Устранение неполадок, связанных с параметрами брандмауэра Windows в Windows XP с пакетом обновления 2 (SP2) (для опытных пользователей)

Переводы статьи Переводы статьи
Код статьи: 875357 - Vizualiza?i produsele pentru care se aplic? acest articol.
Внимание
Эта статья предназначена для опытных пользователей. Если дополнительные способы устранения неполадок слишком сложны, можно обратиться за помощью к специалисту или в службу поддержки. Дополнительные сведения о том, как это сделать, см. на веб-сайте корпорации Майкрософт по следующему адресу:
http://support.microsoft.com/contactus/?ln=ru
Развернуть все | Свернуть все

В этой статье

Аннотация

Брандмауэр Windows в составе Windows XP с пакетом обновления 2 (SP2) — это усовершенствованный межсетевой экран, который пришел на смену брандмауэру подключения к Интернету (ICF). Если брандмауэр Windows блокирует порт, использующийся одной из программ или служб, необходимо создать соответствующее исключение. Признаки блокирования порта программы или службы следующие:
  • программа не отвечает на запросы клиентов;
  • клиентская программа не получает данных с сервера.
При настройке соответствующей конфигурации блокирование программы брандмауэром Windows сопровождается появлением оповещения системы безопасности. В этом случае разблокировать программу можно, выбрав команду Разблокировать программу в диалоговом окне Предупреждение системы безопасности. Чтобы определить блокированные порты и программы, настройте регистрацию непринятых пакетов на брандмауэре. Средство Netsh Helper позволяет настраивать конфигурацию брандмауэра Windows (в т. ч. регистрацию событий) из командной строки. Наряду с несовместимостью программ, проблемы с их выполнением могут возникнуть при настройке определенных параметров групповой политики. В состав Windows XP с пакетом обновления 2 (SP2) входит несколько служебных программ, предназначенных для устранения неполадок с брандмауэром Windows.

ВВЕДЕНИЕ

Лучшим способом решения проблем с блокированием программ на брандмауэре является использование брандмауэров, поддерживающих динамическую фильтрацию трафика. Если по каким-либо причинам это невозможно, создайте на брандмауэре исключения для соответствующих портов и программ. В данной статье описаны признаки возникновения неполадок, имеющих отношение к конфигурации по умолчанию брандмауэра Windows XP с пакетом обновления 2 (SP2), рассмотрены способы создания исключений для портов и программ, а также устранения неполадок с брандмауэром.

Дополнительная информация

Неполадки, связанные с конфигурацией брандмауэра по умолчанию, можно разделить на две категории. Клиентские программы могут не получать данные с сервера. Серверные приложения на компьютере под управлением Windows XP могут не отвечать на запросы клиентов.
Когда брандмауэр Windows блокирует программу, появляется следующее предупреждение системы безопасности.
Свернуть это изображениеРазвернуть это изображение
Оповещение системы безопасности Windows
Сведения об этих признаках и дополнительных действиях по их устранению см. в разделе "Дополнительные способы устранения неполадок".

Настройка брандмауэра Windows с помощью диалогового окна оповещения системы безопасности

Чтобы разблокировать программу, выберите в диалоговом окне Предупреждение системы безопасности вариант Разблокировать программу.

Настройка брандмауэра Windows с помощью центра безопасности Windows

Как создать исключение для программы

Если программа добавлена в список исключений, брандмауэр в случае необходимости открывает для нее диапазон портов, который может меняться при каждом запуске программы. Чтобы добавить программу в список исключений, выполните следующие действия.
  1. Войдите в систему с помощью учетной записи администратора.
  2. Выберите в меню Пуск пункт Выполнить, введите команду wscui.cpl и нажмите кнопку ОК.
  3. В центре обеспечения безопасности Windows щелкните ссылку Брандмауэр Windows.
  4. На вкладке Исключения нажмите кнопку Добавить программу.
  5. Выберите программу в предложенном списке и нажмите кнопку ОК. Если нужной программы в списке нет, нажмите кнопку Обзор, найдите программу и нажмите кнопку ОК. Примечание. В случае необходимости обращайтесь для получения сведений о месте расположения программы к ее разработчику.

