Riešenie problémov s nastavením brány firewall systému Windows v systéme Windows XP Service Pack 2

Preklady článku Preklady článku
ID článku: 875357 - Zobraziť produkty, ktorých sa tento článok týka.
Rozbaliť všetko | Zbaliť všetko

Na tejto stránke

SUHRN

Súčasťou balíka Microsoft Windows XP Service Pack 2 (SP2) je aj brána firewall systému Microsoft Windows. Ide o aktualizovaný softvér brány firewall, ktorá nahrádza bránu firewall pre internetové pripojenie. Ak brána firewall systému Microsoft Windows blokuje port, ktorý používa určitá služba alebo program, môžete túto bránu nakonfigurovať tak, aby vznikla výnimka. Brána firewall systému Windows môže blokovať program alebo službu, ak sú splnené nasledovné podmienky:
  • Programy neodpovedajú na požiadavky klienta.
  • Klientske programy neprijímajú údaje zo servera.
Upozornenie zabezpečenia brány firewall systému Windows vás môže upozorniť na blokovanie konkrétneho programu bránou firewall systému Windows. Ak je to tak, môžete tento program odblokovať výberom možnosti Odblokovať tento program v dialógovom okne Upozornenie zabezpečenia. Ak chcete zistiť, ktoré programy a porty sú blokované, môžete bránu firewall systému Windows nakonfigurovať tak, aby sa vynechané pakety zapisovali do denníka. S nástrojom Windows Firewall Netsh Helper môžete konfigurovať zapisovanie aj samotnú bránu firewall systému Windows z príkazového riadka. Nie vždy musí problém spôsobovať kompatibilita programov. Spúšťaniu programov môže brániť aj nastavenie politiky skupiny. Balík Windows XP Service Pack 2 (SP2) zahŕňa viacero pomôcok, ktoré je možné použiť pri riešení problémov s bránou firewall systému Windows.

ÚVOD

Najúčinnejším spôsobom odstránenia problému s blokovaním zo strany brány firewall je zmeniť programy tak, aby spolupracovali s bránami firewall. Ak nemôžete zmeniť program, môžete nakonfigurovať bránu firewall systému Windows pridaním výnimiek pre konkrétne porty a programy. Tento článok sa zaoberá príznakmi zlyhania, ktoré súvisia s predvolenou konfiguráciou brány firewall balíka Windows XP Service Pack, ďalej konfigurovaním výnimiek pre porty a programy a riešením problémov s nastavením brány firewall.

DALSIE INFORMACIE

Rozpoznanie príznakov zlyhania

Zlyhania súvisiace s predvolenou konfiguráciou brány firewall sa prejavujú dvoma spôsobmi:
  • Klientske programy neprijímajú údaje zo servera. Údaje nemusia prijímať napríklad nasledujúce klientske programy:
    • klient FTP,
    • softvér na prenos multimediálnych údajov,
    • upozornenia na novú poštu v niektorých e-mailových programoch.
  • Serverové programy v počítači so systémom Windows XP nemusia reagovať na požiadavky klientov. Na požiadavky nemusia reagovať napríklad nasledovné serverové programy:
    • webový server, ako je napríklad IIS (Internet Information Services),
    • vzdialená pracovná plocha,
    • zdieľanie súborov.
    Poznámky.
    • Zlyhania sieťových programov nie sú obmedzené len na zlyhania v dôsledku problémov s bránou firewall. Tieto zlyhania môžu byť spôsobené zmenami zabezpečenia RPC alebo DCOM. Preto je potrebné zistiť, či zlyhanie nesprevádza aj upozornenie zabezpečenia brány firewall systému Windows, ktoré naznačuje, že program je blokovaný.
    • Pri zlyhaní služieb sa upozornenia zabezpečenia brány firewall systému Windows nezobrazujú, pretože služby zvyčajne nie sú spojené s reláciou prihlásenia používateľa. Ak zlyhanie súvisí so službou, nakonfigurujte bránu firewall tak, ako je to uvedené v sekcii „Konfigurovanie brány firewall systému Windows pomocou služby Centrum zabezpečenia systému Windows“.
Ak je program blokovaný, môže sa zobraziť nasledovné upozornenie zabezpečenia brány firewall systému Windows:

Z dôvodu zabezpečenia ochrany počítača brána firewall systému Windows zablokovala pre tento program prijímanie nevyžiadaných informácií z Internetu alebo zo siete

Názov: Program_Name
Vydavateľ: Publisher_Name
Odblokovať tento program
Zachovať blokovanie tohto programu
Zachovať blokovanie tohto programu s možnosťou neskoršieho prehodnotenia

Ďalšie informácie o bráne firewall systému Windows.



