Documente Academic
Documente Profesional
Documente Cultură
Los sistemas de firewall ayudan a evitar el acceso no autorizado a los rec ursos de los equipos.
Si un firewall está activado pero no está configurado correc tamente, es posible que se
bloqueen los intentos de conexión a SQL Server.
Para obtener acc eso a una instancia de SQL Server a través de un firewall, debe configurar el
firewall en el equipo en el que se ejec uta SQL Server para que permita el acc eso. El firewall es
un componente de Mic rosoft Windows. También puede instalar un firewall de otra compañía. En
este tema se discute c ómo configurar el firewall de Windows, pero los principios básicos se
aplican a otros programas de firewall.
Nota
En este tema se proporciona información general de configuración del firewall y se resume
información de interés para un administrador de SQL Server. Para obtener más informac ión
sobre el firewall e información autorizada sobre el firewall, consulte la documentac ión del
firewall, tal como Firewall de Windows con seguridad avanzada e IPsec y Firewall de
Windows con seguridad avanzada - Mapa de ruta de c ontenido.
Los usuarios que c onozcan el elemento Firewall de Windows del Panel de c ontrol y el
c omplemento Mic rosoft Management Console (MMC) de Firewall de Windows con seguridad
avanzada, y que sepan qué opc iones del firewall desean c onfigurar pueden ir directamente a
los temas de la lista siguiente:
En este tema
Este tema tiene las secc iones siguientes:
msdn.microsoft.com/…/cc646023.aspx 1/16
20/04/2011 Configurar Firewall de Windows para …
Informac ión general de perfiles de firewall
Configurac ión adicional de Firewall de Windows usando el elemento Firewall de Windows del
Panel de control
Cuando el equipo que tiene el firewall habilitado inicia la comunicación, el firewall crea
una entrada en la lista para que se permita la respuesta. La respuesta de entrada se
considera tráfico solic itado y no es necesario c onfigurarla.
Un administrador configura las excepc iones para el firewall. Esto permite el acceso a
programas espec íficos que se ejec utan en el equipo o el ac ceso a los puertos de
conexión especific ados en el equipo. En este c aso, el equipo ac epta el tráfico de
entrada no solicitado cuando ac túa c omo un servidor, un agente de esc ucha o un
equipo del mismo nivel. Éste es el tipo de configuración que se debe completar para
conectar a SQL Server.
Elegir una estrategia del firewall es más complejo que dec idir simplemente si un puerto
determinado debe estar abierto o cerrado. Al diseñar una estrategia de firewall para la
empresa, asegúrese considerar todas las reglas y opc iones de c onfiguración disponibles. En
este tema no se revisan todas las posibles opciones de firewall. Se recomienda que revise
los siguientes documentos:
El firewall está apagado. Los administradores deben c onsiderar la ac tivac ión del
firewall.
Windows Vista
Nota
La activación del firewall afec tará a otros programas que tengan acceso a este equipo,
tales como el uso c ompartido de impresoras y archivos, y las conexiones remotas al
escritorio. Los administradores deben c onsiderar todas las aplicaciones que se están
ejec utando en el equipo antes de ajustar la configuración de firewall.
Importante
Los c ambios realizados en el elemento Firewall de Windows del Panel de control
solo afectan al perfil actual. Los dispositivos móviles, por ejemplo un portátil, no
deben utilizar el elemento Firewall de Windows del Panel de c ontrol, dado que el
perfil podría cambiar cuando se c onec te c on una configuración diferente.
Entonces, el perfil configurado previamente no estará en vigor. Para obtener más
informac ión sobre los perfiles, vea Guía de introducc ión al Firewall de Windows c on
seguridad avanzada.
El elemento Firewall de Windows del Panel de control es muy adecuado para los
usuarios que tengan experiencia en la c onfiguración de firewall y que estén
configurando opciones de firewall básicas para equipos que no sean móviles. También
puede abrir el elemento Firewall de Windows del Panel de control con el comando run
utilizando el proc edimiento siguiente:
netsh
netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode
= ENABLE scope = SUBNET profile = CURRENT
Un ejemplo similar que usa Firewall de Windows para la aplicación auxiliar Seguridad
avanzada:
netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp ac
tion = allow localport = 1433 remoteip = localsubnet profile = DOMAIN
Para el uso de scripts para la configuración de SQL Server mediante netsh, vea Cómo
usar un script para abrir puertos mediante programación para que SQL Server los
utilice en sistemas que estén ejecutando Windows XP Service Pack (en inglés). Para
obtener más información ac erc a de netsh vea los siguientes temas:
Cómo utilizar el contexto “netsh advfirewall firewall” en lugar del c ontexto “netsh
firewall” para c ontrolar el c omportamiento del Firewall de Windows en Windows
Server 2008 y en Windows Vista
La tabla siguiente muestra los puertos de uso frec uente por parte de Motor de base de
datos.