    Сведения о производителе оборудования см. на следующем веб-сайте:
    http://support.microsoft.com/gp/vendors/ru-ru
  6. Нажмите кнопку ОК.
  7. Запустите программу и проверьте как она работает с новыми параметрами брандмауэра.
Если проблемы устранить не удалось, обратитесь за помощью к специалисту или в службу поддержки. Дополнительные сведения о том, как это сделать, см. на веб-сайте корпорации Майкрософт по следующему адресу:
http://support.microsoft.com/contactus/

Дополнительные способы устранения неполадок

Этот раздел предназначены для опытных пользователей. Если дополнительные способы устранения неполадок слишком сложны, можно обратиться за помощью к специалисту или в службу поддержки. Дополнительные сведения о том, как это сделать, см. на веб-сайте корпорации Майкрософт по следующему адресу:
http://support.microsoft.com/contactus

Признаки возникновения неполадок

Неполадки, связанные с конфигурацией брандмауэра по умолчанию, можно разделить на две категории.
  • Клиентские программы могут не получать данные с сервера. Например:
    • FTP-клиенты;
    • приложения для потоковой передачи мультимедийных данных;
    • отдельные почтовые программы (получение уведомлений о наличии новых сообщений).
  • Серверные программы на компьютере под управлением Windows XP могут не отвечать на запросы клиентов. Например:
    • программа веб-сервера, в т. ч. серверы IIS (Internet Information Services);
    • удаленный рабочий стол;
    • общий доступ к файлам.
    Примечания
    • Сбои в работе сетевых программ не обязательно объясняются настройками брандмауэра, а могут быть вызваны изменением параметров безопасности для удаленного вызова процедур и модели DCOM. Свидетельством того, что программа блокируется брандмауэром, является появление предупреждения системы безопасности.
    • Предупреждение системы безопасности в случае блокирования службы не появляется, поскольку службы, как правило, не сопоставляются с сеансом определенного пользователя. Если возникающие неполадки имеют отношение к службе, выполните действия, описанные в разделе "Настройка брандмауэра Windows с помощью центра безопасности Windows".

Создание исключения для порта

Если программа не работает даже после внесения в список исключений, попробуйте добавить порты вручную. Предварительно необходимо определить используемые программой порты. С этой целью лучше всего обратиться к разработчику программы, а если получить список портов у разработчика по каким-либо причинам не удается, воспользуйтесь средством Netstat.exe.
Определение портов
  1. Запустите программу и попробуйте воспользоваться одной из ее сетевых функций. Например, запустите поток звука в программе мультимедиа или службу веб-сервера.
  2. Выберите в меню Пуск пункт Выполнить, введите команду cmd и нажмите кнопку ОК.
  3. В командной строке введите netstat –ano > netstat.txt и нажмите клавишу ВВОД. Будет создан файл Netstat.txt с перечнем всех портов прослушивания.

    Свернуть это изображениеРазвернуть это изображение
     Окно командной строки


  4. В командной строке введите tasklist > tasklist.txt и нажмите клавишу ВВОД. Если программа выполняется в виде службы, вместо команды tasklist > tasklist.txt используйте команду tasklist /svc > tasklist.txt, чтобы составить перечень служб, которые загружаются каждым процессом.

    Свернуть это изображениеРазвернуть это изображение
      Окно командной строки


    Свернуть это изображениеРазвернуть это изображение
      Окно командной строки


  5. Откройте файл Tasklist.txt, найдите программу, выпишите идентификатор ее процесса и откройте файл Netstat.txt. Обратите внимание на все записи, которые сопоставлены с данным идентификатором процесса, а также используемый протокол.

    Свернуть это изображениеРазвернуть это изображение
      Окна Netstat.txt и Tasklist.txt
Если процесс использует порты с номерами ниже 1024, их номера, скорее всего, меняться не будут. Если c процессом сопоставлены порты с номером 1024 или большими, то программа, по всей вероятности, использует диапазон портов. Следовательно, открытие только некоторых из них не обязательно приведет к решению проблемы.

Создание исключения для порта
  1. Выберите в меню Пуск пункт Выполнить, введите команду wscui.cpl и нажмите кнопку ОК.
  2. В центре обеспечения безопасности Windows щелкните ссылку Брандмауэр Windows.

    Свернуть это изображениеРазвернуть это изображение
     Центр обеспечения безопасности Windows


  3. Откройте вкладку Исключения и нажмите кнопку Добавить порт (появится диалоговое окно Добавление порта).

    Свернуть это изображениеРазвернуть это изображение
     Диалоговое окно "Брандмауэр Windows"


  4. Введите описательное имя исключения для порта, номер используемого программой порта и выберите протокол TCP или UDP.

    Свернуть это изображениеРазвернуть это изображение
     Диалоговое окно "Добавление порта"


  5. Нажмите кнопку Изменить область.

