Problemen met instellingen voor Windows Firewall oplossen in Windows XP Service Pack 2

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 875357 - Bekijk de producten waarop dit artikel van toepassing is.
Alles uitklappen | Alles samenvouwen

Op deze pagina

Samenvatting

Microsoft Windows XP Service Pack 2 (SP2) bevat Microsoft Windows Firewall, de bijgewerkte firewallsoftware die Firewall voor Internet-verbinding vervangt. Als Microsoft Windows Firewall een poort blokkeert die wordt gebruikt door een service of programma, kunt u Windows Firewall zodanig configureren dat er een uitzondering wordt gemaakt. Windows Firewall blokkeert een programma of service in de volgende situaties:
  • Programma's reageren niet op een aanvraag van de client.
  • Clientprogramma's ontvangen geen gegevens van de server.
U wordt er door een beveiligingswaarschuwing van Windows Firewall op gewezen dat Windows Firewall een bepaald programma blokkeert. In dat geval kunt u de blokkering van het programma opheffen door Dit programma niet meer blokkeren te selecteren in het dialoogvenster Beveiligingswaarschuwing. Als u wilt weten welke programma's en poorten zijn geblokkeerd, kunt u Windows Firewall configureren om vast te leggen welke pakketten worden geweigerd. Met behulp van het Windows Firewall-hulpprogramma Netsh kunt u Windows Firewall en logboekregistratie van Windows Firewall configureren bij de opdrachtprompt. Het probleem zit niet altijd in de compatibiliteit van programma's. De uitvoering van een programma kan ook worden verhinderd door instellingen voor Groepsbeleid. Windows XP Service Pack 2 (SP2) bevat verschillende hulpprogramma's die u kunt gebruiken om problemen met Windows Firewall op te lossen.

Inleiding

De beste manier om problemen met blokkering door een firewall op te lossen, is programma's zo te wijzigen dat ze kunnen werken met firewalls met statusbepalende filters. Als u een programma niet kunt wijzigen, kunt u uitzonderingen voor specifieke poorten en programma's configureren in Windows Firewall. In dit artikel worden de symptomen van problemen die te maken hebben met de standaardconfiguratie van de firewall van Windows XP Service Pack 2 beschreven, het configureren van uitzonderingen voor poorten en programma's, en het oplossen van problemen met de instellingen van de firewall.

Meer informatie

Symptomen van problemen herkennen

Problemen met betrekking tot de standaardconfiguratie van de firewall doen zich op twee manieren voor:
  • Clientprogramma's ontvangen geen gegevens van een server. De volgende clientprogramma's ontvangen bijvoorbeeld geen gegevens:
    • Een FTP-client
    • Software voor het stroomsgewijs afspelen van multimedia
    • Meldingen van nieuwe e-mailberichten in sommige e-mailprogramma's
  • Serverprogramma's die worden uitgevoerd op een Windows XP-computer, reageren niet op clientaanvragen. De volgende serverprogramma's reageren bijvoorbeeld niet:
    • Een webserver, zoals IIS (Internet Information Services)
    • Extern Bureaublad
    • Bestandsdeling
    Opmerkingen
    • Storingen in netwerkprogramma's zijn niet beperkt tot problemen met de firewall. Deze storingen kunnen worden veroorzaakt door beveiligingswijzigingen in RPC of DCOM. Daarom moet u vaststellen of de storing vergezeld gaat van een beveiligingswaarschuwing van Windows Firewall waarin wordt aangegeven dat een programma is geblokkeerd.
    • Storingen in services gaan niet vergezeld van een beveiligingswaarschuwing van Windows Firewall, aangezien services gewoonlijk niet zijn gekoppeld aan een aanmeldingssessie van een gebruiker. Als de storing betrekking heeft op een service, configureert u de firewall zoals is beschreven in de sectie 'Windows Firewall configureren met Windows Security Center'.
Als een programma wordt geblokkeerd, wordt de volgende beveiligingswaarschuwing van Windows Firewall weergegeven:

Om uw computer beter te beveiligen, heeft Windows Firewall ervoor gezorgd dat dit programma geen ongewenste gegevens van het Internet of van een netwerk kan ontvangen.