Instanc ia Puerto TCP 1433 Éste es el puerto más común que permite
predeterminada el firewall. Se aplic a a las conexiones
msdn.microsoft.com/…/cc646023.aspx 4/16
20/04/2011 Configurar Firewall de Windows para …
de SQL Server rutinarias a la instalación predeterminada
ejecutándose de Motor de base de datos o a una
sobre TCP instancia con nombre que sea la única
instancia que se ejecuta en el equipo. (Las
instancias con nombre tienen
considerac iones especiales. Vea Puertos
dinámicos más adelante en este tema.)
Instanc ias con El puerto TCP es un puerto Vea la explic ación siguiente en la sección
nombre de SQL dinámico determinado en el Puertos dinámicos. El puerto UDP 1434
Server en la momento en el que se inicia puede ser necesario para el servicio
c onfiguración Motor de base de datos. Explorador de SQL Server cuando se
predeterminada utilizan instancias c on nombre.
Instanc ias con El número de puerto Vea la explic ación siguiente en la sección
nombre de SQL configurado por el Puertos dinámicos.
Server c uando administrador.
están
c onfiguradas
para utilizar un
puerto fijo
La instancia de Se puede especific ar cuando Se utiliza para una c onexión HTTP a través
SQL Server se crea un extremo HTTP. El de una dirección URL.
ejecutándose valor predeterminado es el
sobre un puerto TCP 80 para el tráfico
extremo HTTP. de CLEAR_PORT y el puerto
443 para el tráfico de
msdn.microsoft.com/…/cc646023.aspx 5/16
20/04/2011 Configurar Firewall de Windows para …
SSL_PORT.
Servic e Broker Puerto 4022 TCP. Para No hay ningún puerto predeterminado para
comprobar el puerto que se SQL ServerServic e Broker, pero ésta es la
usa, ejecute la siguiente configuración convencional utilizada en los
consulta: ejemplos de los Libros en pantalla.
FROM sys.tcp_endpoints
WHERE type_desc =
'SERVICE_BROKER'
Creac ión de Puerto elegido por el No hay ningún puerto predeterminado para
reflejo de la administrador. Para determinar la creac ión de reflejo de la base de datos,
base de datos el puerto, ejecute la siguiente sin embargo, en los ejemplos de los Libros
consulta: en pantalla se usa el puerto TCP 7022. Es
muy importante evitar interrumpir un
SELECT name, protoc ol_desc , extremo de creación de reflejo que se esté
port, state_desc FROM usando, sobre todo en el modo de alta
sys.tcp_endpoints seguridad con conmutac ión automática por
error. La configurac ión del firewall debe
WHERE type_desc =
evitar el romper el quórum. Para obtener
'DATABASE_MIRRORING'
más información, vea Especificar una
direc ción de red de servidor (creación de
reflejo de la base de datos).
Replic ación Las conexiones de replic ación Para la sincronización sobre HTTP, la
a SQL Server utilizan los replic ación utiliza el extremo IIS (para el
puertos de Motor de base de que se puede configurar los puertos, pero
datos normales (puerto TCP cuyo puerto predeterminado es el 80),
1433, para la instanc ia pero el proceso IIS se conecta al servidor
predeterminada, etc .) SQL Server a través de los puertos
habituales. estándar (1433 para la instanc ia
predeterminada.
La sincronizac ión web y el
ac ceso de tipo FTP/UNC para Durante la sincronización web utilizando
la instantánea de replic ación FTP, la transferenc ia FTP tiene lugar entre
requieren que se abran IIS y el publicador SQL Server, no entre el
puertos adicionales en el suscriptor e IIS.
firewall. Para transferir datos
inic iales y esquemas de una Para obtener más informac ión, vea
ubicación a otra, la Configurar Microsoft Internet Security and
msdn.microsoft.com/…/cc646023.aspx 6/16
20/04/2011 Configurar Firewall de Windows para …
replicac ión puede utilizar FTP Acceleration Server para Replic ación de
(puerto TCP 21) o sincronizar Microsoft SQL Server 2000.
sobre HTTP (puerto TCP 80),
o Archivo y Uso compartido
de impresoras (puerto TCP
137, 138 o 139).
Para obtener instruc ciones paso a paso para c onfigurar el Firewall de Windows para Motor de
base de datos, vea Cómo c onfigurar Firewall de Windows para el acc eso al motor de base de
datos.
