros).
  • 8. Si los usuarios tienen acceso a Analysis Services a través de IIS e Internet, debe abrir el puerto en el que está escuchando IIS y especificar ese puerto en la cadena de conexión del cliente. En este caso, no se tiene que abrir ningún puerto para acceso directo a Analysis Services. El puerto predeterminado, 2389 y el puerto 2382 deben restringirse junto con los demás puertos que no sean necesarios. Para obtener instrucciones paso a paso para configurar el Firewall de Windows para Analysis Services, vea Configurar Firewall de Windows para permitir el acceso a Analysis Services. Puertos utilizados por Reporting Services La tabla siguiente muestra los puertos de uso frecuente por parte de Reporting Services. Característica Puerto Comentarios Servicios web de Reporting Services Puerto TCP 80 Se utiliza para una conexión HTTP a Reporting Services a través de una dirección URL. Recomendamos que no utilice la regla preconfigurada World Wide Web Services (HTTP). Para obtener más información, vea la sección Interacción con otras reglas de firewall más adelante Reporting Services configurado para el uso a través de HTTPS Puerto TCP 443 Se utiliza para una conexión HTTPS a través de una dirección URL. HTTPS es una conexión HTTP que utiliza SSL (Capa de sockets seguros). Recomendamos que no utilice la regla preconfigurada Secure World Wide Web Services (HTTPS). Para obtener más información, vea la sección Interacción con otras reglas de firewall más adelante Cuando Reporting Services se conecta a una instancia de Motor de base de datos o Analysis Services, también debe abrir los puertos adecuados para esos servicios. Para obtener instrucciones paso a paso para configurar el Firewall de Windows para Reporting Services, vea Configurar un firewall para el acceso al servidor de informes. Puertos utilizados por Integration Services La tabla siguiente muestra los puertos de uso frecuente por parte del servicio Integration Services. Característica Puerto Comentarios Llamadas a procedimiento remoto Microsoft (MS RPC) Utilizado por el motor de tiempo de ejecución Integration Services. Puerto TCP 135 Vea Consideraciones especiales para el puerto 135 El servicio Integration Services utiliza DCOM en el puerto 135. El Administrador de control de servicios usa el puerto 135 para realizar tareas tales como iniciar y detener el servicio Integration Services, y transmitir solicitudes de control al servicio en funcionamiento. No se puede cambiar el número de puerto. Solamente es necesario que este puerto esté abierto si se está conectando a una instancia remota del servicio Integration Services desde Management Studio o desde una aplicación personalizada.
  • 9. Para obtener instrucciones paso a paso para configurar el Firewall de Windows para Integration Services, vea Configurar Firewall de Windows para el acceso al servicio SSIS. Puertos y servicios adicionales La tabla siguiente muestra los puertos y servicios de los que puede depender SQL Server. Escenario Puerto Comentarios Instrumental de administración de Windows Para obtener más información acerca de WMI, vea Conceptos del proveedor WMI de administración de configuración. WMI se ejecuta como parte de un host de servicio compartido con puertos asignados a través de DCOM. WMI podría estar utilizando el puerto TCP 135. Vea Consideraciones especiales para el puerto 135 El Administrador de configuración de SQL Server utiliza WMI para enumerar y administrar servicios. Recomendamos que utilice el grupo de reglas preconfigurado Instrumental de administración de Windows (WMI). Para obtener más información, vea la sección Interacción con otras reglas de firewall más adelante Coordinador de transacciones distribuidas de Microsoft (MS DTC) Puerto TCP 135 Vea Consideraciones especiales para el puerto 135 Si la aplicación utiliza transacciones distribuidas, quizá deba configurar el firewall para permitir que el tráfico del Coordinador de transacciones distribuidas de Microsoft (MS DTC) fluya entre instancias independientes de MS DTC y entre MS DTC y administradores de recursos como SQL Server. Se recomienda usar el grupo de reglas preconfigurado Coordinador de transacciones distribuidas. Cuando se configura un único MS DTC compartido para todo el clúster