Konfigurovanie brány firewall systému Windows pomocou upozornenia zabezpečenia brány firewall systému Windows

V rámci upozornenia brány firewall systému Windows máte k dispozícii tieto tri možnosti:
  • odblokovanie programu,
  • zachovanie blokovania tohto programu,
  • zachovanie blokovania tohto programu s možnosťou neskoršieho prehodnotenia.

Ak chcete odblokovať program, kliknite na položku Odblokovať tento program v dialógovom okne Upozornenie zabezpečenia a potom kliknite na tlačidlo OK.

Konfigurovanie brány firewall systému Windows pomocou služby Centrum zabezpečenia systému Windows

Pridanie výnimky pre program

Pridaním programu do zoznamu výnimiek umožníte, aby brána firewall otvorila rozsahy portov, ktoré sa môžu zmeniť pri každom spustení programu. Na pridanie výnimky pre program použite nasledovný postup:
  1. Prihláste sa s kontom správcu.

    Ďalšie informácie o tom, ako zistiť, či konto, ktoré ste aktuálne použili na prihlásenie, je kontom správcu, nájdete v článku databázy Microsoft Knowledge Base, ktorý sa zobrazí po kliknutí na nasledovné číslo článku:
    871211 Ako zistiť, či ste sa prihlásili ako správca, a či sa pre počítač uplatňuje politika skupiny (Toto prepojenie môže smerovať na obsah, ktorý je z časti alebo celý v angličtine.)
  2. Kliknite na tlačidlo Štart, kliknite na príkaz Spustiť, zadajte príkaz Wsui.cpl a potom kliknite na tlačidlo OK.
  3. V okne Centrum zabezpečenia systému Windows kliknite na položku Brána firewall systému Windows.
  4. Na karte Výnimky kliknite na tlačidlo Pridať program.
  5. V zozname programov kliknite na názov programu, ktorý chcete pridať, a potom kliknite na tlačidlo OK. Ak sa názov programu nenachádza v zozname programov, po kliknutí na tlačidlo Prehľadávať vyhľadajte program a potom kliknite na tlačidlo OK.


    Poznámka. Ak neviete, kde sa program nachádza, požiadajte dodávateľa programu o informácie o umiestnení programu.

    Informácie o možnostiach kontaktovania dodávateľa programu získate v článku databázy Microsoft Knowledge Base, ktorý sa zobrazí po kliknutí na príslušné číslo článku:
    65416 Kontaktné informácie dodávateľov hardvéru a softvéru, A-K (Toto prepojenie môže smerovať na obsah, ktorý je z časti alebo celý v angličtine.)

    60781 Kontaktné informácie dodávateľov hardvéru a softvéru, L-P (Toto prepojenie môže smerovať na obsah, ktorý je z časti alebo celý v angličtine.)

    60782 Kontaktné informácie dodávateľov hardvéru a softvéru, Q-Z (Toto prepojenie môže smerovať na obsah, ktorý je z časti alebo celý v angličtine.)
  6. Kliknutím na tlačidlo OK zatvorte bránu firewall systému Windows.
  7. Testovaním programu overte správnosť nastavenia brány firewall.


Pridanie výnimky pre port

Ak sa problém neodstráni pridaním programu do zoznamu výnimiek, môžete manuálne pridať porty. Najprv je však nutné zistiť, ktoré porty program používa. Spoľahlivým spôsobom zistenia využitia portov je kontaktovanie dodávateľa programu. Ak nie je možné obrátiť sa na dodávateľa, alebo ak zoznam portov nie je k dispozícii, na určenie používaných portov môžete použiť nástroj Netstat.exe.

