Configuración de Firewall de Windows para permitir el acceso a SQL Server

  • Artículo

Se aplica a:SQL Server: solo Windows

Los sistemas de firewall ayudan a evitar el acceso no autorizado a los recursos de los equipos. Si un firewall está activado pero no está configurado correctamente, es posible que se bloqueen los intentos de conexión a SQL Server .

Para obtener acceso a una instancia de SQL Server a través de un firewall, debe configurar el firewall en el equipo en el que se ejecuta SQL Server. El firewall es un componente de Microsoft Windows. También puede instalar un firewall de otro proveedor. En este artículo se explica cómo configurar Firewall de Windows, pero los principios básicos se aplican a otros programas de firewall.

Nota

En este artículo se proporciona información general para configurar el firewall y se resume información de interés para administradores de SQL Server. Para obtener más información acerca del firewall e información autorizada, vea la documentación sobre el firewall como Guía de implementación de Firewall de Windows Defender con seguridad avanzada.

Los usuarios familiarizados con la administración de Firewall de Windows y que saben qué opciones del firewall quieren configurar pueden pasar directamente a los artículos más avanzados:

Información básica del firewall

Los firewalls funcionan inspeccionando los paquetes entrantes y comparándolos con el siguiente conjunto de reglas:

  • El paquete cumple los estándares impuestos por las reglas; el firewall pasa el paquete al protocolo TCP/IP para continuar con el procesamiento.
  • El paquete no cumple los estándares especificados por las reglas.
    • El firewall descarta el paquete; si el registro está habilitado, se crea una entrada en el archivo de registro del firewall.

La lista de tráfico permitido se rellena de una de las maneras siguientes:

  • Automáticamente: cuando un equipo que tiene el firewall habilitado inicia la comunicación, el firewall crea una entrada en la lista para que se permita la respuesta. La respuesta se considera tráfico solicitado y no hay nada que deba configurarse.

  • Manualmente: Un administrador configura las excepciones para el firewall. Permite el acceso a programas o puertos específicos del equipo. En este caso, el equipo acepta el tráfico de entrada no solicitado cuando actúa como un servidor, un agente de escucha o un equipo del mismo nivel. La configuración debe completarse para conectarse a SQL Server.

Elegir una estrategia del firewall es más complejo que decidir simplemente si un puerto determinado debe estar abierto o cerrado. Al diseñar una estrategia de firewall para la empresa, asegúrese de considerar todas las reglas y opciones de configuración disponibles. En este artículo no se revisan todas las posibles opciones de firewall. Se recomienda que revise los siguientes documentos:

Configuración predeterminada del firewall

El primer paso para planear la configuración del firewall es determinar el estado actual del firewall para el sistema operativo. Si el sistema operativo se actualizó desde una versión anterior, se puede haber conservado la configuración de firewall anterior. La directiva de grupo o el administrador pueden cambiar la configuración del firewall en el dominio.

Nota

La activación del firewall afectará a otros programas que tengan acceso a este equipo, tales como el uso compartido de impresoras y archivos, y las conexiones remotas al escritorio. Los administradores deben considerar todas las aplicaciones que se están ejecutando en el equipo antes de ajustar la configuración de firewall.

Programas para configurar el firewall

Configure el Firewall de Windows con Microsoft Management Console o netsh.

  • Microsoft Management Console (MMC)

    El complemento MMC del Firewall de Windows con seguridad avanzada permite establecer opciones de configuración de firewall más avanzadas. Este complemento presenta la mayoría de las opciones de firewall de una manera fácil de usar y presenta todos los perfiles de firewall. Para más información, vea Utilizar el complemento Firewall de Windows con seguridad avanzada, más adelante en este artículo.

