概要
Microsoft Windows XP Service Pack 2 (SP2) 包括 Microsoft Windows 防火墙,此更新的防火墙软件将替代 Internet 连接防火墙 (ICF)。如果 Microsoft Windows 防火墙阻止某个服务或程序所使用的端口,您可以配置 Windows 防火墙以创建一个例外项。如果出现下列情况,则 Windows 防火墙可能阻止了某个程序或服务: • 程序不响应客户端的请求。
• 客户端程序无法从服务器接收数据。
Windows 防火墙安全警报可能会通知您 Windows 防火墙阻止了某个特定程序。发生这种情况时,您可以选择“安全警报”对话框中的“取消阻止该程序”来取消阻止该程序。为帮助确定阻止了哪些程序和端口,您可以配置 Windows 防火墙来记录被丢弃的数据包。通过使用 Windows 防火墙 Netsh 帮助程序,您可以在命令提示符下配置 Windows 防火墙和 Windows 防火墙日志记录。问题并不总是由程序兼容性造成的。组策略设置也可能会禁止运行程序。Windows XP Service Pack 2 (SP2) 包含多个实用工具,您可以使用这些工具来解决 Windows 防火墙问题。
简介
解决防火墙阻止问题的最好方法是修改程序,使其与有状态的筛选防火墙一起使用。如果无法修改程序,则可以配置 Windows 防火墙,以便为特定端口和程序添加例外项。本文讨论与 Windows XP Service Pack 2 防火墙的默认配置有关的故障症状,如何配置例外端口和程序,以及如何解决防火墙设置问题。
• 在基于 Windows XP 的计算机上运行的服务器程序无法响应客户端请求。例如,下列服务器程序无法响应: • Web 服务器,如 Internet 信息服务 (IIS)
• 远程桌面
• 文件共享
注意: • 网络程序中的故障不只限于防火墙问题。RPC 或 DCOM 的安全更改也可能会导致出现这些故障。因此,您必须确定该故障是否与指示某个程序被阻止的 Windows 防火墙安全警报一起出现。
• 服务故障不会与 Windows 防火墙安全警报一起出现,因为服务通常与用户登录会话无关。如果故障与服务相关,可按照“使用 Windows 安全中心来配置 Windows 防火墙”一节中讨论的方法来配置防火墙。
如果某个程序被阻止,您可能会收到以下 Windows 防火墙安全警报:
为帮助保护您的计算机,Windows 防火墙已阻止该程序从 Internet 或网络接收未经请求的信息。
名称:程序名称
发行商:发行商名称
取消阻止该程序
继续阻止该程序
继续阻止该程序,但以后要再次询问我
了解 Windows 防火墙的更多信息。
使用 Windows 防火墙安全警报来配置 Windows 防火墙
Windows 防火墙安全警报提供以下三个选项: • 取消阻止该程序。
• 继续阻止该程序。
• 继续阻止该程序,但以后要再次询问我。
要取消阻止该程序,可在“安全警报”对话框中单击“取消阻止该程序”,然后单击“确定”。
使用 Windows 安全中心来配置 Windows 防火墙
添加例外程序
在将程序添加到例外列表中后,防火墙就可以打开多个端口范围,每次运行该程序时,这些端口范围都可能会发生变化。要添加例外程序,请按照下列步骤操作: 1. 使用管理员帐户登录。
有关如何确定当前登录的帐户是否是管理员帐户的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
871211 (http://support.microsoft.com/kb/871211/) 如何检查您是否以管理员身份登录以及计算机是否有适当的组策略
2. 单击“开始”,单击“运行”,键入 Wscui.cpl,然后单击“确定”。
3. 在“Windows 安全中心”窗口中,单击“Windows 防火墙”。
4. 在“例外”选项卡上,单击“添加程序”。
5. 在程序列表中,单击要添加的程序的名称,然后单击“确定”。如果您的程序名不在程序列表中,请单击“浏览”以查找该程序,然后单击“确定”。
使用命令行支持
Windows 防火墙 Netsh 帮助程序已添加到 Windows XP 的 Microsoft Advanced Networking Pack 中。此命令行帮助程序以前适用于 IPv6 Windows 防火墙。在 Windows XP Service Pack 2 中,该帮助程序现在支持对 IPv4 进行配置。
通过使用 Netsh 帮助程序,您现在可以: • 配置 Windows 防火墙的默认状态。(选项包括“关闭”、“启用”和“启用并且没有例外”。)
