20/04/2011 Configurar Firewall de Windows para …

Configurar Firewall de Windows

para permitir el acceso a SQL
Server
SQL Server 2008 R2

Los sistemas de firewall ayudan a evitar el acceso no autorizado a los rec ursos de los equipos.
Si un firewall está activado pero no está configurado correc tamente, es posible que se
bloqueen los intentos de conexión a SQL Server.

Para obtener acc eso a una instancia de SQL Server a través de un firewall, debe configurar el
firewall en el equipo en el que se ejec uta SQL Server para que permita el acc eso. El firewall es
un componente de Mic rosoft Windows. También puede instalar un firewall de otra compañía. En
este tema se discute c ómo configurar el firewall de Windows, pero los principios básicos se
aplican a otros programas de firewall.

Nota
En este tema se proporciona información general de configuración del firewall y se resume
información de interés para un administrador de SQL Server. Para obtener más informac ión
sobre el firewall e información autorizada sobre el firewall, consulte la documentac ión del
firewall, tal como Firewall de Windows con seguridad avanzada e IPsec y Firewall de
Windows con seguridad avanzada - Mapa de ruta de c ontenido.

Los usuarios que c onozcan el elemento Firewall de Windows del Panel de c ontrol y el
c omplemento Mic rosoft Management Console (MMC) de Firewall de Windows con seguridad
avanzada, y que sepan qué opc iones del firewall desean c onfigurar pueden ir directamente a
los temas de la lista siguiente:

Cómo configurar Firewall de Windows para el acceso al motor de base de datos

Configurar el Firewall de Windows para obtener acc eso a Analysis Services

Cómo configurar un firewall para el acceso al Servidor de informes

Cómo configurar un firewall de Windows para Integration Services

En este tema
Este tema tiene las secc iones siguientes:

Informac ión básica del firewall

Configurac ión predeterminada del firewall

Programas para configurar el firewall

Puertos utilizados por el motor de base de datos

Puertos utilizados por Analysis Services

Puertos utilizados por Reporting Services

Puertos utilizados por Integration Services

Puertos y servicios adicionales

Interacción con otras reglas de firewall

msdn.microsoft.com/…/cc646023.aspx 1/16
20/04/2011 Configurar Firewall de Windows para …
Informac ión general de perfiles de firewall

Configurac ión adicional de Firewall de Windows usando el elemento Firewall de Windows del
Panel de control

Utilizar el c omplemento Firewall de Windows c on seguridad avanzada

Solucionar problemas de c onfiguración del firewall

Información básica del firewall

Los firewalls func ionan inspeccionando los paquetes entrantes y c omparándolos con un
c onjunto de reglas. Si las reglas permiten el paquete, el firewall pasa el paquete al protoc olo
TCP/IP para su procesamiento adic ional. Si las reglas no permiten el paquete, el firewall
desc arta el paquete y, si está habilitado el registro, crea una entrada en el archivo de
registro del firewall.

La lista de tráfic o permitido se rellena de una de las maneras siguientes:

Cuando el equipo que tiene el firewall habilitado inicia la comunicación, el firewall crea
una entrada en la lista para que se permita la respuesta. La respuesta de entrada se
considera tráfico solic itado y no es necesario c onfigurarla.

Un administrador configura las excepc iones para el firewall. Esto permite el acceso a
programas espec íficos que se ejec utan en el equipo o el ac ceso a los puertos de
conexión especific ados en el equipo. En este c aso, el equipo ac epta el tráfico de
entrada no solicitado cuando ac túa c omo un servidor, un agente de esc ucha o un
equipo del mismo nivel. Éste es el tipo de configuración que se debe completar para
conectar a SQL Server.

Elegir una estrategia del firewall es más complejo que dec idir simplemente si un puerto
determinado debe estar abierto o cerrado. Al diseñar una estrategia de firewall para la
empresa, asegúrese considerar todas las reglas y opc iones de c onfiguración disponibles. En
este tema no se revisan todas las posibles opciones de firewall. Se recomienda que revise
los siguientes documentos:

Guía de introduc ción del Firewall de Windows con seguridad avanzada

Guía de diseño del Firewall de Windows c on seguridad avanzada

Introducc ión al aislamiento de servidor y dominio

Configuración predeterminada del firewall

El primer paso para planear la configuración del firewall es determinar el estado actual del
firewall para el sistema operativo. Si el sistema operativo se actualizó desde una versión
anterior, se puede haber c onservado la configuración de firewall anterior. Además, otro
administrador o una Directiva de grupo podría haber c ambiado la c onfiguración del firewall en
el dominio. No obstante, la configuración de seguridad predeterminada es la siguiente:

Windows Server 2008

El firewall está activo y está bloqueando las conexiones remotas.

Windows Server 2003

El firewall está apagado. Los administradores deben c onsiderar la ac tivac ión del
firewall.

Windows Vista

El firewall está activo y está bloqueando las conexiones remotas.

