Отстраняване на неизправности в настройките на защитната стена на Windows в Windows XP Service Pack 2

Преводи на статии Преводи на статии
ID на статията: 875357 - Преглед на продукти, за които се отнася тази статия.
Разгъване на всички | Сгъване на всички

На тази страница

КРАТКО ИЗЛОЖЕНИЕ

Microsoft Windows XP Service Pack 2 (SP2) включва защитната стена на Microsoft Windows - актуализирания софтуер за защитна стена, който замества Internet Connection Firewall (ICF). Ако защитната стена на Microsoft Windows блокира порт, който се използва от услуга или от програма, можете да я конфигурирате така, че да създадете изключение. Защитната стена на Windows може да блокира програма или услуга, ако са налице следните условия:
  • Някои програми не отговарят на клиентска заявка.
  • Клиентски програми не получават данни от сървъра.
Може да получите от защитната стена на Windows предупреждение за защита, което ви уведомява, че е блокирала конкретна програма. Когато възникне такъв сценарий, можете да разблокирате програмата, като изберете Разблокирай тази програма в диалоговия прозорец Предупреждение за защита. За да можете да определите кои програми и портове са били блокирани, можете да конфигурирате защитната стена на Windows да води дневник на пропуснатите пакети. С помощта на Netsh Helper на защитната стена на Windows можете да конфигурирате защитната стена и дневника от командния ред. Проблемите не винаги са в програмната съвместимост. Настройките на правилата за групи също могат да попречат на изпълнението на програмите. Windows XP Service Pack 2 (SP2) включва няколко помощни програми, които можете да използвате, за да отстранявате неизправности, свързани със защитната стена на Windows

ВЪВЕДЕНИЕ

Най-добрият начин за разрешаването на проблемите със блокирането от защитната стена е да модифицирате програмите, така че да работят с динамични филтриращи защитни стени. Ако не можете да модифицирате една програма, можете да конфигурирате защитната стена на Windows, за да добавите изключения за конкретни портове и програми. В тази статия се разглеждат симптомите на отказите, свързани с конфигурацията по подразбиране на защитна стена на Windows XP Service Pack 2, как да конфигурирате изключения за портове и за програми и как да отстранявате неизправности с настройките на защитната стена.

ДОПЪЛНИТЕЛНА ИНФОРМАЦИЯ

Разпознаване на симптомите на отказите

Отказите, които са свързани с конфигурацията по подразбиране на защитната стена, се проявяват по два начина:
  • Клиентски програми може да не получават данни от сървъра. Например, следните клиентски програми може да не получават данни:
    • FTP клиент
    • Софтуер за мултимедийни потоци
    • Уведомяване за нова поща в някои програми за имейл
  • Сървърни програми, които се изпълняват на базиран на Windows XP компютър, може да не отговарят на клиентски заявки. Например, следните клиентски програми може да не отговарят:
    • Уеб сървър, например Internet Information Services (IIS)
    • Отдалечен работен плот
    • Споделяне на файл
    Забележки
    • Отказите в мрежовите програми не се дължат само на проблеми в защитната стена. Тези откази може да се дължат на промени в RPC или DCOM защита. Следователно трябва да определите дали отказът е придружен с предупреждение от защитната стена, което показва, че е имало блокиране на програма.
    • Отказите на услугите не са придружени от предупреждение от защитната стена, защото услугите обикновено не са свързани със сесия на влизане на потребител. Ако отказът е свързан с услуга, конфигурирайте защитната стена, както е описано в раздела "Конфигуриране на защитната стена на Windows с помощта на центъра за защита на Windows".
Ако една програма е блокирана, може да получите следното предупреждение от защитната стена:

За да ви помогне да защитите вашия компютър, защитната стена на Windows блокира тази програма срещу получаване на непоискана информация от интернет или мрежа.

Име: Име на програма
Издател: Име на издател
Разблокирай тази програма
Остави тази програма блокирана
Остави тази програма блокирана, но ме попитай отново по-късно

Научете повече за защитната стена на Windows.



Конфигуриране на защитната стена на Windows с помощта на предупрежденията от защитната стена

Предупреждението от защитната стена ви дава следните три възможности:
  • Разблокирай тази програма.
  • Остави тази програма блокирана.
  • Остави тази програма блокирана, но ме попитай отново по-късно.

