Compartir a través de

Configurar firewall de Windows para permitir el acceso a SQL Server

Los sistemas de firewall ayudan a evitar el acceso no autorizado a los recursos de los equipos. Si un firewall está activado pero no está configurado correctamente, es posible que se bloqueen los intentos de conexión a SQL Server .

Para acceder a una instancia de SQL Server a través de un firewall, debe configurar el firewall en el equipo que ejecuta SQL Server para permitir el acceso. El firewall es un componente de Microsoft Windows. También puede instalar un firewall desde otra empresa. En este tema se describe cómo configurar el firewall de Windows, pero los principios básicos se aplican a otros programas de firewall.

Nota:

En este tema se proporciona información general sobre la configuración del firewall y se resume la información de interés para un administrador de SQL Server. Para obtener más información sobre el firewall y para obtener información sobre el firewall autoritativo, consulte la documentación del firewall, como Firewall de Windows con seguridad avanzada e IPsec.

Los usuarios familiarizados con el elemento Firewall de Windows en el Panel de control y con el complemento Firewall de Windows con Seguridad Avanzada de la Consola de Administración de Microsoft (MMC) y quienes saben qué configuración de firewall desean configurar pueden moverse directamente a los temas de la lista siguiente:

Información básica del firewall

Los firewalls funcionan inspeccionando los paquetes entrantes y comparándolos con un conjunto de reglas. Si las reglas permiten el paquete, el firewall pasa el paquete al protocolo TCP/IP para un procesamiento adicional. Si las reglas no permiten el paquete, el firewall descarta el paquete y, si el registro está habilitado, crea una entrada en el archivo de registro del firewall.

La lista de tráfico permitido se rellena de una de las maneras siguientes:

  • Cuando el equipo que tiene habilitado el firewall inicia la comunicación, el firewall crea una entrada en la lista para que se permita la respuesta. La respuesta entrante se considera tráfico solicitado y no es necesario configurarla.

  • Un administrador configura excepciones en el firewall. Esto permite el acceso a programas especificados que se ejecutan en el equipo o a los puertos de conexión especificados en el equipo. En este caso, el equipo acepta el tráfico de entrada no solicitado cuando actúa como un servidor, un agente de escucha o un equipo del mismo nivel. Este es el tipo de configuración que se debe completar para conectarse a SQL Server.

Elegir una estrategia del firewall es más complejo que decidir simplemente si un puerto determinado debe estar abierto o cerrado. Al diseñar una estrategia de firewall para su empresa, asegúrese de tener en cuenta todas las reglas y opciones de configuración disponibles. En este tema no se revisan todas las opciones de firewall posibles. Se recomienda revisar los siguientes documentos:

Guía de introducción de Firewall de Windows con seguridad avanzada

Guía de diseño de Firewall de Windows con seguridad avanzada

Introducción al aislamiento de servidor y dominio

Configuración predeterminada del firewall

El primer paso para planear la configuración del firewall es determinar el estado actual del firewall para el sistema operativo. Si el sistema operativo se actualizó desde una versión anterior, es posible que se haya conservado la configuración anterior del firewall. Además, otro administrador o una directiva de grupo en el dominio podrían haber cambiado la configuración del firewall.

Nota:

Activar el firewall afectará a otros programas que acceden a este equipo, como el uso compartido de archivos e impresión, y las conexiones de Escritorio remoto. Los administradores deben considerar todas las aplicaciones que se están ejecutando en el equipo antes de ajustar la configuración de firewall.

Programas para configurar el firewall

Hay tres maneras de configurar las opciones de Firewall de Windows.

  • Elemento Firewall de Windows en el Panel de control

    El elemento Firewall de Windows se puede abrir desde el Panel de control.

    Importante

    Los cambios realizados en el elemento Firewall de Windows en el Panel de control solo afectan al perfil actual. Los dispositivos móviles, por ejemplo, un portátil, no deben usar el elemento Firewall de Windows en el Panel de control, ya que el perfil podría cambiar cuando está conectado en una configuración diferente. A continuación, el perfil configurado previamente no estará en vigor. Para obtener más información sobre los perfiles, consulte Guía de introducción de Firewall de Windows con seguridad avanzada.