    Свернуть это изображениеРазвернуть это изображение
     Диалоговое окно "Добавление порта"
  6. Проверьте или измените область исключения для порта и нажмите кнопку ОК.

    Свернуть это изображениеРазвернуть это изображение
     Диалоговое окно "Изменение области"


  7. Нажмите кнопку ОК, чтобы закрыть окно Добавление порта.

    Свернуть это изображениеРазвернуть это изображение
     Диалоговое окно "Добавление порта"


  8. Запустите программу и проверьте как она работает с новыми параметрами брандмауэра.

Регистрация непринятых пакетов

Для определения источника входящего трафика, а также получения сведений о блокированном трафике включите регистрацию непринятых пакетов (название журнала по умолчанию — %Windir%\pfirewall.log). Чтобы включить регистрацию, выполните следующие действия:
  1. Выберите в меню Пуск пункт Выполнить, введите команду firewall.cpl и нажмите кнопку ОК.
  2. Откройте вкладку Дополнительно.

    Свернуть это изображениеРазвернуть это изображение
    Диалоговое окно "Брандмауэр Windows"


  3. В области Ведение журнала безопасности нажмите кнопку Параметры.

    Свернуть это изображениеРазвернуть это изображение
    Вкладка "Дополнительно"


  4. Установите флажок Записывать пропущенные пакеты и нажмите кнопку ОК.

    Свернуть это изображениеРазвернуть это изображение
     Параметры ведения журнала


  5. Нажмите кнопку ОК.

    Свернуть это изображениеРазвернуть это изображение
     Диалоговое окно "Брандмауэр Windows"

Примечание. Успешные попытки установки исходящих подключений, а также пропущенный исходящий трафик не регистрируются.


Интерпретация содержимого журнала
Регистрируемая для каждого пакета запись содержит следующие поля.

Свернуть эту таблицуРазвернуть эту таблицу
ПоляОписаниеПример
датаГод, месяц и день операции в формате ГГГГ-ММ-ДД, где ГГГГ — это год, ММ — месяц, а ДД — день.2001-01-27
времяВремя выполнения операции в формате ЧЧ:ММ:СС, где ЧЧ — часы (от 0 до 24), ММ — минуты, а СС — секунды.21:36:59
ДействиеВыполненное брандмауэром действие: OPEN, CLOSE, DROP или INFO-EVENTS-LOST. Значение INFO-EVENTS-LOST — это количество произошедших, но не зарегистрированных событий.OPEN
ПротоколПротокол, который был использован для обмена данными (поле может содержать числовое значение, если пакет не использует протокол TCP, UDP или ICMP).TCP
src-ipИсходный IP-адрес (или адреса) компьютера, который пытается установить подключение.192.168.0.1
dst-ipIP-адрес назначения в процессе обмена данными.192.168.0.1
src-portНомер порта на отправляющем компьютере (целое число в диапазоне от 1 до 65 535). Номер порта отображается только для протоколов TCP и UDP, для других протоколов в поле стоит прочерк (-).4039
dst-portНомер порта на компьютере назначения (целое число в диапазоне от 1 до 65 535). Номер порта отображается только для протоколов TCP и UDP, для других протоколов в поле стоит прочерк (-).53
файлаРазмер пакета, в байтах.60
tcpflagsКонтрольные флаги протокола ТСР, которые содержатся в заголовке ТСР пакета IP:
  • Ack — подтверждение;
  • Fin — получены все данные от отправителя;
  • Psh — функция Push;
  • Rst — сброс подключения;
  • Syn — синхронизировать порядковые номера;
  • Urg — указатель срочности.
Для указания флагов используются символы верхнего регистра.
AFP
tcpsynПорядковый номер ТСР в пакете.1315819770
tcpackНомер подтверждения ТСР в пакете.0
tcpwinРазмер окна ТСР в пакете, в байтах.64240
icmptypeЧисло, соответствующее полю Type в сообщении ICMP.8
icmpcodeЧисло, соответствующее полю Code в сообщении ICMP.0
infoЗначение зависит от типа выполненного действия. Например, для действия INFO-EVENTS-LOST в поле указывается количество произошедших, но не зарегистрированных в журнале событий.23

Примечание. Если данные недоступны, в соответствующем поле стоит прочерк (-).

