與高級安全,微軟管理控制台(MMC),Windows防火牆的管理單元,在Windows 8和Windows Server 2012是一個狀態,主機型防火牆可以過濾根據其配置傳入和傳出連接的。具有高級安全性的Windows防火牆還支持RFC標準的實施Internet協議安全(IPSec)中,IPsec和防火牆配置可以在這個管理單元來完成在一起。本文介紹了具有高級安全性的Windows防火牆是如何工作的,有什麼常見的故障排除情況是,哪些工具可用於故障排除。



要打開Windows高級安全防火牆控制台在本文中所有的程序,從開始屏幕類型 wf.msc,然後按Enter鍵

這篇文章中的主題

工具和程序用於解決Windows防火牆

本節討論用於解決Windows防火牆常見的情況的工具和程序。主題包括:

在Windows防火牆中使用監視具有高級安全性

你通常需要在故障排除Windows防火牆或IPsec問題的第一步是要查看的規則正在被應用到計算機。使用 監測與高級安全Windows防火牆節點,您可以看到目前正在申請在本地和組策略的規則。

要打開Windows防火牆的監控節點具有高級安全性

1.在高級安全MMC管理單元,在導航樹中選擇,然後展開Windows防火牆 監控

2.在導航樹中,選擇 防火牆,以查看當前活動的入站和出站規則。您可以雙擊規則以查看其詳細信息。

3.在導航樹中,選擇 連接安全規則,以查看實現對網絡流量的IPsec要求當前活動的連接安全規則。您可以雙擊規則以查看其詳細信息。

4.對於任何 防火牆連接安全規則,你可以確定一個規則是從哪裡來的。在 操作窗格中,單擊視圖,然後單擊 添加/刪除列。在可用列列表中,選擇規則的源,單擊 添加,其定位在顯示的列點擊列表上移下移,然後單擊確定。它可以在幾秒鐘名單出現新的信息。

5.在導航樹中,展開 安全關聯,然後選擇 主模式快速模式來查看本地計算機和各種遠程計算機之間建立的當前活動的安全關聯。

故障排除考慮防火牆規則

  • 只有一個防火牆規則被用於確定是否允許或丟棄網絡分組。如果網絡數據包匹配多個規則,那麼所使用的規則使用下列選定的優先級:
    • 指定的操​​作規則允許,如果安全,也可以選擇阻止覆蓋
    • 指定的動作座規則
    • 指定的操​​作規則允許
  • 目前唯一活躍的規則都顯示在監控節點。規則可能不會出現在列表中,如果:
    • 該規則被禁用。
    • 如果默認入站或出站防火牆行為被配置為允許未阻止規則的流量,然後允許不顯示特定方向的規則。
  • 默認情況下,在下面的列表中標識的組中的防火牆規則被啟用。當您安裝某些Windows功能或程序可能啟用額外的規則。
    • 核心網絡 - 所有配置
    • 遠程協助 - DCOM和RA服務器TCP規則,只有域配置文件,其它規則的領域和私人概況
    • 網絡發現 - 專用配置文件只

 

在事件查看器查看防火牆和IPsec活動

Windows 8的和Windows Server 2012自動登錄顯著防火牆和IPsec活動在計算機的事件日誌。您可以使用事件查看器查看日誌中的事件。

 



要查看Windows防火牆事件具有高級安全性的事件查看器

1.事件查看器可作為計算機管理的一部分。右鍵單擊 開始的魅力,然後單擊計算機管理..

2.在導航樹中,展開 事件查看器,展開應用程序和服務,擴大 微軟,擴大視窗,然後展開 具有高級安全性的Windows防火牆

3.有五種觀點提供了操作的事件:

  • ConnectionSecurity。此日誌認為,涉及到的IPsec規則和設置的配置事件。例如,當一個連接安全規則被添加或移除或IPsec的設置被修改,一個事件在這裡加入。
  • ConnectionSecurityVerbose。此日誌認為涉及到IPsec發動機的運轉狀態的事件。例如,當一個連接安全規則變得活躍,或當加密集添加或移除,事件在這裡加入。此日誌默認情況下禁用。要啟用此日誌,請右鍵單擊ConnectionSecurityVerbose,然後單擊啟用日誌。
  • 防火牆。此日誌認為,涉及到Windows防火牆的配置事件。例如,當一個規則被添加,刪除或修改,或者當網絡接口改變其簡檔,一個事件在這裡加入。
  • FirewallVerbose。此日誌認為,涉及到防火牆的運行狀態的事件。例如,當一個防火牆規則變得活躍時,或當一個輪廓的設置被改變時,一個事件被這裡加入。此日誌默認情況下禁用。要啟用此日誌,請右鍵單擊FirewallVerbose,然後單擊啟用日誌。
  • 網絡隔離操作日誌  

 

4.每個事件包括一個 的概括事件中包含的信息標籤。有關事件的更多信息,請單擊 事件日誌聯機幫助打開包含詳細的信息和規範性指導網頁將Windows Server技術庫中。