    El elemento Firewall de Windows del Panel de control permite configurar opciones básicas. Estos incluyen lo siguiente:

    • Activar o desactivar el elemento Firewall de Windows en el Panel de control

    • Habilitación y deshabilitación de reglas

    • Concesión de excepciones para puertos y programas

    • Establecimiento de algunas restricciones de ámbito

    El elemento Firewall de Windows del Panel de control es más adecuado para los usuarios que no tienen experiencia en la configuración del firewall y que configuran opciones básicas de firewall para equipos que no son móviles. También puede abrir el elemento Firewall de Windows en el Panel de control desde el run comando mediante el procedimiento siguiente:

    Para abrir el elemento Firewall de Windows

    1. En el menú Inicio, haga clic en Ejecutar y luego, escriba firewall.cpl.

    2. Haz clic en Aceptar.

  • Microsoft Management Console (MMC)

    El complemento MMC del Firewall de Windows con seguridad avanzada permite establecer opciones de configuración de firewall más avanzadas. Este complemento presenta la mayoría de las opciones de firewall de una manera fácil de usar y presenta todos los perfiles de firewall. Para obtener más información, consulte Uso del Firewall de Windows con complemento de seguridad avanzada más adelante en este tema.

  • netsh

    La herramienta netsh.exe puede ser utilizada por un administrador para configurar y supervisar equipos basados en Windows en un símbolo del sistema o mediante un archivo por lotes**.** Mediante la herramienta netsh, puede dirigir los comandos de contexto que escriba al asistente adecuado y, a continuación, el asistente ejecuta el comando. Un asistente es un archivo de biblioteca de vínculos dinámicos (.dll) que amplía la funcionalidad de la herramienta netsh proporcionando configuración, supervisión y compatibilidad con uno o varios servicios, utilidades o protocolos. Todos los sistemas operativos que admiten SQL Server tienen un asistente de firewall. Windows Server 2008 también tiene un asistente de firewall avanzado denominado advfirewall. Los detalles del uso de netsh no se describen en este tema. Sin embargo, muchas de las opciones de configuración descritas se pueden configurar mediante netsh. Por ejemplo, ejecute el script siguiente en un símbolo del sistema para abrir el puerto TCP 1433:

    netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT

    Un ejemplo similar con el asistente firewall de Windows para seguridad avanzada:

    netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN

    Para obtener más información acerca de netsh, consulte los siguientes vínculos:

Puertos usados por SQL Server

Las tablas siguientes pueden ayudarle a identificar los puertos que utiliza SQL Server.

Puertos usados por el motor de base de datos

La tabla siguiente muestra los puertos de uso frecuente por parte de Motor de base de datos.