Windows XP, Service Pack 2 o posterior

msdn.microsoft.com/…/cc646023.aspx 2/16
20/04/2011 Configurar Firewall de Windows para …
El firewall está activo y está bloqueando las conexiones remotas.

Windows XP, Service Pack 1 o anterior

El firewall está apagado y debe ac tivarse.

Nota
La activación del firewall afec tará a otros programas que tengan acceso a este equipo,
tales como el uso c ompartido de impresoras y archivos, y las conexiones remotas al
escritorio. Los administradores deben c onsiderar todas las aplicaciones que se están
ejec utando en el equipo antes de ajustar la configuración de firewall.

Programas para configurar el firewall

Hay tres maneras de configurar el Firewall de Windows.

Elemento Firewall de Windows del Panel de control

El elemento Firewall de Windows se puede abrir desde el Panel de control.

Importante
Los c ambios realizados en el elemento Firewall de Windows del Panel de control
solo afectan al perfil actual. Los dispositivos móviles, por ejemplo un portátil, no
deben utilizar el elemento Firewall de Windows del Panel de c ontrol, dado que el
perfil podría cambiar cuando se c onec te c on una configuración diferente.
Entonces, el perfil configurado previamente no estará en vigor. Para obtener más
informac ión sobre los perfiles, vea Guía de introducc ión al Firewall de Windows c on
seguridad avanzada.

El elemento Firewall de Windows del Panel de control permite c onfigurar opciones

básicas. Entre ellas, figuran:

Activar o desactivar el elemento Firewall de Windows en el Panel de control

Habilitar y deshabilitar reglas

Conceder exc epc iones para puertos y programas

Establecer algunas restricc iones de ámbito

El elemento Firewall de Windows del Panel de control es muy adecuado para los
usuarios que tengan experiencia en la c onfiguración de firewall y que estén
configurando opciones de firewall básicas para equipos que no sean móviles. También
puede abrir el elemento Firewall de Windows del Panel de control con el comando run
utilizando el proc edimiento siguiente:

Para abrir el elemento Firewall de Windows

En el menú Inicio, haga clic en Ejecutar y, a continuac ión, escriba firewall.cpl.

Haga c lic en Aceptar.

Microsoft Management Console (MMC)

El c omplemento MMC del Firewall de Windows con seguridad avanzada permite

establec er opc iones de c onfiguración de firewall más avanzadas. Este c omplemento
solo está disponible a partir de Microsoft Vista y Windows Server 2008; no obstante,
presenta la mayoría de las opciones de firewall de una manera fácil de usar y presenta
todos los perfiles de firewall. Para obtener más información, vea Utilizar el
msdn.microsoft.com/…/cc646023.aspx 3/16
20/04/2011 Configurar Firewall de Windows para …
complemento Firewall de Windows con seguridad avanzad más adelante en este tema.

netsh

Un administrador puede utilizar la herramienta netsh.exe para configurar y supervisar

equipos basados en Windows en un símbolo del sistema o c on un archivo por lotes.
Utilizando la herramienta netsh, puede dirigir los c omandos de c ontexto que escriba a
la aplicac ión auxiliar adecuada y la aplicación auxiliar ejecutará el c omando. Una
aplic ación auxiliar es un archivo de bibliotec a de vínculos dinámicos (.dll) que extiende
la funcionalidad de la herramienta netsh proporcionando c onfiguración, supervisión y
soporte téc nico para uno o más servicios, utilidades o protocolos. Todos los sistemas
operativos compatibles con SQL Server tienen una aplicación auxiliar de firewall.
MicrosoftWindows Vista y Windows Server 2008 también tienen una aplic ación auxiliar
de firewall avanzada denominada advfirewall. Los detalles del uso de netsh no se
explican en este tema. Sin embargo, muchas de las opciones de configuración
descritas se pueden configurar utilizando netsh. Por ejemplo, ejecute el script
siguiente en un símbolo del sistema para abrir el puerto TCP 1433:

netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode
= ENABLE scope = SUBNET profile = CURRENT

Un ejemplo similar que usa Firewall de Windows para la aplicación auxiliar Seguridad
avanzada:

netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp ac
tion = allow localport = 1433 remoteip = localsubnet profile = DOMAIN

Para el uso de scripts para la configuración de SQL Server mediante netsh, vea Cómo
usar un script para abrir puertos mediante programación para que SQL Server los
utilice en sistemas que estén ejecutando Windows XP Service Pack (en inglés). Para
obtener más información ac erc a de netsh vea los siguientes temas:

Cómo utilizar la herramienta Netsh.exe y los modificadores de la línea de

comandos

Cómo utilizar el contexto “netsh advfirewall firewall” en lugar del c ontexto “netsh
firewall” para c ontrolar el c omportamiento del Firewall de Windows en Windows
Server 2008 y en Windows Vista

El comando "netsh firewall" junto con el parámetro "profile=all" no configura el

perfil públic o en un equipo basado en Windows Vista

Solucionar problemas de c onfiguración del Firewall de Windows en Windows XP

Service Pac k 2 para usuarios avanzados

Puertos utilizados por SQL Server

Las tablas siguientes pueden ayudarle a identificar los puertos que utiliza SQL Server.