  • netsh

    La herramienta de administrador netsh.exe sirve para configurar y supervisar equipos basados en Windows en un símbolo del sistema o por medio de un archivo por lotes. Con la herramienta netsh, puede dirigir los comandos de contexto que escriba al asistente adecuado, y este ejecutará el comando. Un asistente es una biblioteca de vínculos dinámicos (.dll) que extiende la funcionalidad. El asistente proporciona configuración, supervisión y soporte técnico para uno o varios servicios, utilidades o protocolos de la herramienta netsh.

    Todos los sistemas operativos que admiten SQL Server tienen un asistente de firewall. Windows Server 2008 también tiene un asistente avanzado denominado advfirewall. Muchas de las opciones de configuración descritas se pueden configurar con netsh. Por ejemplo, ejecute el script siguiente en un símbolo del sistema para abrir el puerto TCP 1433:

    netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT

    Un ejemplo similar que usa Firewall de Windows para el asistente Seguridad avanzada:

    netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN

    Para obtener más información acerca de netsh, consulte los siguientes vínculos:

  • PowerShell

    Consulte el siguiente ejemplo para ver cómo abrir los puertos TCP 1433 y UDP 1434 para la instancia predeterminada de SQL Server, así como el servicio SQL Server Browser:

    New-NetFirewallRule -DisplayName "SQLServer default instance" -Direction Inbound -LocalPort 1433 -Protocol TCP -Action Allow
New-NetFirewallRule -DisplayName "SQLServer Browser service" -Direction Inbound -LocalPort 1434 -Protocol UDP -Action Allow

    Para ver más ejemplos, consulte New-NetFirewallRule.

  • Para Linux

    en Linux, también debe abrir los puertos asociados con los servicios a los que necesita acceso. Las distintas distribuciones de Linux y los distintos firewalls tienen sus propios procedimientos. Para ver dos ejemplos, consulte SQL Server en Red Hat y SQL Server en SUSE.

Puertos utilizados por SQL Server

Las tablas siguientes pueden ayudarle a identificar los puertos que utiliza SQL Server.

Puertos utilizados por el Motor de base de datos

De forma predeterminada, los puertos que SQL Server suele utilizar y los servicios de motor de la base de datos asociados son los siguientes: TCP 1433, 4022, 135, 1434, UDP 1434. En la tabla siguiente se detallan dichos puertos con mayor profundidad. Una instancia con nombre usa puertos dinámicos.

La tabla siguiente muestra los puertos de uso frecuente por parte de Motor de base de datos.

Escenario Port Comentarios
Instancia predeterminada en ejecución a través de TCP Puerto TCP 1433 El puerto más común que permite el firewall. Se aplica a las conexiones rutinarias a la instalación predeterminada de Motor de base de datoso a una instancia con nombre que sea la única instancia que se ejecuta en el equipo. (Las instancias con nombre tienen consideraciones especiales. Consulte Puertos dinámicos más adelante en este artículo).
Instancias con nombre con puerto predeterminado El puerto TCP es un puerto dinámico determinado en el momento en el que se inicia Motor de base de datos . Vea la explicación siguiente en la sección Puertos dinámicos. El puerto UDP 1434 puede ser necesario para el servicio SQL Server Browser cuando se utilizan instancias con nombre.
Instancias con nombre con puerto fijo El número de puerto configurado por el administrador. Vea la explicación siguiente en la sección Puertos dinámicos.
Conexión de administrador dedicada Puerto TCP 1434 para la instancia predeterminada. Otros puertos se utilizan para las instancias con nombre. Compruebe en el registro de errores el número de puerto. De forma predeterminada, las conexiones remotas a DAC (conexión de administrador dedicada) no están habilitadas. Para habilitar la DAC remota, utilice la faceta Configuración de área expuesta. Para obtener más información, vea Surface Area Configuration.
SQL Server Servicio Browser Puerto UDP 1434 El servicio SQL Server Browser escucha las conexiones entrantes a una instancia con nombre.

