您目前已離線,請等候您的網際網路重新連線

Windows XP Service Pack 2 中的 Windows 防火牆對 UPnP 架構造成的影響

結論
本文將告訴您,Windows XP Service Pack 2 (SP2) 中的 Windows 防火牆對 Microsoft Windows UPnP 架構造成的影響。同時,本文也會說明為了降低這些影響,已經在 Windows XP SP2 中實作的變更。

注意 本文提供給熟悉 UPnP 架構與通訊協定的技術使用者和裝置製造商參考使用。
簡介
當您安裝 Windows XP SP2 時,Windows 防火牆預設是啟用的。Windows 防火牆對 Windows UPnP 架構可能具有下列影響:
  • UPnP 架構可能無法探索已連接網路 UPnP 裝置。
  • UPnP 架構可能無法控制已連接網路 UPnP 裝置,或是傳送事件至網路裝置以及接收來自網路裝置的事件。
  • UPnP 控制點可能無法探索裝載在 Windows XP SP2 電腦上的裝置。
回到內容
其他相關資訊
如需有關 Windows 防火牆的一般資訊,請造訪下列 Microsoft 網站:回到內容

背景

由於當您安裝 Windows XP SP2 時,Windows 防火牆是啟用的,您必須知道下列有關 Windows 防火牆的預設設定:
  • Windows 防火牆只會封鎖外來的來路不明訊息。Windows 防火牆不會封鎖傳出去的訊息。請求的連入封包 (例如使用連接埠 80 的 HTTP 封包),或是透過連接埠 110 或 25 傳送的郵件,都會通行無阻。
  • 在 Windows XP SP2 中,Windows 防火牆支援例外的概念。使用例外時,會開啟程式或功能所需的防火牆連接埠。您不需知道相關的連接埠號碼。Windows 防火牆包含 UPnP 架構的例外,此例外允許開啟 UDP 連接埠 1900 和 TCP 連接埠 2869。
  • 根據預設,工作群組中的電腦、檔案與印表機共用以及 UPnP 架構的某些連接埠都會被限制在本機子網路內。當「網際網路連線共用」主機開啟這些連接埠供本機子網路使用時,這些連接埠便無法在「網際網路連線共用」的公用介面上開啟。我們不建議您全域開啟這些連接埠,因為這些連接埠將會在「網際網路連線共用」公用介面上開啟。如需詳細資訊,請造訪下列 Microsoft 網站:這只適用連接至工作群組的電腦。Active Directory 目錄服務環境中的網域電腦連線是由「群組原則」所決定的。
  • 如果電腦屬於某個網域,則「群組原則」設定可能會覆寫本機電腦的防火牆設定,甚至將防火牆關閉。因此,在安裝了 Windows XP SP2 之後,「群組原則」也可能會開啟 UPnP 架構的連接埠。在這個情況下,Windows 防火牆對 UPnP 架構的操作並無任何影響。相反地,「群組原則」可能會在本機防火牆允許 UPnP 連接埠時,將 UPnP 連接埠關閉。
  • UPnP 架構使用 UDP 連接埠 1900 和 TCP 連接埠 2869;「簡易服務探索通訊協定」(Simple Service Discovery Protocol,SSDP) 則使用多點傳送搜尋探索 UPnP 裝置。多點傳送搜尋使用動態傳出連接埠傳送至 UDP 連接埠 1900。Windows 防火牆會接受多點傳送搜尋於三秒鐘內所收到的相符多點傳送搜尋回應。超過時間之後,防火牆將會封鎖多點傳送搜尋回應,即使這些回應符合搜尋要求也是一樣。
回到內容

封鎖 UPnP 連接埠之後的影響

當 Windows 防火牆封鎖了 UPnP 實作所需要的連接埠時,會發生下列問題:
  • UPnP 架構無法探索宣告自己身分的已連接網路 UPnP 裝置,防火牆會封鎖這些連入宣告。
  • 另一台電腦上執行的控制點找不到或無法控制 Windows XP SP2 電腦上的 UPnP 裝置,防火牆會封鎖與連入的 UPnP 裝置相關的訊息。
如果架構所需的防火牆連接埠因為沒有選取 UPnP 架構的防火牆例外而遭到封鎖,則 UPnP 架構不會嘗試將 UPnP 相關裝置探索訊息傳送到網路上,或是接收來自網路的 UPnP 相關裝置探索訊息。
  • 這可以避免發生當架構發出多點傳送搜尋並探索已連接網路裝置時,由於防火牆封鎖了 SSDP Alive 訊息,已連接網路裝置在逾時期間過後消失不見的情況。Windows XP SP2 電腦上的控制點無法搜尋或探索已連接網路 UPnP 裝置。
  • 在安裝多個網路介面卡的 Windows XP SP2 電腦上,您可以將 Windows 防火牆設定為封鎖某些介面卡上的 UPnP 連接埠,並開啟其他介面卡上的 UPnP 連接埠。UPnP 架構會個別處理每個介面卡的連接埠設定。因此,如果某個介面卡上的連接埠已開啟,但未啟用 UPnP 架構例外,架構只會利用已開啟連接埠的介面卡傳送多點傳送搜尋和裝置通知訊息。架構不會透過遭到封鎖的介面卡傳送多點傳送搜尋和裝置通知訊息。然而,如果已經啟用 UPnP 架構例外,則架構就會透過所有介面卡發出多點傳送搜尋和通知訊息。
  • 同一部 Windows XP SP2 電腦上的 UPnP 裝置和控制點可以互相溝通,就算是需要 UPnP 架構的防火牆連接埠遭到封鎖也是一樣。
回到內容