Naam: de naam van de toepassing
Uitgever: de uitgever van de toepassing
Dit programma niet meer blokkeren
Dit programma blijven blokkeren
Dit programma blijven blokkeren, maar vraag me later opnieuw

Meer informatie over Windows Firewall



Windows Firewall configureren met de beveiligingswaarschuwing van Windows Firewall

De beveiligingswaarschuwing van Windows Firewall biedt de volgende drie opties:
  • Dit programma niet meer blokkeren
  • Dit programma blijven blokkeren
  • Dit programma blijven blokkeren, maar vraag me later opnieuw

Als u de blokkering van het programma wilt opheffen, klikt u in het dialoogvenster Beveiligingswaarschuwing op Dit programma niet meer blokkeren en klikt u op OK.

Windows Firewall configureren met Windows Security Center

Een programma-uitzondering toevoegen

Wanneer u een programma toevoegt aan de lijst met uitzonderingen, kan de firewall poortbereiken openen die elke keer dat het programma wordt uitgevoerd, anders kunnen zijn. Ga als volgt te werk om een programma-uitzondering toe te voegen:
  1. Gebruik een beheerdersaccount om u aan te melden.

    Als u meer informatie wilt over het vaststellen of de account waarmee u momenteel bent aangemeld een beheerdersaccount is, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
    871211 Controleren of u bent aangemeld als beheerder en of er groepsbeleid bestaat voor uw computer
  2. Klik op Start, klik op Uitvoeren, typ wscui.cpl en klik op OK.
  3. Klik in het venster Windows Security Center op Windows Firewall.
  4. Open het tabblad Uitzonderingen en klik op Programma toevoegen.
  5. Klik in de lijst met programma's op de naam van het programma dat u wilt toevoegen en klik op OK. Als uw programma niet voorkomt in de lijst met programma's, klikt u op Bladeren om het programma te zoeken en klikt u op OK.


    Opmerking Als u niet weet waar het programma zich bevindt, neemt u contact op met de leverancier van het programma om de locatie van het programma vast te stellen.

    Als u wilt weten hoe u contact kunt opnemen met de programmaleverancier, klikt u op het juiste artikelnummer in de volgende lijst:
    65416 Lijst met contactpersonen bij leveranciers van hardware en software, A-K

    60781 Lijst met contactpersonen bij leveranciers van hardware en software, L-P

    60782 Lijst met contactpersonen bij leveranciers van hardware en software, Q-Z
  6. Klik op OK om Windows Firewall af te sluiten.
  7. Test het programma om te controleren of de instellingen van de firewall correct zijn.


Een poortuitzondering toevoegen

Als het probleem niet wordt verholpen door een programma aan de lijst met uitzonderingen toe te voegen, kunt u handmatig poorten toevoegen. Hiertoe moet u eerst vaststellen welke poorten door het programma worden gebruikt. Een betrouwbare manier om het poortgebruik vast te stellen, is door contact op te nemen met de leverancier van het programma. Als u geen contact met de leverancier kunt opnemen of als er geen poortenoverzicht beschikbaar is, kunt u het hulpprogramma Netstat.exe gebruiken om vast te stellen welke poorten in gebruik zijn.