El servicio proporciona al cliente el número de puerto TCP que corresponde a esa instancia con nombre. Normalmente, el servicio Explorador de SQL Server se inicia siempre que se utilizan instancias con nombre de Motor de base de datos . El servicio SQL Server Browser no es necesario si el cliente está configurado para conectarse al puerto específico de la instancia con nombre.
Instancia con punto de conexión HTTP. Se puede especificar cuando se crea un extremo HTTP. El valor predeterminado es el puerto TCP 80 para el tráfico de CLEAR_PORT y el puerto 443 para el tráfico de SSL_PORT. Se utiliza para una conexión HTTP a través de una dirección URL.
Instancia predeterminada con punto de conexión HTTP Puerto TCP 443 Se utiliza para una conexión HTTPS a través de una dirección URL. HTTPS es una conexión HTTP que usa la Seguridad de la capa de transporte (TLS), antes conocida como Capa de sockets seguros (SSL).
Service Broker Puerto 4022 TCP. Para comprobar el puerto que se usa, ejecute la siguiente consulta:

SELECT name, protocol_desc, port, state_desc

FROM sys.tcp_endpoints

WHERE type_desc = 'SERVICE_BROKER'		 No hay ningún puerto predeterminado para SQL Server Service Broker; los ejemplos de los Libros en pantalla usan la configuración convencional.
Creación de reflejo de la base de datos Puerto elegido por el administrador. Para determinar el puerto, ejecute la siguiente consulta:

SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints

WHERE type_desc = 'DATABASE_MIRRORING'		 No hay ningún puerto predeterminado para la creación de reflejos de la base de datos, pero en los ejemplos de los Libros en pantalla se usa el puerto TCP 5022 o 7022. Es importante evitar interrumpir un punto de conexión de creación de reflejos que se esté usando, sobre todo en el modo de alta seguridad con conmutación automática por error. La configuración del firewall debe evitar el romper el quórum. Para obtener más información, vea Especificar una dirección de red de servidor (Creación de reflejo de la base de datos).
Replicación Las conexiones de replicación a SQL Server utilizan los puertos habituales de Motor de base de datos (el puerto TCP 1433 es la instancia predeterminada).

La sincronización web y el acceso de tipo FTP/UNC para la instantánea de replicación requieren que se abran más puertos en el firewall. Para transferir los datos iniciales y los esquemas de una ubicación a otra, la replicación puede utilizar FTP (puerto TCP 21) o sincronizar sobre HTTP (puerto TCP 80) o Uso compartido de archivos. El uso compartido de archivos utiliza los puertos UDP 137 y 138, y el puerto TCP 139 si se usa junto con NetBIOS. El uso compartido de archivos usa el puerto TCP 445.		 Para la sincronización sobre HTTP, la replicación utiliza el punto de conexión de IIS (configurable, puerto 80 predeterminado), pero el proceso de IIS se conecta al servidor SQL Server a través de los puertos estándar (1433 para la instancia predeterminada).

Durante la sincronización web mediante FTP, la transferencia FTP tiene lugar entre IIS y el publicador de SQL Server , no entre el suscriptor e IIS.
Depurador de Transact-SQL Puerto TCP 135

Vea Consideraciones especiales para el puerto 135

Quizá sea necesaria también la excepción IPsec .		 Si utiliza Visual Studio, en el equipo host Visual Studio debe agregar también Devenv.exe a la lista Excepciones y abrir el puerto TCP 135.

Si utiliza Management Studio, en el equipo host Management Studio debe agregar también ssms.exe a la lista Excepciones y abrir el puerto TCP 135. Para obtener más información, vea Configurar reglas de firewall antes de ejecutar el depurador de Transact-SQL.

Para obtener instrucciones detalladas sobre cómo configurar el Firewall de Windows para Motor de base de datos, vea Configurar Firewall de Windows para el acceso al motor de base de datos.