UPnP 架構適用的 Windows 防火牆增強效能

當您升級至 Windows XP SP2 時

如果您在升級至 Windows XP SP2 之前已經開始使用 UPnP 裝置,升級將不會造成系統運作故障。然而,如果下列其中一個情況成立,Windows XP SP2 安裝程式將會在升級期間自動啟用 UPnP 架構防火牆例外:
  • 電腦上已安裝並登錄裝載的 UPnP 裝置。
  • 已安裝選用的 UPnP 使用者介面 (UI) 元件。
注意 您無法偵測到所有的 UPnP 運作情況。例如,裝載的控制點不需要以架構登錄。因此,架構並不會知道這些控制點。

當您升級至 Windows XP SP2 之後

UPnP 架構包含您可以手動安裝的選用 UI 元件。這些元件會在 [網路上的芳鄰] 資料夾中,顯示任何也提供「簡報」頁面的已探索 UPnP 裝置的圖示。您可以按兩下圖示以顯示該裝置的 [簡報] 頁面。

如果您選擇在已經升級為 Windows XP SP2 的電腦上安裝選用的 UI 元件,安裝程式將會啟用 UPnP 架構防火牆例外。您選取 UPnP 使用者介面安裝程式項目時所顯示的說明文字會通知您安裝期間連接埠將會開啟。如果您移除 UI 元件,就會停用 UPnP 架構防火牆例外。但是,如果安裝了裝載的 UPnP 裝置,則移除 UI 不會清除例外。裝載的裝置會如往常般繼續運作。

回到內容

安裝與移除 UPnP UI 元件

注意 您必須以系統管理員的身分登入電腦,才能安裝選用的 UPnP UI 元件或變更 Windows 防火牆連接埠狀態。

如果要安裝選用的 UPnP UI 元件並開啟必要的 Windows 防火牆連接埠,請執行下列其中一種方法:

注意 如果您移除選用的 UPnP UI 元件,且電腦上未登錄任何裝載的 UPnP 裝置,則解除安裝程式將會停用 UPnP 架構防火牆例外。然而,如果裝載的 UPnP 裝置仍舊存在於電腦的登錄中,則 UPnP 架構防火牆例外會維持作用中狀態,以便裝置繼續運作。

方法 1:使用 [控制台]

您可以使用 [控制台] 安裝 UPnP UI 元件,並開啟必要的 Windows 防火牆連接埠。如果要執行這項操作,請依照下列步驟執行:
  1. 按一下 [開始],再按一下 [控制台]
  2. 按一下 [新增或移除程式]
  3. 按一下 [新增/移除 Windows 元件]
  4. [元件] 清單中,按一下以選取 [Networking Services] 核取方塊,然後按一下 [詳細資料]
  5. [Networking Services 的子元件] 清單中,按一下以選取 [通用隨插即用使用者介面] 核取方塊,然後按一下 [確定]

    注意 如果要移除 UPnP UI 元件,按一下以清除 [通用隨插即用使用者介面] 核取方塊。
  6. [Windows 元件精靈] 中,按一下 [下一步]

方法 2:使用 [網路上的芳鄰]

您可以使用 [網路上的芳鄰] 安裝 UPnP UI 元件,並開啟必要的 Windows 防火牆連接埠。如果要執行這項操作,請依照下列步驟執行:
  1. 按一下 [開始],再按一下 [控制台]
  2. 按一下 [網路和網際網路連線]
  3. 按一下 [請參閱] 底下的 [網路上的芳鄰]
  4. 按一下 [網路工作] 底下的 [顯示已連接網路 UPnP 裝置的圖示]
  5. 您會收到下列訊息:
    為了協助保護您的電腦,Windows 防火牆已封鎖 UPnP 裝置軟體接收來自網路的資訊。此資訊是顯示圖示所必須的。

    您是否要開啟 Windows 防火牆連接埠設定值讓該軟體可以偵測已在網路上的 UPnP 裝置?如果您按 [否],將不會顯示圖示。
    如果您按 [否],將不會顯示圖示,也不會安裝 UPnP UI 元件,並且安裝程式會結束。