De poorten vaststellen
  1. Start het programma en probeer de netwerkfuncties van het programma te gebruiken. Bij een multimediaprogramma probeert u bijvoorbeeld een audiostream te starten. Bij een webserver probeert u de service te starten.
  2. Typ Netstat ?ano > netstat.txt bij de opdrachtprompt en druk op ENTER. Met deze opdracht wordt het bestand Netstat.txt gemaakt. In dit bestand worden alle luisterende poorten vermeld.
  3. Typ Tasklist > tasklist.txt bij de opdrachtprompt en druk op ENTER. Wordt het desbetreffende programma als service uitgevoerd, dan typt u Tasklist /svc > tasklist.txt in plaats van Tasklist > tasklist.txt zodat de services die in elk proces zijn geladen, worden vermeld.
  4. Open het bestand Tasklist.txt en zoek het programma dat problemen veroorzaakt. Noteer de proces-ID (Process Identifier) van het proces en open het bestand Netstat.txt. Noteer alle vermeldingen die zijn gekoppeld aan die proces-ID en het gebruikte protocol.
Als de poortnummers voor het proces lager zijn dan 1024, zullen de poortnummers waarschijnlijk niet veranderen. Als de gebruikte nummers hoger zijn dan 1024, gebruikt het programma wellicht een bereik van poorten. Dan kan het probleem niet worden verholpen door afzonderlijke poorten te openen.

Een poortuitzondering toevoegen
  1. Klik op Start, klik op Uitvoeren, typ wscui.cpl en klik op OK om Windows Firewall te starten.
  2. Open het tabblad Uitzonderingen en klik op Poort toevoegen om het dialoogvenster Poort toevoegen te openen.
  3. Geef het poortnummer op dat door het programma wordt gebruikt.
  4. Selecteer het TCP- of UDP-protocol, afhankelijk van welk protocol door het programma wordt gebruikt.
  5. Typ in het vak Naam een beschrijvende naam voor de poort.
  6. Klik op Bereik wijzigen om het bereik voor de poortuitzondering weer te geven of in te stellen en klik op OK.
  7. Klik op OK om het dialoogvenster Poort toevoegen te sluiten.
  8. Test het programma om te controleren of de poortinstellingen correct zijn.


Logboekregistratie gebruiken

U kunt logboekregistratie inschakelen om de bron van inkomend verkeer vast te stellen en gegevens te verstrekken over het type verkeer dat wordt geblokkeerd. %Windir%\pfirewall.log is het standaardlogboekbestand. Ga als volgt te werk om logboekregistratie in te schakelen:
  1. Klik op Start, klik op Uitvoeren, typ firewall.cpl en klik op OK.
  2. Open het tabblad Geavanceerd.
  3. Klik in Logboekregistratie van beveiligingsgegevens op Instellingen.
  4. Schakel in Logboekinstellingen het selectievakje Verloren pakketten in logboek registreren in en klik op OK.
  5. Klik op OK om Windows Firewall af te sluiten.

Opmerking Uitgaand verkeer dat niet wordt tegengehouden, wordt niet geregistreerd. Uitgaand verkeer dat niet wordt geblokkeerd, wordt niet geregistreerd.


Het logboekbestand interpreteren

Van elk pakket dat wordt geregistreerd, worden de volgende gegevens verzameld:

