Опубликовано 22 сентября 2004 г.
Переведено 4 июля 2006 г.
Аннотация
Брандмауэр Windows (Windows Firewall), включённый в ОС Microsoft® Windows® XP Service Pack 2 (SP2) вместо брандмауэра подключения к Интернету (Internet Connection Firewall, ICF) из предыдущих версий Windows XP, является узловым брандмауэром, регистрирующим состояние связи. Он обеспечивает безопасность входящего трафика, получаемого как из Интернета, так и от устройств в частной сети. Данная статья описывает принципы работы брандмауэра Windows (Windows Firewall), наиболее распространённые проблемы, возникающие при его использовании, а также набор инструментов, позволяющих устранять эти неполадки. Статья адресована сетевым администраторам и опытным пользователям, знакомым с ОС Windows XP и протоколом TCP/IP.
На этой странице
Наиболее распространённые проблемы с брандмауэром Windows
Общие методы определения и настройки исключений
Инструменты для решения проблем с брандмауэром Windows
Обзор брандмауэра Windows (Windows Firewall)
Брандмауэр (сетевой экран) – это защитный барьер между компьютером или сетью и внешним миром. Брандмауэр Windows (Windows Firewall), включённый в ОС Windows XP Service Pack 2 (SP2) представляет собой узловой брандмауэр, регистрирующий состояние связи. Он блокирует входящий трафик, поступающий на компьютер без запроса и не определённый в качестве допустимого (исключённого из фильтрации). Таким образом, Windows Firewall обеспечивает необходимый уровень защиты от злонамеренных пользователей и программ, использующих для атак незапрашиваемый трафик. При этом, за исключением некоторых сообщений протокола межсетевых управляющих сообщений (ICMP), брандмауэр Windows не блокирует исходящий трафик.
В отличие от брандмауэра подключения к Интернету (Internet Connection Firewall, ICF), входящего в состав ОС Windows XP Service Pack 1 или Windows XP без пакетов обновлений, брандмауэр Windows предназначен для использования с любыми сетевыми подключениями, включая общедоступные из Интернета, подключения к локальным офисным и домашним сетям, а также к частным сетям организаций.
Во многих корпоративных сетях, использующих Windows XP SP1 или Windows XP без пакетов обновлений, на внутренних подключениях ICF не задействуется, так как компьютеры в таких сетях не доступны из Интернета напрямую. Брандмауэр, прокси и другие системы безопасности корпоративных сетей обеспечивают некоторый уровень защиты от внешних угроз для компьютеров, входящих в интрасеть. Однако отсутствие узловых брандмауэров, подобных брандмауэру Windows, на подключениях к интрасети делает компьютеры уязвимыми для вредоносных программ, заносимых в закрытую сеть через мобильные компьютеры.
Допустим, сотрудник компании подключает служебный ноутбук к домашней сети, не имеющей достаточного уровня защиты. Поскольку сетевое подключение ноутбука не защищено брандмауэром, ноутбук оказывается заражён вредоносной программой (вирусом или червём), использующей для своего распространения незапрашиваемый трафик. Сотрудник приносит ноутбук обратно в офис и подключает его к интрасети предприятия, эффективно обходя, таким образом, системы безопасности, находящиеся на границе интрасети с Интернетом. Получив доступ к интрасети, вредоносная программа начинает заражать другие компьютеры. Если бы брандмауэр Windows был активирован по умолчанию, ноутбук бы не был инфицирован через домашнюю сеть. Однако даже при подключении заражённого вирусом компьютера к интрасети, входящие в неё компьютеры могли бы отразить атаку вредоносного кода с помощью брандмауэра Windows.
При работе клиентских программ на компьютерах под управлением ОС Windows XP SP2 использование брандмауэра Windows не мешает передаче данных. Доступ к сети, электронная почта, групповая политика, агенты управления, запрашивающие обновления с управляющего сервера – примеры клиентских программ. При их выполнении соединение всегда инициируется клиентским компьютером, и весь трафик, отправляемый с сервера в ответ на запрос, разрешается брандмауэром в качестве запрашиваемого входящего трафика.
В ОС Windows XP SP1 или Windows XP без пакетов обновлений брандмауэр ICF по умолчанию отключен для любых соединений, его активация на подключении к Интернету осуществляется с помощью Мастера настройки сети (Network Setup Wizard) или Мастера подключения к Интернету (Internet Connection Wizard). Возможно включение ICF вручную, путём установки единственного флажка на вкладке Дополнительно в свойствах соединения, где Вы также можете задать исключаемый трафик, определив порты TCP или UDP.
В ОС Windows XP SP2 брандмауэр Windows активирован по умолчанию для всех соединений; исключения для него могут быть заданы с помощью компонента панели управления (Control Panel) Брандмауэр Windows, доступного из нового центра обеспечения безопасности Windows (Security Center). Для получения дополнительной информации, смотрите документ Ручная настройка брандмауэра Windows в ОС Windows XP Service Pack 2 Manually Configuring Windows Firewall in Windows XP Service Pack 2 (EN).
При активации брандмауэра Windows для сетевого подключения, в папке Сетевые подключения (Network Connections) на соответствующем значке появляется изображение замка. Если выбрать такое соединение, в его описании отобразится статус Подключено, Защищено брандмауэром (Enabled, Firewalled). На рисунке ниже приводится пример, в котором брандмауэром Windows защищены все подключения компьютера.
Описание работы брандмауэра Windows
Брандмауэр Windows - это брандмауэр для входящего трафика, регистрирующий состояние связи. В отличие от сетевых экранов на основе маршрутизаторов, устанавливаемых между закрытыми сетями и Интернетом, брандмауэр Windows работает в качестве узлового брандмауэра, т. е. обрабатывает только трафик, направленный на IP-адрес данного компьютера.
Работа брандмауэра основана на выполнении следующей операции:
- Входящий пакет проверяется и сопоставляется со списком разрешённого трафика. Если пакет соответствует одному из пунктов в списке, брандмауэр Windows разрешает прохождение этого пакета для дальнейшей обработки по протоколу TCP/IP. В случае несоответствия пакета записям в перечне разрешений, брандмауэр Windows без уведомления пользователя отбрасывает данный пакет, и, если включена регистрация данного типа событий, создаёт запись в файле журнала брандмауэра Windows.
Трафик в списке исключений определяется с помощью указания IP-адресов, TCP и UDP портов. Нельзя задать правила для трафика на основании поля протокола IP в заголовке IP.
Список разрешённого трафика наполняется двумя путями:
- При прохождении исходящего пакета через подключение, защищённое брандмауэром Windows, создаётся запись, разрешающая ответ на данный пакет. Ответный трафик является запрашиваемым входящим трафиком.
Например, если на DNS-сервер посылается запрос на сопоставление имени (Name Query Request), брандмауэр Windows создаёт запись о том, что соответствующее сообщение-ответ (Name Query Response), отправленное сервером DNS, может быть передано для дальнейшей обработки по протоколу TCP/IP. Такое функционирование позволяет отнести брандмауэр Windows к брандмауэрам, регистрирующим состояние связи: сохраняется информация о трафике, инициированном компьютером, так что соответствующий ответный входящий трафик разрешается.
- Исключения для трафика, задаваемые брандмауэру Windows, заносятся в список. Наличие этой возможности позволяет компьютеру, работающему в качестве сервера, приёмника или равноправного узла сети и использующему брандмауэр Windows, принимать незапрашиваемый трафик.
Например, если компьютер выступает в роли веб-сервера, Вам следует настроить брандмауэр Windows на исключение из фильтрации веб-трафика, чтобы компьютер мог отвечать на запросы веб-клиентов. Исключения могут быть заданы как для программ (в этом случае порты, открываемые указанной программой, автоматически будут добавляться в список исключений), так и для TCP и UDP портов (которые будут открыты независимо от того, работают использующие их приложения и службы или нет).