Identifikovanie portov
  1. Spustite program a skúste použiť jeho sieťové funkcie. Ak ide napríklad o multimediálny program, skúste spustiť zvukovú sekvenciu. Ak ide o webový server, skúste spustiť službu.
  2. Do príkazového riadka zadajte príkaz Netstat –ano > netstat.txt a stlačte kláves ENTER. Tento príkaz slúži na vytvorenie súboru Netstat.txt. Tento súbor obsahuje zoznam všetkých portov počúvania.
  3. Do príkazového riadka zadajte príkaz Tasklist > tasklist.txt a stlačte kláves ENTER. Ak sa daný program spúšťa ako služba zadajte príkaz Tasklist /svc > tasklist.txt namiesto príkazu Tasklist > tasklist.txt, aby boli uvedené služby, ktoré sú zavedené v každom procese.
  4. Otvorte súbor Tasklist.txt a vyhľadajte program, pre ktorý riešite problémy. Poznačte si identifikátor procesu a potom otvorte súbor Netstat.txt. Poznačte si všetky položky, ktoré sú priradené k tomuto identifikátoru procesu, a použitý protokol.
Ak čísla portov pre proces sú menšie ako 1 024, pravdepodobne sa nezmenia. Ak použité čísla sú väčšie alebo rovnaké ako 1 024, program môže používať rozsah portov. A preto nemôžete problém odstrániť otvorením jednotlivých portov.

Pridanie výnimky pre port
  1. Kliknite na tlačidlo Štart, kliknite na príkaz Spustiť, zadajte príkaz Wscui.cpl a potom kliknutím na tlačidlo OK otvorte bránu firewall systému Windows.
  2. Kliknite na kartu Výnimky a potom kliknutím na tlačidlo Pridať port zobrazte dialógové okno Pridanie portu.
  3. Zadajte číslo portu, ktorý program používa.
  4. Vyberte protokol TCP alebo UDP podľa toho, ktorý protokol program používa.
  5. Do poľa Názov zadajte popisný názov pre port.
  6. Po kliknutí na tlačidlo Zmeniť rozsah zobrazte alebo nastavte rozsah výnimiek pre porty a potom kliknite na tlačidlo OK.
  7. Kliknutím na tlačidlo OK zavrite dialógové okno Pridanie portu.
  8. Testovaním programu overte správnosť nastavenia portov pre program.


Použitie zápisu do denníka

Môžete zapnúť zapisovanie do denníka, ktoré vám pomáha určovať zdroje vstupného prenosu a poskytnúť podrobnosti o blokovanom prenose. Predvolený súbor denníka je súbor %Windir%\pfirewall.log. Na zapnutie zapisovania do denníka použite nasledovný postup:
  1. Kliknite na tlačidlo Štart, kliknite na príkaz Spustiť, zadajte príkaz Firewall.cpl a potom kliknite na tlačidlo OK.
  2. Kliknite na kartu Spresnenie.
  3. V časti Zapisovanie do denníka zabezpečenia kliknite na tlačidlo Nastavenie.
  4. V časti Možnosti zapisovania do denníka začiarknite políčko Zapísať vynechané pakety a potom kliknite na tlačidlo OK.
  5. Kliknutím na tlačidlo OK zatvorte bránu firewall systému Windows.

Poznámka. Úspešný výstupný prenos sa nezapisuje. Výstupný prenos, ktorý nie je blokovaný, sa nezapisuje.


