ID articol: 875357 - View products that this article applies to.
Măriți totul | Reduceți totul

În această pagină

REZUMAT

Microsoft Windows XP Service Pack 2 (SP2) cuprinde Paravanul de protecție Microsoft Windows, un software actualizat de tip paravan de protecție care înlocuiește Paravanul de protecție a conexiunii la Internet (ICF). Dacă Paravanul de protecție Microsoft Windows blochează un port care este utilizat de un serviciu sau de un program, aveți posibilitatea să configurați Paravanul de protecție Windows astfel încât să creeze o excepție. Paravanul de protecție Windows poate să blocheze un program sau un serviciu dacă următoarele condiții sunt îndeplinite:
  • Programele nu răspund la o solicitare client.
  • Programele client nu primesc date de la server.
O alertă de securitate a Paravanului de protecție Windows poate anunța dacă Paravanul de protecție Windows blochează un anumit program. Când se produce acest lucru, aveți posibilitatea să deblocați programul dacă selectați Deblocarea acestui program (Unblock this program) din caseta de dialog Alertă de securitate. Pentru a determina ce programe și porturi sunt blocate, aveți posibilitatea să configurați Paravanul de protecție Windows astfel încât să consemneze în jurnal pachetele oprite. Cu utilitarul Netsh pentru Paravanul de protecție Windows, aveți posibilitatea să configurați Paravanul de protecție Windows și scrierea în jurnalul Paravanului de protecție Windows de la promptul de comandă. Este posibil ca problema să nu o reprezinte întotdeauna compatibilitatea programului. Setările pentru Politica de grup pot, de asemenea, să împiedice executarea programelor. Windows XP Service Pack 2 (SP2) include câteva utilitare ce se pot utiliza la depanarea problemelor pentru Paravanul de protecție Windows.

INTRODUCERE

Cea mai bună modalitate de rezolvare a problemelor de blocare pentru paravanul de protecție este de a modifica programele astfel încât să funcționeze cu paravane de protecție cu filtrare pentru o stare determinată. Dacă nu aveți posibilitatea să modificați un program, configurați Paravanul de protecție Windows pentru a adăuga excepții pentru anumite porturi și programe. Acest articol discută simptomele de eroare asociate cu configurația implicită a paravanului de protecție din Windows XP Service Pack 2, modul de configurare a excepțiilor pentru porturi și pentru programe și modul de depanare a setărilor paravanului de protecție.

INFORMAȚII SUPLIMENTARE

Recunoașterea simptomelor de eroare

Erorile care au legătură cu configurația implicită a paravanului de protecție apar în două moduri:
  • Programele client pot să nu primească date de la server. De exemplu, următoarele programe client pot să nu primească date:
    • Un client FTP
    • Software pentru fluxuri multimedia
    • Anunțurile de mesaje noi din unele programe de poștă electronică
  • Programele server care se execută pe un computer Windows XP pot să nu răspundă la solicitările client. De exemplu, următoarele programe server pot să nu răspundă:
    • Un server Web, precum Internet Information Services - IIS
    • Spațiul de lucru la distanță
    • Partajarea fișierelor
    Note
    • Erorile din programele de rețea nu sunt limitate la probleme ale paravanului de protecție. Aceste erori pot să fie cauzate de schimbări de securitate RPC sau DCOM. De aceea, trebuie să determinați dacă eroarea este însoțită de o alertă de securitate a Paravanului de protecție Windows care indică faptul că un program este blocat.
    • Erorile de servicii nu sunt însoțite de o alertă de securitate a Paravanului de protecție Windows deoarece serviciile nu sunt asociate în mod tipic cu o sesiune de utilizator. Dacă eroarea este legată de un serviciu, configurați paravanul de protecție așa cum este discutat în secțiunea „Configurarea Paravanului de protecție Windows utilizând Centrul de securitate Windows”.
Dacă un program este blocat, este posibil să primiți următoarea alertă de securitate în Paravanul de protecție Windows:

Pentru a proteja computerul, paravanul de protecție Windows a blocat acest program astfel încât să nu primească informații nesolicitate din Internet sau dintr-o rețea.

Nume: Nume_program
Producător: Nume_producător
Unblock this program
Keep blocking this program
Keep blocking this program, but ask me again later

Aflați mai multe despre Paravanul de protecție Windows.



Configurarea Paravanului de protecție Windows utilizând alerta de securitate din Paravanul de protecție Windows

Alerta de securitate din Paravanul de protecție Windows oferă următoarele trei opțiuni:
  • Unblock this program.
  • Keep blocking this program.
  • Keep blocking this program, but ask me again later.