Наиболее распространённые проблемы с брандмауэром Windows
При использовании брандмауэра Windows наиболее часто встречаются следующие проблемы:
- Невозможно настроить брандмауэр Windows
- При выполнении команды ping отсутствует отклик с компьютера
- Игровой, веб- или иной сервер не доступен из Интернета
- Нет доступа к общим папкам и принтерам
- В папке Сетевое окружение не отображаются компьютеры сети.
- Не работает удалённый помощник
Невозможно настроить брандмауэр Windows
Если все настройки на вкладках Общие (General), Исключения (Exceptions) и Дополнительно (Advanced) в свойствах брандмауэра оказываются недоступны (отображаются серыми), значит, Вы не являетесь членом локальной группы администраторов (далее в данной статье – администратором компьютера). Настраивать брандмауэр Windows можно, только имея права администратора.
Если недоступными являются некоторые из настроек на вкладках Общие, Исключения и Дополнительно в свойствах брандмауэра, то Ваш компьютер либо:
- Входит в сеть, администратор которой применил групповую политику брандмауэра Windows для активации и настройки функций брандмауэра Windows. Групповая политика брандмауэра Windows влияет на настройки, задаваемые администратором компьютера. В этом случае в верхней части диалогового окна брандмауэра Windows появляется сообщение «Для Вашей безопасности некоторые настройки определяются групповой политикой» (For your security, some settings are controlled by Group Policy).
Обратитесь за дополнительной информацией к сетевому администратору.
- Не входит в домен и работает под управлением ОС Windows XP Professional, но функционирование брандмауэра определяется локальной групповой политикой.
Для сброса настроек локальной групповой политики, регулирующих работу брандмауэра Windows, откройте оснастку Политика «Локальный компьютер» (Local Computer Policy) и установите все значения в ветке Конфигурация компьютера\Административные шаблоны\Сеть\Сетевые подключения\Брандмауэр Windows (Computer Configuration\Administrative Templates\Network\Network Connections\Windows Firewall) в папках Профиль домена (Domain Profile) и Стандартный профиль (Standard Profile) как Не задана (Not Configured).
Отсутствие отклика с компьютера при выполнении команды ping
Обычным средством при устранении проблем с соединениями является использование процедуры ping для проверки канала связи до IP-адреса компьютера, с которым Вы устанавливаете соединение. Используя команду ping, Вы посылаете эхо-запрос ICMP и получаете эхо-ответ ICMP. По умолчанию брандмауэр Windows не принимает входящие эхо-запросы ICMP, и компьютер не может отправить эхо-ответ ICMP. Чтобы локально настроить брандмауэр Windows на приём эхо-запросов ICMP, Вам следует активировать настройку Разрешать запрос входящего эха (Allow incoming echo request) в диалоговом окне Параметры ICMP (ICMP), доступном из настроек ICMP на вкладке Дополнительно (Advanced) диалогового окна Брандмауэр Windows. Пример показан на рисунке.
Вы также можете разрешить приём эхо-запросов ICMP для конкретного подключения, перейдя с вкладки Дополнительно (Advanced) в Свойствах (Properties) выбранного подключения в диалоговое окно Брандмауэр Windows (Windows Firewall) (нажав кнопку Параметры (Settings) в разделе Брандмауэр Windows (Windows Firewall)), а оттуда – на вкладку Дополнительно (Advanced) и в диалоговое окно Параметры ICMP (ICMP), нажав кнопку Параметры (Settings) в разделе Протокол ICMP (ICMP).
Если Ваш компьютер входит в домен, Вы также можете задать исключения для ICMP через настройку групповой политики брандмауэра Windows. Для получения дополнительной информации, смотрите документ Применение настроек брандмауэра Windows в ОС Windows XP Service Pack 2 Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2(EN).
Примечание. Параметры брандмауэра Windows могут изменять только администраторы компьютера, если это не противоречит настройкам групповой политики для брандмауэра Windows.
Если приём эхо-запросов ICMP разрешен, с Вашего компьютера можно будет получить отклик с помощью команды ping. Однако при этом система станет уязвимой для атак, основанных на использовании эхо-запросов ICMP. Поэтому рекомендуется активировать настройку Разрешать запрос входящего эха (Allow incoming echo request), только когда в этом есть необходимость, и выключать её, если она не нужна.
Игровой, веб- или иной сервер не доступен из Интернета
Если приложение или служба находится в состоянии ожидания незапрашиваемого входящего трафика (например, на сервере, приёмнике или равноправном узле сети), брандмауэр Windows с настройками по умолчанию будет отклонять такой трафик, пока не будут заданы соответствующие исключения. Исключения для приложений, ожидающих незапрашиваемый трафик, задаются следующими способами:
- Активацией предустановленных исключений на вкладке Исключения (Exceptions) диалогового окна Брандмауэр Windows (Windows Firewall). К предустановленным относятся исключения для общего доступа к файлам и принтерам, удалённого помощника, дистанционного управления рабочим столом и UpnP-инфраструктуры.
- Вручную из вкладки Исключения (Exceptions) диалогового окна Брандмауэр Windows (Windows Firewall).
- При запросах на создание исключений от приложений, использующих вызовы функций API (application programming interface, интерфейса программирования приложений) брандмауэра Windows. Чтобы исключения были созданы, необходимо, чтобы приложение запускал администратор компьютера.
Если приложение не использует вызовы API брандмауэра Windows и при работе пытается прослушивать TCP или UDP порты, брандмауэр Windows с помощью диалогового окна Оповещение системы безопасности Windows (Windows Security Alert) запрашивает администратора компьютера, следует ли добавить приложение в список исключений на вкладке Исключения (Exceptions) диалогового окна Брандмауэр Windows (Windows Firewall), при этом заблокировав трафик для всех пользователей (опция Блокировать (Keep blocking)), или добавить приложение в список исключений и разрешить его трафик для всех пользователей (опция Разблокировать (Unblock)), или заблокировать незапрашиваемый трафик в этот раз и повторить запрос при следующем запуске приложения (опция Отложить (Ask Me Later)).
Чтобы узнать путь к приложению, отображаемому в диалоговом окне Оповещение системы безопасности Windows (Windows Security Alert), наведите курсор мыши на название или описание приложения. Путь будет показан в появившейся подсказке.
Если пользователь не имеет прав администратора компьютера, в диалоговом окне Оповещение системы безопасности Windows (Windows Security Alert) отобразится сообщение о том, что трафик блокируется, и будет предложено обратиться за дальнейшей информацией к сетевому администратору.
Работа брандмауэра Windows со службами не настраивается через диалоговое окно Оповещение системы безопасности Windows (Windows Security Alert). Поэтому Вам следует задать исключения для служб вручную:
- С помощью команд контекста netsh firewall.
- Через установки групповой политики для брандмауэра Windows.
Задать исключения вручную можно либо с помощью имён приложений, что позволяет брандмауэру Windows автоматически открывать и закрывать все порты, требуемые службе или программе, либо путём определения TCP и UDP портов, которые будут открыты независимо от того, работают использующие их приложения или нет. С точки зрения безопасности и простоты настройки, установка исключений по именам программ является более предпочтительным методом по сравнению с указанием открытых портов.
Чтобы вручную задать исключения для программ, сделайте следующее:
- Нажмите кнопку Пуск (Start), перейдите в Панель управления (Control Center), затем в Центр обеспечения безопасности (Security Center) и выберите Брандмауэр Windows (Windows Firewall).
- Перейдите на вкладку Исключения (Exceptions).
- Нажмите Добавить программу (Add Program) и выберите программу (приложение или службу) из списка или с помощью кнопки Обзор (Browse). Если нужно, задайте область значений. Для получения дополнительной информации по указанию области, смотрите документ Ручная настройка брандмауэра Windows в ОС Windows XP Service Pack 2 Manually Configuring Windows Firewall in Windows XP Service Pack 2 (EN).