Vysvetlivky k súboru denníka

Pre každý zapísaný paket sa zhromažďujú nasledovné informácie:

Zbaliť túto tabuľkuRozbaliť túto tabuľku
PoliaPopisPríklad
DateZobrazuje rok, mesiac a deň výskytu zaznamenanej transakcie. Dátumy sa zaznamenávajú vo formáte RRRR-MM-DD, kde RRRR predstavuje rok, MM mesiac a DD deň.2001-01-27
TimeZobrazuje hodinu, minútu a sekundy výskytu zaznamenanej transakcie. Časy sa zaznamenávajú vo formáte: HH:MM:SS, kde HH predstavuje hodinu v 24-hodinovom formáte, MM počet minút a SS počet sekúnd.21:36:59
ActionOznačuje operáciu zaznamenanú bránou firewall. Dostupné možnosti pre bránu firewall sú OPEN, CLOSE, DROP a INFO-EVENTS-LOST. Akcia INFO-EVENTS-LOST označuje počet udalostí, ktoré sa vyskytli, ale neboli zapísané do denníka.OPEN
ProtokolZobrazuje protokol použitý na komunikáciu. Záznamom protokolu môže byť aj číslo pre pakety, ktoré nepoužívajú protokoly TCP, UDP alebo ICMP.TCP
src-ipZobrazuje zdrojovú adresu IP alebo adresu IP počítača, ktorý sa pokúša o komunikáciu.192.168.0.1
dst-ipZobrazuje cieľovú adresu IP pokusu o komunikáciu.192.168.0.1
src-portZobrazuje číslo zdrojového portu odosielajúceho počítača. Položka src-port sa zaznamenáva ako celé číslo v rozsahu od 1 do 65 535. Platná položka src-port sa zobrazuje iba v prípade použitia protokolu TCP a UDP. V prípade všetkých ostatných protokolov sa položka src-port zobrazuje ako -.4039
dst-portZobrazuje číslo cieľového portu. Položka dst-port sa zaznamenáva ako celé číslo v rozsahu od 1 do 65 535. Platná položka dst-port sa zobrazuje iba v prípade použitia protokolu TCP a UDP. V prípade všetkých ostatných protokolov sa položka dst-port zobrazuje ako -.53
sizeZobrazuje veľkosť paketu v bajtoch.60
tcpflagsZobrazuje kontrolné príznaky TCP, ktoré sa našli v hlavičke TCP paketu IP:
  • Ack (významné pre pole potvrdenia),
  • Fin (žiadne ďalšie údaje od odosielateľa),
  • Psh (funkcia odovzdávania údajov),
  • Rst (obnovenie pripojenia),
  • Syn (synchronizácia poradových čísel),
  • Urg (významné pre pole smerníka naliehavosti).
Príznaky sú uvedené veľkými písmenami.
AFP
tcpsynZobrazuje poradové číslo TCP v pakete.1315819770
tcpackZobrazuje číslo potvrdenia TCP v pakete.0
tcpwinZobrazuje veľkosť okna TCP v pakete v bajtoch.64240
icmptypeZobrazuje číslo, ktoré predstavuje pole typu správy ICMP.8
icmpcodeZobrazuje číslo, ktoré predstavuje pole kódu správy ICMP.0
infoZobrazuje položku informácií závislých od typu akcie, ktorá sa vyskytla. Napríklad akcia INFO-EVENTS-LOST vytvára položku pre počet udalostí od posledného výskytu udalosti tohto typu, ktoré sa vyskytli, ale neboli zapísané do denníka.23

Poznámka. V poliach položiek, pre ktoré nie sú k dispozícii žiadne informácie, sa používa spojovník (-).


Použitie podpory príkazového riadka.

V balíku Microsoft Advanced Networking Pack je pre systém Windows XP k dispozícii nástroj Windows Firewall Netsh Helper. Tento pomocník príkazového riadka sa predtým používal pre bránu firewall systému Windows IPv6. Pri použití balíka Windows XP Service Pack 2 tento pomocník teraz zahŕňa aj podporu pre konfiguráciu IPv4.

Nástroj Netsh Helper vám teraz umožňuje:
  • konfigurovať predvolený stav brány firewall systému Windows (dostupné možnosti sú Vypnutá, Zapnutá a Zapnutá (Nepovoliť výnimky)),
  • konfigurovať porty, ktoré musia byť otvorené,
  • konfigurovať porty na povolenie globálneho prístupu alebo na obmedzenie prístupu k lokálnej podsieti,
  • nastaviť porty na otvorenie na všetkých rozhraniach alebo len na konkrétnom rozhraní,
  • konfigurovať možnosti zápisu do denníka,
  • konfigurovať možnosti spracovania protokolu ICMP (Internet Control Message Protocol),
  • pridávať programy do zoznamu výnimiek alebo odstraňovať ich z tohto zoznamu.
Tieto možnosti konfigurácie sú platné pre verzie IPv6 aj IPv4 brány firewall systému Windows, ak príslušná funkcia existuje v príslušnej verzii brány firewall systému Windows.