Puertos dinámicos

De forma predeterminada, las instancias con nombre (incluido SQL Server Express) utilizan puertos dinámicos. Cada vez que se inicia Motor de base de datos, identifica un puerto disponible y utiliza ese número de puerto. Si la instancia con nombre es la única instancia de Motor de base de datos instalada, probablemente utilizará el puerto TCP 1433. Si se instalan otras instancias de Motor de base de datos , probablemente utilizará un puerto TCP diferente. Dado que el puerto seleccionado puede cambiar cada vez que se inicia Motor de base de datos, es difícil configurar el firewall para permitir el acceso al número de puerto correcto. Si se usa un firewall, recomendamos reconfigurar Motor de base de datos para que utilice siempre el mismo número de puerto. Se recomienda un puerto fijo o un puerto estático. Para obtener más información, vea Configurar un servidor para que escuche en un puerto TCP específico (Administrador de configuración de SQL Server).

Una alternativa a configurar una instancia con nombre para escuchar en un puerto fijo es crear una excepción en el firewall para un programa de SQL Server como sqlservr.exe (para el Motor de base de datos). El número de puerto no aparecerá en la columna Puerto local de la página Reglas de entrada cuando esté usando el complemento MMC del Firewall de Windows con seguridad avanzada. Puede dificultar la tarea de auditar qué puertos están abiertos. Otra consideración es que un Service Pack o una actualización acumulativa puede cambiar la ruta de acceso al archivo ejecutable SQL Server e invalidar la regla de firewall.

Para agregar una excepción para SQL Server mediante Firewall de Windows con seguridad avanzada, consulte Uso del complemento Firewall de Windows con seguridad avanzada más adelante en este artículo.

Puertos utilizados por Analysis Services

De forma predeterminada, los puertos que SQL Server Analysis Services suele utilizar y los servicios asociados son los siguientes: TCP 2382, 2383, 80, 443. En la tabla siguiente se detallan dichos puertos con mayor profundidad.

La tabla siguiente muestra los puertos de uso frecuente por parte de Analysis Services.

Característica Port Comentarios
Analysis Services Puerto TCP 2383 para la instancia predeterminada El puerto estándar para la instancia predeterminada de Analysis Services.
SQL Server Servicio Browser El puerto TCP 2382 solamente es necesario para una instancia con nombre de Analysis Services Las solicitudes de conexión de clientes para una instancia con nombre de Analysis Services que no especifican un número de puerto se dirigen al puerto 2382, el puerto en el que escucha SQL Server Browser. SQL Server a continuación redirige la solicitud al puerto que utiliza la instancia con nombre.
Analysis Services configurado para el uso a través de IIS/HTTP

(El Servicio PivotTable® utiliza HTTP o HTTPS)		 Puerto TCP 80 Se utiliza para una conexión HTTP a través de una dirección URL.
Analysis Services configurado para el uso a través de IIS/HTTPS

(El Servicio PivotTable® utiliza HTTP o HTTPS)		 Puerto TCP 443 Se utiliza para una conexión HTTPS a través de una dirección URL. HTTPS es una conexión HTTP que utiliza TLS.

Si los usuarios acceden a Analysis Services a través de IIS e Internet, debe abrir el puerto en el que está escuchando IIS. A continuación, especifique el puerto en la cadena de conexión del cliente. En este caso, no se tiene que abrir ningún puerto para acceso directo a Analysis Services. El puerto predeterminado, que es el 2389, y el puerto 2382 deben restringirse junto con los demás que no sean necesarios.

Para obtener instrucciones detalladas sobre cómo configurar el Firewall de Windows para Analysis Services, vea Configurar Firewall de Windows para permitir el acceso a Analysis Services.

Puertos utilizados por Reporting Services

De forma predeterminada, los puertos que SQL Server Reporting Services suele utilizar y los servicios asociados son los siguientes: TCP 80, 443. En la tabla siguiente se detallan dichos puertos con mayor profundidad.

La tabla siguiente muestra los puertos de uso frecuente por parte de Reporting Services.