За да разблокирате програмата, щракнете върху Разблокирай тази програма в диалоговия прозорец Предупреждение за защита и след това щракнете върху OK.

Конфигуриране на защитната стена на Windows с помощта на центъра за защита на Windows

Добавяне на изключение за програма

Когато добавите програма към списъка с изключения, разрешавате на защитната стена да отвори диапазони от портове, които могат да се променят всеки път, когато програмата се изпълнява. За да добавите изключение за програма, изпълнете следните стъпки:
  1. Използвайте акаунт на администратор, за да се регистрирате.

    За допълнителна информация как да определите дали акаунтът, в който сте влезли в момента, е акаунт на администратор, щракнете върху следния номер на статия, за да видите статията в базата знания на Microsoft:
    871211 Как да проверите дали сте влезли като администратор и дали са в сила правила за групи за вашия компютър (Тази връзка може да сочи към съдържание, което е отчасти или изцяло на английски)
  2. Щракнете върху Старт, щракнете върху Изпълни, въведете Wscui.cpl и след това щракнете върху OK.
  3. В прозореца Център на Windows за защита щракнете върху Защитна стена на Windows.
  4. В раздела Изключения щракнете върху Добави програма.
  5. В списъка на програмите щракнете върху името на програмата, която искате да добавите, и след това щракнете върху OK. Ако името на вашата програма не е в списъка на програмите, щракнете върху Преглед, за да намерите програмата, и след това щракнете върху OK.


    Забележка Ако не знаете къде е разположена програмата, обърнете се към доставчика на програмата, за да определите местоположението й

    За информация как да се обърнете към доставчика на вашата програма, щракнете върху съответния номер на статия в следния списък, за да видите статията в базата знания на Microsoft:
    65416 Информация за контакти с доставчици на хардуер и софтуер, A-K (Тази връзка може да сочи към съдържание, което е отчасти или изцяло на английски)

    60781 Информация за контакти с доставчици на хардуер и софтуер, L-P (Тази връзка може да сочи към съдържание, което е отчасти или изцяло на английски)

    60782 Информация за контакти с доставчици на хардуер и софтуер, Q-Z (Тази връзка може да сочи към съдържание, което е отчасти или изцяло на английски)
  6. Щракнете върху OK, за да затворите защитната стена на Windows.
  7. Тествайте програмата, за да се уверите, че настройките на защитната стена са правилни.


Добавяне на изключение за порт

Ако не сте решили този проблем чрез добавяне на програма към списъка с изключения, можете ръчно да добавите портове. За да направите това, трябва първо да идентифицирате портовете, които се използват от програмата. Един надежден начин да определите употребата на портове е да се обърнете към доставчика на програмата. Ако не можете да се свържете с доставчик или ако няма наличен списък на портовете, можете да използвате инструмента Netstat.exe, за да идентифицирате използваните портове.

Идентифициране на портовете
  1. Стартирайте програмата и се опитайте да използвате нейните мрежови функции. Например се опитайте да стартирате аудио поток с мултимедийна програма. Опитайте се да стартирате с услугата уеб сървър.
  2. В командния ред въведете Netstat –ano > netstat.txt и след това натиснете клавиша ENTER. Тази команда създава файла Netstat.txt. Този файл съдържа списък на всички портове за слушане.
  3. В командния ред въведете Tasklist > tasklist.txt и след това натиснете клавиша ENTER. Ако въпросната програма се изпълнява като услуга, въведете Tasklist /svc > tasklist.txt вместо Tasklist > tasklist.txt, така че услугите, които се зареждат във всеки процес, да са в списъка.
  4. Отворете файла Tasklist.txt и намерете програмата, която ви създава проблеми. Запишете идентификатора на процеса и след това отворете файла Netstat.txt. Обърнете внимание на всички елементи, които са свързани с този идентификатор на процес, и протокола, който се използва.
Ако номерата на портовете за процеса са по-малки от 1024, те вероятно няма да се променят. Ако номерата, които се използват, са по-големи или равни на 1024, програмата може да използва диапазон от портове. Следователно, може да не успеете да решите проблема чрез отваряне на отделните портове.