Zhromaždenie diagnostických údajov

Informácie o konfigurácii a stave brány firewall systému Windows je možné získať pomocou nástroja Netsh.exe. Tento nástroj pridáva podporu pre bránu firewall IPv4 k nasledovnému kontextu Netsh:
netsh firewall
Ak chcete použiť tento kontext, do príkazového riadka zadajte príkaz netsh firewall a potom podľa potreby použite ďalšie príkazy Netsh. Na zhromaždenie informácií o stave a konfigurácii brány firewall sú užitočné tieto príkazy:
  • Netsh firewall show state
  • Netsh firewall show config

Porovnaním výstupu týchto príkazov s výstupom príkazu netstat –ano zistite, ktoré programy majú otvorené porty počúvania, a ktoré nemajú zodpovedajúce výnimky v konfigurácii brány firewall. Podporované príkazy na zhromažďovanie údajov a konfigurovanie sú uvedené v nasledovných tabuľkách.

Poznámka. Nastavenie môže zmeniť len správca.

Zhromažďovanie údajov
Zbaliť túto tabuľkuRozbaliť túto tabuľku
PríkazPopis
show allowedprogramZobrazí povolené programy.
show configZobrazí podrobné informácie o lokálnej konfigurácii.
show currentprofileZobrazí aktuálny profil.
show icmpsettingZobrazí nastavenie protokolu ICMP.
show loggingZobrazí nastavenie zápisu do denníka.
show opmodeZobrazí prevádzkový režim.
show portopeningZobrazí porty s výnimkou.
show serviceZobrazí služby.
show stateZobrazí informácie o aktuálnom stave.
show notificationsZobrazí aktuálne nastavenie pre upozornenia.

Konfigurácia
Zbaliť túto tabuľkuRozbaliť túto tabuľku
PríkazPopis
add allowedprogramSlúži na pridanie prenosu s výnimkou zadaním názvu súboru programu.
set allowedprogramSlúži na zmenu nastavenia existujúceho povoleného programu.
delete allowedprogramSlúži na odstránenie existujúceho povoleného programu.
set icmpsettingSlúži na zadanie povoleného prenosu ICMP.
set loggingSlúži na zadanie možností zápisu do denníka pre bránu firewall systému Windows na globálnej úrovni alebo pre konkrétne pripojenie (rozhranie).
set opmodeSlúži na zadanie prevádzkového režimu brány firewall systému Windows na globálnej úrovni alebo pre konkrétne pripojenie (rozhranie).
add portopeningSlúži na pridanie prenosu s výnimkou zadaním portu TCP alebo UDP.
set portopeningSlúži na zmenu nastavenia existujúceho otvoreného portu TCP alebo UDP.
delete portopeningSlúži na odstránenie existujúceho otvoreného portu TCP alebo UDP.
set serviceSlúži na povolenie alebo vynechanie prenosu RPC a DCOM, zdieľania súborov a tlačiarní a prenosu UPnP.
set notificationsSlúži na nastavenie povolenia upozornení pre používateľa pri pokuse programov o otvorenie portov.
resetObnovuje pôvodnú konfiguráciu brány firewall. Poskytuje rovnakú funkcionalitu ako tlačidlo Obnoviť predvolené v rozhraní brány firewall systému Windows.