en un grupo de recursos independiente, se debería agregar sqlservr.exe como excepción al firewall. El botón Examinar en Management Studio utiliza UDP para establecer conexión con el servicio SQL Server Browser. Para obtener más información, vea Servicio SQL Server Browser (motor de base de datos y SSAS). Puerto UDP 1434 UDP es un protocolo sin conexión. El firewall tiene una configuración, que se denomina Propiedad UnicastResponsesToMulticastBroadcastDisabled de la interfaz INetFwProfile y controla el comportamiento del firewall respecto a las respuestas de unidifusión a una solicitud UDP de difusión (o multidifusión). Tiene dos comportamientos.  Si el valor es TRUE, no se permite en absoluto ninguna respuesta de unidifusión a una difusión. La enumeración de servicios producirá
  • 10. un error.  Si la configuración es FALSE (valor predeterminado), las respuestas de unidifusión se permiten durante 3 segundos. La longitud de tiempo no es configurable. En una red congestionada o de latencia alta, o para servidores muy cargados, los intentos de enumerar instancias de SQL Server pueden devolver una lista parcial, que puede desorientar a los usuarios. Tráfico IPSec Puerto UDP 500 y puerto UDP 4500 Si la directiva de dominio requiere que las comunicaciones se realicen a través de IPSec, también debe agregar los puertos UDP 4500 y 500 a la lista de excepciones. IPSec es una opción que utiliza el Asistente para nueva regla de entrada en el complemento de Firewall de Windows. Para obtener más información, vea Usar Windows con el complemento del Firewall de Windows con seguridad avanzada. Utilizar la autenticación de Windows con dominios de confianza Los firewalls se deben configurar para permitir solicitudes de autenticación. Para obtener más información, vea Cómo configurar un firewall para dominios y confianza. SQL Server y Agrupación en clústeres de Windows La agrupación en clústeres requiere puertos adicionales que no se relacionan directamente con SQL Server. Para obtener más información, vea Habilitar una red para el uso de clústeres. Espacios de nombres URL reservados en la API del Servidor HTTP (HTTP.SYS) Probablemente el puerto TCP 80, pero se puede configurar en otros puertos. Para obtener información general, vea Configurar HTTP y HTTPS. Para ver información específica de SQL Server sobre cómo reservar un extremo HTTP.SYS mediante HttpCfg.exe, vea Acerca de las reservas y el registro de direcciones URL (Administrador de configuración de SSRS). Consideraciones especiales para el puerto 135 Cuando utilice RPC con TCP/IP o con UDP/IP como transporte, los puertos entrantes suelen asignarse dinámicamente a los servicios del sistema cuando es necesario; se utilizan los puertos TCP/IP y UDP/IP mayores que el puerto 1024. Se suelen conocer informalmente como "puertos RPC
  • 11. aleatorios". En estos casos, los clientes RPC se apoyan en el mapeador de extremos RPC para indicar qué puertos dinámicos se asignaron al servidor. Para algunos servicios basados en RPC, puede configurar un puerto concreto en lugar de permitir que RPC asigne dinámicamente uno. También puede restringir el intervalo de puertos que RPC asigna dinámicamente a un intervalo pequeño, con independencia del servicio. Dado que el puerto 135 se utiliza para muchos servicios, los usuarios malintencionados lo atacan con frecuencia. Al abrir el puerto 135, considere restringir el ámbito de la regla de firewall. Para obtener más información sobre el puerto 135, vea las siguientes referencias:  Introducción al servicio y requisitos del puerto de red para el sistema Windows Server  Cómo solucionar errores del mapeador de extremos de RPC  Llamada a procedimiento remoto (RPC)  Configurar la asignación dinámica de puertos RPC para trabajar con firewalls Interacción con otras reglas de firewall El Firewall de Windows utiliza reglas y grupos de reglas para establecer su configuración. Cada regla o grupo de reglas suele estar asociado con un programa o servicio determinado, y ese programa o servicio podría modificar o eliminar esa regla sin su conocimiento. Por ejemplo, los grupos de reglas World Wide Web Services (HTTP) y World Wide Web Services (HTTPS) están asociados a IIS. Al habilitar esas reglas, se abrirán los puertos 80 y 