Escenario Puerto Comentarios
Instancia predeterminada de SQL Server que se ejecuta a través de TCP Puerto TCP 1433 Este es el puerto más común permitido a través del firewall. Se aplica a las conexiones rutinarias a la instalación predeterminada de Motor de base de datoso a una instancia con nombre que sea la única instancia que se ejecuta en el equipo. (Las instancias con nombre tienen consideraciones especiales. Consulte Puertos dinámicos más adelante en este tema).
Instancias con nombre de SQL Server en la configuración predeterminada El puerto TCP es un puerto dinámico determinado en el momento en el que se inicia Motor de base de datos. Consulte la explicación siguiente en la sección Puertos dinámicos. Es posible que se requiera el puerto UDP 1434 para el servicio SQL Server Browser cuando se usan instancias con nombre.
Instancias con nombre de SQL Server cuando están configuradas para usar un puerto fijo El número de puerto configurado por el administrador. Consulte la explicación siguiente en la sección Puertos dinámicos.
Conexión de administrador dedicada Puerto TCP 1434 para la instancia predeterminada. Otros puertos se utilizan para las instancias con nombre. Compruebe en el registro de errores el número de puerto. De forma predeterminada, las conexiones remotas a la conexión de administrador dedicada (DAC) no están habilitadas. Para habilitar la DAC remota, utilice la faceta Configuración de área expuesta. Para obtener más información, vea Surface Area Configuration.
Servicio SQL Server Browser Puerto UDP 1434 El servicio SQL Server Browser escucha las conexiones entrantes a una instancia con nombre y proporciona al cliente el número de puerto TCP que corresponde a esa instancia con nombre. Normalmente, el servicio Explorador de SQL Server se inicia siempre que se utilizan instancias con nombre de Motor de base de datos . El servicio SQL Server Browser no tiene que iniciarse si el cliente está configurado para conectarse al puerto específico de la instancia con nombre.
Instancia de SQL Server que se ejecuta a través de un punto de conexión HTTP. Se puede especificar cuando se crea un extremo HTTP. El valor predeterminado es el puerto TCP 80 para CLEAR_PORT tráfico y 443 para SSL_PORT tráfico. Se utiliza para una conexión HTTP a través de una dirección URL.
Instancia predeterminada de SQL Server que se ejecuta a través de un punto de conexión HTTPS. Puerto TCP 443 Se utiliza para una conexión HTTPS a través de una dirección URL. HTTPS es una conexión HTTP que usa la capa de sockets seguros (SSL).
Intermediario de Servicios Puerto 4022 TCP. Para comprobar el puerto que se usa, ejecute la siguiente consulta:

SELECT name, protocol_desc, port, state_desc

FROM sys.tcp_endpoints

WHERE type_desc = 'SERVICE_BROKER'		 No hay ningún puerto predeterminado para SQL Server Service Broker, pero esta es la configuración convencional utilizada en los ejemplos de Documentación en línea.
Reflejo de la base de datos Puerto elegido por el administrador. Para determinar el puerto, ejecute la siguiente consulta:

SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints

WHERE type_desc = 'DATABASE_MIRRORING'		 No hay ningún puerto predeterminado para el reflejo de bases de datos, sin embargo, los ejemplos de la documentación en línea usan el puerto TCP 7022. Es muy importante evitar interrumpir un punto de conexión de creación de espejo en uso, especialmente en modo de alta seguridad con conmutación automática en caso de error. La configuración del firewall debe evitar el romper el quórum. Para obtener más información, vea Especificar una dirección de red de servidor (Creación de reflejo de la base de datos).
Replicación Las conexiones de replicación a SQL Server usan los puertos habituales del motor de base de datos (puerto TCP 1433 para la instancia predeterminada, etc.)

La sincronización web y el acceso FTP/UNC para la instantánea de replicación requieren que se abran puertos adicionales en el firewall. Para transferir los datos iniciales y los esquemas de una ubicación a otra, la replicación puede utilizar FTP (puerto TCP 21) o sincronizar sobre HTTP (puerto TCP 80) o Uso compartido de archivos. El uso compartido de archivos usa el puerto UDP 137 y 138 y el puerto TCP 139 si usa NetBIOS. El uso compartido de archivos usa el puerto TCP 445.		 Para la sincronización a través de HTTP, la replicación utiliza el punto de conexión de IIS, cuyos puertos son configurables pero por defecto es el puerto 80. Sin embargo, el proceso de IIS se conecta con SQL Server a través de los puertos estándar (1433 para la instancia predeterminada).

Durante la sincronización web mediante FTP, la transferencia FTP tiene lugar entre IIS y el publicador de SQL Server , no entre el suscriptor e IIS.
Depurador de Transact-SQL Puerto TCP 135

Vea Consideraciones especiales para el puerto 135

Quizá sea necesaria también la excepción IPsec.		 Si usa Visual Studio, en el equipo host de Visual Studio, también debe agregar Devenv.exe a la lista Excepciones y abrir el puerto TCP 135.

Si usa Management Studio, en el equipo host de Management Studio, también debe agregar ssms.exe a la lista Excepciones y abrir el puerto TCP 135. Para obtener más información, consulte Configuración del depurador de Transact-SQL.

