Номер статті: 875357 - Показ продуктів, яких стосується ця стаття.
Розгорнути все | Згорнути все

На цій сторінці

ПІДСУМКИ

До складу пакета оновлення 2 (SP2) для Microsoft Windows XP входить брандмауер Microsoft Windows - удосконалена програма мережного захисту, яка замінює собою брандмауер підключення до Інтернету (Internet Connection Firewall, ICF). Якщо брандмауер Microsoft Windows блокує порт, потрібний для роботи програмі або службі, можна зробити для цієї ситуації виняток і вказати його в настройках брандмауера. Про блокування брандмауером Windows програми або служби можуть свідчити такі ознаки.
  • Програми не відповідають на запити клієнта.
  • Клієнтські програми не отримують даних із сервера.
Також про блокування брандмауером певної програми може сповіщати попередження системи безпеки брандмауера Windows. В останньому випадку, щоб розблокувати програму, необхідно вибрати перемикач Unblock this program (Розблокувати цю програму) у діалоговому вікні Попередження системи безпеки. Щоб полегшити визначення заблокованих програм і портів, можна налаштувати брандмауер Windows на протоколювання пропущених пакетів. Netsh - модуль підтримки брандмауера Windows - дає змогу налаштувати протоколювання брандмауера в командному рядку. Причиною неполадок інколи може бути несумісність програм. Крім того, забороняти запуск програм можуть параметри групової політики. До складу пакета оновлення 2 (SP2) для Windows XP входить декілька службових програм, придатних для усунення проблем, пов'язаних із брандмауером Windows.

ВСТУП

Найкращий спосіб усунення проблем, пов'язаних із блокуванням програм брандмауером - це переробка програм таким чином, щоб вони могли працювати з брандмауерами, де використовується фільтрація за станом. Але якщо програму неможливо переробити, можна налаштувати брандмауер Windows таким чином, щоб він робив винятки у блокуванні для певних портів і програм. У статті наводяться ознаки неполадок, які стосуються стандартної конфігурації брандмауера Windows XP SP2, обговорюється настройка винятків для портів і програм, а також усунення неполадок, причетних до параметрів брандмауера.

ДОДАТКОВІ ВІДОМОСТІ

Діагностика ознак несправності

Несправності, які стосуються стандартної конфігурації брандмауера, проявляються двома шляхами.
  • Клієнтські програми не отримують даних із сервера. Наприклад, не отримувати даних можуть такі клієнтські програми.
    • FTP-клієнти
    • Програвачі потокового мультимедіа
    • Сповіщення про нову пошту в деяких поштових програмах
  • Серверні програми, які працюють на комп'ютерах під керуванням Windows XP SP2, можуть бути нездатні відповісти на запити клієнтів. Наприклад, не реагувати на запити можуть такі серверні програми.
    • Веб-сервер, наприклад, Internet Information Services (IIS).
    • Віддалений робочий стіл
    • Спільний доступ до файлів
    Примітки
    • Несправності в мережних програмах можуть бути пов'язані не лише з неполадками брандмауера. Їх причиною також можуть бути зміни параметрів безпеки RPC або DCOM. Тому необхідно визначити, чи супроводжується несправність попередженням системи безпеки брандмауера Windows, яке сповіщає про блокування програми.
    • Неполадки служб не супроводжуються попередженнями системи безпеки брандмауера Windows, оскільки робота служб звичайно не пов'язана із сеансом користувача. Якщо неполадка викликана службою, налаштуйте брандмауер, як зазначено в розділі "Настройка брандмауера Windows за допомогою Центру безпеки Windows".
Блокування програми може супроводжуватися появою такого попередження системи безпеки брандмауера Windows.

To help protect your computer, Windows Firewall has blocked this program from receiving unsolicited information from the Internet or a network (З метою захисту вашого комп'ютера брандмауер Windows заборонив цій програмі несанкціоноване отримання даних з Інтернету або з мережі).

Name (Ім'я): ім'я_програми
Publisher (Видавець): ім'я_видавця
Unblock this program (Розблокувати цю програму)
Keep blocking this program (Продовжити блокування цієї програми)
Keep blocking this program, but ask me again later (Продовжити блокування цієї програми, але повторити цей запит згодом)

Learn more about Windows Firewall (Додатково про брандмауер Windows).