Pentru a debloca programul, faceți clic pe Unblock this program din caseta de dialog Alertă de securitate, apoi faceți clic pe OK.

Configurarea Paravanului de protecție Windows utilizând Centrul de securitate Windows

Adăugarea unei excepții la programe

Când adăugați un program la lista de excepții, activați paravanul de protecție pentru a deschide intervale de porturi care se pot schimba la fiecare executare a programului. Pentru a adăuga o excepție de program, urmați pașii de mai jos:
  1. Utilizați un cont de administrator pentru a face Log on.

    Pentru informații suplimentare despre cum se determină dacă contul la care ați făcut Log on este un cont de administrator, faceți clic pe numărul următor de articol pentru a vizualiza articolul din Baza de cunoștințe Microsoft:
    871211 Cum verificați dacă ați făcut Log on ca administrator și dacă este activă o politică de grup pentru computer (această legătură poate să indice către un conținut care este parțial sau în întregime în limba engleză)
  2. Faceți clic pe Start, faceți clic pe Executare, tastați Wscui.cpl, apoi faceți clic pe OK.
  3. În fereastra Centru de securitate Windows, faceți clic pe Paravan de protecție Windows.
  4. În fereastra Excepții, faceți clic pe Adăugare program.
  5. În lista programelor, faceți clic pe numele programului pe care doriți să-l adăugați, apoi faceți clic pe OK. Dacă numele programului nu este în lista de programe, faceți clic pe Răsfoire pentru a localiza programul, apoi faceți clic pe OK.


    Notă Dacă nu știți unde este amplasat programul, contactați furnizorul programului pentru a determina locația programului.

    Pentru informații despre contactarea producătorului programului, faceți clic pe numărul de articol corespunzător din lista următoare pentru a vedea articolul din Baza de cunoștințe Microsoft:
    65416 Informațiile de contact ale distribuitorilor hardware și software, A-K (această legătură poate să indice către un conținut care este parțial sau în întregime în limba engleză)

    60781 Informațiile de contact ale distribuitorilor hardware și software, L-P (această legătură poate să indice către un conținut care este parțial sau în întregime în limba engleză)

    60782 Informațiile de contact ale distribuitorilor hardware și software, Q-Z (această legătură poate să indice către un conținut care este parțial sau în întregime în limba engleză)
  6. Faceți clic pe OK pentru a închide Paravanul de protecție Windows.
  7. Testați programul pentru a verifica dacă setările pentru paravanul de protecție sunt corecte.


Adăugarea unei excepții de port

Dacă nu rezolvați problema prin adăugarea unui program la lista de excepții, aveți posibilitatea să adăugați manual porturi. Pentru a realiza acest lucru, mai întâi trebuie să identificați porturile care sunt utilizate de program. O modalitate fiabilă pentru a determina utilizarea porturilor este să contactați furnizorul programului. Dacă nu aveți posibilitatea să contactați un furnizor sau dacă nu este disponibilă o listă de porturi, aveți posibilitatea să utilizați instrumentul Netstat.exe pentru a identifica porturile utilizate.

Identificarea porturilor
  1. Lansați programul și încercați să utilizați caracteristicile sale de rețea. De exemplu, în cazul unui program multimedia, încercați să porniți un flux audio. În cazul unui server Web, încercați să porniți serviciul.
  2. La promptul de comandă, tastați Netstat –ano > netstat.txt, apoi apăsați ENTER. Prin această comandă se creează fișierul Netstat.txt. Acest fișier enumeră toate porturile de ascultare.
  3. La promptul de comandă, tastați Tasklist > tasklist.txt, apoi apăsați ENTER. Dacă programul în cauză se execută ca un serviciu, tastați Tasklist /svc > tasklist.txt în loc de Tasklist > tasklist.txt, astfel încât să se enumere serviciile încărcate în fiecare proces.
  4. Deschideți fișierul Tasklist.txt, apoi localizați programul pe care îl depanați. Notați identificatorul de proces al procesului, apoi deschideți fișierul Netstat.txt. Rețineți toate intrările asociate cu identificatorul de proces și cu protocolul utilizat.
Dacă numerele de port pentru proces sunt mai mici decât 1024, probabil numerele de port nu se vor schimba. Dacă numerele care sunt utilizate sunt mai mari sau egale cu 1024, programul poate să utilizeze un interval de porturi. De aceea, nu veți rezolva problema prin deschiderea de porturi individuale.