Deze tabel samenvouwenDeze tabel uitklappen
VeldenBeschrijvingVoorbeeld
DatumHet jaar, de maand en de dag waarop de vastgelegde transactie heeft plaatsgevonden. Datums worden vastgelegd in de notatie JJJJ-MM-DD, waarbij JJJJ het jaartal, MM de maand en DD de dag is.2001-01-27
TijdHet uur, de minuut en de seconde waarop de vastgelegde transactie heeft plaatsgevonden. Tijdstippen worden vastgelegd in de notatie UU:MM:SS, waarbij UU het uur in 24-uursnotatie, MM het aantal minuten en SS het aantal seconden is.21:36:59
ActionDe bewerking die door de firewall is geobserveerd. De beschikbare opties zijn OPEN, CLOSE, DROP en INFO-EVENTS-LOST. Een INFO-EVENTS-LOST-actie geeft het aantal gebeurtenissen aan dat heeft plaatsgevonden, maar dat niet in het logboek is geregistreerd.OPEN
ProtocolHet protocol dat voor de communicatie is gebruikt. Een protocolvermelding kan ook een nummer zijn voor pakketten die geen gebruikmaken van TCP, UDP of ICMP.TCP
src-ipHet bron-IP-adres ofwel het IP-adres van de computer dat de communicatie tot stand probeert te brengen.192.168.0.1
dst-ipHet IP-adres van de computer waarmee wordt geprobeerd te communiceren.192.168.0.1
src-portHet poortnummer van de broncomputer. Een src-port-vermelding wordt vastgelegd in de vorm van een heel getal tussen 1 en 65.535. Alleen bij TCP en UDP wordt een geldige src-port-vermelding weergegeven. Bij alle andere protocollen wordt voor src-port de vermelding - weergegeven.4039
dst-portHet poortnummer van de doelcomputer. Een dst-port-vermelding wordt vastgelegd in de vorm van een heel getal tussen 1 en 65.535. Alleen bij TCP en UDP wordt een geldige dst-port-vermelding weergegeven. Bij alle andere protocollen wordt voor dst-port de vermelding - weergegeven.53
GrootteDe pakketgrootte in bytes.60
tcpflagsGeeft de TCP-besturingsvlaggen weer die in de TCP-header van een IP-pakket zijn gevonden:
  • Ack Bevestigingsveld significant
  • Fin Geen gegevens meer van afzender
  • Psh Duwfunctie
  • Rst De verbinding opnieuw instellen
  • Syn Volgnummers synchroniseren
  • Urg Veld met urgent-pointer significant
Vlaggen worden met hoofdletters geschreven.
AFP
tcpsynHet TCP-volgnummer in het pakket.1315819770
tcpackHet TCP-bevestigingsnummer in het pakket.0
tcpwinDe TCP-venstergrootte in het pakket, in bytes.64240
icmptypeEen nummer dat het veld Type van het ICMP-bericht aanduidt.8
icmpcodeEen nummer dat het veld Code van het ICMP-bericht aanduidt.0
infoEen informatievermelding die afhangt van het type actie dat heeft plaatsgevonden. Een INFO-EVENTS-LOST-actie heeft bijvoorbeeld een vermelding tot gevolg voor het aantal gebeurtenissen dat niet in het logboek is vastgelegd, maar heeft plaatsgevonden sinds de laatste keer dat een gebeurtenis van dit type plaatsvond.23

Opmerking In velden die geen gegevens bevatten, wordt een streepje (-) geplaatst.


Ondersteuning via de opdrachtregel gebruiken

Het Windows Firewall-hulpprogramma Netsh is toegevoegd aan Windows XP in het Microsoft Advanced Networking Pack. Dit opdrachtregelprogramma werd eerder in Windows Firewall gebruikt via IPv6. In Windows XP Service Pack 2 bevat dit hulpprogramma nu ondersteuning voor het configureren van IPv4.

Met het hulpprogramma Netsh kunt u nu:
  • De standaardstatus van Windows Firewall configureren. (De opties zijn Uitgeschakeld, Ingeschakeld en Ingeschakeld zonder uitzonderingen.)
  • De poorten configureren die open moeten zijn.
  • De poorten configureren om algemene toegang tot het lokale subnet mogelijk te maken of om deze toegang te beperken.
  • Poorten zo instellen dat ze ofwel open zijn op alle interfaces of alleen op een specifieke interface.
  • De opties voor logboekregistratie configureren.
  • De opties voor het afhandelen van ICMP (Internet Control Message Protocol) configureren.
  • Programma's aan de lijst met uitzonderingen toevoegen of ervan verwijderen.
Deze configuratieopties gelden voor zowel IPv4-Windows Firewall als voor IPv6-Windows Firewall, behalve wanneer deze Windows Firewall-versies geen ondersteuning bieden voor bepaalde functies.


