- •Теоретичні відомості
- •Діагностика ознак несправності
- •Примітки
- •Додавання порту до списку винятків
- •Використання засобів командного рядка
- •Збирання діагностичних даних
- •Конфігурація
- •Усунення неполадок брандмауера
- •Настройка групової політики брандмауера Windows
- •Практична частина
- •17. А тепер перейдіть до заповнення найбільше часто використовуваних служб:
Використання засобів командного рядка
У складі Microsoft Advanced Networking Pack до пакета Windows XP включено Netsh - модуль підтримки брандмауера Windows. Цей засіб командного рядка раніше використовувався у складі брандмауера IPv6. У версії для пакета оновлення Windows XP SP2 модуль Netsh має можливості для настройки IPv4.
За допомогою модуля Netsh можна:
установлювати стан за замовчуванням для брандмауера Windows (можливі варіанти: Off (вимкнено), On (увімкнено) та On with no exceptions (увімкнено без винятків));
указувати, які порти має бути відкрито;
дозволяти для портів глобальний доступ або лише доступ до локальної підмережі;
указувати, що порти мають відкриватися на всіх інтерфейсах або лише на вказаному інтерфейсі;
налаштовувати параметри ведення журналу;
налаштовувати параметри обробки протоколу ICMP;
додавати програми до списку винятків і вилучати з нього.
Ці можливості, за винятком окремих, поширюються на брандмауери Windows обох версій - для IPv4 та для IPv6.
Збирання діагностичних даних
Дані про конфігурацію та стан брандмауера Windows можна отримати в командному рядку за допомогою засобу Netsh.exe. Цей засіб додає підтримку брандмауера IPv4 до контексту Netsh
netsh firewall
Для використання цього контексту введіть у командному рядку netsh firewall. Після цього стають доступні додаткові команди Netsh. Для збирання відомостей про стан і конфігурацію брандмауера можна скористатися такими командами.
Netsh firewall show state
Netsh firewall show config
Порівнявши результати виконання цих команд із результатами команди netstat -ano, визначте програми, для яких може бути відкрито прослуховуючі порти та в конфігурації брандмауера не зазначено винятків. Доступні команди для збирання даних перелічено в нижченаведених таблицях.
Примітка Ці настройки може змінити лише адміністратор.
Збирання даних
Команда
|
Опис |
show allowedprogram |
Показ дозволених програм. |
show config |
Показ детальних відомостей про локальну конфігурацію. |
show currentprofile |
Показ поточного профілю. |
show icmpsetting |
Показ параметрів ICMP. |
show logging |
Показ параметрів ведення журналу |
show opmode |
Показ робочого режиму. |
show portopening |
Показ виняткових портів. |
show service |
Показ служб. |
show state |
Показ поточних відомостей про стан. |
show notifications |
Показ поточних відомостей про сповіщення. |
Конфігурація
Команда |
Опис |
add allowedprogram |
Додавання програми до списку дозволених. |
set allowedprogram |
Зміна параметрів наявної дозволеної програми. |
delete allowedprogram |
Видалення програми зі списку дозволених. |
set icmpsetting |
Зазначення дозволеного ICMP-трафіку. |
set logging |
Зазначення параметрів ведення журналу для брандмауера Windows у глобальному контексті або для певного з'єднання (інтерфейсу). |
set opmode |
Зазначення робочого режиму брандмауера Windows у глобальному контексті або для певного з'єднання (інтерфейсу). |
add portopening |
Додавання порту TCP або UDP до списку дозволених.
|
set portopening |
Зміна параметрів наявного відкритого порту TCP або UDP. |
delete portopening |
Видалення наявного відкритого порту TCP або UDP зі списку дозволених. |
set service |
Дозвіл або заборона трафіку RPC та DCOM, спільного доступу до файлів і принтерів і трафіку UPnP. |
set notifications |
Зазначення, чи сповіщати користувача, коли програми намагаються відкрити дозволені порти. |
reset |
Повернення конфігурації брандмауера до установленої за замовчуванням. Ця команда за своєю дією еквівалентна кнопці "Restore Defaults" (Відновити) в інтерфейсі брандмауера Windows. |