Puertos utilizados por el motor de base de datos

La tabla siguiente muestra los puertos de uso frec uente por parte de Motor de base de
datos.

Escenario Puerto Comentarios

Instanc ia Puerto TCP 1433 Éste es el puerto más común que permite
predeterminada el firewall. Se aplic a a las conexiones
msdn.microsoft.com/…/cc646023.aspx 4/16
20/04/2011 Configurar Firewall de Windows para …
de SQL Server rutinarias a la instalación predeterminada
ejecutándose de Motor de base de datos o a una
sobre TCP instancia con nombre que sea la única
instancia que se ejecuta en el equipo. (Las
instancias con nombre tienen
considerac iones especiales. Vea Puertos
dinámicos más adelante en este tema.)

Instanc ias con El puerto TCP es un puerto Vea la explic ación siguiente en la sección
nombre de SQL dinámico determinado en el Puertos dinámicos. El puerto UDP 1434
Server en la momento en el que se inicia puede ser necesario para el servicio
c onfiguración Motor de base de datos. Explorador de SQL Server cuando se
predeterminada utilizan instancias c on nombre.

Instanc ias con El número de puerto Vea la explic ación siguiente en la sección
nombre de SQL configurado por el Puertos dinámicos.
Server c uando administrador.
están
c onfiguradas
para utilizar un
puerto fijo

Conexión de Puerto TCP 1434 para la De forma predeterminada, las c onexiones

administrador instanc ia predeterminada.
dedic ada Otros puertos se utilizan para
las instancias con nombre.
Compruebe en el registro de
errores el número de puerto.
remotas a DAC (Conexión de administrador
dedic ada) no están habilitadas. Para
habilitar la DAC remota, utilic e la fac eta
Configuración de área expuesta. Para
obtener más información, vea Desc ripc ión
de la configurac ión del área expuesta.

Servic io Puerto UDP 1434 El servicio Explorador de SQL Server

Explorador de escucha las conexiones entrantes a una
SQL Server instancia con nombre y proporciona al
cliente el número de puerto TCP que
corresponde a esa instancia con nombre.
Normalmente, el servicio Explorador de SQL
Server se inicia siempre que se utilizan
instancias con nombre de Motor de base
de datos. El servicio SQL Server Browser
no tiene que iniciarse si el cliente está
configurado para c onectarse al puerto
específico de la instancia c on nombre.

La instancia de Se puede especific ar cuando Se utiliza para una c onexión HTTP a través
SQL Server se crea un extremo HTTP. El de una dirección URL.
ejecutándose valor predeterminado es el
sobre un puerto TCP 80 para el tráfico
extremo HTTP. de CLEAR_PORT y el puerto
443 para el tráfico de

msdn.microsoft.com/…/cc646023.aspx 5/16
20/04/2011 Configurar Firewall de Windows para …
SSL_PORT.
Instanc ia Puerto TCP 443
predeterminada
de SQL Server
ejecutándose
en un extremo
HTTPS.
Servic e Broker Puerto 4022 TCP. Para
comprobar el puerto que se
usa, ejecute la siguiente
consulta:
SELECT name, protoc ol_desc ,
port, state_desc
FROM sys.tcp_endpoints
WHERE type_desc =
'SERVICE_BROKER'
Creac ión de Puerto elegido por el
reflejo de la administrador. Para determinar
base de datos el puerto, ejecute la siguiente
consulta:
SELECT name, protoc ol_desc ,
port, state_desc FROM
sys.tcp_endpoints
WHERE type_desc =
'DATABASE_MIRRORING'
Replic ación Las conexiones de replic ación
a SQL Server utilizan los
puertos de Motor de base de
datos normales (puerto TCP
1433, para la instanc ia
predeterminada, etc .)
habituales.
La sincronizac ión web y el
ac ceso de tipo FTP/UNC para
la instantánea de replic ación
requieren que se abran
puertos adicionales en el
firewall. Para transferir datos
inic iales y esquemas de una
ubicación a otra, la
msdn.microsoft.com/…/cc646023.aspx
Se utiliza para una c onexión HTTPS a
través de una dirección URL. HTTPS es
una conexión HTTP que utiliza SSL (Capa
de soc kets seguros).
No hay ningún puerto predeterminado para
SQL ServerServic e Broker, pero ésta es la
configuración convencional utilizada en los
ejemplos de los Libros en pantalla.
No hay ningún puerto predeterminado para
la creac ión de reflejo de la base de datos,
sin embargo, en los ejemplos de los Libros
en pantalla se usa el puerto TCP 7022. Es
muy importante evitar interrumpir un
extremo de creación de reflejo que se esté
usando, sobre todo en el modo de alta
seguridad con conmutac ión automática por
error. La configurac ión del firewall debe
evitar el romper el quórum. Para obtener
más información, vea Especificar una
direc ción de red de servidor (creación de
reflejo de la base de datos).
Para la sincronización sobre HTTP, la
replic ación utiliza el extremo IIS (para el
que se puede configurar los puertos, pero
cuyo puerto predeterminado es el 80),
pero el proceso IIS se conecta al servidor
SQL Server a través de los puertos
estándar (1433 para la instanc ia
predeterminada.
Durante la sincronización web utilizando
FTP, la transferenc ia FTP tiene lugar entre
IIS y el publicador SQL Server, no entre el
suscriptor e IIS.
Para obtener más informac ión, vea
Configurar Microsoft Internet Security and
6/16
20/04/2011 Configurar Firewall de Windows para …
replicac ión puede utilizar FTP Acceleration Server para Replic ación de
(puerto TCP 21) o sincronizar Microsoft SQL Server 2000.
sobre HTTP (puerto TCP 80),
o Archivo y Uso compartido
de impresoras (puerto TCP
137, 138 o 139).