Para obtener instrucciones paso a paso para configurar firewall de Windows para el motor de base de datos, consulte Configurar un Firewall de Windows para el acceso al motor de base de datos.

Puertos dinámicos

De forma predeterminada, las instancias con nombre (incluido SQL Server Express) utilizan puertos dinámicos. Esto significa que cada vez que se inicia el motor de base de datos, identifica un puerto disponible y usa ese número de puerto. Si la instancia con nombre es la única instancia del motor de base de datos instalada, probablemente usará el puerto TCP 1433. Si se instalan otras instancias del motor de base de datos, probablemente usará un puerto TCP diferente. Dado que el puerto seleccionado puede cambiar cada vez que se inicia el motor de base de datos, es difícil configurar el firewall para habilitar el acceso al número de puerto correcto. Por lo tanto, si se usa un firewall, se recomienda volver a configurar el motor de base de datos para usar el mismo número de puerto cada vez. Esto se denomina puerto fijo o puerto estático. Para obtener más información, vea Configurar un servidor para que escuche en un puerto TCP específico (Administrador de configuración de SQL Server).

Una alternativa a configurar una instancia con nombre para escuchar en un puerto fijo es crear una excepción en el firewall para un programa de SQL Server, como sqlservr.exe (para el motor de base de datos). Esto puede ser cómodo, pero el número de puerto no aparecerá en la columna Puerto local de la página Reglas de entrada cuando use el complemento Firewall de Windows con MMC de seguridad avanzada. Esto puede dificultar la auditoría de los puertos que están abiertos. Otra consideración es que un Service Pack o una actualización acumulativa pueden cambiar la ruta de acceso al ejecutable de SQL Server que invalidará la regla de firewall.

Nota:

El siguiente procedimiento usa el elemento Firewall de Windows en el Panel de control. El complemento del Firewall de Windows con Seguridad Avanzada de la MMC puede configurar una regla más compleja. Esto incluye la configuración de una excepción de servicio que puede ser útil para proporcionar defensa en profundidad. Ver Uso del Firewall de Windows con el complemento Seguridad Avanzada a continuación.

Para agregar una excepción de programa al firewall mediante el elemento Firewall de Windows en el Panel de control.

  1. En la pestaña Excepciones del elemento Firewall de Windows del Panel de control, haga clic en Agregar un programa.

  2. Vaya a la ubicación de la instancia de SQL Server que desea permitir a través del firewall, por ejemplo C:\Archivos de programa\Microsoft SQL Server\MSSQL12.<>instance_name\MSSQL\Binn, seleccione sqlservr.exey haga clic en Abrir.

  3. Haz clic en Aceptar.

Para obtener más información sobre los extremos, vea Configurar el motor de base de datos para escuchar en varios puertos TCP y Vistas de catálogo de extremos (Transact-SQL).

Puertos usados por Analysis Services

La tabla siguiente muestra los puertos de uso frecuente por parte de Analysis Services.

Característica Puerto Comentarios
Servicios de Análisis Puerto TCP 2383 para la instancia predeterminada El puerto estándar para la instancia predeterminada de Analysis Services.
Servicio SQL Server Browser El puerto TCP 2382 solamente es necesario para una instancia con nombre de Analysis Services Las solicitudes de conexión de cliente para una instancia con nombre de Analysis Services que no especifican un número de puerto se dirigen al puerto 2382, el puerto en el que escucha SQL Server Browser. SQL Server a continuación redirige la solicitud al puerto que utiliza la instancia con nombre.
Analysis Services configurado para el uso a través de IIS/HTTP

(El servicio de PivotTable utiliza HTTP o HTTPS)		 Puerto TCP 80 Se utiliza para una conexión HTTP a través de una dirección URL.
Analysis Services configurado para el uso a través de IIS/HTTPS

(El servicio de tabla dinámica utiliza HTTP o HTTPS)		 Puerto TCP 443 Se utiliza para una conexión HTTPS a través de una dirección URL. HTTPS es una conexión HTTP que usa la capa de sockets seguros (SSL).