本次活動還包括 詳細的顯示與事件相關的原始數據標籤。您可以複製並粘貼到信息 詳細信息通過選擇文本選項卡(CTRL + A選擇一切),然後按CTRL-C。

配置防火牆日誌文件

 

您可以啟用日誌記錄在Windows防火牆具有高級安全性來創建一個包含哪些網絡連接防火牆允許並丟棄信息的文本文件。您可以創建日誌文件有以下幾種:

 

配置防火牆的日誌文件中的配置文件

之前,你可以查看防火牆日誌,則必須配置具有高級安全性的Windows防火牆創建日誌文件。

要配置日誌記錄的Windows防火牆具有高級安全性配置文件

1.在Windows防火牆的高級安全控制台樹管理單元中,單擊 Windows防火牆具有高級安全性,然後單擊 屬性在操作窗格。

2.單擊配置文件,而您想要配置日誌(域,私人或公共)選項卡,然後單擊 自定義

3.指定名稱和位置。

4.指定日誌文件大小限制(1〜32767字節)。

5.單擊 用於記錄被丟棄的數據包

6.單擊 記錄成功的連接,然後單擊確定

 

要查看防火牆的日誌文件

打開資源管理器的路徑和你前面的過程中選擇文件名,“要為配置文件配置日誌記錄”。要訪問防火牆日誌,你必須是本地computer.Windows防火牆的高級安全管理員

您可以在記事本中的日誌文件或程序,可以打開一個文本文件。

 

解讀防火牆日誌文件

下面的日誌信息進行採集。在日誌文件中的一些數據僅適用於某些協議(TCP標誌,ICMP類型和代碼等),以及一些數據,只適用於丟棄的數據包(大小)。

 

領域

描述

日期

顯示年,月,日的記錄的事務發生。日期的記錄格式為YYYY-MM-DD,其中YYYY是年,MM是月,DD是天。

2006年3月27日

時間

顯示小時,分鐘和秒記錄的交易時有發生。時間記錄格式為:HH:MM:SS,其中HH是24小時格式小時,MM是分鐘,SS是第二。

21點36分59秒

行動

表示,觀察由防火牆的操作。提供防火牆的行動是OPEN,CLOSE,DROP和INFO-EVENTS-LOST。的INFO-EVENTS-LOST操作指示已發生但沒有記錄在日誌中的事件的數量。

OPEN

協議

顯示了用於通信的協議。一個協議條目也可以是一個數字對於不使用TCP,UDP,ICMP或數據包。

TCP

SRC-IP

顯示發送計算機的IP地址。

XXX.XXX.X.XX

DST-IP

顯示在目標計算機的IP地址。

XXX.XXX.X.XX

SRC端口

顯示發送計算機的源端口號。一個src-port條目被記錄在一個整數的形式,1到65,535之間。只有TCP和UDP會顯示有效的src-port條目。所有其他協議顯示一個src-port條目 - 。

4039

DST端口

顯示目標計算機的端口號。一個DST-port條目被記錄在一個整數的形式,1到65,535之間。只有TCP和UDP會顯示有效的dst-port條目。所有其他協議顯示的DST-port條目 - 。

53

尺寸

顯示數據包的大小(字節)。

-

tcpflags

顯示被發現在一個IP數據包的TCP報頭中的TCP控制標誌:

·    確認。確認野外顯著

·    鰭。沒有更多的數據發送方

·    PSH。 Push功能

·    RST。重置連接

·    合成實施同步序列號

·    URG,緊急指針字段顯著

一個標誌顯示為flagname的一個大寫字母。例如, 標誌顯示為˚F的flagname的一個大寫字母。

法新社

TCPSYN

顯示數據包的TCP序列號。

1315819770

tcpack

顯示數據包中的TCP確認號。

0

tcpwin

顯示以字節數據包的TCP窗口大小。

64240

icmptype

顯示一個數字,表示ICMP消息的類型字段。

8

icmpcode

顯示一個數字,表示ICMP消息的代碼字段。

0

信息

顯示依賴於所發生的操作類型的信息條目。例如,INFO-EVENTS-LOST操作為在發生,但由於此事件類型最後一次出現的時間沒有記錄在日誌中的事件數量的條目。

23

 

注意

連字符( - )用於場在沒有信息可用於一個條目。

netstat的創建和任務列表的文本文件

您可以創建兩個自定義日誌文件,一個查看網絡統計(列出所有偵聽端口)和其他瀏覽任何程序或服務的任務列表。任務列表將為您可以看一下在網絡統計文件的詳細信息,事件的進程標識符(PID)。創建這兩個文件的過程如下:

創建網絡統計和任務列表的文本文件

1.在命令提示符處,鍵入 netstat的-ano> netstat.txt,然後按ENTER鍵。

2.在命令提示符下,鍵入 任務列表> tasklist.txt,然後按ENTER鍵。如果您要創建服務,而不是節目的文本文件,在命令提示符下,鍵入 任務列表/ SVC> tasklist.txt