Adăugarea excepției de port
  1. Faceți clic pe Start, faceți clic pe Executare, tastați Wscui.cpl, apoi faceți clic pe OK pentru a deschide Paravanul de protecție Windows.
  2. Faceți clic pe fila Excepții, apoi faceți clic pe Adăugare port pentru a afișa caseta de dialog Adăugare port.
  3. Introduceți numărul de port pe care îl utilizează programul.
  4. Selectați protocolul TCP sau UDP, în funcție de ce utilizează programul.
  5. În câmpul Nume, tastați un nume descriptiv pentru port.
  6. Faceți clic pe Schimbare domeniu pentru a vizualiza sau pentru a seta domeniul pentru excepția de port, apoi faceți clic pe OK.
  7. Faceți clic pe OK pentru a închide caseta de dialog Adăugare port.
  8. Pentru a verifica dacă setările de port sunt corecte pentru program, testați programul.


Utilizarea scrierii în jurnal

Aveți posibilitatea să activați înregistrarea în jurnal pentru a ajuta la identificarea sursei de trafic spre interior și pentru a furniza detalii despre ce trafic este blocat. %Windir%\pfirewall.log este fișierul de jurnal implicit. Pentru a activa înregistrarea în jurnal, urmați pașii de mai jos:
  1. Faceți clic pe Start, faceți clic pe Executare, tastați Firewall.cpl, apoi faceți clic pe OK.
  2. Faceți clic pe fila Complex.
  3. În Înregistrare în jurnal de securitate, faceți clic pe Setări.
  4. În Setări jurnal, faceți clic pentru a bifa caseta de selectare Se scriu în jurnal pachete abandonate, apoi faceți clic pe OK.
  5. Faceți clic pe OK pentru a închide Paravanul de protecție Windows.

Notă Pachetele reușite spre exterior nu sunt consemnate în jurnal. Traficul spre exterior care nu este blocat nu este consemnat în jurnal.


Interpretarea fișierului jurnal

Informațiile următoare din jurnal sunt colectate pentru fiecare pachet care este consemnat în jurnal:

Reduceți tabelulMăriți tabelul
CâmpuriDescriereExemplu
DatăAfișează anul, luna și ziua la care s-a produs tranzacția înregistrată. Datele sunt înregistrate în formatul AAAA-LL-ZZ, unde AAAA este anul, LL este luna, iar ZZ este ziua.2001-01-27
OrăAfișează ora, minutul și secunda la care s-a produs tranzacția înregistrată. Orele sunt înregistrate în formatul: HH:MM:SS, unde HH este ora în format de 24 ore, MM este numărul de minute și SS este numărul de secunde.21:36:59
AcțiuneIndică operația care a fost observată de paravanul de protecție. Opțiunile disponibile pentru paravanul de protecție sunt OPEN, CLOSE, DROP și INFO-EVENTS-LOST. O acțiune INFO-EVENTS-LOST indică numărul de evenimente care s-au produs dar care nu au fost înregistrate în jurnal.OPEN
ProtocolAfișează protocolul care a fost utilizat pentru comunicare. O intrare pentru protocol poate de asemenea să fie un număr pentru pachetele care nu utilizează TCP, UDP sau ICMP.TCP
src-ipAfișează adresa IP a sursei, adică adresa IP a computerului care încearcă să stabilească comunicația.192.168.0.1
dst-ipAfișează adresa IP de destinație a unei încercări de comunicație.192.168.0.1
src-portAfișează numărul de port sursă al computerului transmițător. O intrare src-port este înregistrată sub forma unui număr întreg între 1 și 65.535. Numai TCP și UDP afișează o intrare src-port validă. Toate celelalte protocoale afișează - pentru intrarea src-port.4039
dst-portAfișează numărul de port al computerului destinație. O intrare dst-port este înregistrată sub forma unui număr întreg între 1 și 65.535. Numai TCP și UDP afișează o intrare dst-port validă. Toate celelalte protocoale afișează - pentru intrarea dst-port.53
sizeAfișează dimensiunea pachetului în octeți.60
tcpflagsAfișează semnalizatoarele de control TCP care sunt găsite în antetul TCP al unui pachet IP:
  • Ack Câmpul Acknowledgment semnificativ
  • Fin Fără alte date de la expeditor
  • Psh Funcția Push
  • Rst Resetare conexiune
  • Syn Sincronizare numere în secvență
  • Urg Câmpul indicator Urgent semnificativ
Semnalizatoarele sunt scrise cu majuscule.
AFP
tcpsynAfișează numărul de secvență TCP din pachet.1315819770
tcpackAfișează numărul de confirmare TCP din pachet.0
tcpwinAfișează dimensiunea ferestrei TCP din pachet, în octeți.64240
icmptypeAfișează un număr care reprezintă câmpul Type al mesajului ICMP.8
icmpcodeAfișează un număr care reprezintă câmpul Code al mesajului ICMP.0
infoAfișează o intrare informație care depinde de tipul acțiunii care s-a produs. De exemplu, o acțiune INFO-EVENTS-LOST creează o intrare pentru numărul de evenimente care s-au produs dar care nu s-au înregistrat în jurnal din momentul în care s-a produs ultima dată acest tip de eveniment.23

Notă Cratima (-) este utilizată pentru câmpurile unde nu sunt disponibile informații pentru o intrare.