Средство Netsh Helper

Средство Netsh Helper было добавлено в Windows XP в составе расширенного сетевого пакета Майкрософт. Если ранее средство предназначалось для настройки только протокола IPv6, то в версии для Windows XP с пакетом обновления 2 (SP2) дополнительно реализована поддержка протокола IPv4.

Средство Netsh Helper позволяет выполнять следующие действия.
  • Настройка стандартного состояния брандмауэра Windows (возможные значения: Выключить, Включить и Не разрешать исключения).
  • Настройка портов, которые должны быть открытыми.
  • Настройка портов для разрешения глобального доступа или ограничения доступа к локальной подсети.
  • Настройка портов, которые должны быть открыты на всех интерфейсах или только на отдельном интерфейсе.
  • Настройка параметров регистрации событий.
  • Настройка параметров управления протоколом ICMP (Internet Control Message Protocol).
  • Внесение и удаление программ из списка исключений.
Эти действия могут быть выполнены как для брандмауэра IPv4, так и для брандмауэра IPv6, кроме случаев, когда функция в соответствующей версии брандмауэра Windows отсутствует.
Сбор диагностических данных
Для сбора сведений о конфигурации и состоянии брандмауэра Windows используется средство Netsh.exe с интерфейсом командной строки. В этом средстве реализована поддержка брандмауэров IPv4 в следующем контексте:
netsh firewall
Введите в командной строке netsh firewall, а затем добавьте соответствующую команду средства Netsh. Например, следующие команды служат для сбора сведений о конфигурации и состоянии брандмауэра.
  • Netsh firewall show state
  • Netsh firewall show config

Сравните данные, полученные с помощью этих команд и команды netstat –ano, чтобы определить программы, которые имеют открытые порты прослушивания, но не внесены в список исключений на брандмауэре. Ниже представлены поддерживаемые команды для сбора сведений и настройки конфигурации.

Примечание. Для изменения конфигурации требуется наличие полномочий администратора.

Сбор сведений
Свернуть эту таблицуРазвернуть эту таблицу
КомандаОписание
show allowedprogramСписок разрешенных программ.
show configПодробные сведения о конфигурации.
show currentprofileТекущий профиль.
show icmpsettingПараметры протокола ICMP.
show loggingПараметры регистрации событий.
show opmodeРежим работы.
show portopeningПорты, включенные в список исключений.
show serviceСлужбы.
show stateСведения о текущем состоянии.
show notificationsТекущие параметры отображения уведомлений.

Конфигурация
Свернуть эту таблицуРазвернуть эту таблицу
КомандаОписание
add allowedprogramДобавить программу в список исключений.
set allowedprogramНастроить параметры разрешенной программы.
delete allowedprogramУдалить программу из списка разрешенных.
set icmpsettingНастроить параметры разрешенного трафика ICMP.
set loggingНастроить параметры регистрации событий для брандмауэра Windows (глобально или на отдельном подключении (интерфейсе)).
set opmodeНастроить режим работы брандмауэра Windows (глобально или на отдельном подключении (интерфейсе)).
add portopeningДобавить порт TCP или UDP в список исключений.
set portopeningИзменить параметры открытого порта TCP или UDP.
delete portopeningУдалить открытый порт TCP или UDP.
set serviceРазрешить или блокировать трафик RPC и DCOM, а также трафик совместного доступа к файлам и принтерам и трафик UPnP.
set notificationsНастроить отображение уведомлений о том, что программа пытается открыть порт.
resetВосстановить конфигурацию брандмауэра по умолчанию. Запуск этой команды имеет эффект, аналогичный нажатию кнопки "Восстановить умолчания" в графическом интерфейсе брандмауэра Windows.

Устранение неполадок с брандмауэром

Наряду с несовместимостью программ, на брандмауэре Windows возможно возникновение и других неполадок. Для их диагностики необходимо выполнить следующие действия.
  1. Чтобы проверить протокол TCP/IP, опросите с помощью команды ping адрес замыкания на себя (127.0.0.1) и назначенный IP-адрес.
  2. Убедитесь, что брандмауэр не был неумышленно переведен в режим Выключить (не рекомендуется) или Не разрешать исключения.
  3. Воспользуйтесь командами программы netsh для сбора сведений о состоянии и конфигурации, и убедитесь, что настроенные параметры не препятствуют выполнению брандмауэром своих функций.
  4. Чтобы определить состояние службы Брандмауэр Windows/Общий доступ к Интернету, введите в командной строке:
    sc query sharedaccess
    (Сокращенное название этой службы — SharedAccess.) Если служба не запускается, попробуйте устранить неполадки на основании кода завершения Win32.
  5. Чтобы определить состояние драйвера Ipnat.sys, введите в командной строке:
    sc query ipnat
    Кроме того, эта команда возвращает код завершения Win32 для последней попытки запуска. Если драйвер не запускается, воспользуйтесь стандартными способами устранения неполадок с драйверами.
  6. Если драйвер и служба запущены, а в журнале событий нет сообщений об ошибках, имеющих отношение к неполадке, нажмите кнопку Восстановить умолчания на вкладке Дополнительно в диалоговом окне свойств брандмауэра Windows, чтобы устранить возможные ошибки в конфигурации.
  7. Если это не приводит к решению проблемы, проверьте текущие параметры групповой политики. Для этого введите в командной строке GPResult /v > gpresult.txt, а затем проанализируйте в созданном файле настроенные политики, которые имеют отношение к брандмауэру.