- Нажмите ОК для подтверждения заданных исключений.
Чтобы вручную задать исключения для портов, сделайте следующее:
- Нажмите кнопку Пуск (Start), перейдите в Панель Управления (Control Panel), затем в Центр обеспечения безопасности (Security Center) и выберите Брандмауэр Windows (Windows Firewall).
- Перейдите на вкладку Исключения (Exceptions).
- Нажмите Добавить порт (Add Port), задайте имя и номер TCP или UDP портов и, если потребуется, область значений.
- Нажмите ОК для подтверждения заданных исключений.
Примечание. Задавать исключения на основе IP-протокола нельзя.
Чтобы определить, для каких портов необходимо задавать исключения, обратитесь к документации программы или на сайт её производителя за информацией о настройке брандмауэров для разрешения необходимого трафика. Если Вам не удаётся определить трафик, используемый программой, или программа не работает после задания исключений, смотрите раздел «Общие методы определения и настройки исключений» в данной статье.
Применение исключений для TCP и UDP портов эффективно только при работе с программами, использующими статические порты. Такие программы работают с постоянными, не изменяющимися наборами портов. Однако некоторые программы используют динамические порты, меняющиеся при каждом запуске программы или в процессе её работы. Приложение, принимающее трафик через динамические порты, следует вносить в список исключений для программ, а не портов.
Нет доступа к общим папкам и принтерам
Если на компьютере с работающим брандмауэром Windows нет доступа к общим файлам или принтерам, Вам следует активировать предустановленное исключение для Общего доступа к файлам и принтерам (File and Printer Sharing) на вкладке Исключения (Exceptions) диалогового окна Брандмауэр Windows (Windows Firewall).
Примечание. На компьютерах, имеющих прямое соединение с Интернетом (на управляемых компьютерах в Стандартном профиле), активация исключения для Общего доступа к файлам и принтерам (File and Printer Sharing) категорически не рекомендуется, так как в этом случае злонамеренные пользователи могут попытаться получить доступ к общим файлам и угрожать безопасности Ваших данных. В малых домашних и офисных (SOHO) сетях с единственной подсетью применяйте исключение для Общего доступа к файлам и принтерам только для прямых подключений к подсети SOHO и для области локальной подсети (опция Только локальная сеть (подсеть) (My network (subnet) only) в диалоговом окне Изменение области (Change Scope)).
Не удаётся управлять удалённым компьютером, на котором работает брандмауэр Windows
Если Вам не удаётся осуществлять удалённое управление компьютером, на котором работает брандмауэр Windows, Вам следует активировать предустановленное исключение для Удалённого Помощника (Remote Assistance) на вкладке Исключения (Exceptions) диалогового окна Брандмауэр Windows (Windows Firewall).
Примечание. Активация исключения для Удалённого Помощника (Remote Assistance) на компьютерах, напрямую подключенных к Интернету (на управляемых компьютерах в Стандартном профиле), крайне нежелательна, так как в этом случае злонамеренные пользователи могут попытаться удалённо контролировать Ваш компьютер. В малых домашних и офисных (SOHO) сетях с единственной подсетью применяйте исключение для Удалённого помощника (Remote Assistance) только для прямых подключений к подсети SOHO и для области локальной подсети (опция Только локальная сеть (подсеть) (My network (subnet) only)) в диалоговом окне Изменение области (Change Scope)).
В папке Сетевое окружение не отображаются компьютеры сети
Причина проблемы здесь та же, что и при отсутствии доступа к общим папкам и принтерам. Если в окне Сетевое окружение после включения брандмауэра Windows не видны компьютеры Вашей частной сети, Вам следует активировать предустановленное исключение для Общего доступа к файлам и принтерам (File and Printer Sharing) на вкладке Исключения (Exceptions) в свойствах брандмауэра Windows.
Примечание. Активация исключения для Общего доступа к файлам и принтерам (File and Printer Sharing) на компьютерах, имеющих прямое соединение с Интернетом, категорически не рекомендуется, так как в этом случае злонамеренные пользователи могут попытаться получить доступ к общим файлам и угрожать безопасности Ваших данных. В малых домашних и офисных (SOHO) сетях с единственной подсетью применяйте исключение для Общего доступа к файлам и принтерам только для прямых подключений к подсети SOHO и для области локальной подсети (опция Только локальная сеть (подсеть) (My network (subnet) only)) в диалоговом окне Изменение области (Change Scope)).
Удалённый помощник не работает
Для получения информации о настройке брандмауэра для использования Удалённого помощника, обратитесь к Приложению D в Применение настроек брандмауэра Windows в ОС Windows XP Service Pack 2 Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2 (EN).
Как определить, настроен ли брандмауэр Windows с помощью групповой политики
Для компьютеров, принадлежащих домену, конфигурация брандмауэра Windows складывается из локальных настроек, сохраняемых в реестре, и установок групповой политики. При решении проблем часто бывает полезно знать, действуют ли в отношении брандмауэра только локальные настройки или также и установки групповой политики, и, в последнем случае, какой из профилей брандмауэра Windows задействован (Профиль домена или Стандартный профиль). Для определения профиля, который необходимо применить, ОС Windows XP SP2 выполняет проверку параметров сети. Для получения дополнительной информации, смотрите Определение конфигурации сети для применения сетевых настроек групповой политики Network Determination Behavior for Network-Related Group Policy Settings (EN).
Чтобы определить сетевые параметры, выполните команду netsh firewall show state verbose=enable в командной строке. Вот пример первой секции экрана :
Состояние брандмауэра:
-------------------------------------------------------------------
Профиль = Обычный
Рабочий режим = Enable
Режим исключения = Enable
Режим многоадр./широковещ. ответов = Enable
Режим уведомления = Enable
Версия групповой политики = Нет
Режим удаленного администрирования = Disable
Область: *
В разделе «Состояние брандмауэра» (“Firewall status”) посмотрите на значения параметров «Профиль» (“Profile”) и «Версия групповой политики» (“Group Policy Version”). В приведённой таблице перечисляются варианты значений этих параметров и их смысл.
Примечание. Активация настройки групповой политики Запретить использование общего доступа к подключению Интернета в сети DNS-домена (Prohibit use of Internet Connection Firewall on your DNS domain network) может отключить брандмауэр Windows (в этом случае параметр «Рабочий режим» (“Operational Mode”) на экране, отображающемся после выполнения команды netsh, принимает значение «Disable»), если при этом не включена настройка групповой политики брандмауэра Windows Защитить все сетевые подключения (Windows Firewall: Protect All Network Connections).
Чтобы определить, было ли исключение для приложения или порта задано в локальных настройках или через групповую политику, просмотрите разделы «Исключения для программ» ("Program exceptions") и «Исключения для порта» ("Port exceptions") в содержании экрана, выводимого командой netsh firewall show state verbose=enable. Эти разделы отображаются в виде таблиц, содержащих списки исключений. В каждой таблице имеется столбец «Локальная политика» (“Local Policy”). Если выбранному исключению в этом столбце сопоставлено значение «Да», значит, данное исключение было задано через настройки локальной политики. Если это значение «Нет», то исключение было установлено через настройки групповой политики.
Ниже приведён пример фрагмента раздела экрана «Исключения для порта», выводимого командой netsh firewall show state verbose=enable
Примечание. Некоторые строки кода перенесены для удобства чтения.