Si los usuarios acceden a Analysis Services a través de IIS e Internet, debe abrir el puerto en el que IIS está escuchando y especificar ese puerto en la cadena de conexión del cliente. En este caso, no se tiene que abrir ningún puerto para acceso directo a Analysis Services. El puerto predeterminado 2389 y el puerto 2382 deben restringirse junto con todos los demás puertos que no son necesarios.

Para obtener instrucciones paso a paso para configurar firewall de Windows para Analysis Services, consulte Configurar firewall de Windows para permitir el acceso a Analysis Services.

Puertos utilizados por Reporting Services

La tabla siguiente muestra los puertos de uso frecuente por parte de Reporting Services.

Característica Puerto Comentarios
Reporting Services Servicios Web Puerto TCP 80 Se utiliza para una conexión HTTP a Reporting Services a través de una dirección URL. Se recomienda no usar la regla preconfigurada World Wide Web Services (HTTP). Para obtener más información, consulte la sección Interacción con otras reglas de firewall a continuación.
Reporting Services configurado para el uso a través de HTTPS Puerto TCP 443 Se utiliza para una conexión HTTPS a través de una dirección URL. HTTPS es una conexión HTTP que usa la capa de sockets seguros (SSL). Se recomienda no usar la regla preconfigurada Secure World Wide Web Services (HTTPS). Para obtener más información, consulte la sección Interacción con otras reglas de firewall a continuación.

Cuando Reporting Services se conecta a una instancia de Motor de base de datos o Analysis Services, también debe abrir los puertos adecuados para esos servicios. Para obtener instrucciones paso a paso para configurar firewall de Windows para Reporting Services, configure un firewall para el acceso al servidor de informes.

Puertos usados por Integration Services

La tabla siguiente muestra los puertos de uso frecuente por parte del servicio Integration Services .

Característica Puerto Comentarios
Microsoft llamadas a procedimiento remoto (MS RPC)

Utilizado por el motor de tiempo de ejecución Integration Services .		 Puerto TCP 135

Vea Consideraciones especiales para el puerto 135		 El servicio Integration Services utiliza DCOM en el puerto 135. Service Control Manager usa el puerto 135 para realizar tareas como iniciar y detener el servicio Integration Services y transmitir solicitudes de control al servicio en ejecución. No se puede cambiar el número de puerto.

Este puerto solo es necesario que esté abierto si se conecta a una instancia remota del servicio Integration Services desde Management Studio o una aplicación personalizada.

Para obtener instrucciones paso a paso para configurar el Firewall de Windows para Integration Services, consulte Configurar un Firewall de Windows para el acceso al servicio SSIS.

Puertos y servicios adicionales

La tabla siguiente muestra los puertos y servicios de los que puede depender SQL Server .

Escenario Puerto Comentarios
Instrumental de administración de Windows

Para obtener más información sobre WMI, vea WMI Provider for Configuration Management Concepts (Conceptos de proveedor de WMI para la administración de configuración).		 WMI se ejecuta como parte de un host de servicio compartido con puertos asignados a través de DCOM. WMI podría estar utilizando el puerto TCP 135.

Vea Consideraciones especiales para el puerto 135		 SQL Server utiliza WMI para enumerar y administrar servicios. Recomendamos usar el grupo de reglas preconfigurado Instrumental de administración de Windows (WMI) . Para obtener más información, consulte la sección Interacción con otras reglas de firewall a continuación.
Microsoft Coordinador de transacciones distribuidas de (MS DTC) Puerto TCP 135

Vea Consideraciones especiales para el puerto 135		 Si la aplicación utiliza transacciones distribuidas, quizá deba configurar el firewall para permitir que el tráfico del Coordinador de transacciones distribuidas de Microsoft (MS DTC) fluya entre instancias independientes de MS DTC y entre MS DTC y administradores de recursos como SQL Server. Se recomienda usar el grupo de reglas preconfigurado Coordinador de transacciones distribuidas .

