Windows 2008 和 Windows Vista 及后续版本都修改了安全策略,防火墙默认阻止了未经允许的访问。

 

一、服务

1、查看服务

  打开“管理工具”--“服务”,可以找到名为“Windows Firewall”的服务。

085800449.png

  在Windows Server 2003操作系统中,如果停止这个服务,将允许所有的外部连接,即打开了所有的端口。但是,Windows Server 2008和Windows Vista及后续版本,颠覆了这一原则,即:如果停止这个服务,将拒绝所有的外部连接请求(关闭所有的端口)。

 

2、从控制面板打开防火墙管理界面

200748669.png

200527254.png

 

200934627.png

 

3、基本操作(不推荐)

  在这种“基本模式”下,如果需要允许某些程序通过防火墙,可以针对该应用程序开放其所需的端口。

203819887.png

 

204249690.png

 

4、高级安全Windows防火墙(推荐)

(1)如果是 Windows Server 2008 操作系统,直接在“管理工具”中打开“高级安全Windows防火墙”。

 

(2)如果是Windows 7 操作系统,默认情况下“管理工具”是隐藏的。可以通过“搜索程序和文件”(超级搜索)功能打开。

203508477.png

 

(3)通过控制面板也可以打开“高级安全Windows防火墙”。

203641180.png

 

二、关闭防火墙(不推荐)

  为了图省事,特别是在测试环境中,如果想关闭防火墙,应该按以下操作。(请勿停止Windows Firewall服务,不然会禁用所有的入站请求)

(1)模式一:基本模式下的操作

204519189.png

 

204623877.png

 

(2)模式二:高级安全 Windows 防火墙

204851463.png

 

三、为SQL Server 开放端口

1. 启用SQL Server默认实例所需的端口

  SQL Server服务器(默认实例)默认使用TCP1433端口为客户端建立连接,但是在安装SQL Server的过程中并不会自动打开这个端口。在安装时会有一个警告。

193605775.png

 

  为了开放端口,我们使用“高级安全 Windows 防火墙”。 

192910932.png

 

  在左侧的列表中,选择“入站规则”,在最右侧的任务列表中选择“新建规则”。

192712723.png

 

  在“该规则应用于TCP还是UDP”中选择“TCP”,然后在“该规则应用于所有本地端口还是特定端口”中选择“特定本地端口”,然后输入端口号(数字)。

  在本例中,可以输入多个端口,中间用逗号隔开。Windows 7 和 Windows Server 2008 R2 还允许开放连续的端口,例如:5100-5200。

192809375.png

说明1:TCP5022端口用在SQL Server的镜像(MIRROR)技术中。此处仅为示例,如果未启用镜像功能,则无需打开TCP5022。

说明2:TCP5022端口也用在SQL Server 2012的“AlwaysOn可用性组”技术中。此处仅为示例,如果未启用“AlwaysOn可用性组”,则无需打开TCP5022。

 

192828836.png

 

192842769.png

 

192855242.png

 

2. 启用SQL Server Browser所需的端口

  当SQL Server 的实例使用了动态端口时,如果客户端应用程序不知道这个实例的端口,就需要查询实例所在的计算机上的“SQL Server Browser”服务。 SQL Server Browser这个侦听器只侦听UDP1434端口,因此需要添加相应的端口。

092100905.png

 

 

四、允许Ping的回显请求

  在日常使用时,我们经常使用Ping命令去查看网络上是否存在另一台计算机,或者检测网络是否通畅。

  ICMP是Internet Control Message Protocol,即Internet控制报文协议。它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。Ping的过程实际上就是ICMP协议工作的过程。

  但是,Windows Server 2008 和 Windows 7 默认不开放此端口。一般情况下,仅在以下2种情形才会开放Ping所需的端口。

1. 此服务器为域控制器

  如果此服务器被提升为域控制器,Active Direcotry服务将强行打开一系列的端口,允许域的其它服务器和客户端进行连接,其中就包括了ICMPv4回显请求。

093526924.png

 

2. 手动添加入站规则,允许ICMPv4回显请求

  如果这台计算机不是域控制器(或者是Windows7),就需要手动添加入站规则,允许ICMPv4回显请求。

160255416.png

 

160301523.png

 

160308689.png

 

160314796.png

 

160326616.png

 

160333680.png

 

160343984.png

 

160351947.png