Исключения для порта:
Порт Протокол Лок. политика Режим Имя / Тип службы
-------------------------------------------------------------------
137 UDP Да Enable Служба имени NetBIOS / Общий доступ к файлам и принтерам
Область:LocalSubNet
138 UDP Да Enable Служба датаграмм NetBIOS / Общий доступ к файлам и принтерам
Область:LocalSubNet
139 TCP Да Enable Служба сеанса NetBIOS / Общий доступ к файлам и принтерам
Область:LocalSubNet
445 TCP Да Enable SMB поверх TCP / Общий доступ к файлам и принтерам
Область:LocalSubNet
3389 TCP Нет Enable Дистанционное управление рабочим столом / Дистанционное управление рабочим столом
Область: *
В этом примере все исключения для портов, кроме заданного для дистанционного управления рабочим столом, определены через настройки локальной политики.
Для получения полного списка настроек брандмауэра Windows, определённых через групповую политику, используйте оснастку Результирующая политика (Resultant Set of Policy, RSOP). Дополнительная информация содержится в разделе Справка и поддержка Windows XP.
Общие методы определения и настройки исключений
Если работа приложения или службы нарушается из-за блокирования брандмауэром Windows незапрашиваемого входящего трафика, то вместо того, чтобы отключать сам брандмауэр Windows, следует задать ему исключения таким образом, чтобы блокируемый трафик был разрешён. Отключение брандмауэра Windows не рекомендуется, так как это сделает Ваш компьютер уязвимым для злоумышленников и вредоносных программ, если Вы при этом не используете сетевой экран от стороннего производителя.
Как описывается в разделе данной статьи «Игровой, веб- или иной сервер не доступен из Интернета», брандмауэр Windows уведомляет пользователя, когда приложения пытаются прослушивать порты. В зависимости от выбранного пользователем варианта ответа в диалоговом окне Оповещение системы безопасности Windows (Windows Security Alert), приложение либо добавляется в список исключений на вкладке Исключения (Exceptions), при этом трафик блокируется (опция Блокировать (Keep blocking)), либо добавляется в список исключений с разрешением трафика (опция Разблокировать (Unblock)), либо не добавляется в список и блокируется (опция Отложить (Ask Me Later)). Если Вы выбираете вариант Блокировать (Keep Blocking), разрешить трафик для этого приложения в случае необходимости Вы сможете из вкладки Исключения (Exceptions) диалогового окна Брандмауэр Windows (Windows Firewall). Исключения могут задаваться как приложениями при использовании API брандмауэра Windows, так и вручную.
Службы Windows, в отличие от приложений, не задействуют оповещения брандмауэра Windows для автоматического создания и активации исключений. Исключения для служб Windows задаются либо службой, использующей API брандмауэра Windows, либо ручной настройкой путём указания исключаемых программ или портов. Если служба запускается исполняемым файлом (таким, как *.exe), Вы можете задать исключение для программы. Если служба запускается другой службой, подобной Svchost.exe, Вам следует указать исключаемые порты.
Если требуется задать исключения для портов или сообщений ICMP, используемых какой-либо службой, то для определения нужных TCP или UDP портов, а также сообщений ICMP, обращайтесь к документации данной службы Windows или на соответствующий веб-сайт. Основываясь на документации, укажите необходимые исключения для портов и сообщений ICMP. Если же указания на используемые службой порты и ICMP сообщения в документации отсутствуют, выполните следующую последовательность действий:
- На вкладке Дополнительно (Advanced) диалогового окна Брандмауэр Windows (Windows Firewall) нажмите Параметры (Settings) в разделе Ведение журнала безопасности (Security Logging) и включите опцию Записывать пропущенные пакеты (Log dropped packets). Нажмите ОК для сохранения параметров ведения журнала и ОК для закрытия диалогового окна Брандмауэр Windows (Windows Firewall).
- Запишите IP-адрес другого клиентского компьютера, а затем попытайтесь, запустив на нём клиентское или равнозначное приложение, подключиться к компьютеру, на котором работает брандмауэр Windows и ведётся журнал регистрации событий брандмауэра. Например, если на сервере работает почтовый сервер, запустите соответствующую почтовую программу на клиентском компьютере.
- После того, как попытки программы-клиента связаться с сервером закончатся неудачей, вернитесь к серверу и просмотрите с помощью Проводника Windows (Windows Explorer) содержимое файла Pfirewall.log, хранящегося в корневой папке Windows.
- Среди последних записей в файле журнала Pfirewall.log отыщите те, в которых отмечены отвергнутые пакеты с IP-адреса, совпадающего с IP-адресом клиентского компьютера. В этих записях найдите части, обозначенные «dst-port». Это и есть TCP или UDP порты, для которых нужно задать исключения. Для трафика ICMP следует найти фрагменты "icmptype" и "icmpcode" и проверить их на ICMP Parameters Web page, чтобы узнать название ICMP сообщения.
Определить номера портов, используемых службой, можно также с помощью аудита, выполнив следующие шаги:
- Включите ведение журналов аудита, как описано в разделе «Инструменты для решения проблем с брандмауэром Windows» данной статьи.
- Перезагрузите компьютер. Многие службы настроены на запуск при старте системы, и после перезагрузки события запуска служб будут зарегистрированы.
- Используйте оснастку Службы (Services), как описано в разделе « Инструменты для решения проблем с брандмауэром Windows» данной статьи, чтобы убедиться, что служба запущена.
- Воспользуйтесь оснасткой Просмотр событий (Event Viewer), как описано в разделе «Инструменты для решения проблем с брандмауэром Windows» данной статьи, чтобы найти события Аудита отказов (Failure Audit), обозначенные в журнале безопасности кодом 861. Эти события относятся к приложениям или службам, прослушивающим TCP или UDP порты, чей трафик не был разрешён брандмауэром Windows. В тексте сообщения об ошибке содержатся имя и путь к запросчику, код процесса, его тип - приложение или служба, и номера TCP или UDP портов.
Если можно отследить программу или службу по записям событий Аудита отказов (Failure Audit), используйте содержащуюся в них информацию о TCP или UDP портах для задания исключений. В качестве исключаемых необходимо указать все порты, запрашиваемые программой или службой.
Иногда службы запускаются в составе более ёмких процессов, одновременно задействующих несколько служб, подобных, например, процессу Svchost.exe. В таких случаях используйте команду netstat –abn, чтобы выявить все порты, через которые ведётся прослушивание сети. По списку компонентов, перечисляемых по именам файлов, Вы можете определить порты, запрашиваемые конкретной службой.
Ниже приводится пример использования команды netstat –abn
F:\>netstat -abn
Активные подключения
Имя Локальный адрес Внешний адрес Состояние PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 892
f:\xp_pro\system32\WS2_32.dll
F:\XP_PRO\system32\RPCRT4.dll
f:\xp_pro\system32\rpcss.dll
F:\XP_PRO\system32\svchost.exe
-- неизвестные компоненты --
[svchost.exe]
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
[Система]
TCP 127.0.0.1:1029 0.0.0.0:0 LISTENING 1888
[alg.exe]
TCP 131.107.81.167:139 0.0.0.0:0 LISTENING 4
[System]
UDP 0.0.0.0:500 *:* 688
[lsass.exe]
UDP 0.0.0.0:445 *:* 4
[Система]
UDP 0.0.0.0:4500 *:* 688
[lsass.exe]
UDP 127.0.0.1:1900 *:* 1144
f:\xp_pro\system32\WS2_32.dll
f:\xp_pro\system32\ssdpsrv.dll
F:\XP_PRO\system32\ADVAPI32.dll
F:\XP_PRO\system32\kernel32.dll
[svchost.exe]
UDP 127.0.0.1:1025 *:* 980
f:\xp_pro\system32\WS2_32.dll
F:\XP_PRO\system32\WLDAP32.dll
F:\XP_PRO\System32\winrnr.dll
f:\xp_pro\system32\WS2_32.dll
f:\xp_pro\system32\w32time.dll
[svchost.exe]
UDP 131.107.81.167:137 *:* 4
[Система]
UDP 131.107.81.167:1900 *:* 1144
f:\xp_pro\system32\WS2_32.dll
f:\xp_pro\system32\ssdpsrv.dll
F:\XP_PRO\system32\ADVAPI32.dll
F:\XP_PRO\system32\kernel32.dll
[svchost.exe]
UDP 131.107.81.167:138 *:* 4
[Система]
Инструменты для решения проблем с брандмауэром Windows
В ОС Windows XP SP2 содержатся следующие инструменты для устранения неполадок при работе с брандмауэром Windows:
- Команды netsh firewall show
- Ведение журналов аудита
- Файл журнала брандмауэра Windows
- Оснастка Службы
- Оснастка Просмотр событий
- Утилита командной строки Netstat
Команды Netsh Firewall Show
Для получения информации, необходимой при решении проблем с брандмауэром Windows, применяйте следующие команды netsh :
- netsh firewall show state verbose=enable
Эта команда выводит на экран информацию о текущем состоянии брандмауэра Windows и его действующих настройках, включая как параметры, определённые через локальные установки брандмауэра Windows, так и заданные при помощи групповой политики; а также сведения об открытых на данный момент портах.