Diagnostische gegevens verzamelen

Met het hulpprogramma Netsh.exe kan vanaf de opdrachtregel configuratie- en statusinformatie van Windows Firewall worden verkregen. Met dit hulpprogramma wordt ondersteuning voor IPv4-firewalls toegevoegd aan de volgende Netsh-context:
netsh firewall
Als u deze context wilt gebruiken, typt u netsh firewall bij de opdrachtprompt en gebruikt u desgewenst extra Netsh-opdrachten. De volgende opdrachten zijn handig voor het verzamelen van status- en configuratiegegevens van de firewall:
  • Netsh firewall show state
  • Netsh firewall show config

Vergelijk de uitvoer van deze opdrachten met de uitvoer van de opdracht netstat ?ano om de programma's te identificeren waarvoor luisterpoorten zijn geopend en waarvoor geen overeenkomstige uitzonderingen zijn geconfigureerd in de firewall. In de volgende tabellen wordt een overzicht gegeven van ondersteunde opdrachten voor configuratie en het verzamelen van gegevens.

Opmerking De instellingen kunnen alleen door een beheerder worden gewijzigd.

Gegevens verzamelen
Deze tabel samenvouwenDeze tabel uitklappen
OpdrachtBeschrijving
show allowedprogramHiermee worden de toegestane programma's weergegeven.
show configHiermee worden gedetailleerde, lokale configuratiegegevens weergegeven.
show currentprofileHiermee wordt het huidige profiel weergegeven.
show icmpsettingHiermee worden de ICMP-instellingen weergegeven.
show loggingHiermee worden de instellingen voor logboekregistratie weergegeven.
show opmodeHiermee wordt de operationele modus weergegeven.
show portopeningHiermee worden de uitgezonderde poorten weergegeven.
show serviceHiermee worden de services weergegeven.
show stateHiermee wordt de huidige statusinformatie weergegeven.
show notificationsHiermee worden de huidige instellingen voor kennisgevingen weergegeven.

Configuratie
Deze tabel samenvouwenDeze tabel uitklappen
OpdrachtBeschrijving
add allowedprogramHiermee wordt uitgezonderd verkeer toegevoegd door de bestandsnaam van het programma op te geven.
set allowedprogramHiermee worden de instellingen van een bestaand toegestaan programma gewijzigd.
delete allowedprogramHiermee wordt een bestaand toegestaan programma verwijderd.
set icmpsettingHiermee wordt toegestaan ICMP-verkeer opgegeven.
set loggingHiermee worden logboekregistratieopties voor Windows Firewall in algemene zin of voor een specifieke verbinding (interface) opgegeven.
set opmodeHiermee wordt de operationele modus van Windows Firewall in algemene zin of voor een specifieke verbinding (interface) opgegeven.
add portopeningHiermee wordt uitgezonderd verkeer toegevoegd door een TCP- of UDP-poort op te geven.
set portopeningHiermee worden de instellingen van een bestaande open TCP- of UDP-poort gewijzigd.
delete portopeningHiermee wordt een bestaande open TCP- of UDP-poort verwijderd.
set serviceHiermee wordt RPC- en DCOM-verkeer, bestands- en printerdeling, en UPnP-verkeer toegestaan of geweigerd.
set notificationsHiermee wordt aangegeven of kennisgevingen aan de gebruiker moeten worden gegenereerd wanneer een programma een poort probeert te openen.
resetHiermee wordt de configuratie van de firewall op de standaardwaarden ingesteld. Dit voorziet in dezelfde functionaliteit als de knop Standaardinstellingen herstellen in de Windows Firewall-interface.