Característica Port Comentarios
Reporting Services Servicios Web Puerto TCP 80 Se utiliza para una conexión HTTP a Reporting Services a través de una dirección URL. Recomendamos no usar la regla preconfigurada World Wide Web Services (HTTP) . Para obtener más información, vea la sección Interacción con otras reglas de firewall más adelante
Reporting Services configurado para el uso a través de HTTPS Puerto TCP 443 Se utiliza para una conexión HTTPS a través de una dirección URL. HTTPS es una conexión HTTP que utiliza TLS. Recomendamos no usar la regla preconfigurada Secure World Wide Web Services (HTTPS) . Para obtener más información, vea la sección Interacción con otras reglas de firewall más adelante

Cuando Reporting Services se conecta a una instancia de Motor de base de datos o Analysis Services, también debe abrir los puertos adecuados para esos servicios. Para obtener instrucciones detalladas sobre cómo configurar Firewall de Windows para Reporting Services, vea Configurar un firewall para el acceso al servidor de informes.

Puertos utilizados por Integration Services

La tabla siguiente muestra los puertos de uso frecuente por parte del servicio Integration Services .

Característica Port Comentarios
Microsoft llamadas a procedimiento remoto (MS RPC)

Utilizado por el motor de tiempo de ejecución Integration Services .		 Puerto TCP 135

Vea Consideraciones especiales para el puerto 135		 El servicio Integration Services utiliza DCOM en el puerto 135. El Administrador de control de servicios usa el puerto 135 para realizar tareas tales como iniciar y detener el servicio Integration Services, y transmitir solicitudes de control al servicio en funcionamiento. No se puede cambiar el número de puerto.

Solamente es necesario que este puerto esté abierto si se está conectando a una instancia remota del servicio Integration Services desde Management Studio o desde una aplicación personalizada.

Para ver instrucciones paso a paso para configurar el Firewall de Windows para Integration Services, vea Servicio Integration Services (servicio SSIS).

Otros puertos y servicios

La tabla siguiente muestra los puertos y servicios de los que puede depender SQL Server .

Escenario Port Comentarios
Instrumental de administración de Windows

Para obtener más información sobre el Instrumental de administración de Windows (WMI) , vea Proveedor WMI de administración de configuración.		 WMI se ejecuta como parte de un host de servicio compartido con puertos asignados a través de DCOM. WMI podría estar utilizando el puerto TCP 135.

Vea Consideraciones especiales para el puerto 135		 SQL Server utiliza WMI para enumerar y administrar servicios. Recomendamos usar el grupo de reglas preconfigurado Instrumental de administración de Windows (WMI) . Para obtener más información, vea la sección Interacción con otras reglas de firewall más adelante
Microsoft Coordinador de transacciones distribuidas de (MS DTC) Puerto TCP 135

Vea Consideraciones especiales para el puerto 135		 Si la aplicación utiliza transacciones distribuidas, quizá deba configurar el firewall para permitir que el tráfico del Coordinador de transacciones distribuidas de Microsoft (MS DTC) fluya entre instancias independientes de MS DTC y entre MS DTC y administradores de recursos como SQL Server. Se recomienda usar el grupo de reglas preconfigurado Coordinador de transacciones distribuidas .

Cuando se configura un único MS DTC compartido para todo el clúster en un grupo de recursos independiente, se debería agregar sqlservr.exe como excepción al firewall.
El botón Examinar en Management Studio utiliza UDP para establecer conexión con el servicio SQL Server Browser. Para obtener más información, vea Servicio SQL Server Browser (motor de base de datos y SSAS). Puerto UDP 1434 UDP es un protocolo sin conexión.

El firewall tiene una configuración (Propiedad UnicastResponsesToMulticastBroadcastDisabled de la interfaz INetFwProfile) que controla el comportamiento del firewall y las respuestas de unidifusión a una solicitud UDP de difusión (o multidifusión). Tiene dos comportamientos.

Si el valor es TRUE, no se permite en absoluto ninguna respuesta de unidifusión a una difusión. La enumeración de servicios producirá un error.