Depurador de Puerto TCP 135 Si utiliza Visual Studio, en el equipo host

Transac t-SQL
Vea Consideraciones
espec iales para el puerto 135
Quizá sea nec esaria también
la exc epc ión IPsec.
Visual Studio debe agregar también
Devenv.exe a la lista Excepciones y abrir
el puerto TCP 135.
Si utiliza Management Studio, en el equipo
host Management Studio debe agregar
también ssms.exe a la lista Excepciones y
abrir el puerto TCP 135. Para obtener más
informac ión, vea Configurar el depurador
de Transac t-SQL.

Para obtener instruc ciones paso a paso para c onfigurar el Firewall de Windows para Motor de
base de datos, vea Cómo c onfigurar Firewall de Windows para el acc eso al motor de base de
datos.

Puertos dinámicos

De forma predeterminada, las instanc ias con nombre (inc luido SQL Server Express) utilizan
puertos dinámicos. Eso significa que cada vez que se inic ia Motor de base de datos,
identific a un puerto disponible y utiliza ese número de puerto. Si la instanc ia c on nombre es
la únic a instancia de Motor de base de datos instalada, probablemente utilizará el puerto
TCP 1433. Si se instalan otras instanc ias de Motor de base de datos, probablemente utilizará
un puerto TCP diferente. Dado que el puerto selecc ionado puede cambiar cada vez que se
inic ia Motor de base de datos, es difíc il configurar el firewall para permitir el ac ceso al
número de puerto correc to. Por consiguiente, si se usa un firewall, recomendamos
reconfigurar el Motor de base de datos para que utilice siempre el mismo número de puerto.
Esto se denomina un puerto fijo o un puerto estático. Para obtener más información, vea
Configuring a Fixed Port.

Una alternativa a configurar una instancia c on nombre para escuchar en un puerto fijo es
c rear una excepción en el firewall para un programa SQL Server tal c omo sqlservr.exe
(para Motor de base de datos). Esto puede ser cómodo, pero el número de puerto no
aparecerá en la columna Puerto local de la página Reglas de entrada cuando esté
utilizando el complemento MMC del Firewall de Windows con seguridad avanzada. Esto puede
hacer más difícil la tarea de auditar qué puertos están abiertos. Otra consideración es que
un Service Pac k o una actualización acumulativa puede cambiar la ruta de acc eso a la
aplicac ión ejecutable SQL Server, lo que invalidará la regla de firewall.

Nota
El procedimiento siguiente utiliza el elemento Firewall de Windows en el Panel de
control. El complemento MMC del Firewall de Windows con seguridad avanzada puede
configurar una regla más c ompleja. Esto incluye la configuración de una excepción de
servicio que puede ser útil para proporcionar defensa en profundidad. Vea Utilizar el
complemento Firewall de Windows c on seguridad avanzada más adelante.

Para agregar una excepción de programa al firewall utilizando el elemento

Firewall de Windows del Panel de control.

msdn.microsoft.com/…/cc646023.aspx 7/16
20/04/2011 Configurar Firewall de Windows para …
1. En la fic ha Excepciones del elemento Firewall de Windows del Panel de control,
haga clic en Agregar un programa.

2. Vaya a la ubicación de la instanc ia de SQL Server que desee dejar pasar a través del
firewall, por ejemplo C:\Program Files\Microsoft SQL Server\MSSQL10_50.
<nombre_instancia>\MSSQL\Binn, selec cione sqlservr.exe y, a continuación,
haga clic en Abrir.

3. Haga clic en Aceptar.

Para obtener más información acerc a de los extremos, vea Protocolos de red y extremos
TDS y Vistas de catálogo de extremos (Transac t-SQL).

Puertos utilizados por Analysis Services

La tabla siguiente muestra los puertos de uso frec uente por parte de Analysis Services.