Problemen met de firewall oplossen

Naast problemen met de compatibiliteit van programma's kunnen zich andere problemen met Windows Firewall voordoen. Ga als volgt te werk om problemen te onderzoeken:
  1. Als u wilt controleren of TCP/IP goed werkt, gebruikt u de opdracht ping om het loopback-adres (127.0.0.1) en het toegewezen IP-adres te testen.
  2. Controleer de configuratie in de gebruikersinterface om vast te stellen of de firewall per abuis is ingesteld op Uitgeschakeld of Ingeschakeld zonder uitzonderingen.
  3. Gebruik de opdracht netsh voor status- en configuratiegegevens om te zoeken naar onbedoelde instellingen die het verwachte gedrag kunnen verstoren.
  4. Stel de status van de service Windows Firewall (WF) / Internet-verbinding delen (ICS) vast door de volgende opdracht te typen bij een opdrachtprompt:
    sc query sharedaccess
    (De korte naam van deze service is SharedAccess.) Als deze service niet start, lost u de problemen met het starten van de service op basis van de Win32-afsluitcode op.
  5. Stel de status van het firewallstuurprogramma Ipnat.sys vast door de volgende opdracht te typen bij een opdrachtprompt.
    sc query ipnat
    Met deze opdracht wordt ook de Win32-afsluitcode van de meest recente startpoging geretourneerd. Als het stuurprogramma niet wordt gestart, gebruikt u de procedure voor probleemoplossing die ook voor andere stuurprogramma's wordt gebruikt.
  6. Als het stuurprogramma en de service beide zijn gestart en er geen fouten in de gebeurtenislogboeken voorkomen, gebruikt u de optie Standaardinstellingen herstellen op het tabblad Geavanceerd van de eigenschappen voor Windows Firewall om een potentiële probleemconfiguratie te elimineren.
  7. Als het probleem nog steeds niet is verholpen, zoekt u naar beleidsinstellingen die het onverwachte gedrag kunnen veroorzaken. Hiertoe typt u GPResult /v > gpresult.txt bij de opdrachtprompt en doorzoekt u het resulterende tekstbestand op geconfigureerde beleidsinstellingen die betrekking hebben op de firewall.

Groepsbeleid voor Windows Firewall configureren

Neem contact op met uw netwerkbeheerder om vast te stellen of een groepsbeleidinstelling verhindert dat programma's en scenario's in een bedrijfsomgeving worden uitgevoerd.

Groepsbeleidinstellingen voor Windows Firewall bevinden zich in de volgende paden van de module Groepsbeleidobjecteditor:
  • Computerconfiguratie/Beheersjablonen/Netwerk/Netwerkverbindingen/Windows Firewall
  • Computerconfiguratie/Beheersjablonen/Netwerk/Netwerkverbindingen/Windows Firewall/Domeinprofiel
  • Computerconfiguratie/Beheersjablonen/Netwerk/Netwerkverbindingen/Windows Firewall/Standaardprofiel

Vanuit deze locaties kunt u de volgende groepsbeleidinstellingen configureren:
  • Windows Firewall: geverifieerde IPSec-omleiding toestaan
  • Windows Firewall: alle netwerkverbindingen beveiligen
  • Windows Firewall: geen uitzonderingen toestaan
  • Windows Firewall: programma-uitzonderingen definiëren
  • Windows Firewall: uitzonderingen voor lokale programma's toestaan
  • Windows Firewall: uitzondering voor extern beheer toestaan
  • Windows Firewall: uitzondering voor bestands- en printerdeling toestaan
  • Windows Firewall: uitzonderingen voor ICMP toestaan
  • Windows Firewall: uitzondering voor Extern bureaublad toestaan
  • Windows Firewall: uitzondering voor UPnP-framework toestaan
  • Windows Firewall: kennisgevingen niet toestaan
  • Windows Firewall: logboekregistratie toestaan
  • Windows Firewall: unicast-antwoord op multicast- of broadcast-aanvragen niet toestaan
  • Windows Firewall: poortuitzonderingen definiëren
  • Windows Firewall: uitzonderingen voor lokale poort toestaan

Als u meer informatie wilt over groepsbeleidinstellingen voor Windows Firewall, downloadt u het volgende whitepaper:
Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2

Eigenschappen

Artikel ID: 875357 - Laatste beoordeling: maandag 22 mei 2006 - Wijziging: 1.4
De informatie in dit artikel is van toepassing op:
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
Trefwoorden: 
kbhowtomaster kbtshoot kbgraphxlink kbscreenshot KB875357

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com