443, y las características de SQL Server que dependen de los puertos 80 y 443 funcionarán si esas reglas están habilitadas. Sin embargo, los administradores que configuran IIS podrían modificar o deshabilitar esas reglas. Por consiguiente, si está utilizando el puerto 80 o el puerto 443 para SQL Server, debe crear su propia regla o su propio grupo de reglas que mantenga la configuración de puerto que desee independientemente de las demás reglas IIS. El complemento MMC del Firewall de Windows con seguridad avanzada permite cualquier tráfico que coincida con cualquier regla de permiso aplicable. Por lo tanto, si hay dos reglas que se apliquen al puerto 80 (con parámetros diferentes), se permitirá el tráfico que coincida con cualquiera de ellas. Así si una regla permite el tráfico sobre el puerto 80 de la subred local y otra permite el tráfico procedente de cualquier dirección, el efecto de la red será que se permita todo el tráfico dirigido al puerto 80, sin tener en cuenta su origen. Para administrar eficazmente el acceso a SQL Server, los administradores deben revisar periódicamente las reglas de firewall habilitadas en el servidor. Introducción a los perfiles de firewall Los perfiles de firewall se explican en Guía de introducción del Firewall de Windows con seguridad avanzada en la sección Firewall de host con reconocimiento de ubicación de red. En resumen, los sistemas operativos identifican y recuerdan cada una de las redes a las que se conectan con respecto a la conectividad, las conexiones y la categoría. Hay tres tipos de ubicación de red en Firewall de Windows con seguridad avanzada:  Dominio. Windows puede autenticar el acceso al controlador de dominio para el dominio al que está unido el equipo.
  • 12.  Públicas. Excepto las redes de dominio, todas las redes se categorizan inicialmente como públicas. Las redes que representan conexiones directas a Internet o que están en ubicaciones públicas, tales como aeropuertos o cafeterías, deben dejarse como públicas.  Privadas. Una red identificada por un usuario o una aplicación como privada. Solo las redes confiables se deben identificar como redes privadas. Es probable que los usuarios deseen identificar las redes domésticas o de pequeña empresa como privadas. El administrador puede crear un perfil para cada tipo de ubicación de red, cada perfil conteniendo diferentes directivas de firewall. En cada momento se aplica solamente un perfil. El orden de perfile se aplica de la manera siguiente: 1. Si todas las interfaces se autentican para el controlador de dominio para el dominio del que es miembro el equipo, se aplica el perfil del dominio. 2. Si todas las interfaces se autentican para el controlador de dominio o están conectadas a redes clasificadas como ubicaciones de la red privada, se aplica el perfil privado. 3. De lo contrario, se aplica el perfil público. Utilice el complemento MMD de Firewall de Windows con seguridad avanzada para ver y configurar todos los perfiles del firewall. El elemento Firewall de Windows del Panel de control solo configura el perfil actual. Configuración adicional de Firewall de Windows con el elemento Firewall de Windows del Panel de control Las excepciones que agregue al firewall pueden restringir la apertura del puerto a las conexiones entrantes de equipos concretos o de la subred local. Esta restricción del ámbito de la apertura del puerto puede reducir la exposición del equipo a usuarios malintencionados, y está recomendada. Nota El uso del elemento Firewall de Windows del Panel de control, solamente configura el perfil del firewall actual. Para cambiar el ámbito de una excepción de firewall utilizando el elemento Firewall de Windows del Panel de control 1. En el elemento Firewall de Windows de Panel de control, seleccione un programa o puerto en la pestaña Excepciones y, a continuación, haga clic en Propiedades o Editar. 2. En el cuadro de diálogo Modificar un programa o Modificar un puerto, haga clic en Cambiar ámbito. 3. Elija una de las opciones siguientes: o Cualquier equipo (incluyendo los que están en Internet) No se recomienda. Esto permitirá que cualquier equipo que pueda direccionar su equipo se conecte al programa o al puerto especificados. Esta configuración puede ser necesaria para permitir que se presente información a usuarios anónimos de Internet, pero aumenta la exposición a los usuarios malintencionados. La exposición puede aumentarse aún más si habilita esta configuración y también permite la