Característica Puerto Comentarios

Analysis Puerto TCP El puerto estándar para la instanc ia predeterminada de

Servic es 2383 para la Analysis Services.
instancia
predeterminada

Servic io El puerto TCP Las solic itudes de c onexión de cliente para una instancia
Explorador de 2382 solamente con nombre de Analysis Services que no espec ifican un
SQL Server es nec esario número de puerto se dirigen al puerto 2382, el puerto en
para una el que esc ucha el Explorador de SQL Server. El Explorador
instancia con de SQL Server a c ontinuac ión redirige la solicitud al
nombre de puerto que utiliza la instancia con nombre.
Analysis
Servic es

Analysis Puerto TCP 80 Se utiliza para una c onexión HTTP a través de una
Servic es dirección URL.
c onfigurado
para el uso a
través de
IIS/HTTP

(El Servicio
PivotTable®
utiliza HTTP o
HTTPS)

Analysis Puerto TCP 443 Se utiliza para una c onexión HTTPS a través de una
Servic es dirección URL. HTTPS es una c onexión HTTP que utiliza
c onfigurado SSL (Capa de sockets seguros).
para el uso a
través de
IIS/HTTPS

msdn.microsoft.com/…/cc646023.aspx 8/16
20/04/2011 Configurar Firewall de Windows para …
(El Servicio
PivotTable®
utiliza HTTP o
HTTPS)

Si los usuarios tienen ac ceso a Analysis Servic es a través de IIS e Internet, debe abrir el
puerto en el que está escuchando IIS y especific ar ese puerto en la c adena de c onexión del
c liente. En este c aso, no se tiene que abrir ningún puerto para acceso directo a Analysis
Services. El puerto predeterminado, 2389 y el puerto 2382 deben restringirse junto c on los
demás puertos que no sean nec esarios.

Para obtener instruc ciones paso a paso para c onfigurar el Firewall de Windows para Analysis
Services, vea Configurar el Firewall de Windows para obtener ac ceso a Analysis Servic es.

Puertos utilizados por Reporting Services

La tabla siguiente muestra los puertos de uso frec uente por parte de Reporting Services.

Característica Puerto Comentarios

Servic ios web Puerto Se utiliza para una conexión HTTP a Reporting Services a través de
de Reporting TCP una direcc ión URL. Recomendamos que no utilice la regla
Servic es 80 preconfigurada World Wide Web Services (HTTP). Para obtener
más informac ión, vea la sec ción Interac ción con otras reglas de
firewall más adelante

Reporting Puerto Se utiliza para una conexión HTTPS a través de una dirección URL.
Servic es TCP HTTPS es una conexión HTTP que utiliza SSL (Capa de soc kets
c onfigurado 443 seguros). Recomendamos que no utilice la regla preconfigurada
para el uso a Secure World Wide Web Services (HTTPS). Para obtener más
través de información, vea la secc ión Interacc ión c on otras reglas de firewall
HTTPS más adelante

Cuando Reporting Services se conecta a una instancia de Motor de base de datos o Analysis
Services, también debe abrir los puertos adecuados para esos servicios. Para obtener
instrucciones paso a paso para configurar el Firewall de Windows para Reporting Servic es,
vea Cómo configurar un firewall para el acceso al Servidor de informes.

Puertos utilizados por Integration Services

La tabla siguiente muestra los puertos de uso frec uente por parte del servicio Integration
Services.

Característica Puerto Comentarios (sintaxis de MDX)

Llamadas a Puerto TCP 135 El servicio Integration Servic es utiliza DCOM en el puerto
proc edimiento 135. El Administrador de control de servicios usa el puerto
remoto Vea 135 para realizar tareas tales c omo iniciar y detener el
Microsoft (MS Consideraciones servic io Integration Services, y transmitir solic itudes de
msdn.microsoft.com/…/cc646023.aspx 9/16
20/04/2011 Configurar Firewall de Windows para …
RPC) especiales para control al servicio en func ionamiento. No se puede cambiar
el puerto 135 el número de puerto.
Utilizado por
el motor de Solamente es necesario que este puerto esté abierto si se
tiempo de está c onec tando a una instanc ia remota del servic io
ejecuc ión Integration Servic es desde Management Studio o desde
Integration una aplicación personalizada.
Servic es.

Para ver instruc ciones paso a paso para configurar el Firewall de Windows para Integration
Services, vea Configurar un firewall de Windows para obtener acceso a Integration Services
y Cómo configurar un firewall de Windows para Integration Services.

Puertos y servicios adicionales

La tabla siguiente muestra los puertos y servicios de los que puede depender SQL Server.

Escenario Puerto Comentarios (sintaxis de MDX)

Instrumental de WMI se ejecuta El Administrador de c onfiguración de SQL Server

administración de como parte de un utiliza WMI para enumerar y administrar servicios.
Windows host de servicio Rec omendamos que utilic e el grupo de reglas
compartido c on preconfigurado Instrumental de administración
Para obtener más puertos de Windows (WMI). Para obtener más
informac ión acerca asignados a información, vea la sección Interacción con otras
de WMI, vea través de DCOM. reglas de firewall más adelante
Conceptos del WMI podría estar
proveedor WMI de utilizando el
administración de puerto TCP 135.
c onfiguración.
Vea
Consideraciones
espec iales para el
puerto 135

Coordinador de Puerto TCP 135 Si la aplicación utiliza transacc iones distribuidas,

transac ciones quizá deba configurar el firewall para permitir que
distribuidas de Vea el tráfic o del Coordinador de transacciones
Microsoft (MS DTC) Consideraciones distribuidas de Mic rosoft (MS DTC) fluya entre
espec iales para el instanc ias independientes de MS DTC y entre MS
puerto 135 DTC y administradores de recursos c omo SQL
Server. Se recomienda usar el grupo de reglas
preconfigurado Coordinador de transacciones
distribuidas.