• 配置必须打开的端口。
• 配置端口以启用全局访问,或限制对本地子网的访问。
• 将端口设置为在所有接口上打开,或者仅在特定接口上打开。
• 配置日志记录选项。
• 配置 Internet 控制消息协议 (ICMP) 处理选项。
• 在例外列表中添加或删除程序。
这些配置选项适用于 IPv4 Windows 防火墙和 IPv6 Windows 防火墙,但 Windows 防火墙版本中不存在的特定功能除外。
收集诊断数据
可以使用 Netsh.exe 工具,在命令行中检索 Windows 防火墙的配置和状态信息。此工具将 IPv4 防火墙支持添加到以下 Netsh 上下文中:
netsh firewall
要使用此上下文,请在命令提示符下键入 netsh firewall,然后根据需要使用其他 Netsh 命令。以下命令对于收集防火墙状态和配置信息非常有用: • Netsh firewall show state
• Netsh firewall show config
可以将这些命令的输出与 netstat –ano 命令的输出进行比较,确定可能打开侦听端口并且在防火墙配置中无相应例外项的程序。下表列出了受支持的数据收集和配置命令。
注意:只有管理员能够修改设置。
数据收集 命令 说明
show allowedprogram 显示允许的程序。
show config 显示详细的本地配置信息。
show currentprofile 显示当前配置文件。
show icmpsetting 显示 ICMP 设置。
show logging 显示日志记录设置。
show opmode 显示操作模式。
show portopening 显示例外端口。
show service 显示服务。
show state 显示当前的状态信息。
show notifications 显示当前通知设置。
配置 命令 说明
add allowedprogram 用于通过指定程序的文件名来添加例外通信。
set allowedprogram 用于修改现有允许的程序的设置。
delete allowedprogram 用于删除现有允许的程序。
set icmpsetting 用于指定允许的 ICMP 通信。
set logging 用于为 Windows 防火墙指定全局日志记录选项,或为特定连接(接口)指定日志记录选项。
set opmode 用于为 Windows 防火墙指定全局操作模式,或为特定连接(接口)指定操作模式。
add portopening 用于通过指定 TCP 或 UDP 端口来添加例外通信。
set portopening 用于修改现有打开的 TCP 或 UDP 端口的设置。
delete portopening 用于删除现有打开的 TCP 或 UDP 端口。
set service 用于启用或丢弃 RPC 和 DCOM 通信、文件和打印机共享以及 UPnP 通信。
set notifications 用于指定当程序试图打开端口时是否通知用户。
reset 将防火墙配置重置为默认设置。它提供与“Windows 防火墙”界面中的“还原为默认值”按钮相同的功能。
配置 Windows 防火墙组策略
请与您的网络管理员联系,确定组策略设置是否禁止程序和方案在企业环境中运行。
Windows 防火墙组策略设置位于以下“组策略对象编辑器”管理单元路径中: • 计算机配置/管理模板/网络/网络连接/Windows 防火墙
• 计算机配置/管理模板/网络/网络连接/Windows 防火墙/域配置文件
• 计算机配置/管理模板/网络/网络连接/Windows 防火墙/标准配置文件
从这些位置,您可以配置以下组策略设置: • Windows 防火墙:允许已验证的 Internet 协议安全 (IPSec) 绕过
• Windows 防火墙:保护所有网络连接
• Windows 防火墙:不允许例外
• Windows 防火墙:定义例外程序
• Windows 防火墙:允许本地程序例外
• Windows 防火墙:允许远程管理例外
• Windows 防火墙:允许文件和打印共享例外
• Windows 防火墙:允许 ICMP 例外
• Windows 防火墙:允许远程桌面例外
• Windows 防火墙:允许通用即插即用 (UpnP) 框架例外
• Windows 防火墙:禁止通知
• Windows 防火墙:允许日志记录
• Windows 防火墙:禁止对多播或广播请求进行单播响应
• Windows 防火墙:定义例外端口
• Windows 防火墙:允许本地端口例外
