Список форумов Шадринский форум -> Отдел игрушек (мягких и твёрдых) -> Операционные системы и сети -> firewall XP SP2
firewall XP SP2
Автор
Сообщение
| Устранение неполадок, связанных с параметрами брандмауэра Windows в Windows XP с пакетом обновления 2 (SP2)
Код статьи : 875357 Последний просмотр : 30 августа 2004 г. Редакция : 1.0 Содержание • Введение • Симптомы возникающих неполадок • Настройка брандмауэра Windows с помощью диалогового окна предупреждения безопасности • Настройка брандмауэра Windows с помощью центра безопасности Windows • Как создать исключение для программы • Как создать исключение для порта • Регистрация отброшенных пакетов • Интерпретация содержимого журнала • Средство Netsh Helper • Сбор диагностических данных • Устранение неполадок с брандмауэром • Настройка параметров групповой политики для брандмауэра Windows На этой странице Аннотация Введение Дополнительная информация Аннотация Брандмауэр Windows в составе Windows XP с пакетом обновления 2 (SP2) — это усовершенствованный межсетевой экран, который пришел на смену брандмауэру подключения к Интернету (ICF). Если брандмауэр Windows блокирует порт, использующийся одной из программ или служб, необходимо создать соответствующее исключение. Признаки блокирования порта программы или службы следующие:• программа не отвечает на запросы клиентов; • клиентская программа не получает данных с сервера. При настройке соответствующей конфигурации блокирование программы брандмауэром Windows сопровождается появлением оповещения системы безопасности. В этом случае разблокировать программу можно, выбрав команду Разблокировать программу в диалоговом окне Предупреждение системы безопасности. Чтобы определить блокированные порты и программы, настройте регистрацию непринятых пакетов на брандмауэре. Средство Netsh Helper позволяет настраивать конфигурацию брандмауэра Windows (в т. ч. регистрацию событий) из командной строки. Наряду с несовместимостью программ, проблемы с их выполнением могут возникнуть при настройке определенных параметров групповой политики. В состав Windows XP с пакетом обновления 2 (SP2) входит несколько средств, предназначенных для устранения неполадок, имеющих отношение к брандмауэру Windows. Введение Лучшим способом решения проблем с блокированием программ на брандмауэре является использование брандмауэров, поддерживающих динамическую фильтрацию трафика. Если по каким-либо причинам это невозможно, создайте на брандмауэре исключения для соответствующих портов и программ. В данной статье описаны признаки возникновения неполадок, имеющих отношение к конфигурации по умолчанию брандмауэра Windows XP с пакетом обновления 2 (SP2), рассмотрены вопросы создания исключений для портов и программ, а также устранения неполадок с брандмауэром. К началу статьи Дополнительная информация Признаки возникновения неполадок Неполадки, связанные с конфигурацией брандмауэра по умолчанию, можно разделить на две категории.• Клиентские программы не получают данных с сервера, например:• клиенты FTP; • приложения для потоковой передачи мультимедийных данных; • отдельные почтовые программы (получение уведомлений о наличии новых сообщений). • Серверные приложения на компьютере под управлением Windows XP не отвечают на запросы клиентов, например:• веб-серверы, в т. ч. серверы IIS (Internet Information Services); • удаленный рабочий стол; • общий доступ к файлам. Примечания• Сбои в работе сетевых программ не обязательно объясняются настройками брандмауэра, а могут быть вызваны изменением параметров безопасности для удаленного вызова процедур и модели DCOM. Свидетельством того, что программа блокируется брандмауэром, является появление предупреждения системы безопасности. • Предупреждение системы безопасности в случае блокирования службы не появляется, поскольку службы, как правило, не сопоставляются сеансу определенного пользователя. Если возникающие неполадки имеют отношение к службе, выполните действия, представленные в разделе «Настройка брандмауэра Windows с помощью центра безопасности Windows». Когда брандмауэр Windows блокирует программу, появляется следующее предупреждение системы безопасности. Для защиты компьютера брандмауэр Windows заблокировал эту программу от получения нежелательной информации из Интернета или по сети. Название: название_программы Издатель: имя_издателя Разблокировать программу Продолжить блокирование программы Продолжить блокирование программы, но предложить разблокирование позже Подробнее о брандмауэре Windows. К началу статьи Настройка брандмауэра Windows с помощью диалогового окна предупреждения безопасности В диалоговом окне предупреждения системы безопасности можно выбрать одно из трех действий. • Разблокировать программу • Продолжить блокирование программы • Продолжить блокирование программы, но предложить разблокирование позже Чтобы разблокировать