Настройка параметров групповой политики для брандмауэра Windows

Сведения о том, не препятствуют ли настроенные параметры групповой политики запуску программ, можно получить у системного администратора.

Параметры групповой политики для брандмауэра Windows хранятся в редакторе объектов групповой политики по следующим адресам.
  • Конфигурация компьютера/Административные шаблоны/Сеть/Сетевые подключения/Брандмауэр Windows
  • Конфигурация компьютера/Административные шаблоны/Сеть/Сетевые подключения/Брандмауэр Windows/Профиль домена
  • Конфигурация компьютера/Административные шаблоны/Сеть/Сетевые подключения/Брандмауэр Windows/Стандартный профиль

В этих разделах можно настроить следующие параметры групповой политики.
  • Брандмауэр Windows: Разрешать обход для прошедших проверку IPsec
  • Брандмауэр Windows: Защитить все сетевые подключения
  • Брандмауэр Windows: Не разрешать исключения
  • Брандмауэр Windows: Задать исключения для программ
  • Брандмауэр Windows: Разрешать локальные исключения для программ
  • Брандмауэр Windows: Разрешать исключения для удаленного доступа
  • Брандмауэр Windows: Разрешать исключения для общего доступа к файлам и принтерам
  • Брандмауэр Windows: Разрешать исключения ICMP
  • Брандмауэр Windows: Разрешать исключения для удаленного рабочего стола
  • Брандмауэр Windows: Разрешать исключения для UPnP-инфраструктуры
  • Брандмауэр Windows: Запретить уведомления
  • Брандмауэр Windows: Разрешать ведение журнала
  • Брандмауэр Windows: Запретить одноадресные ответы на многоадресные или широковещательные запросы
  • Брандмауэр Windows: Задать исключения портов
  • Брандмауэр Windows: Разрешать локальные исключения для портов

Дополнительные сведения о параметрах групповой политики для брандмауэра Windows см. в следующем документе:
Развертывание параметров брандмауэра Windows в Windows XP с пакетом обновления 2 (SP2)

Ссылки

843090 Описание брандмауэра Windows из состава пакета обновления 2 (SP2) для Windows XP
892199 Определенные административные шаблоны из руководства по безопасности Windows XP могут мешать запуску службы брандмауэра Windows на компьютере с Windows XP с пакетом обновления 2 (SP2)
920074 Не удается запустить службу брандмауэра Windows в Windows XP с пакетом обновления 2 (SP2)
886257 Влияние брандмауэра Windows на UPnP-инфраструктуру в Windows XP с пакетом обновления 2 (SP2)

Если с помощью этих статей разрешить проблему не удается или возникают неполадки, отличные от описанных в данной статье, дополнительные сведения можно получить путем поиска в базе знаний Майкрософт. База знаний Майкрософт находится на веб-сайте
http://support.microsoft.com/?ln=ru
Затем введите в поле поиска текст полученного сообщения об ошибке или описание проблемы.
Примечание. Это ЭКСПРЕСС-ПУБЛИКАЦИЯ, подготовленная непосредственно службой технической поддержки Майкрософт . Сведения, содержащиеся в данном документе, предоставлены в качестве отклика на возникшие проблемы. Из-за срочности в материалах могут быть опечатки, и в любое время и без уведомления в них могут быть внесены изменения. Чтобы получить дополнительные сведения, см. Условия использования.

Свойства

Код статьи: 875357 - Последний отзыв: 7 марта 2014 г. - Revision: 2.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
Ключевые слова: 
kbresolve kbgraphxlink kbnomt kbscreenshot kbtshoot kbhowtomaster KB875357

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com