Si la configuración es FALSE (valor predeterminado), las respuestas de unidifusión se permiten durante 3 segundos. La duración no es configurable. En una red congestionada o de latencia alta, o en servidores muy cargados, los intentos de enumerar instancias de SQL Server pueden devolver una lista parcial, que puede desorientar a los usuarios.
Tráfico IPSec Puerto UDP 500 y puerto UDP 4500 Si la directiva de dominio requiere que las comunicaciones se realicen a través de IPSec, también debe agregar los puertos UDP 4500 y 500 a la lista de excepciones. IPSec es una opción que usa el Asistente para nueva regla de entrada en el complemento de Firewall de Windows. Para obtener más información, vea Utilizar el complemento Firewall de Windows con seguridad avanzada más adelante.
Utilizar la autenticación de Windows con dominios de confianza Los firewalls se deben configurar para permitir solicitudes de autenticación. Para obtener más información, vea Cómo configurar un firewall para dominios y confianza.
SQL Server y Agrupación en clústeres de Windows La agrupación en clústeres requiere puertos extra que no se relacionan directamente con SQL Server. Para obtener más información, vea Habilitar una red para el uso de clústeres.
Espacios de nombres URL reservados en la API del Servidor HTTP (HTTP.SYS) Probablemente el puerto TCP 80, pero se puede configurar en otros puertos. Para obtener información general, vea Configurar HTTP y HTTPS. Para obtener información específica de SQL Server sobre cómo reservar un punto de conexión HTTP.SYS con HttpCfg.exe, vea Acerca de las reservas y el registro de direcciones URL (Administrador de configuración del servidor de informes).

Consideraciones especiales para el puerto 135

Cuando se usa RPC con TCP/IP o con UDP/IP como transporte, los puertos de entrada se asignan dinámicamente a los servicios del sistema según sea necesario. Se usan puertos TCP/IP y UDP/IP mayores que el puerto 1024. Los puertos se conocen como "puertos RPC aleatorios". En estos casos, los clientes RPC se apoyan en el mapeador de extremos RPC para indicar qué puertos dinámicos se asignaron al servidor. Para algunos servicios basados en RPC, puede configurar un puerto concreto en lugar de permitir que RPC asigne dinámicamente uno. También puede restringir el intervalo de puertos que RPC asigna dinámicamente a un intervalo pequeño, con independencia del servicio. Dado que el puerto 135 se utiliza para muchos servicios, los usuarios malintencionados lo atacan con frecuencia. Al abrir el puerto 135, considere restringir el ámbito de la regla de firewall.

Para obtener más información sobre el puerto 135, vea las siguientes referencias:

Interacción con otras reglas de firewall

El Firewall de Windows utiliza reglas y grupos de reglas para establecer su configuración. Cada regla o grupo de reglas está asociado a un programa o servicio determinado, y ese programa o servicio podría modificar o eliminar esa regla sin su conocimiento. Por ejemplo, los grupos de reglas World Wide Web Services (HTTP) y World Wide Web Services (HTTPS) están asociados a IIS. Al habilitar esas reglas, se abrirán los puertos 80 y 443, y las características de SQL Server que dependen de los puertos 80 y 443 funcionarán si esas reglas están habilitadas. Sin embargo, los administradores que configuran IIS podrían modificar o deshabilitar esas reglas. Si está utilizando el puerto 80 o el 443 para SQL Server, debe crear su propia regla o su propio grupo de reglas que mantenga la configuración de puerto preferida independientemente de las demás reglas de IIS.

El complemento MMC de Firewall de Windows con seguridad avanzada permite cualquier tráfico que coincida con cualquier regla de permiso aplicable. Por tanto, en el caso de que haya dos reglas que se apliquen al puerto 80 (con parámetros diferentes). Se permitirá el tráfico que coincida con cualquiera de las dos. Así, si una regla permite el tráfico sobre el puerto 80 de la subred local y otra permite el tráfico procedente de cualquier dirección, el efecto de la red será que todo el tráfico dirigido al puerto 80 será independiente de su origen. Para administrar eficazmente el acceso a SQL Server, los administradores deben revisar periódicamente las reglas de firewall habilitadas en el servidor.