Настройка брандмауера Windows за допомогою попереджень системи безпеки

У попередженні системи безпеки брандмауера Windows пропонуються три такі можливості.r\n
  • Unblock this program (Розблокувати цю програму).
  • Keep blocking this program (Продовжити блокування цієї програми).
  • Keep blocking this program, but ask me again later (Продовжити блокування цієї програми, але повторити цей запит згодом).

Щоб розблокувати програму, клацніть у діалоговому вікні Попередження системи безпеки перемикач Розблокувати цю програму та натисніть кнопку OK.

Настройка брандмауера Windows за допомогою Центру безпеки Windows

Додавання програми до списку винятків

Додавши програму до списку винятків, ви дозволяєте брандмауеру відкривати для неї певну сукупність портів, яку при кожному запуску програми може бути відмінною. Для додавання програми виконайте такі дії.
  1. Ввійдіть до системи з обліковим записом адміністратора.

    Щоб отримати додаткові відомості про визначення, чи є обліковий запис поточного сеансу обліковим записом адміністратора, клацніть номер статті в базі знань Microsoft Knowledge Base:
    871211 Як перевірити, чи ввійшли ви до системи як адміністратор і чи діє групова політика для вашого комп'ютера (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою)
  2. Натисніть кнопку Пуск, виберіть команду Виконати, введіть Wscui.cpl і натисніть кнопку ОК.
  3. У вікні Windows Security Center (Центр безпеки Windows) клацніть посилання Windows Firewall (Брандмауер Windows).
  4. На вкладці Exceptions (Винятки) натисніть кнопку Add Program (Додати програму).
  5. У списку програм клацніть ім'я програми, яку потрібно додати, і натисніть кнопку OK. Якщо потрібної програми немає у списку, натисніть кнопку Огляд, знайдіть програму та натисніть кнопку OK.


    Примітка Якщо ви не знаєте, де розташована програма, запитайте про це в її постачальника.

    Щоб отримати додаткові відомості про звернення до постачальника програми, клацніть номер відповідної статті в базі знань Microsoft Knowledge Base:
    65416 Контактні відомості виробників устаткування та програмного забезпечення, A-K (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою)

    60781 Контактні відомості виробників устаткування та програмного забезпечення, L-P (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою)

    60782 Контактні відомості виробників устаткування та програмного забезпечення, Q-Z (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою)
  6. Натисніть кнопку OK, щоб закрити вікно брандмауера Windows.
  7. Запустіть програму та перевірте, чи правильно налаштовано брандмауер.


Додавання порту до списку винятків

Якщо неполадку не вдається усунути шляхом включення програми до списку винятків, можна вручну зробити виняток для портів. Але для цього спочатку слід визначити, які порти використовуються програмою. Найбільш надійний спосіб визначення цих портів - консультація у виробника програми. Проте якщо це неможливо або список портів недоступний, можна визначити потрібні порти за допомогою програми Netstat.exe.

Визначення портів
  1. Запустіть програму та спробуйте використати її мережні функції. Наприклад, якщо це мультимедійна програма, спробуйте запустити аудіопотік. Якщо це веб-сервер, запустіть службу.
  2. У командному рядку введіть Netstat -ano > netstat.txt і натисніть клавішу ENTER. Цією командою створюється файл Netstat.txt. Він містить список усіх прослуховуючих портів.
  3. У командному рядку введіть Tasklist > tasklist.txt і натисніть клавішу ENTER. Якщо програма, яку потрібно розблокувати, працює в режимі служби, замість Tasklist > tasklist.txt введіть команду Tasklist /svc > tasklist.txt . Буде отримано список служб, завантажених у кожному процесі.
  4. Відкрийте файл Tasklist.txt і знайдіть у ньому програму, яку потрібно розблокувати. Запишіть її ідентифікатор процесу та відкрийте файл Netstat.txt. Занотуйте всі записи, пов'язані з цим ідентифікатором, і протокол, який використовується.
Якщо номери портів процесу менші за 1024, вони, скоріш за все, не змінюватиметься. Якщо номери портів не менші за 1024, програма може використовувати діапазон портів. У цьому разі розблокувати програму шляхом відкриття окремих портів може бути неможливо.