Utilizarea suportului în linia de comandă

Utilitarul Netsh pentru Paravanul de protecție Windows a fost adăugat la Windows XP cu pachetul Microsoft Advanced Networking. Acest utilitar din linia de comandă a fost aplicat anterior la IPv6 Windows Firewall. Începând cu Windows XP Service Pack 2, utilitarul include suport și pentru configurarea IPv4.

Cu utilitarul Netsh Helper, acum aveți următoarele posibilități:
  • Configurarea stării implicite pentru Windows Firewall. (Opțiunile includ Off, On și On with no exceptions.)
  • Configurarea porturilor care trebuie să fie deschise.
  • Configurarea porturilor pentru a permite acces global sau pentru a restricționa accesul la subrețeaua locală.
  • Setarea porturilor pentru a fi deschise pe toate interfețele sau numai la o anumită interfață.
  • Configurarea opțiunilor de înregistrare în jurnal.
  • Configurarea opțiunilor de tratare pentru Protocolul ICMP.
  • Adăugarea sau eliminarea programelor în lista de excepții.
Aceste opțiuni de configurare se aplică atât la Paravanul de protecție Windows pentru IPv4 cât și pentru IPv6, cu excepția cazurilor în care o anumită funcționalitate nu există în versiunea respectivă a Paravanului de protecție Windows.


Colectarea datelor de diagnostic

Informațiile de configurație și de stare pentru Paravanul de protecție Windows se pot prelua din linia de comandă utilizând instrumentul Netsh.exe. Acest instrument adaugă asistență pentru paravanul de protecție IPv4 în următorul context Netsh:
netsh firewall
Pentru a utiliza acest context, tastați la promptul de comandă netsh firewall, apoi utilizați comenzile suplimentare Netsh după cum este necesar. Comenzile următoare sunt utile pentru colectarea de informații privind starea și configurația paravanului de protecție:
  • Netsh firewall show state
  • Netsh firewall show config

Comparați ieșirile acestor comenzi cu ieșirea comenzii netstat –ano pentru a identifica programele care pot avea porturi de ascultare deschise și care nu au excepții corespondente în configurația paravanului de protecție. În tabelele următoare sunt enumerate comenzile de colectare a datelor și de configurare pentru care există suport.

Notă Setările se pot modifica numai de către un administrator.

Colectare date
Reduceți tabelulMăriți tabelul
ComandăDescriere
show allowedprogramAfișează programele permise.
show configAfișează informații detaliate despre configurația locală.
show currentprofileAfișează profilul curent.
show icmpsettingAfișează setările ICMP.
show loggingAfișează setările pentru consemnarea în jurnal.
show opmodeAfișează modul operațional.
show portopeningAfișează porturile exceptate.
show serviceAfișează serviciile.
show stateAfișează informațiile curente de stare.
show notificationsAfișează setările curente pentru notificări.

Configurație
Reduceți tabelulMăriți tabelul
ComandăDescriere
add allowedprogramSe utilizează pentru a adăuga traficul exceptat prin specificarea numelui de fișier al programului.
set allowedprogramSe utilizează pentru a modifica setările la un program permis existent.
delete allowedprogramSe utilizează pentru a șterge un program permis existent.
set icmpsettingSe utilizează pentru a specifica traficul ICMP permis.
set loggingSe utilizează pentru a specifica opțiunile de scriere în jurnal pentru Paravanul de protecție Windows, fie global, fie pentru o anumită conexiune (interfață).
set opmodeSe utilizează pentru a specifica modul de operare pentru Paravanul de protecție Windows, fie global, fie pentru o anumită conexiune (interfață).
add portopeningSe utilizează pentru a adăuga traficul exceptat, prin specificarea unui port TCP sau UDP.
set portopeningSe utilizează pentru a modifica setările unui port TCP sau UDP existent deschis.
delete portopeningSe utilizează pentru a șterge un port TCP sau UDP existent deschis.
set serviceSe utilizează pentru a activa sau a întrerupe traficul RPC și DCOM, partajarea fișierelor și a imprimantelor și traficul UPnP.
set notificationsSe utilizează pentru a specifica dacă sunt activate notificările către utilizator când programele încearcă să deschidă porturi.
resetResetează la valoarea implicită configurația paravanului de protecție. Aceasta oferă aceeași funcționalitate ca și butonul Restabilire valori implicite din interfața Paravanului de protecție Windows.