Introducción a los perfiles de firewall

Los sistemas operativos utilizan los perfiles de firewall para identificar y recordar cada una de las redes por conectividad, conexiones y categoría.

Hay tres tipos de ubicación de red en Firewall de Windows con seguridad avanzada:

  • Dominio: Windows puede autenticar el acceso al controlador de dominio para el dominio al que está unido el equipo.
  • Pública: Excepto las redes de dominio, todas las redes se categorizan inicialmente como públicas. Las redes que representan conexiones directas a Internet o que están en ubicaciones públicas, tales como aeropuertos o cafeterías, deben dejarse como públicas.
  • Privada: Una red identificada por un usuario o una aplicación como privada. Solo las redes confiables se deben identificar como redes privadas. Es probable que los usuarios deseen identificar las redes domésticas o de pequeña empresa como privadas.

El administrador puede crear un perfil para cada tipo de ubicación de red, cada perfil conteniendo diferentes directivas de firewall. En cada momento se aplica solamente un perfil. El orden de perfile se aplica de la manera siguiente:

  1. El perfil de dominio se aplica si todas las interfaces se autentican para el controlador de dominio del que el equipo es miembro.
  2. Si todas las interfaces se autentican para el controlador de dominio o están conectadas a redes clasificadas como ubicaciones de la red privada, se aplica el perfil privado.
  3. De lo contrario, se aplica el perfil público.

Utilice el complemento MMD de Firewall de Windows con seguridad avanzada para ver y configurar todos los perfiles del firewall. El elemento Firewall de Windows del Panel de control solo configura el perfil actual.

Configuración adicional de firewall con el elemento Firewall de Windows del Panel de control

El firewall agregado puede restringir la apertura del puerto a las conexiones entrantes de equipos concretos o de la subred local. Limite el ámbito de la apertura del puerto para reducir la exposición del equipo a usuarios malintencionados.

Nota

El uso del elemento Firewall de Windows del Panel de control solamente configura el perfil del firewall actual.

Cambio del ámbito de una excepción de firewall mediante el elemento Firewall de Windows del Panel de control

  1. En el elemento Firewall de Windows del Panel de control, seleccione un programa o puerto en la pestaña Excepciones y, a continuación, Propiedades o Editar.

  2. En el cuadro de diálogo Modificar un programa o Modificar un puerto, seleccione Cambiar ámbito.

  3. Elija una de las siguientes opciones:

    • Cualquier equipo (incluyendo los que están en Internet) : no se recomienda. Cualquier equipo que pueda direccionar su equipo a conectarse al programa o al puerto especificados. Esta configuración puede ser necesaria para permitir que se presente información a usuarios anónimos de Internet, pero aumenta la exposición a los usuarios malintencionados. Habilitar esta configuración permite la exploración transversal de la Traducción de direcciones de red (NAT), como la opción de cruce del perímetro, que aumenta la exposición.

    • Solo mi red (subred) : esta configuración de seguridad es más segura que Cualquier equipo. Solo los equipos de la subred local de la red pueden conectarse al programa o al puerto.

    • Lista personalizada: Solo los equipos cuyas direcciones IP estén en la lista se pueden conectar. Una configuración segura puede ofrecer más seguridad que Solo mi red (subred) , pero los equipos cliente que usen DHCP pueden cambiar ocasionalmente su dirección IP, lo que impedirá establecer conexiones. Otro equipo que no quisiera autorizar podría aceptar la dirección IP de la lista y conectarse. Lista personalizada puede ser adecuada para hacer una lista de otros servidores configurados para utilizar una dirección IP fija.

      Un intruso podría suplantar las direcciones IP. Las reglas restrictivas de firewall son tan fuertes como sea la infraestructura de red.