Додавання порту до списку винятків
  1. Натисніть кнопку Пуск, виберіть команду Виконати, введіть Wscui.cpl у полі Відкрити та натисніть кнопку ОК, щоб відкрити брандмауер Windows.
  2. Відкрийте вкладку Exceptions (Винятки) та натисніть кнопку Add Port (Додати порт). Буде відкрито діалогове вікно Add a Port (Додавання порту).
  3. Введіть номер порту, який використовується програмою.
  4. Виберіть протокол TCP або UDP, залежно від того, що використовує програма.
  5. У полі Name (Iм'я) введіть описове ім'я порту.
  6. Щоб переглянути або установити область застосування винятків для портів, клацніть Change Scope (Змінити область), а потім натисніть кнопку OK.
  7. Натисніть кнопку OK, щоб закрити діалогове вікно Add a Port.
  8. Запустіть програму та перевірте, чи правильно вибрано параметри портів.


Використання журналів

Для полегшення ідентифікації вхідного трафіку системи та збирання відомостей про трафік, який блокується, можна ввімкнути ведення журналу. За замовчуванням журнал записується до файлу %Windir%\pfirewall.log. Щоб увімкнути ведення журналу, виконайте такі дії.
  1. Натисніть кнопку Пуск, виберіть команду Виконати, введіть Firewall.cpl і натисніть кнопку ОК.
  2. Відкрийте вкладку Advanced (Додатково).
  3. У розділі Security Logging (Ведення журналу безпеки) натисніть кнопку Settings (Параметри).
  4. У розділі Log Settings (Параметри журналу), установіть прапорець Log dropped packets (Реєструвати пропущені пакети) та натисніть кнопку OK.
  5. Натисніть кнопку OK, щоб закрити вікно брандмауера Windows.

Примітка Проходження вихідних пакетів не реєструється. Вихідний трафік не блокується та не фіксується в журналі.


Тлумачення файлу журналу

Для кожного пакета, який реєструється, до журналу записуються такі відомості:

Згорнути цю таблицюРозгорнути цю таблицю
ПоляОписПриклад
Date (Дата)Відображаються рік, місяць і день, коли відбулася зареєстрована операція. Дата записується у форматі РРРР-ММ-ДДД, де РРРР - рік, ММ - місяць, а ДД - день місяця.2001-01-27
Time (Час)Відображаються година, хвилини та секунди, коли відбулася зареєстрована операція. Час записується у форматі ГГ:ХХ:СС, де ГГ - година у 24-годинному форматі, ХХ - кількість хвилин, а СС - кількість секунд.21:36:59
Action (Дія)Позначається операція, виявлена брандмауером. Брандмауер може виявляти дії OPEN, CLOSE, DROP та INFO-EVENTS-LOST. Дія INFO-EVENTS-LOST позначає кількість подій, які відбулися, але їх не записано до журналу.OPEN
Protocol (Протокол)Відображається протокол, використаний для зв'язку. Для пакетів, які не використовували протоколів TCP, UDP та ICMP, у цьому полі також може бути записано число.TCP
src-ipВідображається вихідна IP-адреса, тобто IP-адреса комп'ютера, який намагається установити зв'язок.192.168.0.1
dst-ipВідображається кінцева IP-адреса спроби зв'язку.192.168.0.1
src-portВідображається номер вихідного порту комп'ютера-відправника. У поле src-port записується ціле число в межах від 1 до 65535. Дійсний номер порту відображається лише для протоколів TCP і UDP. Для всіх інших протоколів у цьому полі відображається "-".4039
dst-portВідображається номер порту комп'ютера призначення. У поле dst-port записується ціле число в межах від 1 до 65535. Дійсний номер порту відображається лише для протоколів TCP і UDP. Для всіх інших протоколів у цьому полі відображається "-".53
sizeВідображається розмір пакета в байтах.60
tcpflagsВідображаються прапори керування TCP, знайдені в заголовку TCP IP-пакета.
  • Ack - у полі Acknowledgment (Підтвердження) є значення
  • Fin - дані від відправника більше не надходять
  • Psh - функція Push (Сповіщення)
  • Rst - скидання з'єднання
  • Syn - синхронізація порядкових номерів
  • Urg - у полі Urgent Pointer (Показник важливості) є значення
Прапори відображаються великими літерами.
AFP
tcpsynВідображається порядковий номер TCP у пакеті.1315819770
tcpackВідображається номер підтвердження TCP у пакеті.0
tcpwinВідображається розмір вікна TCP в байтах у пакеті.64240
icmptypeВідображається число, яке представляє вміст поля Type у повідомленні ICMP.8
icmpcodeВідображається число, яке представляє вміст поля Code у повідомленні ICMP.0
infoВідображається інформаційне поле, вміст якого залежить від зареєстрованої дії. Наприклад, для дії INFO-EVENTS-LOST у цьому полі зазначається кількість подій, які відбулися, але їх не записано до журналу з часу останнього виконання події цього типу.23

Примітка Якщо відомості недоступні, у полі відображається риска (-).


Використання засобів командного рядка

У складі Microsoft Advanced Networking Pack до пакета Windows XP включено Netsh - модуль підтримки брандмауера Windows. Цей засіб командного рядка раніше використовувався у складі брандмауера IPv6. У версії для пакета оновлення Windows XP SP2 модуль Netsh має можливості для настройки IPv4.

За допомогою модуля Netsh можна:
  • установлювати стан за замовчуванням для брандмауера Windows (можливі варіанти: Off (вимкнено), On (увімкнено) та On with no exceptions (увімкнено без винятків));
  • указувати, які порти має бути відкрито;
  • дозволяти для портів глобальний доступ або лише доступ до локальної підмережі;
  • указувати, що порти мають відкриватися на всіх інтерфейсах або лише на вказаному інтерфейсі;
  • налаштовувати параметри ведення журналу;
  • налаштовувати параметри обробки протоколу ICMP;
  • додавати програми до списку винятків і вилучати з нього.
Ці можливості, за винятком окремих, поширюються на брандмауери Windows обох версій - для IPv4 та для IPv6.


Збирання діагностичних даних

Дані про конфігурацію та стан брандмауера Windows можна отримати в командному рядку за допомогою засобу Netsh.exe. Цей засіб додає підтримку брандмауера IPv4 до контексту Netsh
netsh firewall
Для використання цього контексту введіть у командному рядку netsh firewall. Після цього стають доступні додаткові команди Netsh. Для збирання відомостей про стан і конфігурацію брандмауера можна скористатися такими командами.
  • Netsh firewall show state
  • Netsh firewall показати config

Порівнявши результати виконання цих команд із результатами команди netstat -ano, визначте програми, для яких може бути відкрито прослуховуючі порти та в конфігурації брандмауера не зазначено винятків. Доступні команди для збирання даних перелічено в нижченаведених таблицях.

Примітка Ці настройки може змінити лише адміністратор.

Збирання даних
Згорнути цю таблицюРозгорнути цю таблицю
КомандаОпис
show allowedprogramПоказ дозволених програм.
show configПоказ детальних відомостей про локальну конфігурацію.
show currentprofileПоказ поточного профілю.
show icmpsettingПоказ параметрів ICMP.
show loggingПоказ параметрів ведення журналу.
show opmodeПоказ робочого режиму.
show portopeningПоказ виняткових портів.
show serviceПоказ служб.
show stateПоказ поточних відомостей про стан.
show notificationsПоказ поточних відомостей про сповіщення.

Конфігурація
Згорнути цю таблицюРозгорнути цю таблицю
КомандаОпис
add allowedprogramДодавання програми до списку дозволених.
set allowedprogramЗміна параметрів наявної дозволеної програми.
delete allowedprogramВидалення програми зі списку дозволених.
set icmpsettingЗазначення дозволеного ICMP-трафіку.
set loggingЗазначення параметрів ведення журналу для брандмауера Windows у глобальному контексті або для певного з'єднання (інтерфейсу).
set opmodeЗазначення робочого режиму брандмауера Windows у глобальному контексті або для певного з'єднання (інтерфейсу).
add portopeningДодавання порту TCP або UDP до списку дозволених.
set portopeningЗміна параметрів наявного відкритого порту TCP або UDP.
delete portopeningВидалення наявного відкритого порту TCP або UDP зі списку дозволених.
set serviceДозвіл або заборона трафіку RPC та DCOM, спільного доступу до файлів і принтерів і трафіку UPnP.
set notificationsЗазначення, чи сповіщати користувача, коли програми намагаються відкрити дозволені порти.
resetПовернення конфігурації брандмауера до установленої за замовчуванням. Ця команда за своєю дією еквівалентна кнопці "Restore Defaults" (Відновити) в інтерфейсі брандмауера Windows.



Усунення неполадок брандмауера

Окрім несумісності програм, робота брандмауера Windows може бути пов'язана з іншими проблемами. Для діагностики цих проблем рекомендовано виконати такі дії.
  1. Щоб переконатися, що TCP/IP працює належним чином, командою ping протестуйте адресу зворотного зв'язку (127.0.0.1) і призначену IP-адресу.
  2. Перевірте конфігурацію інтерфейсу користувача та переконайтеся, що брандмауер не було випадково переведено до стану Off (Вимкнено) або On with No Exceptions (Увімкнено без винятків).
  3. За допомогою команди netsh для даних стану та конфігурації подивіться, чи немає випадково установлених параметрів, які могли б перешкодити очікуваній роботі брандмауера.
  4. Визначте стан служби Брандмауер Windows/Спільний доступ до підключення до Інтернету. Для цього введіть у командному рядку:
    sc query sharedaccess
    (скорочене ім'я цієї служби - SharedAccess). Якщо служба не запустилася, на основі коду завершення Win32 проаналізуйте процес її запуску.
  5. Визначте стан драйвера брандмауера Ipnat.sys, для чого введіть у командному рядку:
    sc query ipnat
    Ця команда також повертає код завершення Win32 останньої спроби запуску драйвера. Якщо драйвер не запустився, скористайтеся звичайними методами усунення неполадок драйверів.
  6. Якщо драйвер і служба працюють, але в журналі подій не записано помилок, пов'язаних із ними, натисніть кнопку Restore Defaults (Відновити) на вкладці Advanced (Додатково) вікна властивостей брандмауера Windows, щоб усунути всі потенційні проблеми з конфігурацією.
  7. Якщо неполадку не вдається усунути, перегляньте параметри політики, які можуть викликати небажану дію брандмауера. Для цього введіть GPResult /v > gpresult.txt у командному рядку, а потім перевірте в отриманому текстовому файлі, як налаштовано політики, які мають відношення до брандмауера.

Настройка групової політики брандмауера Windows

Зверніться до адміністратора мережі та дізнайтеся, чи перешкоджають настройки групової політики роботі програм і сценаріїв у корпоративному середовищі.

Настройки групової політики для брандмауера Windows можна в оснащенні "Редактор об'єктів групової політики" за такими шляхами:
  • Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall
  • Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall/ Domain Profile
  • Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall/ Standard Profile

За цими шляхами можна налаштувати такі параметри групової політики.
  • Windows Firewall: Allow authenticated Internet Protocol security (IPSec) bypass (Дозволити оминання IPSec із перевіркою автентичності)
  • Windows Firewall: Protect all network connections (Захищати всі мережні підключення)
  • Windows Firewall: Do not allow exceptions (Не дозволяти винятки)
  • Windows Firewall: Define program exceptions (Визначити винятки для програм)
  • Windows Firewall: Allow local program exceptions (Дозволити винятки для локальних програм)
  • Windows Firewall: Allow remote administration exception (Дозволити винятки для віддаленого адміністрування)
  • Windows Firewall: Allow file and print sharing exception (Дозволити винятки для спільного доступу до програм і файлів)
  • Windows Firewall: Allow ICMP exceptions (Дозволити винятки для ICMP)
  • Windows Firewall: Allow remote Desktop exception (Дозволити винятки для віддаленого робочого стола)
  • Windows Firewall: Allow Universal Plug and Plan (UpnP) framework exception (Дозволити винятки для інфраструктури UpnP)
  • Windows Firewall: Prohibit notifications (Заборонити сповіщення)
  • Windows Firewall: Allow logging (Дозволити ведення журналу)
  • Windows Firewall: Prohibit unicast response to multicast or broadcast requests (Заборонити одноадресні відповіді на багатоадресні або широкомовні запити)
  • Windows Firewall: Define port exceptions (Визначити винятки для портів)
  • Windows Firewall: Allow local port exceptions (Дозволити винятки для локальних портів)

Щоб отримати додаткові відомості про настройки групової політики брандмауера Windows, завантажте цей документ:

Властивості

Номер статті: 875357 - Востаннє переглянуто: 22 травня 2006 р. - Редакція: 1.4
ЗАСТОСОВУЄТЬСЯ ДО:
  • Microsoft Windows XP Professional SP2
  • Microsoft Windows XP Home Edition SP2
Ключові слова: 
kbhowtomaster kbtshoot kbgraphxlink kbscreenshot KB875357

Надіслати відгук

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com