Добавяне на изключение за порта
  1. Щракнете върху Старт, щракнете върху Изпълни, въведете Wscui.cpl и след това щракнете върху OK, за да отворите защитната стена на Windows.
  2. Щракнете върху раздела Изключения и след това върху Добавяне на порт, за да покажете диалоговия прозорец Добавяне на порт.
  3. Въведете номера на порта, който се използва от вашата програма.
  4. Изберете протокола TCP или UDP в зависимост от това, какво използва вашата програма.
  5. В полето Име въведете описателно име за порта.
  6. Щракнете върху Промени обхвата, за да покажете или да зададете обхвата на изключението за порта, и след това щракнете върху OK.
  7. Щракнете върху OK за да затворите диалоговия прозорец Добавяне на порт.
  8. За да се уверите, че настройките на порта са правилни за вашата програма, тествайте програмата.


Използване на регистрационен файл

Можете да разрешите записване на регистрационен файл, който да ви помогне да идентифицирате източника на входящ трафик и да научите подробности за трафика, който се блокира. Името на регистрационния файл е %Windir%\pfirewall.log. За да разрешите записването в регистрационен файл, изпълнете следните стъпки:
  1. Щракнете върху Старт, щракнете върху Изпълни, въведете Firewall.cpl и след това щракнете върху OK.
  2. Щракнете върху раздела Разширени.
  3. В Записване в регистрационен файл за защитата щракнете върху Настройки.
  4. В Настройки на регистъра щракнете, за да поставите отметка в квадратчето Регистрирай отпадналите пакети и след това щракнете върху OK.
  5. Щракнете върху OK, за да затворите защитната стена на Windows.

Забележка Успешният изходен поток не се регистрира. Изходящият трафик, който не е блокиран, не се регистрира.


Интерпретация на регистрационния файл

За всеки регистриран пакет в дневника се събира следната информация:

Сгъване на таблицатаРазгъване на таблицата
ПолетаОписаниеПример
ДатаПоказва годината, месеца и деня, когато се е появила записаната транзакция. Датите са записани във формата ГГГГ-ММ-ДД, където ГГГГ е годината, ММ е месецът, а ДД е денят.2001-01-27
ЧасПоказва часа, минутата и секундата, когато се е появила записаната транзакция. Часовете се записват в следния формат: ЧЧ:ММ:СС, където ЧЧ е часът в 24-часов формат, ММ е броят на минутите, а СС е броят на секундите.21:36:59
ДействиеПоказва операцията, регистрирана от защитната стена. Опциите, налични за защитната стена, са OPEN, CLOSE, DROP и INFO-EVENTS-LOST. Действието INFO-EVENTS-LOST показва броя на на събитията, които са възникнали, но не са били записани в дневника.OPEN
ПротоколПоказва протокола, използван при комуникацията. Един елемент от протокола може също да бъде номер за пакетите, които не използват TCP, UDP или ICMP.TCP
src-ipПоказва IP адреса на източника или на компютъра, който се опитва да установи комуникации.192.168.0.1
dst-ipПоказва IP адреса на местоназначението на опита за комуникация192.168.0.1
src-portПоказва номера на порта източник в изпращащия компютър. Елементът src-port е записан във вид на цяло число между 1 и 65 535. Валиден елемент src-port се показва само за TCP и UDP. При всички други протоколи за елемента src-port се показва знакът "-".4039
dst-portПоказва номера на порта на компютъра местоназначение. Елементът dst-port е записан във вид на цяло число между 1 и 65 535. Валиден елемент dst-port се показва само за TCP и UDP. При всички други протоколи за елемента dst-port се показва знакът "-".53
размерПоказва размера на пакета в байтове.60
tcpflagsПоказва управляващите флагове на TCP, които са намерени в заглавката TCP на IP пакет:
  • Ack Полето за потвърждение е избрано
  • Fin Няма повече данни от сървъра
  • Psh Функция Push
  • Rst Инициализация на връзката
  • Syn Синхронизация на поредните номера
  • Urg Полето за срочност е избрано
Флаговете се записват с главни букви.
AFP
tcpsynПоказва поредния номер на TCP в пакета.1315819770
tcpackПоказва номера на потвърждението на TCP в пакета.0
tcpwinПоказва размера в байтове на прозореца на TCP в пакета.64240
icmptypeПоказва число, представляващо полето "Тип" на ICMP съобщение.8
icmpcodeПоказва число, представляващо кода на полето на ICMP съобщението.0
infoПоказва информация, която зависи от типа на извършеното действие. Например, действието INFO-EVENTS-LOST създава елемент за броя на събитията, които са възникнали, но не са записани в регистрационния файл от времето на последното възникване на събитие от този тип.23

Забележка Тирето (-) се използва за полета, за които няма налична информация.