Cuando se configura un único MS DTC compartido para todo el clúster en un grupo de recursos independiente, debe agregar sqlservr.exe como excepción al firewall.
El botón Examinar en Management Studio utiliza UDP para establecer conexión con el servicio SQL Server Browser. Para obtener más información, consulta Servicio SQL Server Browser (motor de base de datos y SSAS). Puerto UDP 1434 UDP es un protocolo sin conexión.

El firewall tiene una configuración, denominada Propiedad UnicastResponsesToMulticastBroadcastDisabled de la interfaz INetFwProfile que controla el comportamiento del firewall con respecto a las respuestas de unidifusión a una solicitud UDP de difusión (o multidifusión). Tiene dos comportamientos.

Si la configuración es TRUE, no se permite en absoluto ninguna respuesta de unidifusión a una transmisión. Se producirá un error en la enumeración de servicios.

Si la configuración es FALSE (valor predeterminado), se permiten respuestas de unidifusión durante un periodo de 3 segundos. El período de tiempo no es configurable. en una red congestionada o de alta latencia, o para servidores muy cargados, intentar enumerar instancias de SQL Server podría devolver una lista parcial, lo que podría confundir a los usuarios.
Tráfico IPsec Puerto UDP 500 y puerto UDP 4500 Si la directiva de dominio requiere que las comunicaciones se realicen a través de IPSec, también debe agregar los puertos UDP 4500 y 500 a la lista de excepciones. IPSec es una opción que usa el Asistente para nueva regla de entrada en el complemento de Firewall de Windows. Para obtener más información, consulte Uso de Firewall de Windows con el complemento Seguridad Avanzada a continuación.
Utilizar la autenticación de Windows con dominios de confianza Los firewalls se deben configurar para permitir solicitudes de autenticación. Para obtener más información, consulte Configuración de un firewall para dominios y confianzas.
SQL Server y Agrupación en clústeres de Windows La agrupación en clústeres requiere puertos adicionales que no están directamente relacionados con SQL Server. Para obtener más información, vea Habilitar una red para el uso de clústeres.
Espacios de nombres URL reservados en la API del Servidor HTTP (HTTP.SYS) Probablemente el puerto TCP 80, pero se puede configurar en otros puertos. Para obtener información general, vea Configurar HTTP y HTTPS. Para obtener información específica de SQL Server sobre cómo reservar un punto de conexión de HTTP.SYS mediante HttpCfg.exe, vea Acerca de las reservas de direcciones URL y el registro (Administrador de configuración de SSRS).

Consideraciones especiales para el puerto 135

Cuando se usa RPC con TCP/IP o con UDP/IP como transporte, los puertos de entrada se asignan con frecuencia dinámicamente a los servicios del sistema según sea necesario; Se usan puertos TCP/IP y UDP/IP mayores que el puerto 1024. A menudo se conocen informalmente como "puertos RPC aleatorios". En estos casos, los clientes RPC dependen del asignador de puntos de conexión RPC para indicarles qué puertos dinámicos se asignaron al servidor. Para algunos servicios basados en RPC, puede configurar un puerto concreto en lugar de permitir que RPC asigne dinámicamente uno. También puede restringir el intervalo de puertos que RPC asigna dinámicamente a un intervalo pequeño, independientemente del servicio. Dado que el puerto 135 se usa para muchos servicios, suele ser atacado por usuarios malintencionados. Al abrir el puerto 135, considere restringir el ámbito de la regla de firewall.

Para obtener más información sobre el puerto 135, vea las siguientes referencias:

Interacción con otras reglas de firewall

El Firewall de Windows utiliza reglas y grupos de reglas para establecer su configuración. Cada regla o grupo de reglas se asocia generalmente a un programa o servicio determinado, y ese programa o servicio podría modificar o eliminar esa regla sin su conocimiento. Por ejemplo, los grupos de reglas World Wide Web Services (HTTP) y World Wide Web Services (HTTPS) están asociados a IIS. Al habilitar esas reglas se abrirán los puertos 80 y 443, y las características de SQL Server que dependen de los puertos 80 y 443 funcionarán si esas reglas están habilitadas. Sin embargo, los administradores que configuran IIS podrían modificar o deshabilitar esas reglas. Por lo tanto, si usa el puerto 80 o el puerto 443 para SQL Server, debe crear su propia regla o grupo de reglas que mantenga la configuración de puerto deseada independientemente de las demás reglas de IIS.

