INFORMAÇÕES: Portas TCP necessárias para comunicação com SQL Server por meio de um firewall

Este artigo documenta as portas TCP/IP mínimas necessárias para se comunicar com um SQL Server por meio de um firewall.

O SQL Server é um aplicativo Winsock que se comunica através de TCP/IP usando os soquetes da biblioteca de rede. O SQL Server monitora as conexões que entram por uma porta em particular. A porta padrão para o SQL Server é a 1433. Ela não precisa ser a 1433, mas é o número oficial de soquete Internet Assigned Number Authority (IANA) do SQL Server.

Um aplicativo cliente se comunica com o SQL Server usando a biblioteca de rede Dbmssocn.dll do lado do cliente (ou Dbnetlib.dll para o SQL Server 2000) e qualquer cliente usando Microsoft Data Access Components (MDAC) 2.6.

Quando o cliente estabelece uma conexão TCP/IP, é feito um handshake de três vias. O cliente abre uma porta de origem e envia o tráfego para a porta de destino, que por padrão é a 1433. A porta de origem em uso é randômica, mas sempre maior que 1024. Por padrão, quando um aplicativo solicita um soquete de um sistema para uma chamada de saída, é fornecida uma porta entre os valores 1024 e 5000. Para obter informações adicionais, consulte "Detalhes de implementação de TCP/IP em Windows 2000" no seguinte site do Microsoft Developer Network (MSDN) (em inglês): O servidor (neste caso, o SQL Server) se comunica com o cliente através do envio de tráfego a partir da 1433 de volta à porta estabelecida pelo cliente.

O melhor modo de observar este comportamento é traçar uma comunicação cliente-servidor usando o Microsoft Network Monitor ou uma ferramenta sniffer de rede. Para configurar o firewall, você deve permitir o tráfego a partir de *QUALQUER PORTA* para 1433 e a partir da 1433 para *QUALQUER PORTA*, onde *QUALQUER PORTA* é uma porta maior do que 1024. Além de usar o Monitor de rede Microsoft, você também pode usar o utilitário TCP/IP Netstat para ilustrar isto. Acionar o netstat -an a partir de uma janela de comando do MS-DOS traz os seguintes resultados, mostrando três conexões estabelecidas com o SQL Server. Este exemplo usa 157.54.178.42 como endereço IP do SQL Server e 157.54.178.31 como endereço IP do cliente. As portas abertas pelo cliente são 1746, 1748 e 1750 respectivamente. O software de firewall deve permitir que esta alocação dinâmica ocorra através do uso de regras. Se ocorrer, você pode configurar 1433 -> *QUALQUER PORTA* estabelecida. Isto abrirá dinâmicamente a porta de resposta depois de um syn seguido de um syn/ack através de uma inspeção de pacote com monitoração de estado.

Não há como limitar o número de portas TCP de origem para a conexão de um cliente SQL Server. Isso vai totalmente contra o propósito de ter o cliente alocado em uma porta dinâmica nova, não utilizada ainda. Este é um padrão TCP/IP definido pelos aplicativos Winsock. Isto não é uma limitação da comunicação do cliente SQL Server.

Além disso, uma instância nomeada do SQL Server 2000 usará uma porta de destino dinâmica, por padrão. Esta porta deverá ser alterada para uma porta fixa antes de configurar o firewall. O SQL Server Network Utility deve ser utilizado para configurar a porta de destino. Consulte o Server Books Online para obter informações sobre como usar o SQL Server Network Utility.

Caso contrário, o computador cliente precisaria abrir uma porta UDP aleatória e a porta 1434 do servidor UDP seria utilizada para enviar um nome da instância e, se a instância estiver agrupada, a versão da instância SQL, o número da porta TCP detectada pela instância e o pipe nomeado usado pela instância. Contudo, se o objetivo é minimizar o número de portas abertas no firewall, um número de porta estática deve ser escolhido para a instância padrão e qualquer instância nomeada. Os computadores cliente precisariam ser configurados para conectar em um ServerName ou instância ServerName e um número de porta específica.

Para obter informações adicionais, clique nos seguintes números para consultar os artigos na Base de Dados de Conhecimento da Microsoft: