ID članka: 875357 - Zadnji pregled: 22. maj 2006 - Revizija: 2.1

Odpravljanje težav z nastavitvami požarnega zidu v servisnem paketu SP2 za Windows XP

Oglejte si izdelke, na katere se nanaša ta članek.
Sistemski namigTa članek se nanaša na operacijski sistem, ki je drugačen od vašega. Vsebina članka, ki za vas najbrž ni pomembna, je bila onemogočena.

Na tej strani

Razširi vse | Zmanjšaj

POVZETEK

Servisni paket SP2 za Microsoft Windows XP vsebuje posodobljen požarni zid, ki nadomesti požarni zid internetne povezave. Če požarni zid programa Microsoft blokira vrata, ki jih uporablja storitev ali program, ga lahko nastavite tako, da dovoli izjeme. Požarni zid morda blokira program ali storitev, če se pojavljajo naslednje težave:
  • Programi se ne odzivajo na zahteve odjemalcev.
  • Odjemalski programi ne prejemajo podatkov iz strežnika.
Varnostno opozorilo požarnega zidu lahko obvesti, da požarni zid programa Windows blokira neki program. Če se to zgodi, program omogočite tako, da v pogovornem oknu varnostnega opozorila kliknete Odstrani blokado tega programa. Če želite ugotoviti, kateri programi in vrata so blokirani, lahko požarni zid nastavite tako, da bo v dnevnik zapisoval izgubljene pakete. S pomočnikom za ukaze »netsh« lahko iz ukazne vrstice konfigurirate požarni zid programa Windows in zapisovanje v dnevnik. Nezdružljivost programov pa ni vedno razlog za težave. Izvajanje programov lahko namreč preprečijo tudi nastavitve pravilnika skupine. Servisni paket SP2 za Windows XP vsebuje številna orodja, s katerimi lahko odpravite težave s požarnim zidom programa Windows.
Nazaj na vrh

UVOD

Težave z blokiranjem najlažje odpravite tako, da programe spremenite, da bodo delovali z naprednim filtriranjem v požarnem zidu. Če programa ne morete spremeniti, pa lahko požarni zid programa Windows nastavite tako, da na seznam izjem dodate določena vrata in programe. V tem članku so opisane težave, ki jih povzročijo napačne nastavitve požarnega zidu v servisnem paketu SP2 za Windows XP, dodajanje vrat in programov na seznam izjem ter odpravljanje težav z nastavitvami požarnega zidu.

Nazaj na vrh

DODATNE INFORMACIJE

Nazaj na vrh

Prepoznavanje znakov napak

Napake, ki nastanejo zaradi privzete konfiguracije požarnega zidu, se kažejo takole:
  • Odjemalski programi ne prejemajo podatkov iz strežnika. Primeri takšnih odjemalcev so:
    • Odjemalec FTP
    • Program za pretočno večpredstavnost
    • Obvestila o novi e-pošti v nekaterih e-poštnih programih
  • Strežniški programi, ki se izvajajo v računalniku z operacijskim sistemom Windows XP SP2, se ne odzivajo na zahteve odjemalcev. Primeri takšnih strežnikov so:
    • Spletni strežnik za storitve IIS (Internet Information Services)
    • Oddaljeno namizje
    • Skupna raba datotek
    Opombe
    • Napak v delovanju omrežnih programov pa ne povzroča nujno požarni zid. Prav tako jih lahko povzročijo varnostne spremembe storitve RPC ali DCOM. Zaradi tega morate najprej ugotoviti, ali se ob napaki prikaže varnostno opozorilo požarnega zidu programa Windows, ki je dokaz, da je bil program blokiran.
    • Ob napakah storitev se varnostno opozorilo požarnega zidu programa Windows ne prikaže, ker te storitve običajno niso povezane s prijavo uporabnika. Če se napaka nanaša na storitve, požarni zid nastavite tako, kot je opisano v razdelku »Konfiguriranje požarnega zidu programa Windows v varnostnem središču«.
Če je program blokiran, se lahko prikaže to varnostno opozorilo požarnega zidu programa Windows:

Da bi zaščitil računalnik, je požarni zid programa Windows temu programu preprečil sprejemanje informacij, ki jih niste zahtevali, iz interneta ali omrežja.

Ime: ime_programa
Založnik: ime_založnika
Odstrani blokado tega programa
Ta program naj ostane blokiran
Ta program naj ostane blokiran, vendar vprašaj znova

Več o požarnem zidu programa Windows



Nazaj na vrh

Konfiguriranje požarnega zidu programa Windows v varnostnem opozorilu požarnega zidu

V varnostnem opozorilu požarnega zidu programa Windows imate na voljo tri možnosti:
  • Odstrani blokado tega programa
  • Ta program naj ostane blokiran
  • Ta program naj ostane blokiran, vendar vprašaj znova

Če želite odstraniti blokado programa, v varnostnem opozorilu kliknite Odstrani blokado tega programa in nato V redu.
Nazaj na vrh

Konfiguriranje požarnega zidu programa Windows v varnostnem središču

Dodajanje programa na seznam izjem

Ko program dodate na seznam izjem, bo požarni zid odprl obseg vrat, ki se lahko spremeni vsakič, ko se program zažene. Program dodate takole:
  1. Prijavite se s skrbniškim računom.
  2. Kliknite Start in Zaženi, vnesite Wscui.cpl in kliknite V redu.
  3. V oknu Varnostno središče programa Windows kliknite Požarni zid programa Windows.
  4. Na kartici Izjeme kliknite Dodaj program.
  5. Na seznamu programov kliknite program, ki ga želite dodati, in nato V redu. Če programa ni na seznamu, kliknite Prebrskaj in ga poiščite, nato pa kliknite V redu.


    Opomba Če ne veste, kjer je program shranjen, se obrnite na njegovega proizvajalca.

    Če želite izvedeti, kako se obrniti na proizvajalca programa, kliknite ustrezno številko na spodnjem seznamu in si oglejte članek v Microsoftovi zbirki znanja:
    65416  (http://support.microsoft.com/kb/65416/ ) Podatki za stik s proizvajalci strojne in programske opreme, A–K (Ta povezava lahko vodi k besedilu, ki je delno ali v celoti v angleščini)

    60781  (http://support.microsoft.com/kb/60781/ ) Podatki za stik s proizvajalci strojne in programske opreme, L–P (Ta povezava lahko vodi k besedilu, ki je delno ali v celoti v angleščini)

    60782  (http://support.microsoft.com/kb/60782/ ) Podatki za stik s proizvajalci strojne in programske opreme, Q–Z (Ta povezava lahko vodi k besedilu, ki je delno ali v celoti v angleščini)
  6. Kliknite V redu, da zaprete požarni zid programa Windows.
  7. Preskusite program, da se prepričate, ali so nastavitve požarnega zidu ustrezne.


Dodajanje vrat na seznam izjem

Če z dodajanjem programa na seznam izjem težave ne odpravite, lahko ročno dodate še vrata. Seveda morate najprej ugotoviti, katera vrata program uporablja. Najbolje je, da povprašate proizvajalca programa, če pa to ni mogoče oziroma če seznam vrat ni na voljo, uporabite orodje Netstat.exe, s katerim odkrijete vrata, ki so v uporabi.

Določanje vrat
  1. Zaženite program, za katerega želite odpreti vrata, in poskušajte uporabiti njegove omrežne funkcije. Če gre za predstavnostni program, poskusite predvajati pretočni zvok. Če gre za spletni strežnik, zaženite storitev.
  2. V ukazno vrstico vnesite Netstat –ano > netstat.txt in pritisnite tipko ENTER. Tako ustvarite datoteko Netstat.txt, v kateri je seznam vseh vrat, pri katerih poslušajo programi.
  3. V ukazno vrstico vnesite Tasklist > tasklist.txt in pritisnite tipko ENTER. Če se program izvaja kot storitev, vnesite Tasklist /svc > tasklist.txt, da se v datoteko zapišejo vse naložene storitve.
  4. Odprite datoteko Tasklist.txt in poiščite program, ki povzroča težave. Zapišite si ustrezni identifikator procesa in odprite datoteko Netstat.txt. Zapišite si vse vnose, povezane z identifikatorjem procesa, in uporabljeni protokol.
Če so številke vrat, ki jih proces uporablja, manjše od 1024, se verjetno ne bodo spremenile. Če so številke vrat večje ali enake 1024, program verjetno uporablja obseg vrat, zato z odpiranjem posameznih vrat težave bržkone ne boste ustrezno rešili.

Dodajanje vrat na seznam izjem
  1. Kliknite Start in Zaženi, vnesite Wscui.cpl in kliknite V redu, da odprete požarni zid.
  2. Kliknite kartico Izjeme in nato Dodaj vrata, da odprete pogovorno okno Dodaj vrata.
  3. Vnesite številko vrat, ki jih program uporablja.
  4. Izberite protokol TCP ali UDP, tistega pač, ki ga program uporablja.
  5. V polje Ime vnesite opisno ime vrat.
  6. Če si želite ogledati ali določiti obseg vrat, kliknite Spremeni obseg in nato V redu.
  7. Kliknite V redu, da zaprete pogovorno okno Dodaj vrata.
  8. Preskusite, ali program deluje, da se prepričate, ali so nastavitve vrat pravilne.


Nazaj na vrh

Uporaba zapisovanja v dnevnik

Če omogočite zapisovanje v dnevnik, lažje odkrijete vir dohodnega prometa in natančno ugotovite, kateri promet je blokiran. Privzeta dnevniška datoteka je %Windir%\pfirewall.log. Zapisovanje v dnevnik omogočite takole:
  1. Kliknite Start in Zaženi, vnesite Firewall.cpl in kliknite V redu.
  2. Kliknite kartico Dodatno.
  3. V razdelku Varnostni dnevnik kliknite Nastavitve.
  4. V pogovornem oknu Nastavitve dnevnika potrdite polje Zabeleži izgubljene paketein kliknite V redu.
  5. Kliknite V redu, da zaprete požarni zid programa Windows.

Opomba Odhodni promet, ki ni blokiran, se v dnevnik ne zapiše.


Razbiranje dnevniške datoteke

Za vsak paket, ki je zapisan v dnevnik, so na voljo te informacije:

Zmanjšaj tabeloRazširi tabelo
PoljaOpisPrimer
DatumLeto, mesec in dan zapisane transakcije. Datumi so zapisani v obliki LLLL-MM-DD, kjer je LLLL leto, MM mesec in DD dan.2001-01-27
ČasUra, minuta in sekunde zapisane transakcije. Čas je zapisan v tej obliki: UU:MM:SS, kjer je UU ura, MM minuta in SS sekunda.21:36:59
DejanjeOperacija, ki jo je požarni zid zaznal. Na voljo so dejanja OPEN, CLOSE, DROP in INFO-EVENTS-LOST. Dejanje INFO-EVENTS-LOST označuje število dogodkov, ki so se zgodili, a niso bili zapisani v dnevnik.OPEN
ProtokolProtokol, uporabljen pri komunikaciji. Tu je lahko navedena tudi številka za pakete, ki ne uporabljajo protokolov TCP, UDP in ICMP.TCP
src-ipIzvorni naslov IP ali naslov IP računalnika, ki skuša vzpostaviti komunikacijo.192.168.0.1
dst-ipCiljni naslov IP poskusa komunikacije.192.168.0.1
src-portŠtevilka izvornih vrat računalnika, ki pošilja podatke. Ta vnos je celo število med 1 in 65.535. Le pri protokolih TCP in UDP je prikazana veljavna številka vrat. Pri drugih protokolih je prikazan -.4039
dst-portŠtevilka izvornih vrat računalnika, ki sprejema podatke. Ta vnos je celo število med 1 in 65.535. Le pri protokolih TCP in UDP je prikazana veljavna številka vrat. Pri drugih protokolih je prikazan -.53
VelikostVelikost paketa v bajtih.60
TcpflagsKontrolne zastavice TCP iz glave TCP paketa IP:
  • Ack Acknowledgment field significant (Polje s potrdilom pomembno)
  • Fin No more data from sender (Nič več podatkov od pošiljatelja)
  • Psh Push function (Potisni funkcijo)
  • Rst Reset the connection (Ponastavi povezavo)
  • Syn Synchronize sequence numbers (Sinhroniziraj številke zaporedja)
  • Urg Urgent Pointer field significant (Polje z nujnim kazalcem pomembno)
Zastavice so zapisane z velikimi črkami.		AFP
tcpsynPrikaže številko zaporedja TCP v paketu.1315819770
tcpackPrikaže številko potrdila TCP v paketu.0
tcpwinPrikaže velikost okna TCP (v bajtih) v paketu.64240
icmptypePrikaže številko, ki predstavlja polje Vrsta v sporočilu ICMP.8
icmpcodePrikaže številko, ki predstavlja polje Koda v sporočilu ICMP.0
infoPrikaže podatkovni vnos, ki je odvisen od vrste izvedenega dejanja. Dejanje INFO-EVENTS-LOST na primer ustvari vnos za dogodke, ki so se zgodili, vendar niso bili zapisani v dnevnik od takrat, ko je bil v dnevnik zadnjič zapisan dogodek te vrste.23

Opomba Vezaj (-) je uporabljen v poljih, kjer ni informacij o vnosu.


Nazaj na vrh

Uporaba podpore iz ukazne vrstice

Operacijskemu sistemu Windows XP je bil v paketu za omrežja Microsoft Advanced Networking Pack dodan pomočnik za ukaze »netsh«. Ta pomočnik za ukazno vrstico je bil prej namenjen požarnemu zidu za protokol IPv6, v servisnem paketu SP2 za Windows XP pa vključuje tudi podporo za protokol IPv4.