    如果您按 [是],則會安裝 UPnP UI 元件,也會啟用 UPnP 架構防火牆例外。
如果要使用 [網路上的芳鄰] 移除 UPnP UI 元件,請依照下列步驟執行:
  1. 按一下 [開始],再按一下 [控制台]
  2. 按一下 [網路和網際網路連線]
  3. 按一下 [請參閱] 底下的 [網路上的芳鄰]
  4. 按一下 [網路工作] 底下的 [隱藏已連接網路 UPnP 裝置的圖示]
  5. 您會收到下列訊息:
    您選擇了隱藏 UPnP 裝置圖示,這同時將會關閉 Windows 防火牆連接埠以致 UPnP 裝置軟體將無法探索已在網路上的 UPnP 裝置。

    您是否要繼續?
    如果您按 [否],則不會移除 UPnP UI 元件,並且安裝程式會結束。

    如果您按 [是],則會移除 UPnP UI 元件。同時,除非安裝了裝載的 UPnP 裝置,否則會停用 UPnP 架構防火牆例外。
回到內容

手動啟用 UPnP 架構的 Windows 防火牆例外

如果要手動開啟 UPnP 架構必要的 Windows 防火牆連接埠,您必須啟用 UPnP 架構例外。如果要啟用例外並開啟 UDP 連接埠 1900 和 TCP 連接埠 2869,請依照下列步驟執行:
  1. 依序按一下 [開始][控制台][資訊安全中心],然後按一下 [Windows 防火牆]
  2. [一般] 索引標籤上,確定已選取 [開啟 (建議選項)] 選項。

    注意 如果 [開啟 (建議選項)] 選項以及 [不允許例外] 選項都已選取,即使您完成了此程序的全部步驟,UPnP 架構連接埠還是會保持關閉的狀態。
  3. [例外] 索引標籤上,按一下以選取 [UPnP 架構] 核取方塊。

    注意 這樣將會同時設定所有網路介面卡上的 UDP 連接埠 1900 與 TCP 連接埠 2869,只接收來自本機子網路的訊息。如果要變更這項設定,請按一下 [UPnP 架構],然後按一下 [編輯]。當您完成防火牆設定時,按一下 [確定] 讓設定生效。例如,您可能想要變更設定,接收來自所有 IP 位址的訊息。
重要注意事項
  • 您可以手動設定 Windows 防火牆,只封鎖其中一個 UPnP 架構的必要連接埠。然而,我們不建議您這麼做。
  • 如果您停用 Windows 防火牆,或者如果「群組原則」覆寫本機電腦的防火牆設定,您可能會無法變更例外設定。即使您可以進行變更,但如果「群組原則」覆寫這些設定,它們也無法產生作用。
  • 當您開啟了「網際網路連線共用」功能,系統僅會自動啟用私人介面上的 UPnP 架構連接埠。
  • 如果「網際網路連線共用」功能為啟用狀態,請勿手動啟用例外。這會將所有網路介面卡上的 UPnP 連接埠的防火牆防護關閉,包括「網際網路連線共用」的公用介面。如此,電腦可能會直接暴露在網際網路下。
回到內容

UPnP 裝置與控制點廠商

UPnP 廠商在安裝裝載的 UPnP 裝置或控制點時,應該要檢查 Windows 防火牆連接埠狀態。他們應該撰寫裝置與控制點安裝程式,讓安裝程式檢查 UPnP 架構防火牆例外的狀態。如果要撰寫安裝程式,請依照下列指示進行:
  • 如果例外已啟用,安裝程式會繼續。
  • 如果例外未啟用,並且連接埠也封鎖了,則安裝程式應該確認使用者是否要在安裝期間開啟連接埠。
    • 如果使用者同意開啟連接埠,安裝程式應該啟用例外並繼續安裝。
    • 如果使用者不同意開啟連接埠,則安裝程式不應該啟用例外或開啟任何連接埠。

      注意 如果使用者不同意的話,便由廠商決定是否繼續安裝。但是,我們建議安裝程式取消安裝。
  • 如先前所述,如果「網際網路連線共用」已經在執行中,不應該啟用 UPnP 架構例外。這適用於 UPnP 裝置與控制點安裝程式,也適用一般使用者。

    如果要以程式撰寫方式來判斷「網際網路連線共用」是否正在執行中,您的安裝程式可以使用 IEnumNetSharingPublicConnection 與 IEnumNetSharingPrivateConnection 應用程式發展介面。如果您同時發現公用與私人連線,並且「網際網路連線共用」正在執行中,那麼您的安裝程式不應該啟用 UPnP 架構例外。
回到內容

其他相關資訊

如需有關檢查與設定 Windows 防火牆連接埠設定的詳細資訊,請造訪下列 Microsoft 網站:
875357Troubleshooting Windows Firewall settings in Windows XP Service Pack 2
回到內容
windowsxpsp2 winxpsp2
內容

文章識別碼:886257 - 最後檢閱時間:02/08/2007 04:06:00 - 修訂: 1.4

Microsoft Windows XP Professional Service Pack 2 (SP2), Microsoft Windows XP Home Edition Service Pack 2 (SP2)

  • kbhowto kbinfo KB886257
意見反應
; var Ctrl = ""; document.write("