- netsh firewall show config verbose=enable
Команда отражает только локальные настройки брандмауэра Windows. Обратите внимание, что, в отличие от команды netsh firewall show state verbose=enable, эта команда выводит лишь установки, заданные локально, а не текущее состояние брандмауэра Windows. Применяйте эту команду, когда Вам необходимо сравнить локальные настройки с действующим состоянием брандмауэра Windows, и выявить изменения, внесённые в установки брандмауэра Windows через групповую политику.
Ниже приведён пример выполнения команды netsh firewall show state verbose=enable
Примечание. Некоторые строки кода перенесены для удобства чтения.
Состояние брандмауэра:
-------------------------------------------------------------------
Профиль = Обычный
Рабочий режим = Enable
Режим исключения = Enable
Режим многоадр./широковещ. Ответов = Enable
Режим уведомления = Enable
Версия групповой политики = Нет
Режим удаленного администрирования = Disable
Область: *
Локальные исключения, разрешенные групповой политикой:
-------------------------------------------------------------------
Открытые порты = Enable
Разрешенные программы = Enable
Параметры журнала:
-------------------------------------------------------------------
Размещение журнала = F:\XP_PRO\pfirewall.log
Наибольший размер файла = 4096 KB
Пропущенные пакеты = Disable
Подключения = Disable
Параметры службы:
Режим Настройка Имя
-------------------------------------------------------------------
Enable Нет Общий доступ к файлам и принтерам
Область: LocalSubNet
Disable Нет UpnP-инфраструктура
Область: *
Disable Нет Дистанционное управление рабочим столом
Область: *
Исключения для программ:
Режим Лок. политика Имя / Программа
-------------------------------------------------------------------
Enable Да Удаленный помощник / F:\XP_PRO\system32\
sessmgr.exe
Область: *
Исключения для порта:
Порт Протокол Лок. политика Режим Имя / Тип службы
-------------------------------------------------------------------
137 UDP Да Enable Служба имени NetBIOS / Общий доступ к файлам и принтерам
Область: LocalSubNet
138 UDP Да Enable Служба датаграмм NetBIOS / Общий доступ к файлам и принтерам
Область: LocalSubNet
139 TCP Да Enable Служба сеанса NetBIOS / Общий доступ к файлам и принтерам
Область: LocalSubNet
445 TCP Да Enable SMB поверх TCP / Общий доступ к файлам и принтерам
Область: LocalSubNet
1900 UDP Да Disable SSDP-компонент UpnP-инфраструктуры / UPnP -инфраструктура
Область: LocalSubNet
2869 TCP Да Disable UpnP-инфраструктура поверх TCP / UpnP-инфраструктура
Область: LocalSubNet
3389 TCP Да Disable Дистанционное управление рабочим столом / Дистанционное управление рабочим столом
Область: *
Порты для получения входящих подключений:
Порт Протокол Версия Код Тип Подст. знак Принуд. Имя /
Программа
-------------------------------------------------------------------
500 UDP IPv4 688 App Нет Нет (null) /
F:\XP_PRO\system32\lsass.exe
Область: *
4500 UDP IPv4 688 App Нет Нет (null) /
F:\XP_PRO\system32\lsass.exe
Область: *
123 UDP IPv4 980 App Нет Нет (null) /
F:\XP_PRO\system32\svchost.exe
Область: *
123 UDP IPv4 980 App Нет Нет (null) /
F:\XP_PRO\system32\svchost.exe
Область: *
1900 UDP IPv4 1144 App Нет Нет (null) /
F:\XP_PRO\system32\svchost.exe
Область: *
1900 UDP IPv4 1144 App Нет Нет (null) /
F:\XP_PRO\system32\svchost.exe
Область: *
68 UDP IPv4 980 App Нет Нет (null) /
F:\XP_PRO\system32\svchost.exe
Область: *
В данный момент порты открыты во всех сетевых интерфейсах:
Порт Протокол Версия Программа
-------------------------------------------------------------------
137 UDP IPv4 (null)
Область: LocalSubNet
139 TCP IPv4 (null)
Область: LocalSubNet
138 UDP IPv4 (null)
Область: LocalSubNet
445 TCP IPv4 (null)
Область: LocalSubNet
Параметры ICMP для всех сетевых интерфейсов:
Режим Тип Описание
-------------------------------------------------------------------
Disable 2 Разрешать сообщение «Исходящий пакет слишком велик»
Disable 3 Разрешать сообщение «Исходящее назначение недоступно»
Disable 4 Разрешать снижение скорости источника исходящих сообщений
Disable 5 Разрешать перенаправление
Enable 8 Разрешать запрос входящего эха
Disable 9 Разрешать запрос входящего маршрутизатора
Disable 11 Разрешать превышение исходящего времени
Disable 12 Разрешать сообщение «Проблема исходящего параметра»
Disable 13 Разрешать запрос входящего штампа времени
Disable 17 Разрешать запрос входящей маски
Дополнительные параметры ICMP в Local Area Connection:
Режим Тип Описание
-------------------------------------------------------------------
Disable 2 Разрешать сообщение «Исходящий пакет слишком велик»
Disable 3 Разрешать сообщение «Исходящее назначение недоступно»
Disable 4 Разрешать снижение скорости источника исходящих сообщений
Disable 5 Разрешать перенаправление
Disable 8 Разрешать запрос входящего эха
Disable 9 Разрешать запрос входящего маршрутизатора
Disable 11 Разрешать превышение исходящего времени
Disable 12 Разрешать сообщение «Проблема исходящего параметра»
Disable 13 Разрешать запрос входящего штампа времени
Disable 17 Разрешать запрос входящей маски
Дополнительные параметры ICMP в Wireless Network Connection:
Режим Тип Описание
-------------------------------------------------------------------
Disable 2 Разрешать сообщение «Исходящий пакет слишком велик»
Disable 3 Разрешать сообщение «Исходящее назначение недоступно»
Disable 4 Разрешать снижение скорости источника исходящих сообщений
Disable 5 Разрешать перенаправление
Disable 8 Разрешать запрос входящего эха
Disable 9 Разрешать запрос входящего маршрутизатора
Disable 11 Разрешать превышение исходящего времени
Disable 12 Разрешать сообщение «Проблема исходящего параметра»
Disable 13 Разрешать запрос входящего штампа времени
Disable 17 Разрешать запрос входящей маски
Параметры брандмауэра для «Local Area Connection»:
-------------------------------------------------------------------
Operational mode = Enable
Version = IPv4
GUID = {4C6BDC23-E2CC-4EC3-AF98-2414B6B8DF24}
Wireless Network Connection firewall settings:
-------------------------------------------------------------------
Рабочий режим = Enable
Версия = IPv4
Код GUID = {4C6BDC23-E2CC-4EC3-AF98-2414B6B8DF24}
Пример выполнения команды netsh firewall show config verbose=enable :
Конфигурация профиля Domain:
-------------------------------------------------------------------
Рабочий режим = Enable
Режим исключения = Enable
Режим многоадресных и широковещательных ответов = Enable
Режим уведомления = Enable
Конфигурация службы для профиля Domain:
Режим Настройка Имя
-------------------------------------------------------------------
Enable Нет Общий доступ к файлам и принтерам
Область: *
Disable Нет UpnP-инфраструктура
Область: LocalSubNet
Disable Нет Дистанционное управление рабочим столом
Область: *
Disable Нет Удаленное администрирование
Область: *
Конфигурация разрешенных программ для профиля Domain:
Режим Имя / Программа
-------------------------------------------------------------------
Enable Удаленный помощник / F:\XP_PRO\system32\sessmgr.exe
Область: *
Конфигурация порта для профиля Domain:
Порт Протокол Режим Имя
-------------------------------------------------------------------
139 TCP Enable Служба сеанса NetBIOS
Область: *
445 TCP Enable SMB поверх TCP
Область: *
137 UDP Enable Служба имени NetBIOS
Область: *
138 UDP Enable Служба датаграмм NetBIOS
Область: *