Cuando se configura un único MS DTC compartido

para todo el clúster en un grupo de recursos
independiente, se debería agregar sqlservr.exe
como excepción al firewall.

El botón Examinar en Puerto UDP 1434 UDP es un protocolo sin conexión.

msdn.microsoft.com/…/cc646023.aspx 10/16
20/04/2011
Management Studio
utiliza UDP para
establec er c onexión
c on el servicio SQL
Server Browser. Para
obtener más
informac ión, vea
Servic io SQL Server
Browser.
Configurar Firewall de Windows para …
El firewall tiene una c onfiguración, que se
denomina Propiedad
UnicastResponsesToMulticastBroadc astDisabled
de la interfaz INetFwProfile y controla el
comportamiento del firewall respecto a las
respuestas de unidifusión a una solic itud UDP de
difusión (o multidifusión). Tiene dos
comportamientos.

Si el valor es TRUE, no se permite en

absoluto ninguna respuesta de unidifusión a
una difusión. La enumerac ión de servicios
producirá un error.

Si la configurac ión es FALSE (valor

predeterminado), las respuestas de
unidifusión se permiten durante 3 segundos.
La longitud de tiempo no es configurable.
En una red congestionada o de latencia
alta, o para servidores muy c argados, los
intentos de enumerar instanc ias de SQL
Server pueden devolver una lista parcial,
que puede desorientar a los usuarios.

Tráfic o IPSec Puerto UDP 500 y Si la direc tiva de dominio requiere que las
puerto UDP 4500 comunic aciones se realicen a través de IPSec,
también debe agregar los puertos UDP 4500 y 500
a la lista de excepciones. IPSec es una opción
que utiliza el Asistente para nueva regla de
entrada en el c omplemento de Firewall de
Windows. Para obtener más información, vea Usar
Windows c on el c omplemento del Firewall de
Windows c on seguridad avanzada.

Utilizar la Los firewalls se Para obtener más información, vea Cómo

autenticación de deben configurar configurar un firewall para dominios y confianza.
Windows con para permitir
dominios de solicitudes de
c onfianza autenticac ión.

SQL Server y La agrupación en Para obtener más información, vea Habilitar una
Agrupación en clústeres requiere red para el uso de c lústeres.
c lústeres de puertos
Windows adic ionales que
no se relacionan
directamente con
SQL Server.

Espacios de nombres Probablemente el Para ver informac ión específica de SQL Server

msdn.microsoft.com/…/cc646023.aspx 11/16
20/04/2011 Configurar Firewall de Windows para …
URL reservados en la puerto TCP 80, sobre cómo reservar un extremo HTTP.SYS
API del Servidor pero se puede mediante HttpCfg.exe, vea Reservar espac ios de
HTTP (HTTP.SYS) configurar en nombres URL mediante Http.sys.
otros puertos.
Para obtener
información
general, vea
Configurar HTTP
y HTTPS.

Consideraciones especiales para el puerto 135

Cuando utilice RPC con TCP/IP o con UDP/IP como transporte, los puertos entrantes suelen
asignarse dinámicamente a los servicios del sistema cuando es necesario; se utilizan los
puertos TCP/IP y UDP/IP mayores que el puerto 1024. Se suelen conoc er informalmente
c omo "puertos RPC aleatorios". En estos casos, los clientes RPC se apoyan en el asignador
de extremos RPC para indicar qué puertos dinámicos se asignaron al servidor. Para algunos
servicios basados en RPC, puede configurar un puerto concreto en lugar de permitir que RPC
asigne dinámic amente uno. También puede restringir el intervalo de puertos que RPC asigna
dinámic amente a un intervalo pequeño, con independenc ia del servicio. Dado que el puerto
135 se utiliza para muchos servicios, los usuarios malintencionados lo atacan con frecuenc ia.
Al abrir el puerto 135, considere restringir el ámbito de la regla de firewall.