Puertos dinámicos
De forma predeterminada, las instanc ias con nombre (inc luido SQL Server Express) utilizan
puertos dinámicos. Eso significa que cada vez que se inic ia Motor de base de datos,
identific a un puerto disponible y utiliza ese número de puerto. Si la instanc ia c on nombre es
la únic a instancia de Motor de base de datos instalada, probablemente utilizará el puerto
TCP 1433. Si se instalan otras instanc ias de Motor de base de datos, probablemente utilizará
un puerto TCP diferente. Dado que el puerto selecc ionado puede cambiar cada vez que se
inic ia Motor de base de datos, es difíc il configurar el firewall para permitir el ac ceso al
número de puerto correc to. Por consiguiente, si se usa un firewall, recomendamos
reconfigurar el Motor de base de datos para que utilice siempre el mismo número de puerto.
Esto se denomina un puerto fijo o un puerto estático. Para obtener más información, vea
Configuring a Fixed Port.
Una alternativa a configurar una instancia c on nombre para escuchar en un puerto fijo es
c rear una excepción en el firewall para un programa SQL Server tal c omo sqlservr.exe
(para Motor de base de datos). Esto puede ser cómodo, pero el número de puerto no
aparecerá en la columna Puerto local de la página Reglas de entrada cuando esté
utilizando el complemento MMC del Firewall de Windows con seguridad avanzada. Esto puede
hacer más difícil la tarea de auditar qué puertos están abiertos. Otra consideración es que
un Service Pac k o una actualización acumulativa puede cambiar la ruta de acc eso a la
aplicac ión ejecutable SQL Server, lo que invalidará la regla de firewall.
Nota
El procedimiento siguiente utiliza el elemento Firewall de Windows en el Panel de
control. El complemento MMC del Firewall de Windows con seguridad avanzada puede
configurar una regla más c ompleja. Esto incluye la configuración de una excepción de
servicio que puede ser útil para proporcionar defensa en profundidad. Vea Utilizar el
complemento Firewall de Windows c on seguridad avanzada más adelante.
msdn.microsoft.com/…/cc646023.aspx 7/16
20/04/2011 Configurar Firewall de Windows para …
1. En la fic ha Excepciones del elemento Firewall de Windows del Panel de control,
haga clic en Agregar un programa.
2. Vaya a la ubicación de la instanc ia de SQL Server que desee dejar pasar a través del
firewall, por ejemplo C:\Program Files\Microsoft SQL Server\MSSQL10_50.
<nombre_instancia>\MSSQL\Binn, selec cione sqlservr.exe y, a continuación,
haga clic en Abrir.
Para obtener más información acerc a de los extremos, vea Protocolos de red y extremos
TDS y Vistas de catálogo de extremos (Transac t-SQL).
La tabla siguiente muestra los puertos de uso frec uente por parte de Analysis Services.
Servic io El puerto TCP Las solic itudes de c onexión de cliente para una instancia
Explorador de 2382 solamente con nombre de Analysis Services que no espec ifican un
SQL Server es nec esario número de puerto se dirigen al puerto 2382, el puerto en
para una el que esc ucha el Explorador de SQL Server. El Explorador
instancia con de SQL Server a c ontinuac ión redirige la solicitud al
nombre de puerto que utiliza la instancia con nombre.
Analysis
Servic es
Analysis Puerto TCP 80 Se utiliza para una c onexión HTTP a través de una
Servic es dirección URL.
c onfigurado
para el uso a
través de
IIS/HTTP
(El Servicio
PivotTable®
utiliza HTTP o
HTTPS)
Analysis Puerto TCP 443 Se utiliza para una c onexión HTTPS a través de una
Servic es dirección URL. HTTPS es una c onexión HTTP que utiliza
c onfigurado SSL (Capa de sockets seguros).
para el uso a
través de
IIS/HTTPS
msdn.microsoft.com/…/cc646023.aspx 8/16
20/04/2011 Configurar Firewall de Windows para …
(El Servicio
PivotTable®
utiliza HTTP o
HTTPS)
Si los usuarios tienen ac ceso a Analysis Servic es a través de IIS e Internet, debe abrir el
puerto en el que está escuchando IIS y especific ar ese puerto en la c adena de c onexión del
c liente. En este c aso, no se tiene que abrir ningún puerto para acceso directo a Analysis
Services. El puerto predeterminado, 2389 y el puerto 2382 deben restringirse junto c on los
demás puertos que no sean nec esarios.