El complemento Firewall de Windows con MMC de seguridad avanzada permite cualquier tráfico que coincida con cualquier regla de permiso aplicable. Por lo tanto, si hay dos reglas que se aplican al puerto 80 (con parámetros diferentes), se permitirá el tráfico que coincida con cualquiera de las reglas. Por lo tanto, si una regla permite el tráfico a través del puerto 80 desde la subred local y una regla permite el tráfico desde cualquier dirección, el efecto neto es que todo el tráfico al puerto 80 se permite independientemente del origen. Para administrar eficazmente el acceso a SQL Server, los administradores deben revisar periódicamente las reglas de firewall habilitadas en el servidor.

Introducción a los perfiles de firewall

Los perfiles de firewall se describen en Guía de introducción de Firewall de Windows con seguridad avanzada en la sección Firewall de host con reconocimiento de ubicación de red. En resumen, los sistemas operativos identifican y recuerdan cada una de las redes a las que se conectan con respecto a la conectividad, las conexiones y la categoría.

Hay tres tipos de ubicación de red en Firewall de Windows con seguridad avanzada:

  • Dominio. Windows puede autenticar el acceso al controlador de dominio para el dominio al que está unido el equipo.

  • Público. Aparte de las redes de dominio, todas las redes se clasifican inicialmente como públicas. Las redes que representan conexiones directas a Internet o que están en ubicaciones públicas, tales como aeropuertos o cafeterías, deben dejarse como públicas.

  • Privado. Una red identificada por un usuario o aplicación como privada. Solo las redes confiables se deben identificar como redes privadas. Es probable que los usuarios quieran identificar las redes domésticas o de pequeñas empresas como privadas.

El administrador puede crear un perfil para cada tipo de ubicación de red, cada perfil conteniendo diferentes directivas de firewall. En cada momento se aplica solamente un perfil. El orden de perfile se aplica de la manera siguiente:

  1. Si todas las interfaces se autentican en el controlador de dominio para el dominio del que es miembro el equipo, se aplica el perfil de dominio.

  2. Si todas las interfaces se autentican en el controlador de dominio o están conectadas a redes clasificadas como ubicaciones de red privadas, se aplica el perfil privado.

  3. De lo contrario, se aplica el perfil público.

Utilice el complemento MMD de Firewall de Windows con seguridad avanzada para ver y configurar todos los perfiles del firewall. El elemento Firewall de Windows del Panel de control solo configura el perfil actual.

Configuración adicional del firewall mediante el elemento Firewall de Windows en el Panel de control

Las excepciones que agregue al firewall pueden restringir la apertura del puerto a las conexiones entrantes desde equipos específicos o la subred local. Esta restricción del ámbito de la apertura del puerto puede reducir la cantidad que el equipo está expuesto a usuarios malintencionados y se recomienda.

Nota:

El uso del elemento Firewall de Windows del Panel de control solamente configura el perfil del firewall actual.

Para cambiar el ámbito de una excepción de firewall mediante el elemento Firewall de Windows en el Panel de control

  1. En el elemento Firewall de Windows del Panel de control, seleccione un programa o puerto en la pestaña Excepciones y, a continuación, haga clic en Propiedades o Editar.

  2. En el cuadro de diálogo Editar un programa o Editar un puerto , haga clic en Cambiar ámbito.

  3. Elija una de las siguientes opciones:

    • Cualquier equipo (incluidos los de Internet)

      No se recomienda. Esto permitirá que cualquier equipo que pueda conectar con tu equipo acceda al programa o puerto especificado. Esta configuración puede ser necesaria para permitir que se presente información a usuarios anónimos de Internet, pero aumenta la exposición a los usuarios malintencionados. La exposición puede aumentar aún más si habilita esta configuración y también permite el recorrido de traducción de direcciones de red (NAT), como la opción Permitir recorrido perimetral.