Използване на поддръжка за командния ред

Функцията Windows Firewall Netsh Helper беше добавена към Windows XP в разширения мрежов пакет на Microsoft. По-рано този помощен инструмент за командния ред се използваше със защитната стена IPv6 на Windows. Сега с Windows XP Service Pack 2 помощният инструмент включва поддръжка за конфигуриране на IPv4.

Сега с Netsh Helper можете:
  • Да конфигурирате състоянието по подразбиране на защитната стена на Windows. (Опцията съдържа Включено, Изключено и Включено без изключения.)
  • Да конфигурирате портовете, които трябва да бъдат отворени
  • Да конфигурирате портовете, за да разрешавате глобален достъп или да ограничите достъпа до локалната подмрежа.
  • Да зададете портове, отворени във всички интерфейси или само в конкретен интерфейс.
  • Да конфигурирате опциите за регистриране.
  • Да конфигурирате опциите на протокола ICMP.
  • Да добавяте или премахвате програми от списъка с изключения.
Тези опции за конфигурация се отнасят както за защитната стена на Windows IPv4, така и за защитната стена Pv6, освен когато в съответната версия не съществува конкретната функция.


Събиране на диагностични данни

Конфигурацията и информацията за състоянието на защитната стена на Windows могат да бъдат показани в командния ред с помощта на инструмента Netsh.exe. Този инструмент добавя поддръжка IPv4 към защитна стена в следния контекст на Netsh:
netsh firewall
За да използвате този контекст, въведете netsh firewall в командния ред и след това използвайте допълнителни команди Netsh според нуждите. За събиране на информация за състоянието и конфигурацията на защитната стена са полезни следните команди:
  • Netsh firewall show state
  • Netsh firewall show config

Сравнете изхода от тези команди с изхода от командата netstat –ano, за да идентифицирате програмите, които имат отворени портове за слушане и нямат съответните изключения в конфигурацията на защитната стена. Поддържаните команди за събиране на данни и за конфигуриране са показани в следващите таблици.

Забележка Настройките могат да бъдат модифицирани само от администратор.

Събиране на данни
Сгъване на таблицатаРазгъване на таблицата
КомандаОписание
show allowedprogramПоказва позволените програми.
show configПоказва подробна информация за локалната конфигурация.
show currentprofileПоказва текущия профил.
show icmpsettingПоказва настройките на ICMP.
show loggingПоказва настройките за регистрация.
show opmodeПоказва работния режим.
show portopeningПоказва изключените портове.
show serviceПоказва услугите.
show stateПоказва информация за текущото състояние.
show notificationsПоказва текущите настройки за уведомяване.

Конфигурация
Сгъване на таблицатаРазгъване на таблицата
КомандаОписание
add allowedprogramИзползва се за добавяне на изключен трафик чрез задаване на името на файла на програмата.
set allowedprogramИзползва се за модифициране на настройките на съществуваща позволена програма.
delete allowedprogramИзползва се за изтриване на съществуваща позволена програма.
set icmpsettingИзползва се за задаване на позволен ICMP трафик.
set loggingИзползва се за задаване на опции за регистриране за защитната стена на Windows - или глобално, или за конкретна връзка (интерфейс).
set opmodeИзползва се за задаване на работния режим на защитната стена на Window - или глобално, или за конкретна връзка (интерфейс).
add portopeningИзползва се за добавяне на очакван трафик чрез задаване на TCP или UDP порт.
set portopeningИзползва се за модифициране на настройките на съществуващ отворен TCP или UDP порт.
delete portopeningИзползва се за изтриване на отворен TCP или UDP порт.
set serviceИзползва се за разрешаване или блокиране на RPC и DCOM трафик, споделяне на файлове и принтери и на UPnP трафик.
set notificationsИзползва се за задаване дали да се уведомява потребителят, когато програми се опитват да отворят разрешени портове.
resetВъзстановява конфигурацията по подразбиране на защитна стена. Има същото действие като бутона "Възстанови настройките по подразбиране" в интерфейса на защитната стена на Windows.