Para obtener instruc ciones paso a paso para c onfigurar el Firewall de Windows para Analysis
Services, vea Configurar el Firewall de Windows para obtener ac ceso a Analysis Servic es.
La tabla siguiente muestra los puertos de uso frec uente por parte de Reporting Services.
Servic ios web Puerto Se utiliza para una conexión HTTP a Reporting Services a través de
de Reporting TCP una direcc ión URL. Recomendamos que no utilice la regla
Servic es 80 preconfigurada World Wide Web Services (HTTP). Para obtener
más informac ión, vea la sec ción Interac ción con otras reglas de
firewall más adelante
Reporting Puerto Se utiliza para una conexión HTTPS a través de una dirección URL.
Servic es TCP HTTPS es una conexión HTTP que utiliza SSL (Capa de soc kets
c onfigurado 443 seguros). Recomendamos que no utilice la regla preconfigurada
para el uso a Secure World Wide Web Services (HTTPS). Para obtener más
través de información, vea la secc ión Interacc ión c on otras reglas de firewall
HTTPS más adelante
Cuando Reporting Services se conecta a una instancia de Motor de base de datos o Analysis
Services, también debe abrir los puertos adecuados para esos servicios. Para obtener
instrucciones paso a paso para configurar el Firewall de Windows para Reporting Servic es,
vea Cómo configurar un firewall para el acceso al Servidor de informes.
La tabla siguiente muestra los puertos de uso frec uente por parte del servicio Integration
Services.
Llamadas a Puerto TCP 135 El servicio Integration Servic es utiliza DCOM en el puerto
proc edimiento 135. El Administrador de control de servicios usa el puerto
remoto Vea 135 para realizar tareas tales c omo iniciar y detener el
Microsoft (MS Consideraciones servic io Integration Services, y transmitir solic itudes de
msdn.microsoft.com/…/cc646023.aspx 9/16
20/04/2011 Configurar Firewall de Windows para …
RPC) especiales para control al servicio en func ionamiento. No se puede cambiar
el puerto 135 el número de puerto.
Utilizado por
el motor de Solamente es necesario que este puerto esté abierto si se
tiempo de está c onec tando a una instanc ia remota del servic io
ejecuc ión Integration Servic es desde Management Studio o desde
Integration una aplicación personalizada.
Servic es.
Para ver instruc ciones paso a paso para configurar el Firewall de Windows para Integration
Services, vea Configurar un firewall de Windows para obtener acceso a Integration Services
y Cómo configurar un firewall de Windows para Integration Services.
La tabla siguiente muestra los puertos y servicios de los que puede depender SQL Server.
Tráfic o IPSec Puerto UDP 500 y Si la direc tiva de dominio requiere que las
puerto UDP 4500 comunic aciones se realicen a través de IPSec,
también debe agregar los puertos UDP 4500 y 500
a la lista de excepciones. IPSec es una opción
que utiliza el Asistente para nueva regla de
entrada en el c omplemento de Firewall de
Windows. Para obtener más información, vea Usar
Windows c on el c omplemento del Firewall de
Windows c on seguridad avanzada.
SQL Server y La agrupación en Para obtener más información, vea Habilitar una
Agrupación en clústeres requiere red para el uso de c lústeres.
c lústeres de puertos
Windows adic ionales que
no se relacionan
directamente con
SQL Server.
Espacios de nombres Probablemente el Para ver informac ión específica de SQL Server
msdn.microsoft.com/…/cc646023.aspx 11/16
20/04/2011 Configurar Firewall de Windows para …
URL reservados en la puerto TCP 80, sobre cómo reservar un extremo HTTP.SYS
API del Servidor pero se puede mediante HttpCfg.exe, vea Reservar espac ios de
HTTP (HTTP.SYS) configurar en nombres URL mediante Http.sys.
otros puertos.
Para obtener
información
general, vea
Configurar HTTP
y HTTPS.
Para obtener más información sobre el puerto 135, vea las siguientes referencias:
Introduc ción al servicio y requisitos del puerto de red para el sistema Windows Server
Cómo configurar la asignación de puertos dinámicos RPC para trabajar c on firewalls (en
inglés)
El complemento MMC del Firewall de Windows con seguridad avanzada permite cualquier
tráfico que coincida c on c ualquier regla de permiso aplicable. Por lo tanto, si hay dos reglas
que se apliquen al puerto 80 (con parámetros diferentes), se permitirá el tráfic o que c oinc ida
c on c ualquiera de ellas. Así si una regla permite el tráfic o sobre el puerto 80 de la subred
loc al y otra permite el tráfic o procedente de cualquier direc ción, el efecto de la red será que
se permita todo el tráfico dirigido al puerto 80, sin tener en cuenta su origen. Para
administrar eficazmente el ac ceso a SQL Server, los administradores deben revisar
periódicamente las reglas de firewall habilitadas en el servidor.
msdn.microsoft.com/…/cc646023.aspx 12/16
20/04/2011 Configurar Firewall de Windows para …
Hay tres tipos de ubicación de red en Firewall de Windows con seguridad avanzada:
Dominio. Windows puede autenticar el acc eso al controlador de dominio para el dominio
al que está unido el equipo.