Para obtener más información sobre el puerto 135, vea las siguientes referencias:

Introduc ción al servicio y requisitos del puerto de red para el sistema Windows Server

Cómo solucionar errores del asignador de extremos de RPC

Utilizar COM distribuido con firewalls (en inglés)

Llamada a procedimiento remoto (RPC) (en inglés)

Cómo configurar la asignación de puertos dinámicos RPC para trabajar c on firewalls (en
inglés)

Inic io de Windows 2000 y análisis de tráfico de inicio de sesión

Interacción con otras reglas de firewall

El Firewall de Windows utiliza reglas y grupos de reglas para establecer su c onfiguración.
Cada regla o grupo de reglas suele estar asociado con un programa o servic io determinado, y
ese programa o servicio podría modific ar o eliminar esa regla sin su c onocimiento. Por
ejemplo, los grupos de reglas World Wide Web Services (HTTP) y World Wide Web
Services (HTTPS) están asoc iados a IIS. Al habilitar esas reglas, se abrirán los puertos 80 y
443, y las características de SQL Server que dependen de los puertos 80 y 443 funcionarán
si esas reglas están habilitadas. Sin embargo, los administradores que c onfiguran IIS podrían
modific ar o deshabilitar esas reglas. Por consiguiente, si está utilizando el puerto 80 o el
puerto 443 para SQL Server, debe crear su propia regla o su propio grupo de reglas que
mantenga la configurac ión de puerto que desee independientemente de las demás reglas IIS.

El complemento MMC del Firewall de Windows con seguridad avanzada permite cualquier
tráfico que coincida c on c ualquier regla de permiso aplicable. Por lo tanto, si hay dos reglas
que se apliquen al puerto 80 (con parámetros diferentes), se permitirá el tráfic o que c oinc ida
c on c ualquiera de ellas. Así si una regla permite el tráfic o sobre el puerto 80 de la subred
loc al y otra permite el tráfic o procedente de cualquier direc ción, el efecto de la red será que
se permita todo el tráfico dirigido al puerto 80, sin tener en cuenta su origen. Para
administrar eficazmente el ac ceso a SQL Server, los administradores deben revisar
periódicamente las reglas de firewall habilitadas en el servidor.

msdn.microsoft.com/…/cc646023.aspx 12/16
20/04/2011 Configurar Firewall de Windows para …

Información general de perfiles de firewall

Los perfiles de firewall se explican en Guía de introducción al Firewall de Windows con
seguridad avanzada en la sección Firewall de host para ubicación de red. Para resumir, a
partir de Windows Vista y Windows Server 2008 los sistemas operativos identific an y
recuerdan cada una de las redes a las que se c onectan con respecto a la conectividad, las
c onexiones y la categoría.

Hay tres tipos de ubicación de red en Firewall de Windows con seguridad avanzada:

Dominio. Windows puede autenticar el acc eso al controlador de dominio para el dominio
al que está unido el equipo.

Públicas. Exc epto las redes de dominio, todas las redes se c ategorizan inicialmente
como públicas. Las redes que representan conexiones directas a Internet o que están
en ubicaciones públicas, tales como aeropuertos o cafeterías, deben dejarse como
públicas.

Privadas. Una red identificada por un usuario o una aplicación como privada. Solo las
redes confiables se deben identificar como redes privadas. Es probable que los
usuarios deseen identific ar las redes domésticas o de pequeña empresa como privadas.

El administrador puede crear un perfil para cada tipo de ubicación de red, cada perfil
c onteniendo diferentes directivas de firewall. En cada momento se aplica solamente un perfil.
El orden de perfile se aplica de la manera siguiente:

1. Si todas las interfac es se autentic an para el controlador de dominio para el dominio del
que es miembro el equipo, se aplica el perfil del dominio.

2. Si todas las interfac es se autentic an para el controlador de dominio o están

conectadas a redes clasificadas c omo ubic aciones de la red privada, se aplica el perfil
privado.

3. De lo contrario, se aplic a el perfil público.

Utilice el complemento MMD de Firewall de Windows con seguridad avanzada para ver y
c onfigurar todos los perfiles del firewall. El elemento Firewall de Windows del Panel de
c ontrol solo c onfigura el perfil actual.

Configuración adicional de Firewall de Windows con el

elemento Firewall de Windows del Panel de control
Las excepciones que agregue al firewall pueden restringir la apertura del puerto a las
c onexiones entrantes de equipos concretos o de la subred local. Esta restricción del ámbito
de la apertura del puerto puede reducir la exposic ión del equipo a usuarios malintencionados,
y está recomendada.

Nota
El uso del elemento Firewall de Windows del Panel de control, solamente c onfigura el
perfil del firewall actual.

Para cambiar el ámbito de una excepción de firewall utilizando el elemento

Firewall de Windows del Panel de control

1. En el elemento Firewall de Windows de Panel de control, selecc ione un programa o

puerto en la ficha Excepciones y, a c ontinuación, haga clic en Propiedades o
Editar.

2. En el cuadro de diálogo Modificar un programa o Modificar un puerto, haga c lic en

Cambiar ámbito.

msdn.microsoft.com/…/cc646023.aspx 13/16
20/04/2011 Configurar Firewall de Windows para …
3. Elija una de las opciones siguientes:

Cualquier equipo (incluyendo los que están en Internet)

No se recomienda. Esto permitirá que cualquier equipo que pueda direccionar su

equipo se conec te al programa o al puerto especificados. Esta c onfiguración
puede ser necesaria para permitir que se presente información a usuarios
anónimos de Internet, pero aumenta la exposic ión a los usuarios
malintencionados. La exposición puede aumentarse aún más si habilita esta
configuración y también permite la explorac ión transversal de la Traducción de
direcc iones de red (NAT), como la opción Permitir cruc e seguro del perímetro.