программу, выберите в диалоговом окне Предупреждение системы безопасности вариант Разблокировать программу, а затем нажмите кнопку ОК. Настройка брандмауэра Windows с помощью центра безопасности Windows Как создать исключение для программы Если программа добавлена в список исключений, брандмауэр в случае необходимости открывает для нее диапазон портов, который может меняться при каждом запуске программы. Чтобы добавить программу в список исключений, выполните следующие действия.1. Войдите в систему с помощью учетной записи администратора. Дополнительные сведения о том, как определить, имеет ли текущая учетная запись права администратора, см. в следующей статье базы знаний Майкрософт: 871211 Как убедиться в том, что вход в систему выполнен с помощью учетной записи администратора и на компьютере назначена групповая политика 2. Выберите в меню Пуск пункт Выполнить, введите команду wscui.cpl и нажмите кнопку ОК. 3. В диалоговом окне Центр обеспечения безопасности Windows щелкните ссылку Брандмауэр Windows. 4. На вкладке Исключения нажмите кнопку Добавить программу. 5. Выберите программу в предложенном списке и нажмите кнопку ОК. Если нужной программы в списке нет, нажмите кнопку Обзор, найдите программу и нажмите кнопку ОК. Примечание. В случае необходимости обращайтесь для получения сведений о месте расположения программы к ее разработчику. Контактную информацию разработчиков программного обеспечения см. в следующих статьях базы знаний Майкрософт. 65416 Список адресов независимых поставщиков оборудования и программного обеспечения, A – K 60781 Список адресов независимых поставщиков оборудования и программного обеспечения, L – Р 60782 Список адресов независимых поставщиков оборудования и программного обеспечения, Q – Z 6. Нажмите кнопку ОК. 7. Запустите программу и проверьте как она работает с новыми параметрами брандмауэра. К началу статьи Как создать исключение для порта Если программа не работает даже после внесения в список исключений, попробуйте добавить порты вручную. Предварительно необходимо определить используемые программой порты. С этой целью лучше всего обратиться к разработчику программы, а если получить список портов у разработчика по каким-либо причинам не удается, воспользуйтесь средством Netstat.exe. Определение портов 1. Запустите программу и попробуйте воспользоваться одной из ее сетевых функций. Например, запустите поток звука в программе мультимедиа или службу веб-сервера. 2. В командной строке введите Netstat –ano > netstat.txt и нажмите клавишу ВВОД. Будет создан файл Netstat.txt с перечнем всех ожидающих портов. 3. В командной строке введите Tasklist > tasklist.txt и нажмите клавишу ВВОД. Если программа выполняется в виде службы, используйте команду Tasklist /svc > tasklist.txt, чтобы составить перечень служб, которые загружаются каждым процессом. 4. Откройте файл Tasklist.txt, найдите программу, выпишите идентификатор ее процесса и откройте файл Netstat.txt. Найдите все записи, которые сопоставлены данному идентификатору процесса, а также используемые протоколы. r Если процесс использует порты с номерами ниже 1024, их номера, скорее всего, меняться не будут. Если процессу сопоставлены порты с номерами выше 1024, то программа, по всей вероятности, использует диапазон портов и, следовательно, открытие только некоторых из них не обязательно приведет к решению проблемы. Создание исключения для порта 1. Чтобы открыть брандмауэр Windows, выберите в меню Пуск пункт Выполнить, введите команду wscui.cpl и нажмите кнопку ОК. 2. Откройте вкладку Исключения и нажмите кнопку Добавить порт (появится диалоговое окно Добавление порта). 3. Введите номер используемого программой порта. 4. Выберите нужный протокол (ТСР или UDP). 5. В поле Имя введите имя порта. 6. Чтобы просмотреть или изменить область исключения для порта, нажмите кнопку Изменить область, а затем — OК. 7. Нажмите кнопку ОК, чтобы закрыть окно Добавление порта. 8. Запустите программу и проверьте как она работает с новыми параметрами брандмауэра. К началу статьи Регистрация непринятых пакетов Для определения источника входящего трафика, а также получения сведений о блокированном трафике включите регистрацию непринятых пакетов (название журнала по умолчанию — %Windir%\pfirewall.log). Выполните следующие действия.1. Выберите в меню Пуск пункт Выполнить, введите команду Firewall.cpl и нажмите кнопку ОК. 2. Откройте вкладку Дополнительно. 3. В разделе Ведение журнала безопасности нажмите кнопку Параметры. 4. В диалоговом окне Параметры журнала установите флажок Записывать пропущенные пакеты и нажмите кнопку OК. 5. Нажмите кнопку ОК. Примечание. Успешные попытки установки исходящих подключений, а также пропущенный исходящий трафик не регистрируются. К началу статьи Интерпретация содержимого журнала Регистрируемая для каждого пакета запись содержит следующие поля. Поля Описание Пример Дата Год, месяц и день операции в формате ГГГГ-ММ-ДД, где ГГГГ — это год, ММ — месяц, а ДД — день. 2001-01-27 Время Время выполнения операции в формате ЧЧ:ММ:СС, где ЧЧ — часы (от 0 до 24), ММ — минуты, а СС — секунды. 