S pomočnikom lahko:
  • Konfigurirate privzeto stanje požarnega zidu programa Windows. Možnosti so Off (Izklopljeno), On (Vklopljeno) in On with no exceptions (Vklopljeno – Ne dovoli izjem).
  • Konfigurirate vrata, ki morajo biti odprta.
  • Konfigurirate vrata, da omogočite ali prepoveste dostop do krajevnega podomrežja.
  • Odprete vrata v vseh ali samo v določenem vmesniku.
  • Konfigurirate možnosti zapisovanja v dnevnik.
  • Konfigurirate obravnavo protokola ICMP (Internet Control Message Protocol).
  • Dodajate in odstranjujete programe s seznama izjem.
Te možnosti veljajo za požarni zid IPv4 in IPv6, razen pri različici, kjer nekatere funkcije niso na voljo.


Zbiranje diagnostičnih podatkov

Podatke o nastavitvah in stanju požarnega zidu programa Windows lahko pridobite iz ukazne vrstice z orodjem Netsh.exe. Orodje doda podporo za požarni zid IPv4 v naslednji kontekst »netsh«:
netsh firewall
V ukazni pozivnik vnesite netsh firewall in po potrebi uporabite še dodatne ukaze netsh. Če želite zbrati podatke o stanju in nastavitvah požarnega zidu, uporabite ukaza:
  • Netsh firewall show state
  • Netsh firewall show config

Podatke, ki jih pridobite s tema ukazoma, primerjajte s podatki, pridobljenimi z ukazom netstat –ano, ter poiščite programe, ki imajo odprta vrata za poslušanje, niso pa navedeni na seznamu izjem požarnega zidu. Ukazi za zbiranje podatkov in nastavitev so našteti v spodnji tabeli.

Opombe Nastavitve lahko spreminja le skrbnik.

Zbiranje podatkov
Zmanjšaj tabeloRazširi tabelo
UkazOpis
show allowedprogramPrikaže dovoljene programe.
show configPrikaže natančne podatke o lokalni konfiguraciji.
show currentprofilePrikaže trenutni profil.
show icmpsettingPrikaže nastavitve za ICMP.
show loggingPrikaže nastavitve zapisovanja v dnevnik.
show opmodePrikaže način delovanja.
show portopeningPrikaže vrata na seznamu izjem.
show servicePrikaže storitve.
show statePrikaže informacije o trenutnem stanju.
show notificationsPrikaže trenutne nastavitve za obvestila.

Konfiguracija
Zmanjšaj tabeloRazširi tabelo
UkazOpis
add allowedprogramDodajanje programa (imena datoteke programa) na seznam izjem, za katere je promet dovoljen.
set allowedprogramSpreminjanje nastavitev za dovoljen program.
delete allowedprogramBrisanje dovoljenega programa s seznama izjem.
set icmpsettingDoločanje dovoljenega prometa ICMP.
set loggingDoločanje možnosti zapisovanja v dnevnik požarnega zidu programa Windows za vse ali določeno povezavo (vmesnik).
set opmodeDoločanje načina delovanja požarnega zidu programa Windows za vse ali določeno povezavo (vmesnik).
add portopeningDodajanje vrat TCP ali UDP na seznam izjem, za katere je promet dovoljen.
set portopeningSpreminjanje nastavitev za dovoljena vrata TCP ali UDP.
delete portopeningBrisanje dovoljenih vrat TCP ali UDP s seznama izjem.
set serviceOmogočanje ali blokiranje prometa RPC in DCOM, skupne rabe datotek in tiskalnikov ter prometa UPnP.
set notificationsDoločanje, ali bo uporabniku poslano obvestilo, ko skušajo programi odpreti vrata.
resetPonastavitev nastavitev požarnega zidu na privzete vrednosti. Ta ukaz ima enako funkcijo kot gumb »Obnovi privzeto« v uporabniškem vmesniku požarnega zidu.



