- •Теоретичні відомості
- •Діагностика ознак несправності
- •Примітки
- •Додавання порту до списку винятків
- •Використання засобів командного рядка
- •Збирання діагностичних даних
- •Конфігурація
- •Усунення неполадок брандмауера
- •Настройка групової політики брандмауера Windows
- •Практична частина
- •17. А тепер перейдіть до заповнення найбільше часто використовуваних служб:
Усунення неполадок брандмауера
Окрім несумісності програм, робота брандмауера Windows може бути пов'язана з іншими проблемами. Для діагностики цих проблем рекомендовано виконати такі дії.
Щоб переконатися, що TCP/IP працює належним чином, командою ping протестуйте адресу зворотного зв'язку (127.0.0.1) і призначену IP-адресу.
Перевірте конфігурацію інтерфейсу користувача та переконайтеся, що брандмауер не було випадково переведено до стану Off (Вимкнено) або On with No Exceptions (Увімкнено без винятків).
За допомогою команди netsh для даних стану та конфігурації подивіться, чи немає випадково установлених параметрів, які могли б перешкодити очікуваній роботі брандмауера.
Визначте стан служби Брандмауер Windows/Спільний доступ до підключення до Інтернету. Для цього введіть у командному рядку: sc query sharedaccess (скорочене ім'я цієї служби - SharedAccess). Якщо служба не запустилася, на основі коду завершення Win32 проаналізуйте процес її запуску.
Визначте стан драйвера брандмауера Ipnat.sys, для чого введіть у командному рядку:
sc query ipnat. Ця команда також повертає код завершення Win32 останньої спроби запуску драйвера. Якщо драйвер не запустився, скористайтеся звичайними методами усунення неполадок драйверів.
Якщо драйвер і служба працюють, але в журналі подій не записано помилок, пов'язаних із ними, натисніть кнопку Restore Defaults (Відновити) на вкладці Advanced (Додатково) вікна властивостей брандмауера Windows, щоб усунути всі потенційні проблеми з конфігурацією.
Якщо неполадку не вдається усунути, перегляньте параметри політики, які можуть викликати небажану дію брандмауера. Для цього введіть GPResult /v > gpresult.txt у командному рядку, а потім перевірте в отриманому текстовому файлі, як налаштовано політики, які мають відношення до брандмауера.
Настройка групової політики брандмауера Windows
Зверніться до адміністратора мережі та дізнайтеся, чи перешкоджають настройки групової політики роботі програм і сценаріїв у корпоративному середовищі.
Настройки групової політики для брандмауера Windows можна в оснащенні "Редактор об'єктів групової політики" за такими шляхами:
Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall
Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall/ Domain Profile
Computer Configuration/Administrative Templates/Network/Network Connections/Windows Firewall/ Standard Profile
За цими шляхами можна налаштувати такі параметри групової політики.
Windows Firewall: Allow authenticated Internet Protocol security (IPSec) bypass (Дозволити оминання IPSec із перевіркою автентичності)
Windows Firewall: Protect all network connections (Захищати всі мережні підключення)
Windows Firewall: Do not allow exceptions (Не дозволяти винятки)
Windows Firewall: Define program exceptions (Визначити винятки для програм)
Windows Firewall: Allow local program exceptions (Дозволити винятки для локальних програм)
Windows Firewall: Allow remote administration exception (Дозволити винятки для віддаленого адміністрування)
Windows Firewall: Allow file and print sharing exception (Дозволити винятки для спільного доступу до програм і файлів)
Windows Firewall: Allow ICMP exceptions (Дозволити винятки для ICMP)
Windows Firewall: Allow remote Desktop exception (Дозволити винятки для віддаленого робочого стола)
Windows Firewall: Allow Universal Plug and Plan (UpnP) framework exception (Дозволити винятки для інфраструктури UpnP)
Windows Firewall: Prohibit notifications (Заборонити сповіщення)
Windows Firewall: Allow logging (Дозволити ведення журналу)
Windows Firewall: Prohibit unicast response to multicast or broadcast requests (Заборонити одноадресні відповіді на багатоадресні або широкомовні запити)
Windows Firewall: Define port exceptions (Визначити винятки для портів)
Windows Firewall: Allow local port exceptions (Дозволити винятки для локальних портів)
ПІДСУМКИ
До складу пакета оновлення 2 (SP2) для Microsoft Windows XP входить брандмауер Microsoft Windows - удосконалена програма мережного захисту, яка замінює собою брандмауер підключення до Інтернету (Internet Connection Firewall, ICF). Якщо брандмауер Microsoft Windows блокує порт, потрібний для роботи програмі або службі, можна зробити для цієї ситуації виняток і вказати його в настройках брандмауера. Про блокування брандмауером Windows програми або служби можуть свідчити такі ознаки.
Програми не відповідають на запити клієнта.
Клієнтські програми не отримують даних із сервера.
Також про блокування брандмауером певної програми може сповіщати попередження системи безпеки брандмауера Windows. В останньому випадку, щоб розблокувати програму, необхідно вибрати перемикач Unblock this program (Розблокувати цю програму) у діалоговому вікні Попередження системи безпеки. Щоб полегшити визначення заблокованих програм і портів, можна налаштувати брандмауер Windows на протоколювання пропущених пакетів. Netsh - модуль підтримки брандмауера Windows - дає змогу налаштувати протоколювання брандмауера в командному рядку. Причиною неполадок інколи може бути несумісність програм. Крім того, забороняти запуск програм можуть параметри групової політики. До складу пакета оновлення 2 (SP2) для Windows XP входить декілька службових програм, придатних для усунення проблем, пов'язаних із брандмауером Windows.