Отстраняване на проблеми в защитната стена

Освен проблемите с програмната съвместимост, в защитната стена на Windows могат да възникнат и други проблеми. За диагностика на проблемите използвайте следните стъпки
  1. За да се уверите, че TCP/IP функционира правилно, използвайте командата ping, за да тествате цикличния (loopback) адрес (127.0.0.1) и присвоения ви IP адрес.
  2. Проверете конфигурацията в потребителския интерфейс, за да видите дали защитната стена не е била настроена случайно на Изключено или Включено без изключения.
  3. Използвайте командите netsh за информация за състоянието и конфигурацията, за да потърсите случайни настройки, които противоречат на очакваното поведение.
  4. Определете състоянието на услугата Защитната стена на Windows/Споделяне на интернет връзка чрез въвеждане на следното в командния ред:
    sc query sharedaccess
    (Краткото име на тази услуга е SharedAccess.) Ако тази услуга не стартира, отстранете неизправността в стартирането на услугата на базата на кода на завършване на Win32.
  5. Определете състоянието на драйвера Ipnat.sys на защитната стена, като въведете следното в командния ред:
    sc query ipnat
    Тази команда освен това връща кода на излизане от Win32 от последния опит за стартиране. Ако драйверът не стартира, използвайте стъпките за отстраняване на неизправности, които бихте приложили към всеки друг драйвер.
  6. Ако и драйверът, и услугата се изпълняват, а в регистрационните файлове на събитията няма сродни грешки, използвайте опцията Възстановяване на настройките по подразбиране в раздела Разширени на свойствата на защитната стена на Windows, за да елиминирате всяка конфигурация с потенциални проблеми.
  7. Ако проблемът все още не е решен, потърсете правилата за настройка, които биха могли да доведат до неочакваното поведение. За да направите това, въведете GPResult /v > gpresult.txt в командния ред и след това потърсете в получения текстов файл правила за конфигуриране, които са свързани със защитната стена.

Конфигуриране на правилата за групи на защитната стена на Windows

Обърнете се към вашия мрежов администратор, за да определи дали настройката на правилата за групи пречи на програмите и сценариите да се изпълняват в корпоративна среда.

Настройките на правилата за групи на защитната стена на Windows са дадени на следните адреси в редактора на обекти на груповите правила:
  • Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall
  • Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall/ Domain Profile
  • Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall/ Standard Profile

От тези местоположения можете да конфигурирате следните настройки за правила за групи:
  • Защитна стена на Windows: Разреши прескачане на протокола за защита на интернет (IPSec)
  • Защитна стена на Windows: Защити всички мрежови връзки
  • Защитна стена на Windows: Не разрешавай изключения
  • Защитна стена на Windows: Дефинирай изключения за програми
  • Защитна стена на Windows: Разреши локални изключения за програми
  • Защитна стена на Windows: Разреши изключения за отдалечено управление
  • Защитна стена на Windows: Разреши изключения за споделяне на файлове и печат
  • Защитна стена на Windows: Разреши ICMP изключения
  • Защитна стена на Windows: Разреши изключения за отдалечен работен плот
  • Защитна стена на Windows: Разреши изключения за UpnP структури
  • Защитна стена на Windows: Забрани уведомяването
  • Защитна стена на Windows: Разреши регистрирането
  • Защитна стена на Windows: Забрани едноадресни отговори на многоадресни или излъчени заявки
  • Защитна стена на Windows: Дефинирай изключения за портове
  • Защитна стена на Windows: Разреши локални изключения за портове

За повече информация за настройките на правилата за групи на защитната стена на Windows изтеглете следния документ:

Свойства

ID на статията: 875357 - Последна рецензия: 22 май 2006 г. - Редакция: 1.6
ВАЖИ ЗА
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
Ключови думи: 
kbhowtomaster kbtshoot kbgraphxlink kbscreenshot KB875357

Изпратете обратна информация

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com