Riešenie problémov s bránou firewall

Popri problémoch s kompatibilitou programov sa pri práci s bránou firewall systému Windows môžu vyskytnúť aj iné problémy. Na diagnostiku týchto problémov použite nasledovný postup:
  1. Ak chcete overiť správnu činnosť protokolu TCP/IP, použite príkaz ping na testovanie adresy spätnej slučky (127.0.0.1) a priradenej adresy IP.
  2. Overením konfigurácie v používateľskom rozhraní skontrolujte, či brána firewall nebola omylom nastavená na hodnotu Vypnutá alebo Zapnutá (Nepovoliť výnimky).
  3. Použite príkazy netsh pre informácie o stave a konfigurácii na vyhľadanie nesprávnych nastavení, ktoré by mohli interferovať s očakávaným správaním.
  4. Zistite stav služby Brána firewall systému Windows/Zdieľanie internetového pripojenia zadaním nasledovného príkazu do príkazového riadka:
    sc query sharedaccess
    (Skrátený názov tejto služby je SharedAccess.) Ak sa táto služba nespustí, riešte problémy so spúšťaním služby na základe výstupného kódu Win32.
  5. Zistite stav súboru ovládača brány firewall Ipnat.sys zadaním nasledovného príkazu do príkazového riadka:
    sc query ipnat
    Tento príkaz tiež vráti výstupný kód Win32 z posledného pokusu o spustenie. Ak sa ovládač nespúšťa, použite postup pri riešení problémov s ovládačom.
  6. Ak sú ovládač aj služba spustené a v denníkoch udalostí nie sú zaznamenané žiadne súvisiace chyby, pomocou možnosti Obnoviť predvolené na karte Spresnenie v okne Brána firewall systému Windows odstráňte všetky potenciálne problematické nastavenia konfigurácie.
  7. Ak problém stále nie je odstránený, hľadajte nastavenia politiky, ktoré môžu spôsobovať neočakávané správanie. Použite na to príkaz GPResult /v > gpresult.txt, ktorý zadáte do príkazového riadka, a potom v texte výsledného súboru skontrolujete nakonfigurované politiky, ktoré súvisia s bránou firewall.

Konfigurovanie politiky skupiny pre bránu firewall systému Windows

Ak potrebujete zistiť, či spúšťaniu programov v prostredí podniku nebránia nastavenia politiky skupiny, obráťte sa na správcu siete.

Nastavenia politík skupín brány firewall systému Windows sa nachádzajú v týchto moduloch Editora objektov politiky skupiny:
  • Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall
  • Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall/ Domain Profile
  • Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall/ Standard Profile

Na týchto miestach môžete konfigurovať tieto nastavenia politiky skupiny:
  • Brána firewall systému Windows: Povoliť obchádzania overenia protokolu IPSec,
  • Brána firewall systému Windows: Chrániť všetky sieťové pripojenia,
  • Brána firewall systému Windows: Nepovoliť výnimky,
  • Brána firewall systému Windows: Definovať výnimky pre programy,
  • Brána firewall systému Windows: Povoliť lokálne výnimky pre programy,
  • Brána firewall systému Windows: Povoliť výnimky pre vzdialenú správu,
  • Brána firewall systému Windows: Povoliť výnimku pre zdieľanie súborov a tlačiarní,
  • Brána firewall systému Windows: Povoliť výnimky ICMP,
  • Brána firewall systému Windows: Povoliť výnimku pre vzdialenú pracovnú plochu,
  • Brána firewall systému Windows: Povoliť výnimky pre rámec UPnP (Universal Plug and Play),
  • Brána firewall systému Windows: Zakázať upozornenia,
  • Brána firewall systému Windows: Povoliť zápis do denníka,
  • Brána firewall systému Windows: Zakázať odpovede jednosmerového vysielania na prenosy rozosielania/vysielania,
  • Brána firewall systému Windows: Definovať výnimky pre porty,
  • Brána firewall systému Windows: Povoliť výnimky pre lokálne porty.

Ak chcete získať ďalšie informácie o nastavení politiky skupiny brány firewall systému Windows, prevezmite nasledovnú štúdiu:

Vlastnosti

ID článku: 875357 - Posledná kontrola: 22. mája 2006 - Revízia: 2.1
Informácie v tomto článku sa týkajú nasledujúcich produktov:
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
Kľúčové slová: 
kbscreenshot kbgraphxlink kbtshoot kbhowtomaster KB875357

Odošlite odozvu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com