    • Solo mi red (subred)

      Se trata de una configuración más segura que cualquier equipo. Solo los equipos de la subred local de la red pueden conectarse al programa o al puerto.

    • Lista personalizada:

    Solo los equipos que tienen las direcciones IP que se muestran pueden conectarse. Puede ser una configuración más segura que Mi red (subred) solo; sin embargo, los equipos cliente que usan DHCP pueden cambiar ocasionalmente su dirección IP. A continuación, el equipo previsto no podrá conectarse. Otro equipo, que no tenía previsto autorizar, podría aceptar la dirección IP enumerada y, a continuación, poder conectarse. La opción Lista personalizada puede ser adecuada para enumerar otros servidores que están configurados para usar una dirección IP fija; sin embargo, una intrusa podría suplantar las direcciones IP. Las reglas restrictivas de firewall son tan fuertes como sea la infraestructura de red.

Uso del firewall de Windows con el complemento seguridad avanzada

Se pueden configurar opciones de firewall avanzadas adicionales mediante el complemento Firewall de Windows con MMC de seguridad avanzada. El complemento incluye un asistente para reglas y expone configuraciones adicionales que no están disponibles en el elemento Firewall de Windows en el Panel de control. Entre los ajustes se incluyen los siguientes:

  • Configuración de cifrado

  • Restricciones de servicios

  • Restringir conexiones para equipos por nombre

  • Restringir conexiones para usuarios o perfiles específicos

  • Cruce de perímetro que permite que el tráfico evite los enrutadores de Traducción de direcciones de red (NAT)

  • Configurar reglas salientes

  • Configurar reglas de seguridad

  • Requerir IPSec para conexiones entrantes

Para crear una nueva regla de cortafuegos mediante el asistente para la nueva regla

  1. En el menú Inicio, haga clic en Ejecutar, escriba WF.msc y, a continuación, haga clic en Aceptar.

  2. En firewall de Windows con seguridad avanzada, en el panel izquierdo, haga clic con el botón derecho en Reglas de entrada y, a continuación, haga clic en Nueva regla.

  3. Complete el Asistente para nueva regla de entrada usando la configuración que desee.

Solución de problemas de configuración del firewall

Las herramientas y técnicas siguientes pueden ser útiles para solucionar problemas del firewall:

  • El estado efectivo del puerto es la unión de todas las reglas relacionadas con el puerto. Al intentar bloquear el acceso a través de un puerto, puede resultar útil revisar todas las reglas que citan el número de puerto. Para ello, use el complemento Firewall de Windows con MMC de seguridad avanzada y ordene las reglas entrantes y salientes por número de puerto.

  • Revise los puertos activos en el equipo en el que se esté ejecutando SQL Server . Este proceso de revisión incluye comprobar qué puertos TCP/IP están escuchando y también comprobar el estado de los puertos.

    Para comprobar qué puertos están escuchando, use la utilidad de línea de comandos netstat . Además de mostrar conexiones TCP activas, la utilidad netstat también muestra una variedad de estadísticas e información de IP.

    Para enumerar qué puertos TCP/IP están escuchando

    1. Abra la ventana de símbolo del sistema.

    2. En el símbolo del sistema, escriba netstat -n -a.

      El modificador -n indica a netstat que muestre numéricamente la dirección y el número de puerto de las conexiones TCP activas. La opción -a indica a netstat que muestre los puertos TCP y UDP en los que está escuchando el equipo.

  • La utilidad PortQry se puede usar para notificar el estado de los puertos TCP/IP para indicar que están escuchando, no escuchando o filtrados. (Con un estado filtrado, el puerto podría estar escuchando o no; este estado indica que la utilidad no recibió una respuesta del puerto). La utilidad PortQry está disponible para su descarga desde el Centro de descarga de Microsoft.

Véase también

Información general del servicio y requisitos de puerto de red para el sistema Windows Server