Públicas. Exc epto las redes de dominio, todas las redes se c ategorizan inicialmente
como públicas. Las redes que representan conexiones directas a Internet o que están
en ubicaciones públicas, tales como aeropuertos o cafeterías, deben dejarse como
públicas.
Privadas. Una red identificada por un usuario o una aplicación como privada. Solo las
redes confiables se deben identificar como redes privadas. Es probable que los
usuarios deseen identific ar las redes domésticas o de pequeña empresa como privadas.
El administrador puede crear un perfil para cada tipo de ubicación de red, cada perfil
c onteniendo diferentes directivas de firewall. En cada momento se aplica solamente un perfil.
El orden de perfile se aplica de la manera siguiente:
1. Si todas las interfac es se autentic an para el controlador de dominio para el dominio del
que es miembro el equipo, se aplica el perfil del dominio.
Utilice el complemento MMD de Firewall de Windows con seguridad avanzada para ver y
c onfigurar todos los perfiles del firewall. El elemento Firewall de Windows del Panel de
c ontrol solo c onfigura el perfil actual.
Nota
El uso del elemento Firewall de Windows del Panel de control, solamente c onfigura el
perfil del firewall actual.
msdn.microsoft.com/…/cc646023.aspx 13/16
20/04/2011 Configurar Firewall de Windows para …
3. Elija una de las opciones siguientes:
Esta configuración de seguridad es más segura que Cualquier equipo. Solo los
equipos de la subred local de la red pueden c onectarse al programa o al puerto.
Lista personalizada:
Solo los equipos que tengan las direcc iones IP de la lista se pueden c onectar. Esta
configuración puede ser más segura que Mi red (subred) solamente; sin embargo,
los equipos c liente que utilicen DHCP pueden cambiar ocasionalmente su dirección IP.
Entonces, el equipo deseado no podrá c onectarse. Otro equipo, que no deseara
autorizar, podría aceptar la direcc ión IP de la lista y, en consecuencia, podría
conectarse La opción Lista personalizada puede ser adecuada para hacer una lista
de otros servidores configurados para utilizar una direc ción IP fija; no obstante, un
intruso podría suplantar las direc ciones IP. Las reglas restric tivas de firewall son tan
fuertes como sea la infraestruc tura de red.
Configuración de cifrado
Cruc e de perímetro que permite que el tráfico evite los enrutadores de Traducción de
direcciones de red (NAT)
Para crear una nueva regla de firewall mediante el asistente de Nueva regla
1. En el menú Inicio, haga clic en Ejecutar, escriba WF.msc y, a c ontinuación, haga clic
en Aceptar.
El estado efec tivo del puerto es la unión de todas las reglas relac ionadas con el
puerto. Cuando intente bloquear el acc eso a través de un puerto, puede ser útil para
revisar todas las reglas que c itan el número de puerto. Para ello, utilice el
complemento MMC del Firewall de Windows con seguridad avanzada y ordene las
reglas entrantes y salientes por número de puerto.
Revise los puertos activos en el equipo en el que se esté ejec utando SQL Server. Este
proceso de revisión incluye la comprobac ión de qué puertos TCP/IP están escuc hando
y también la comprobación del estado de los puertos.
Para comprobar qué puertos están esc uchando, utilice la utilidad de la línea de
comandos netstat. Además de mostrar las conexiones TCP ac tivas, la utilidad netstat
también muestra una variedad de información y estadísticas de IP.
La utilidad PortQry se puede usar para notificar el estado de los puertos TCP/IP c omo
escuchando, no esc uchando o filtrado. (Con un estado de filtrado, el puerto puede o
no estar esc uchando; este estado indica que la utilidad no ha recibido una respuesta
del puerto.) La utilidad PortQry se puede descargar desde el Centro de descargas de
Microsoft.
Vea también
Otros recursos
Introducc ión al servicio y requisitos de puertos de red del sistema Windows Server
Contenido de la comunidad
msdn.microsoft.com/…/cc646023.aspx 15/16
20/04/2011 Configurar Firewall de Windows para …
msdn.microsoft.com/…/cc646023.aspx 16/16