21:36:59 Действие Выполненное брандмауэром действие: OPEN, CLOSE, DROP или INFO-EVENTS-LOST. Значение INFO-EVENTS-LOST — это количество произошедших, но не зарегистрированных событий. OPEN Протокол Протокол, который был использован для обмена данными (поле может содержать числовое значение, если пакет не использует протокол TCP, UDP или ICMP). TCP src-ip Исходный IP-адрес (или адреса) компьютера, который пытается установить подключение. 192.168.0.1 dst-ip IP-адрес назначения в процессе обмена данными. 192.168.0.1 src-port Номер порта на отправляющем компьютере (целое число в диапазоне от 1 до 65 535). Номер порта отображается только для протоколов TCP и UDP, для других протоколов в поле стоит прочерк (-). 4039 dst-port Номер порта на компьютере назначения (целое число в диапазоне от 1 до 65 535). Номер порта отображается только для протоколов TCP и UDP, для других протоколов в поле стоит прочерк (-). 53 size Размер пакета, в байтах. 60 tcpflags Контрольные флаги протокола ТСР, которые содержатся в заголовке ТСР пакета IP: • Ack — подтверждение; • Fin — получены все данные от отправителя; • Psh — функция Push; • Rst — сброс подключения; • Syn — синхронизировать порядковые номера; • Urg — указатель срочности. Для указания флагов используются символы верхнего регистра. AFP tcpsyn Порядковый номер ТСР в пакете. 1315819770 tcpack Номер подтверждения ТСР в пакете. 0 tcpwin Размер окна ТСР в пакете, в байтах. 64240 icmptype Число, соответствующее полю Type в сообщении ICMP. 8 icmpcode Число, соответствующее полю Code в сообщении ICMP. 0 info Значение зависит от типа выполненного действия. Например, для действия INFO-EVENTS-LOST в поле указывается количество произошедших, но не зарегистрированных в журнале событий. 23 Примечание. Если данные недоступны, в соответствующем поле стоит прочерк (-). К началу статьи Средство Netsh Helper Средство Netsh Helper было добавлено в Windows XP в составе расширенного сетевого пакета Майкрософт. Если ранее средство предназначалось для настройки только протокола IPv6, то в версии для Windows XP с пакетом обновления 2 (SP2) дополнительно реализована поддержка протокола IPv4. Средство Netsh Helper позволяет выполнять следующие действия. • Настройка стандартного состояния брандмауэра Windows (возможные значения Выключить (не рекомендуется), Включить (рекомендуется) и Не разрешать исключения). • Настройка портов, которые должны быть открытыми. • Настройка портов для разрешения глобального доступа или ограничения доступа к локальной подсети. • Настройка портов, которые должны быть открыты на всех интерфейсах или только на отдельном интерфейсе. • Настройка параметров регистрации событий. • Настройка параметров управления протоколом ICMP (Internet Control Message Protocol). • Внесение и удаление программ из списка исключений. Эти действия могут быть выполнены как для брандмауэра IPv4, так и для брандмауэра IPv6, кроме случаев, когда функция в соответствующей версии брандмауэра Windows отсутствует. К началу статьи Сбор диагностических данных Для сбора сведений о конфигурации и состоянии брандмауэра Windows используется средство Netsh.exe с интерфейсом командной строки. В этом средстве реализована поддержка брандмауэров IPv4 в следующем контексте: netsh firewall Введите в командной строке netsh firewall, а затем добавьте соответствующую команду средства Netsh. Например, следующие команды служат для сбора сведений о конфигурации и состоянии брандмауэра.• Netsh firewall show state • Netsh firewall show config Сравните данные, полученные с помощью этих команд и команды netstat –ano, чтобы определить программы, которые имеют открытые ожидающие порты, но не внесены в список исключений на брандмауэре. Ниже представлены поддерживаемые команды для сбора сведений и настройки конфигурации. Примечание. Для изменения конфигурации требуется наличие полномочий администратора. Сбор сведенийКоманда Описание show allowedprogram Список разрешенных программ. show config Подробные сведения о конфигурации. show currentprofile Текущий профиль. show icmpsetting Параметры протокола ICMP. show logging Параметры регистрации событий. show opmode Режим работы. show portopening Порты, включенные в список исключений. show service Службы. show state Сведения о текущем состоянии. show notifications Текущие параметры отображения уведомлений. КонфигурацияКоманда Описание add allowedprogram Добавить программу в список исключений. set allowedprogram Настроить параметры разрешенной программы. delete allowedprogram Удалить программу из списка разрешенных. set icmpsetting Настроить параметры