1900 UDP Disable SSDP-компонент UpnP-инфраструктуры
Область: LocalSubNet
2869 TCP Disable UPnP-инфраструктура поверх TCP
Область: LocalSubNet
3389 TCP Disable Дистанционное управление рабочим столом
Область: *
Конфигурация ICMP для профиля Domain:
Режим Тип Описание
-------------------------------------------------------------------
Disable 2 Разрешать сообщение «Исходящий пакет слишком велик»
Disable 3 Разрешать сообщение «Исходящее назначение недоступно»
Disable 4 Разрешать снижение скорости источника исходящих сообщений
Disable 5 Разрешать перенаправление
Disable 8 Разрешать запрос входящего эха
Disable 9 Разрешать запрос входящего маршрутизатора
Disable 11 Разрешать превышение исходящего времени
Disable 12 Разрешать сообщение «Проблема исходящего параметра»
Disable 13 Разрешать запрос входящего штампа времени
Disable 17 Разрешать запрос входящей маски
Конфигурация профиля Обычный (текущая):
-------------------------------------------------------------------
Рабочий режим = Enable
Режим исключения = Enable
Режим многоадресных и широковещательных ответов = Enable
Режим уведомления = Enable
Конфигурация службы для профиля Обычный:
Режим Настройка Имя
-------------------------------------------------------------------
Enable Нет Общий доступ к файлам и принтерам
Область: LocalSubNet
Disable Нет UpnP-инфраструктура
Область: LocalSubNet
Disable Нет Дистанционное управление рабочим столом
Область: *
Disable Нет Удаленное администрирование
Область: *
Конфигурация разрешенных программ для профиля Обычный:
Режим Имя / Программа
-------------------------------------------------------------------
Enable Удаленный помощник / F:\XP_PRO\system32\sessmgr.exe
Область: *
Конфигурация порта для профиля Обычный:
Порт Протокол Режим Имя
-------------------------------------------------------------------
139 TCP Enable Служба сеанса NetBIOS
Область: LocalSubNet
445 TCP Enable SMB поверх TCP
Область: LocalSubNet
137 UDP Enable Служба имени NetBIOS
Область: LocalSubNet
138 UDP Enable Служба датаграмм NetBIOS
Область: LocalSubNet
1900 UDP Disable SSDP-компонент UpnP-инфраструктуры
Область: LocalSubNet
2869 TCP Disable UpnP-инфраструктура поверх TCP
Область: LocalSubNet
3389 TCP Disable Дистанционное управление рабочим столом
Область: *
Конфигурация ICMP для профиля Обычный:
Режим Тип Описание
-------------------------------------------------------------------
Disable 2 Разрешать сообщение «Исходящий пакет слишком велик»
Disable 3 Разрешать сообщение «Исходящее назначение недоступно»
Disable 4 Разрешать снижение скорости источника исходящих сообщений
Disable 5 Разрешать перенаправление
Disable 8 Разрешать запрос входящего эха
Disable 9 Разрешать запрос входящего маршрутизатора
Disable 11 Разрешать превышение исходящего времени
Disable 12 Разрешать сообщение «Проблема исходящего параметра»
Disable 13 Разрешать запрос входящего штампа времени
Disable 17 Разрешать запрос входящей маски
Конфигурация журнала:
-------------------------------------------------------------------
Размещение файла = F:\XP_PRO\pfirewall.log
Наибольший размер файла = 4096 KB
Пропущенные пакеты = Disable
Подключения = Disable
Конфигурация брандмауэра для Local Area Connection:
-------------------------------------------------------------------
Рабочий режим = Enable
Конфигурация порта для Local Area Connection:
Порт Протокол Режим Имя
-------------------------------------------------------------------
23 TCP Disable Telnet-сервер
3389 TCP Disable Дистанционное управление рабочим столом
21 TCP Disable FTP-сервер
110 TCP Disable Протокол Post-Office, версия 3 (POP3)
25 TCP Disable Почтовый сервер Интернета (SMTP)
143 TCP Disable Протокол Internet Mail Access Protocol, версия 4 (IMAP4)
80 TCP Disable Веб-сервер (HTTP)
220 TCP Disable Протокол Internet Mail Access Protocol, версия 3 (IMAP3)
443 TCP Disable Безопасный веб-сервер (HTTPS)
Конфигурация ICMP для Local Area Connection:
Режим Тип Описание
-------------------------------------------------------------------
Disable 3 Разрешать сообщение «Исходящее назначение недоступно»
Disable 4 Разрешать снижение скорости источника исходящих сообщений
Disable 5 Разрешать перенаправление
Disable 8 Разрешать запрос входящего эха
Disable 9 Разрешать запрос входящего маршрутизатора
Disable 11 Разрешать превышение исходящего времени
Disable 12 Разрешать сообщение «Проблема исходящего параметра»
Disable 13 Разрешать запрос входящего штампа времени
Disable 17 Разрешать запрос входящей маски
Конфигурация брандмауэра Local Area Connection 2:
-------------------------------------------------------------------
Рабочий режим = Enable
Конфигурация порта для Local Area Connection 2:
Порт Протокол Режим Имя
-------------------------------------------------------------------
21 TCP Disable FTP-сервер
25 TCP Disable Почтовый сервер Интернета (SMTP)
3389 TCP Disable Дистанционное управление рабочим столом
443 TCP Disable Безопасный веб-сервер (HTTPS)
143 TCP Disable Протокол Internet Mail Access Protocol, версия 4 (IMAP4)
23 TCP Disable Telnet-сервер
220 TCP Disable Протокол Internet Mail Access Protocol, версия 3 (IMAP3)
110 TCP Disable Протокол Post-Office, версия 3 (POP3)
80 TCP Disable Веб-сервер (HTTP)
Конфигурация ICMP для Local Area Connection 2:
Режим Тип Описание
-------------------------------------------------------------------
Disable 3 Разрешать сообщение «Исходящее назначение недоступно»
Disable 4 Разрешать снижение скорости источника исходящих сообщений
Disable 5 Разрешать перенаправление
Disable 8 Разрешать запрос входящего эха
Disable 9 Разрешать запрос входящего маршрутизатора
Disable 11 Разрешать превышение исходящего времени
Disable 12 Разрешать сообщение «Проблема исходящего параметра»
Disable 13 Разрешать запрос входящего штампа времени
Disable 17 Разрешать запрос входящей маски
Конфигурация брандмауэра для Wireless Network Connection:
-------------------------------------------------------------------
Рабочий режим = Enable
Конфигурация порта для Wireless Network Connection:
Порт Протокол Режим Имя
-------------------------------------------------------------------
220 TCP Disable Протокол Internet Mail Access, версия 3 (IMAP3)
23 TCP Disable Telnet-сервер
25 TCP Disable Почтовый сервер Интернета (SMTP)
443 TCP Disable Безопасный веб-сервер (HTTPS)
3389 TCP Disable Дистанционное управление рабочим столом
110 TCP Disable Протокол Post-Office, версия 3 (POP3)
143 TCP Disable Протокол Internet Mail Access, версия 4 (IMAP4)
21 TCP Disable FTP-сервер
80 TCP Disable веб-сервер (HTTP)
Конфигурация ICMP для Wireless Network Connection:
Режим Тип Описание
-------------------------------------------------------------------
Disable 3 Разрешать сообщение «Исходящее назначение недоступно»
Disable 4 Разрешать снижение скорости источника исходящих сообщений
Disable 5 Разрешать перенаправление
Disable 8 Разрешать запрос входящего эха
Disable 9 Разрешать запрос входящего маршрутизатора
Disable 11 Разрешать превышение исходящего времени
Disable 12 Разрешать сообщение «Проблема исходящего параметра»
Disable 13 Разрешать запрос входящего штампа времени
Disable 17 Разрешать запрос входящей маски
Ведение журналов аудита
Для отслеживания изменений, вносимых в настройки брандмауэра Windows, и определения приложений и служб, обращающихся к ОС Windows XP для прослушивания портов, Вы можете включить аудит и затем просматривать события аудита в журнале безопасности.