Mi red (subred) solamente

Esta configuración de seguridad es más segura que Cualquier equipo. Solo los
equipos de la subred local de la red pueden c onectarse al programa o al puerto.

Lista personalizada:

Solo los equipos que tengan las direcc iones IP de la lista se pueden c onectar. Esta
configuración puede ser más segura que Mi red (subred) solamente; sin embargo,
los equipos c liente que utilicen DHCP pueden cambiar ocasionalmente su dirección IP.
Entonces, el equipo deseado no podrá c onectarse. Otro equipo, que no deseara
autorizar, podría aceptar la direcc ión IP de la lista y, en consecuencia, podría
conectarse La opción Lista personalizada puede ser adecuada para hacer una lista
de otros servidores configurados para utilizar una direc ción IP fija; no obstante, un
intruso podría suplantar las direc ciones IP. Las reglas restric tivas de firewall son tan
fuertes como sea la infraestruc tura de red.

Utilizar el complemento Firewall de Windows con segur

idad avanzada
A partir de Vista y Windows Server 2008, se pueden configurar opciones de firewall
avanzadas adic ionales utilizando el complemento MMC del Firewall de Windows con seguridad
avanzada. El complemento inc luye un asistente de reglas y expone valores de configuración
adicionales que no están disponibles en el elemento Firewall de Windows en el Panel de
c ontrol. Entre estas opc iones de c onfiguración, se incluyen las siguientes:

Configuración de cifrado

Restricc iones de servicios

Restringir c onexiones para equipos por nombre

Restringir c onexiones para usuarios o perfiles específicos

Cruc e de perímetro que permite que el tráfico evite los enrutadores de Traducción de
direcciones de red (NAT)

Configurar reglas salientes

Configurar reglas de seguridad

Requerir IPSec para conexiones entrantes

Para crear una nueva regla de firewall mediante el asistente de Nueva regla

1. En el menú Inicio, haga clic en Ejecutar, escriba WF.msc y, a c ontinuación, haga clic
en Aceptar.

2. En el Firewall de Windows con seguridad avanzada, en el panel izquierdo, haga

clic con el botón secundario en Reglas de entrada y, a c ontinuación, haga clic en
Nueva regla.
msdn.microsoft.com/…/cc646023.aspx 14/16
20/04/2011 Configurar Firewall de Windows para …
3. Complete el Asistente para nueva regla de entrada usando la configuración que
desee.

Solucionar problemas de configuración del firewall

Las herramientas y técnicas siguientes pueden ser útiles para soluc ionar problemas del
firewall:

El estado efec tivo del puerto es la unión de todas las reglas relac ionadas con el
puerto. Cuando intente bloquear el acc eso a través de un puerto, puede ser útil para
revisar todas las reglas que c itan el número de puerto. Para ello, utilice el
complemento MMC del Firewall de Windows con seguridad avanzada y ordene las
reglas entrantes y salientes por número de puerto.

Revise los puertos activos en el equipo en el que se esté ejec utando SQL Server. Este
proceso de revisión incluye la comprobac ión de qué puertos TCP/IP están escuc hando
y también la comprobación del estado de los puertos.

Para comprobar qué puertos están esc uchando, utilice la utilidad de la línea de
comandos netstat. Además de mostrar las conexiones TCP ac tivas, la utilidad netstat
también muestra una variedad de información y estadísticas de IP.

Para mostrar qué puertos TCP/IP están escuchando

Abra la ventana de símbolo del sistema.

En el símbolo del sistema, esc riba netstat -n -a.

El modificador -n indica a netstat que muestre numéricamente la direc ción y el

número de puerto de las conexiones TCP ac tivas. El modific ador -a indic a a
netstat que muestre los puertos TCP y UPD en los que está escuchando el
equipo.

La utilidad PortQry se puede usar para notificar el estado de los puertos TCP/IP c omo
escuchando, no esc uchando o filtrado. (Con un estado de filtrado, el puerto puede o
no estar esc uchando; este estado indica que la utilidad no ha recibido una respuesta
del puerto.) La utilidad PortQry se puede descargar desde el Centro de descargas de
Microsoft.

Si desea consultar otros temas acerca de la solución de problemas, vea:

Solución de problemas (motor de base de datos)

Solución de problemas (Analysis Servic es - Minería de datos)

Solucionar problemas [Reporting Services]

Solucionar problemas (Integration Servic es)

Vea también
Otros recursos

Introducc ión al servicio y requisitos de puertos de red del sistema Windows Server

Contenido de la comunidad
msdn.microsoft.com/…/cc646023.aspx 15/16
20/04/2011 Configurar Firewall de Windows para …

© 2011 Mic rosoft. Reservados todos los derechos.

msdn.microsoft.com/…/cc646023.aspx 16/16