разрешенного трафика ICMP. set logging Настроить параметры регистрации событий для брандмауэра Windows (глобально или на отдельном подключении (интерфейсе)). set opmode Настроить режим работы брандмауэра Windows (глобально или на отдельном подключении (интерфейсе)). add portopening Добавить порт TCP или UDP в список исключений. set portopening Изменить параметры открытого порта TCP или UDP. delete portopening Удалить открытый порт TCP или UDP. set service Разрешить или блокировать трафик RPC и DCOM, а также трафик совместного доступа к файлам и принтерам и трафик UPnP. set notifications Настроить отображение уведомлений о том, что программа пытается открыть порт. reset Восстановить конфигурацию брандмауэра по умолчанию. Запуск этой команды имеет воздействие, аналогичное нажатию кнопки «Восстановить умолчания» в графическом интерфейсе брандмауэра Windows. К началу статьи Устранение неполадок с брандмауэром Наряду с несовместимостью программ, на брандмауэре Windows возможно возникновение и других неполадок. Для их диагностики необходимо выполнить следующие действия. 1. Чтобы проверить протокол TCP/IP, опросите с помощью команды ping адрес замыкания на себя (127.0.0.1) и наз наченный IP-адрес. 2. Убедитесь, что брандмауэр не был неумышленно переведен в режим Выключить (не рекомендуется) или Не разрешать исключения. 3. Воспользуйтесь командами программы netsh для сбора сведений о состоянии и конфигурации, и убедитесь, что настроенные параметры не препятствуют выполнению брандмауэром своих функций. 4. Чтобы определить состояние службы Брандмауэр Windows/Общий доступ к Интернету, введите в командной строке: sc query sharedaccess (Сокращенное название этой службы — SharedAccess.) Если служба не запускается, попробуйте устранить неполадки на основании кода завершения Win32. 5. Чтобы определить состояние драйвера Ipnat.sys, введите в командной строке: sc query ipnat Кроме того, эта команда возвращает код завершения Win32 для последней попытки запуска. Если драйвер не запускается, воспользуйтесь стандартными способами устранения неполадок с драйверами. 6. Если драйвер и служба запущены, а в журнале событий нет сообщений об ошибках, имеющих отношение к неполадке, нажмите кнопку Восстановить умолчания на вкладке Дополнительно в диалоговом окне свойств брандмауэра Windows, чтобы устранить возможные ошибки в конфигурации. 7. Если это не приводит к решению проблемы, проверьте текущие параметры групповой политики. Для этого введите в командной строке GPResult /v > gpresult.txt, а затем проанализируйте в созданном файле настроенные политики, которые имеют отношение к брандмауэру. К началу статьи Настройка параметров групповой политики для брандмауэра Windows Сведения о том, не препятствуют ли настроенные параметры групповой политики запуску программ, можно получить у системного администратора. Параметры групповой политики для брандмауэра Windows хранятся в редакторе объектов групповой политики по следующим адресам. • Конфигурация компьютера/Административные шаблоны/Сеть/Сетевые подключения/Брандмауэр Windows • Конфигурация компьютера/Административные шаблоны/Сеть/Сетевые подключения/Брандмауэр Windows/Профиль домена • Конфигурация компьютера/Административные шаблоны/Сеть/Сетевые подключения/Брандмауэр Windows/Стандартный профиль В этих разделах можно настроить следующие параметры групповой политики. • Брандмауэр Windows: Разрешать обход для прошедших проверку IPSec • Брандмауэр Windows: Защитить все сетевые подключения • Брандмауэр Windows: Не разрешать исключения • Брандмауэр Windows: Задать исключения для программ • Брандмауэр Windows: Разрешать локальные исключения для программ • Брандмауэр Windows: Разрешать исключения для удаленного доступа • Брандмауэр Windows: Разрешать исключения для общего доступа к файлам и принтерам • Брандмауэр Windows: Разрешать исключения ICMP • Брандмауэр Windows: Разрешать исключения для удаленного рабочего стола • Брандмауэр Windows: Разрешать исключения для UPnP-инфраструктуры • Брандмауэр Windows: Запретить уведомления • Брандмауэр Windows: Разрешать ведение журнала • Брандмауэр Windows: Запретить одноадресные ответы на многоадресные или широковещательные запросы • Брандмауэр Windows: Задать исключения портов • Брандмауэр Windows: Разрешать локальные исключения для портов Дополнительные сведения о параметрах групповой политики для брандмауэра Windows см. в следующем документе: Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2 (Развертывание параметров брандмауэра Windows в Windows XP с пакетом обновления 2 (SP2)) http://support.microsoft.com/kb/875357/ru |
Страница 1 из 1
Список форумов Шадринский форум -> Отдел игрушек (мягких и твёрдых) -> Операционные системы и сети -> firewall XP SP2
| |
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах Вы не можете вкладывать файлы Вы можете скачивать файлы |