Чтобы активировать ведение журнала аудита на компьютере под управлением Windows XP SP2, сделайте следующее:
- Выполните вход в систему с учётными данными администратора компьютера.
- Из меню Пуск (Start) перейдите в Панель управления (Control Panel), выберите Производительность и обслуживание (Performance and Maintenance), а затем нажмите Администрирование (Administrative Tools).
- В окне Администрирование (Administrative tools), дважды щёлкните по ярлыку Локальная политика безопасности (Local Security Policy).
- В дереве консоли оснастки Параметры безопасности (Local Security Settins) выберите Локальные политики (Local Policies), затем Политика Аудита (Audit Policy).
- В правой панели оснастки Параметры безопасности (Local Security Settings), дважды щёлкните Аудит изменения политики (Audit policy change). Отметьте поля Успех (Success) и Отказ (Failure) и нажмите ОК.
- В правой панели оснастки Параметры безопасности (Local Security Settings), дважды щёлкните Аудит отслеживания процессов (Audit process tracking). Отметьте поля Успех (Success) и Отказ (Failure) и нажмите ОК.
- Закройте оснастку Параметры безопасности (Local Security Settins).
Вы также можете включить аудит для нескольких компьютеров в домене службы каталогов Active Directory® через Групповую политику, изменяя настройки Аудита изменения политики (Audit policy change) и Аудита отслеживания процессов (Audit process tracking) в узле Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Политика аудита (Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy) для объектов групповой политики в соответствующих контейнерах системы домена.
После включения аудита для просмотра событий аудита в журнале безопасности используйте оснастку Просмотр событий (Event Viewer).
Брандмауэр Windows использует следующие ID коды событий:
- 848 - Отображает загрузочную конфигурацию брандмауэра Windows.
- 849 - Отображает настройки исключений для программ.
- 850 - Отображает настройки исключений для портов.
- 851 - Отображает изменение в перечне настроек исключений для программ.
- 852 - Отображает изменение в перечне настроек для портов.
- 853 - Отображает изменение рабочего состояния брандмауэра Windows.
- 854 - Отображает изменение в настройках ведения журнала брандмауэра Windows.
- 855 - Отображает изменение в параметрах ICMP.
- 856 - Отображает изменение установки Запретить однонаправленный ответ на многоадресный или широковещательный запрос (Prohibit unicast response to multicast or broadcast requests setting).
- 857 - Отображает изменение настройки удалённого администрирования (Remote Administration).
- 860 - Отображает изменение профиля.
- 861 - Отображает приложение, перешедшее в состояние ожидания входящего трафика.
Файл журнала брандмауэра Windows
Чтобы определить, отклоняет ли данный компьютер входящие пакеты, включите ведение журнала брандмауэром Windows локально либо через групповую политику.
В файл Pfirewall.log, по умолчанию находящийся в корневой папке Windows, в зависимости от параметров (Settings) ведения журнала безопасности (Security Logging) из вкладки Дополнительно (Advanced) диалогового окна Брандмауэр Windows, либо от параметров, заданных установкой групповой политики брандмауэра Windows Разрешать ведение журнала (Windows Firewall: Allow logging), записываются как отклонённые входящие запросы, так и успешные соединения. Содержание файла Pfirewall.log помогает, не задавая исключения и не разрешая сообщения ICMP, определить, принимается ли трафик компьютером, на котором работает брандмауэр Windows.
Например, если установить флажок Записывать пропущенные пакеты (Log dropped packets), то весь непринятый входящий трафик будет отмечаться в файле Pfirewall.log. Просмотреть этот файл можно, открыв его двойным щелчком в корневой папке Windows с помощью Проводника Windows (Windows Explorer). Содержание файла журнала помогает определить случаи, когда трафик, дошедший до Вашего компьютера, не был допущен брандмауэром Windows.
Ниже приведён пример содержания файла Pfirewall.log
Примечание. Некоторые строки кода перенесены для удобства чтения.
#Version: 1.5
#Software: Microsoft Windows Firewall
#Time Format: Local
#Fields: date time action protocol src-ip dst-ip src-port dst-port size
tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path
2004-07-08 15:22:30 DROP UDP 157.60.137.221 255.255.255.255 3134 712 88
- - - - - - - RECEIVE
2004-07-08 15:22:31 DROP UDP 157.60.138.21 239.255.255.250 3289 1900 161
- - - - - - - RECEIVE
2004-07-08 15:22:34 DROP UDP 157.60.138.21 239.255.255.250 3289 1900 161
- - - - - - - RECEIVE
2004-07-08 15:22:35 DROP UDP 157.60.138.134 239.255.255.250 3507 1900 161
- - - - - - - RECEIVE
2004-07-08 15:22:37 DROP UDP 157.60.138.21 239.255.255.250 3289 1900 161
- - - - - - - RECEIVE
2004-07-08 15:22:37 DROP UDP 157.60.136.211 239.255.255.250 4274 1900 161
- - - - - - - RECEIVE
2004-07-08 15:22:38 DROP UDP 157.60.138.134 239.255.255.250 3507 1900 161
- - - - - - - RECEIVE
2004-07-08 15:22:38 DROP UDP 192.168.0.1 239.255.255.250 1900 1900 280
- - - - - - - RECEIVE
В следующей таблице приводятся названия и описания полей в записях журнала брандмауэра Windows.