  • 13. exploración transversal de la Traducción de direcciones de red (NAT), como la opción Permitir cruce seguro del perímetro. o Mi red (subred) solamente Esta configuración de seguridad es más segura que Cualquier equipo. Solo los equipos de la subred local de la red pueden conectarse al programa o al puerto. o Lista personalizada: Solo los equipos que tengan las direcciones IP de la lista se pueden conectar. Esta configuración puede ser más segura que Mi red (subred) solamente; sin embargo, los equipos cliente que utilicen DHCP pueden cambiar ocasionalmente su dirección IP. Entonces, el equipo deseado no podrá conectarse. Otro equipo, que no deseara autorizar, podría aceptar la dirección IP de la lista y, en consecuencia, podría conectarse La opción Lista personalizada puede ser adecuada para hacer una lista de otros servidores configurados para utilizar una dirección IP fija; no obstante, un intruso podría suplantar las direcciones IP. Las reglas restrictivas de firewall son tan fuertes como sea la infraestructura de red. Utilizar el complemento Firewall de Windows con seguridad avanzada Se pueden configurar opciones de firewall avanzadas adicionales utilizando el complemento MMC del Firewall de Windows con seguridad avanzada. El complemento incluye un asistente de reglas y expone valores de configuración adicionales que no están disponibles en el elemento Firewall de Windows en el Panel de control. Entre estas opciones de configuración, se incluyen las siguientes:  Configuración de cifrado  Restricciones de servicios  Restringir conexiones para equipos por nombre  Restringir conexiones para usuarios o perfiles específicos  Cruce de perímetro que permite que el tráfico evite los enrutadores de Traducción de direcciones de red (NAT)  Configurar reglas salientes  Configurar reglas de seguridad  Requerir IPSec para conexiones entrantes Para crear una nueva regla de firewall mediante el asistente de Nueva regla 1. En el menú Inicio, haga clic en Ejecutar, escriba WF.msc y, a continuación, haga clic en Aceptar. 2. En el Firewall de Windows con seguridad avanzada, en el panel izquierdo, haga clic con el botón secundario en Reglas de entrada y, a continuación, haga clic en Nueva regla. 3. Complete el Asistente para nueva regla de entrada usando la configuración que desee. Solucionar problemas de configuración del firewall Las herramientas y técnicas siguientes pueden ser útiles para solucionar problemas del firewall:
  • 14.  El estado efectivo del puerto es la unión de todas las reglas relacionadas con el puerto. Cuando intente bloquear el acceso a través de un puerto, puede ser útil para revisar todas las reglas que citan el número de puerto. Para ello, utilice el complemento MMC del Firewall de Windows con seguridad avanzada y ordene las reglas entrantes y salientes por número de puerto.  Revise los puertos activos en el equipo en el que se esté ejecutando SQL Server. Este proceso de revisión incluye la comprobación de qué puertos TCP/IP están escuchando y también la comprobación del estado de los puertos. Para comprobar qué puertos están escuchando, utilice la utilidad de la línea de comandos netstat. Además de mostrar las conexiones TCP activas, la utilidad netstat también muestra diversa información y estadísticas de IP. Para mostrar qué puertos TCP/IP están escuchando 1. Abra la ventana de símbolo del sistema. 2. En el símbolo del sistema, escriba netstat -n -a. El modificador -n indica a netstat que muestre numéricamente la dirección y el número de puerto de las conexiones TCP activas. El modificador -a indica a netstat que muestre los puertos TCP y UPD en los que está escuchando el equipo.  La utilidad PortQry se puede usar para notificar el estado de los puertos TCP/IP para indicar que están escuchando, no escuchando o filtrados. (Con un estado de filtrado, el puerto puede o no estar escuchando; este estado indica que la utilidad no ha recibido una respuesta del puerto.) La utilidad PortQry se puede descargar desde el Centro de descargas de Microsoft.