Uso del complemento Firewall de Windows con seguridad avanzada

Se pueden configurar opciones de firewall avanzadas utilizando el complemento MMC del Firewall de Windows con seguridad avanzada. El complemento incluye un asistente de reglas y configuración que no están disponibles en el elemento Firewall de Windows del Panel de control. Estas opciones incluyen:

  • Configuración de cifrado
  • Restricciones de servicios
  • Restringir conexiones para equipos por nombre
  • Restringir conexiones para usuarios o perfiles específicos
  • Cruce de perímetro que permite que el tráfico evite los enrutadores de Traducción de direcciones de red (NAT)
  • Configurar reglas salientes
  • Configurar reglas de seguridad
  • Requerir IPSec para conexiones entrantes

Creación de una regla de firewall mediante el Asistente para nueva regla

  1. En el menú Inicio, elija Ejecutar, escriba WF.msc y seleccione Aceptar.
  2. En Firewall de Windows con seguridad avanzada, en el panel izquierdo, haga clic con el botón derecho en Reglas de entrada y seleccione Nueva regla.
  3. Complete el Asistente para nueva regla de entrada usando la configuración que desee.

Adición de una excepción de programa para el archivo ejecutable de SQL Server

  1. En el menú Inicio, escriba wf.msc. Presione Entrar o seleccione el resultado de la búsqueda wf.msc para abrir el Firewall de Windows Defender con seguridad avanzada.

  2. En el panel izquierdo, seleccione Reglas de entrada.

  3. En el panel derecho, en Acciones, seleccione Nueva regla… . Se abre el Asistente para nueva regla de entrada.

  4. En Tipo de regla, seleccione Programa. Seleccione Next (Siguiente).

  5. En Programa, seleccione Esta ruta de acceso del programa. Seleccione Examinar para buscar la instancia de SQL Server. El programa se denomina sqlservr.exe. Suele encontrarse en:

    C:\Program Files\Microsoft SQL Server\MSSQL<VersionNumber>.<InstanceName>\MSSQL\Binn\sqlservr.exe

    Seleccione Next (Siguiente).

  6. En Acción, seleccione Permitir la conexión. Seleccione Next (Siguiente).

  7. En Perfil, incluya los tres perfiles. Seleccione Next (Siguiente).

  8. En Nombre, escriba un nombre para la regla. Seleccione Finalizar.

Para obtener más información sobre los puntos de conexión, consulte:

Solución de problemas de configuración del firewall

Las herramientas y técnicas siguientes pueden ser útiles para solucionar problemas del firewall:

  • El estado efectivo del puerto es la unión de todas las reglas relacionadas con el puerto. Puede que resulte útil revisar todas las reglas que citan el número de puerto cuando intente bloquear el acceso a un puerto. Revise las reglas con el complemento MMC con seguridad avanzada del Firewall de Windows, y ordene las reglas de entrada y de salida por número de puerto.

  • Revise los puertos activos en el equipo en el que se esté ejecutando SQL Server . El proceso de revisión incluye comprobar qué puertos TCP/IP están escuchando y verificar el estado de los puertos.

  • La utilidad PortQry se puede usar para notificar el estado de los puertos TCP/IP para indicar que están escuchando, no escuchando o filtrados. (Es posible que la utilidad no reciba respuesta del puerto si tiene un estado filtrado). La utilidad PortQry está disponible para su descarga desde el Centro de descarga de Microsoft.

Enumeración de los puertos TCP/IP que están escuchando

Para comprobar qué puertos están escuchando, muestre las conexiones TCP activas y las estadísticas IP mediante la utilidad de línea de comandos netstat.

  1. Abra la ventana de símbolo del sistema.

  2. En el símbolo del sistema, escriba netstat -n -a.

    El elemento -n indica a netstat que muestre numéricamente la dirección y el número de puerto de las conexiones TCP activas. El modificador -a indica a netstat que muestre los puertos TCP y UDP en los que está escuchando el equipo.

Contenido relacionado