| Поле | Описание |
| date | Отображает год, месяц и день принятия пакета. Даты записываются в виде ГГГГ-ММ-ДД, где ГГГГ – год, ММ – месяц, ДД – день. |
| time | Отображает час, минуту и секунду принятия пакета. Время записывается в виде ЧЧ:ММ:СС, где ЧЧ – часы в 24-часовом формате, ММ – минуты, СС – секунды. |
| action | Обозначает операцию, зарегистрированную брандмауэром. Возможные значения - OPEN, CLOSE, DROP (открытие, закрытие, отклонение) и INFO-EVENTS-LOST. Значение INFO-EVENTS-LOST присваивается, если событие имело место, но не было записано в журнале. |
| protocol | Отображает название протокола, использовавшегося при соединении. Это может быть TCP, UDP, ICMP или код из поля протокола в IP-заголовке непринятого пакета. |
| src-ip | Отображает IP-адрес отправителя пакета. |
| dst-ip | Отображает IP-адрес получателя пакета. |
| src-port | Отображает номер порта, с которого был послан пакет, в TCP или UDP заголовке пакета. Запись в поле src-port имеет вид целого числа в диапазоне от 1 до 65535. Данное значение отображается корректно только для трафика, идущего через порты TCP и UDP. |
| dst-port | Отображает номер порта, на который пакет был послан, в TCP или UDP заголовке пакета. Запись в поле dst-port имеет вид целого числа в диапазоне от 1 до 65535. Данное значение отображается корректно только для трафика, идущего через порты TCP и UDP. |
| size | Отображает размер пакета в байтах |
| tcpflags | Отображает контрольные флаги TCP заголовков A – Ack: Номер октета, который должен прийти следующим F – Fin: Отправитель закончил посылку байтов. P – Psh: Получатель должен передать эти данные прикладной программе как можно быстрее. (Функция Push) R – Rst: Прерывание связи. S – Syn: Cинхронизация номеров сегментов U – Urg: Указатель важной информации |
| tcpsyn | Отображает номера сегментов TCP в TCP заголовке. |
| tcpack | Отображает номер следующего октета в TCP заголовке. |
| tcpwin | Отображает размер окна TCP в TCP заголовке. |
| icmptype | Отображает тип сообщения ICMP в ICMP заголовке. |
| icmpcode | Отображает код ICMP в ICMP заголовке. |
| info | Информационное поле, запись в котором зависит от типа зарегистрированной операции. Например, при операции INFO-EVENTS-LOST запись содержит число, соответствующее количеству событий, произошедших, но не записанных с момента последнего случившегося события данного типа. |
| path | Отображает направление движения пакета. Принимает значения SEND (для отправленных пакетов), RECEIVE (для принятых пакетов) и FORWARD (для перенаправленных пакетов). |
Дефис обозначает отсутствие информации для записи в данном поле.
Содержание файла Pfirewall.log может также помочь при выявлении случаев сканирования Вашего компьютера злонамеренными пользователями Интернета.
Оснастка Службы (Services)
Оснастка Службы (Services) используется для контроля состояния служб (программ, работающих на Вашем компьютере и обеспечивающих системную поддержку запускаемых Вами приложений). При устранении проблем с брандмауэром Windows пользуйтесь оснасткой Службы (Services) для проверки состояния и свойств службы Брандмауэр Windows/Общий доступ к Интернету (ICS) (Windows Firewall (WF)/Internet Connection Sharing (ICS)). Если брандмауэр Windows был включён, служба Брандмауэр Windows/Общий доступ к Интернету (ICS) (Windows Firewall (WF)/Internet Connection Sharing (ICS)) в оснастке Службы (Services) должна быть запущена и настроена на автоматический запуск.
С помощью оснастки Службы (Services) можно решить проблему с брандмауэром Windows следующим образом:
- Из меню Пуск (Start) перейдите в Панель управления (Control Panel), выберите Производительность и обслуживание (Performance and Maintenance), затем Администрирование (Administrative Tools) и дважды щёлкните по ярлыку Службы (Services).
- В правой панели оснастки Службы (Services) дважды щёлкните Брандмауэр Windows/Общий доступ к Интернету (ICS) (Windows Firewall (WF)/Internet Connection Sharing (ICS)). Задайте Тип запуска (Startup Type) – Авто (Auto), Состояние (Service status) – Работает (Started) (Прим. переводчика – Нажмите кнопку Пуск, если служба не запущена)
Пример показан на рисунке.
Оснастка Просмотр событий (Event Viewer)
Если службу Брандмауэр Windows/Общий доступ к Интернету (ICS) (Windows Firewall (WF)/Internet Connection Sharing (ICS)) не удаётся запустить, в журнале системных событий создаётся соответствующая запись с указанием причин ошибки запуска. Кроме этого, события аудита, относящиеся к изменениям в конфигурации брандмауэра Windows и запросам программ на открытие портов, сохраняются в журнале событий безопасности. Для просмотра журналов системных событий или событий безопасности пользуйтесь оснасткой Просмотр событий.
Для просмотра записей в журналах системных событий или событий безопасности с помощью оснастки Просмотр событий, сделайте следующее:
- Из меню Пуск (Start) перейдите в Панель управления (Control Panel), выберите Производительность и обслуживание (Performance and Maintenance), затем Администрирование (Administrative Tools) и дважды щёлкните по ярлыку Просмотр событий (Event Viewer).
- Для просмотра отчётов об ошибках службы Брандмауэр Windows/Общий доступ к Интернету (Windows Firewall (WF)/Internet Connection Sharing (ICS)), нажмите Система (System) в дереве консоли оснастки Просмотр событий (Event Viewer).
- В правой панели оснастки Просмотр событий (Event Viewer) найдите сообщения об ошибках.
- Для просмотра событий аудита, связанных с запросами приложений или служб на открытие портов, нажмите Безопасность (Security) в дереве консоли оснастки Просмотр событий (Event Viewer).
- В правой панели оснастки Просмотр событий (Event Viewer) ищите в графе Событие (Event) сообщения с кодами 849, 850 и 861.
На рисунке показан пример события аудита в журнале событий безопасности.
Утилита командной строки Netstat
С помощью команды Netstat можно получить разнообразную информацию об активных подключениях, портах, прослушиваемых компьютером, статистику Ethernet, таблицы маршрутизации IP, статистики IPv4 и Ipv6. В ОС Windows XP SP2 команда Netstat поддерживает новый параметр -b, отображающий по именам файлов компоненты, прослушивающие каждый открытый TCP и UDP порт.
В ОС Windows XP SP1 и Windows XP SP2 команда netstat –ano используется для вывода всех прослушиваемых портов в числовом формате и кодов соответствующих процессов (PID). По кодам процессов (PID) с помощью команды tasklist /svc можно узнать имена процессов, использующих тот или иной порт. Однако, в случае, если один процесс задействует несколько служб, определить при помощи команды netstat –ano , какая именно служба в составе процесса использует данный порт, невозможно.
Команда netstat -anb выводит все открытые TCP или UDP порты в числовом формате, имена файлов, соответствующих компонентам служб, использующих эти порты, а также коды процессов (PID). Зная имя файла и PID, можно определить, какая служба из выводимых командой tasklist /svc открыла порт.
Заключение
Брандмауэр Windows, включённый в ОС Windows XP SP2, представляет собой узловой брандмауэр, регистрирующий состояние связи и прерывающий передачу незапрашиваемого входящего трафика, не соответствующего действующим исключениям. Брандмауэр Windows обеспечивает защиту от попыток поиска уязвимостей путём сканирования портов компьютера злонамеренными пользователями Интернета. Брандмауэр Windows активирован по умолчанию и может быть настроен с помощью нового диалогового окна Брандмауэр Windows или через установки Групповой политики. Наиболее распространённой проблемой при использовании брандмауэра Windows является невозможность приёма трафика сервером, клиентом, равнозначным узлом сети или прослушивающим сеть приложением. В большинстве случаев, для восстановления функциональности соединения, используемого приложением, достаточно правильно задать исключения. В ОС Windows XP содержатся инструменты для сбора информации при решении проблем с брандмауэром Windows.
Связанные ресурсы
Более подробная информация содержится на следующих ресурсах:
- Ручная настройка брандмауэра Windows в ОС Windows XP Service Pack 2 Manually Configuring Windows Firewall in Windows XP Service Pack 2 (EN)
- Применение настроек брандмауэра Windows для Microsoft Windows XP Service Pack 2 Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2 (EN)
- Ресурсы ОС Windows XP Service Pack 2 для ИТ-специалистов Windows XP Service Pack 2: Resources for IT Professionals (EN)
- Для получения информации о брандмауэре Windows в Базе знаний Microsoft, перейдите по ссылке http://support.microsoft.com/default.aspx?scid=fh;EN-US;KBHOWTO и наберите Windows Firewall в строке поиска (в поле Search for)
Для получения обновлённой информации о Windows XP, обращайтесь на веб-узел Windows XP http://www.microsoft.com/windowsxp.