Nazaj na vrh

Odpravljanje težav s požarnim zidom

Poleg težav zaradi nezdružljivosti se lahko pojavijo še druge motnje v delovanju požarnega zidu programa Windows. Te težave odkrijete takole:
  1. Če se želite prepričati, da protokol TCP/IP deluje pravilno, z ukazom ping preskusite naslov za povratno zanko (127.0.0.1) in dodeljeni naslov IP.
  2. V uporabniškem vmesniku požarnega vmesnika preverite, ali ni bila morda pomotoma izbrana možnost Izklopljen ali Vklopljen (Ne dovoli izjem).
  3. Z ukazi netsh za stanje in konfiguracijo preverite, ali morda napačno delovanje povzročajo nehotene nastavitve.
  4. Preverite stanje storitve požarnega zidu programa Windows /skupne rabe internetne povezave, tako da v ukazno vrstico vnesete:
    sc query sharedaccess
    (Kratko ime te storitve je SharedAccess.) Če se storitev ne zažene, skušajte težave odpraviti na podlagi izhodne kode Win32.
  5. Preverite stanje gonilnika požarnega zidu Ipnat.sys, tako da v ukazno vrstico vnesete:
    sc query ipnat
    . Ta ukaz prav tako vrne izhodno kodo Win32 iz zadnjega poskusa zagona. Če se gonilnik ne zažene, težave odpravite tako kot pri vsakem drugem gonilniku.
  6. Če se gonilnik in storitev izvajata in v dnevniku dogodkov ni povezanih napak, kliknite gumb Povrni privzeto na kartici Dodatno v oknu Požarni zid programa Windows, da odstranite morebitno napačno konfiguracijo.
  7. Če težave s tem ne odpravite, preverite, ali nenavadno delovanje morda povzročajo nastavitve pravilnika. V ukazni pozivnik vpišite GPResult /v > gpresult.txt in v besedilni datoteki poiščite morebitne pravilnike, povezane s požarnim zidom.

Nazaj na vrh

Nastavitve pravilnika skupine za požarni zid

Skrbnika omrežja v podjetju povprašajte, ali morda delovanje programov v takšnem okolju preprečujejo nastavitve pravilnika skupine.

Nastavitve pravilnika skupine za požarni zid programa Windows najdete v snap-inu za urejanje pravilnikov skupin, če kliknete:
  • Konfiguracija računalnika/Skrbniške predloge/Network (Omrežje)/Network Connections (Omrežne povezave)/Windows Firewall (Požarni zid programa Windows)
  • Konfiguracija računalnika/Skrbniške predloge/Network (Omrežje)/Network Connections (Omrežne povezave)/Windows Firewall (Požarni zid programa Windows)/Domain Profile (Profil domene)
  • Konfiguracija računalnika/Skrbniške predloge/Network (Omrežje)/Network Connections (Omrežne povezave)/Windows Firewall (Požarni zid programa Windows)/Standard Profile (Standardni profil)

Na teh mestih lahko določite naslednje nastavitve pravilnika skupine:
  • Windows Firewall: Allow authenticated Internet Protocol security (IPSec) bypass (Dovoli preverjeni obhod protokola IPSec)
  • Windows Firewall: Protect all network connections (Zavaruj vse omrežne povezave)
  • Windows Firewall: Do not allow exceptions (Ne dovoli izjem)
  • Windows Firewall: Define program exceptions (Določi programske izjeme)
  • Windows Firewall: Allow local program exceptions (Dovoli izjeme lokalnih programov)
  • Windows Firewall: Allow remote administration exception (Dovoli izjeme oddaljenega skrbništva)
  • Windows Firewall: Allow file and print sharing exception (Dovoli izjeme skupne rabe datotek in tiskalnikov)
  • Windows Firewall: Allow ICMP exceptions (Dovoli izjeme ICMP)
  • Windows Firewall: Allow Remote Desktop exception (Dovoli izjeme oddaljenega namizja)
  • Windows Firewall: Allow Universal Plug and Plan (UpnP) framework exception (Dovoli izjeme ogrodja UpnP)
  • Windows Firewall: Prohibit notifications (Prepovej obvestila)
  • Windows Firewall: Allow logging (Dovoli zapisovanje v dnevnik)
  • Windows Firewall: Prohibit unicast response to multicast or broadcast requests (Prepovej enovrstne odgovore na večvrstne ali razpršene zahteve)
  • Windows Firewall: Define port exceptions (Določi izjeme vrat)
  • Windows Firewall: Allow local port exceptions (Dovoli izjeme lokalnih vrat)

Če želite izvedeti več o nastavitvah pravilnika skupine za požarni zid, prenesite naslednjo belo knjigo:
Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2 (http://download.microsoft.com/download/6/8/a/68a81446-cd73-4a61-8665-8a67781ac4e8/wf_xpsp2.doc)
Nazaj na vrh
VELJA ZA
  • Microsoft Windows XP Professional SP2
  • Microsoft Windows XP Home Edition SP2
Nazaj na vrh
Ključne besede: 
kbscreenshot kbgraphxlink kbtshoot kbhowtomaster KB875357
Nazaj na vrh