Depanarea paravanului de protecție

Pe lângă problemele de compatibilitate a programului, Paravanul de protecție Windows poate să întâmpine și alte probleme. Pentru diagnosticarea problemelor, urmați pașii de mai jos:
  1. Pentru a verifica dacă TCP/IP funcționează corect, utilizați comanda ping pentru a testa dacă se primește răspuns de la adresa buclei locale (127.0.0.1) și de la adresa IP asociată.
  2. Verificați configurația din interfața utilizatorului pentru a determina dacă paravanul de protecție a fost setat neintenționat ca Dezactivat sau ca Activat fără excepții.
  3. Utilizați comenzile netsh pentru informațiile de stare și de configurație pentru a căuta setările neintenționate care puteau să interfereze cu comportamentul așteptat.
  4. Determinați starea serviciului Windows Firewall/Internet Connection Sharing (Paravan de protecție Windows/Partajare conexiune Internet) prin tastarea la promptul de comandă a următoarelor:
    sc query sharedaccess
    (Numele prescurtat al acestui serviciu este SharedAccess.) Dacă acest serviciu nu pornește, depanați pornirea serviciilor pe baza codului de ieșire Win32.
  5. Determinați starea driverului paravanului de protecție Ipnat.sys tastând la promptul de comandă următoarele:
    sc query ipnat
    Această comandă returnează și codul de ieșire Win32 de la ultima încercare de pornire. Dacă driverul nu pornește, utilizați pașii de depanare care se aplică la oricare alt driver.
  6. Dacă atât driverul cât și serviciul se execută și nu există erori înrudite în jurnalele de evenimente, utilizați opțiunea Restabilire valori implicite din fila Complex din proprietățile Paravanului de protecție Windows pentru a elimina toate problemele de configurare posibile.
  7. Dacă problema tot nu este rezolvată, căutați setările de politică care pot produce comportamentul neașteptat. Pentru aceasta, tastați la promptul de comandă GPResult /v > gpresult.txt, apoi examinați fișierul text rezultat pentru politicile configurate referitoare la paravanul de protecție.

Configurarea politicii de grup pentru Paravanul de protecție Windows

Contactați administratorul rețelei pentru a determina dacă o setare pentru politica de grup împiedică programele și scenariile să se execute într-un mediu de întreprindere.

Setările de politică de grup pentru Paravanul de protecție Windows sunt amplasate în următoarele căi ale editorului de obiecte pentru politici de grup:
  • Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall
  • Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall/ Domain Profile
  • Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall/ Standard Profile

Din aceste amplasări, aveți posibilitatea să setați setările următoare pentru politica de grup:
  • Windows Firewall: Allow authenticated Internet Protocol security (IPSec) bypass
  • Windows Firewall: Protect all network connections
  • Windows Firewall: Do not allow exceptions
  • Windows Firewall: Define program exceptions
  • Windows Firewall: Allow local program exceptions
  • Windows Firewall: Allow remote administration exception
  • Windows Firewall: Allow file and print sharing exception
  • Windows Firewall: Allow ICMP exceptions
  • Windows Firewall: Allow Remote Desktop exception
  • Windows Firewall: Allow Universal Plug and Plan (UpnP) framework exception
  • Windows Firewall: Prohibit notifications
  • Windows Firewall: Allow logging
  • Windows Firewall: Prohibit unicast response to multicast or broadcast requests
  • Windows Firewall: Define port exceptions
  • Windows Firewall: Allow local port exceptions

Pentru informații suplimentare privind setările Politicii de grup a Paravanului de protecție Windows, descărcați următoarea documentație:
Implementarea setărilor pentru Paravanul de protecție Windows Firewall în Microsoft Windows XP cu Service Pack 2

Proprietă?i

ID articol: 875357 - Ultima examinare: 22 mai 2006 - Revizie: 1.4
SE APLICĂ LA
  • Microsoft Windows XP Professional SP2
  • Microsoft Windows XP Home Edition SP2
Cuvinte cheie: 
kbhowtomaster kbtshoot kbgraphxlink kbscreenshot KB875357

Trimite?i feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com