3.打開tasklist.txt和netstat.txt文件。 

4.在tasklist.txt文件,記下進程標識符(PID)為您排除故障的過程。與在Netstat.txt文件進行比較的PID。記下所使用的協議。關於所使用的協議的信息可以回顧在防火牆日誌文件中的信息的時候非常有用。

Tasklist.txt和Netstat.txt的樣本輸出

Netstat.txt

原本地地址外國地址狀態PID

TCP 0.0.0.0:XXX 0.0.0.0:0 LISTENING 122

TCP 0.0.0.0:XXXXX 0.0.0.0:0 LISTENING 322

Tasklist.txt

圖片名稱的PID會話名會話#內存使用

==================== ======== ================ ====== ===== ============

svchost.exe的122服務0 7172ķ

XzzRpc.exe 322服務0 5104ķ

注意

實際的IP地址已更改為(X),和RPC服務(Z)。

驗證主要防火牆和IPsec服務工作

對於具有高級安全性的Windows防火牆的正常運行,以下服務必須啟動: 

  • 基本篩選引擎
  • 組策略
  • 客戶端IKE和AuthIP的IPSec密鑰模塊
  • IP輔助IPsec策略代理
  • 網絡位置感知
  • 網絡列表服務
  • Windows防火牆

  

要打開服務管理單元,並驗證服務已啟動

1.右鍵單擊 開始的魅力,然後點擊控制面板

2.單擊 系統和安全

3.單擊 管理工具

4.雙擊 服務

5。驗證上面列出的服務已啟動。如果其中一個或多個服務沒有啟動,右鍵單擊服務名稱列表中,然後單擊 開始

 

重置Windows防火牆中的默認設置具有高級安全性

作為最後的手段,你可能要恢復具有高級安全性的Windows默認防火牆。當您還原默認設置,你失去所有的設置,所有的防火牆規則,並在計算機上本地配置的所有IPsec連接安全規則在安裝後的Windows。組策略應用的規則和設置不受到干擾。本地定義的規則的喪失可能會導致某些程序停止依賴於一定的規則或設置工作。另外,如果你是遠程管理這台電腦,連接時會恢復默認值丟失。

重置前具有高級安全性的默認Windows防火牆,請確保您保存當前的防火牆狀態。這使您可以在必要時恢復設置。

是步驟以保存防火牆的狀態和重置Windows防火牆具有高級安全性為其默認配置如下:

保存當前的防火牆狀態

1.在與高級安全Windows防火牆MMC管理單元中,單擊 導出策略操作窗格中。

2.在 另存為屬性表,提供導出文件的名稱和路徑。

3.單擊 保存

注意

您可以使用 導入策略選項,在操作窗格中重新應用已保存的配置。

與高級安全Windows防火牆恢復為默認配置

1.具有高級安全性的Windows防火牆管理單元中,單擊 還原默認策略,在操作窗格。

2.具有高級安全性的提示Windows防火牆,點擊 恢復防火牆默認值。

 

捕捉防火牆和IPsec活動使用Netsh WFP

 

Windows 7和Windows Server 2008 R2中引入了新的 世界糧食計劃署的netsh環境,使您能夠捕獲Windows篩選平台的行為,這是一個實現你的防火牆和連接安全規則的基本引擎的診斷跟踪會話。啟動捕獲會話,重現問題,然後停在日誌捕獲結果,可以幫助您或Microsoft客戶支持服務(CSS)解決連接問題在您的計算機上。

要捕獲的Netsh WFP診斷會話

1.以管理員權限打開命令提示符窗口。

2.在命令提示符下,通過運行以下命令將當前文件夾更改為您的桌面: CD%USERPROFILE%\桌面

3.要啟動捕獲,運行命令 netsh的世界糧食計劃署捕獲開始

4.重現網絡問題的原因您試圖診斷。

5.要完成捕獲,運行命令 netsh的世界糧食計劃署捕獲停止。輸出文件被存儲在當前文件夾。

要查看WFP診斷數據

1.在資源管理器中,雙擊您在前面的過程中創建的.cab文件。

2. .cab文件包含了一個.xml文件和一個.etl文件。該.etl文件是用於通過使用CSS的二進制文件。.xml文件可以加載並在本地閱讀。因為這個過程中產生的.xml文件的大小,我們建議您購買,而不是使用Web瀏覽器或記事本打開該文件的XML閱讀器程序。有幾個好的可用於在網絡上免費下載。

3.從.cab文件拖放到桌面上的wfpdiag.xml文件。

4.打開與您選擇的XML閱讀器的文件,並檢查內容。注意主要部分:

  • SYSINFO - 此部分包含有關其跟踪被抓獲的計算機的信息。
  • 初始化狀態 - 此部分包含問題重現之前對WFP的狀態和當前配置規則的信息。
  • 活動 - 此部分包含有關捕獲會話運行期間發生的事情的信息。
  • finalState - 此部分包含了相同的信息的初始化狀態,但是當你跑了世界糧食計劃署捕獲停止命令被抓獲。您可以直接比較兩個部分,以尋找可能涉及到你正在嘗試診斷連接問題的分歧。

同樣,您可以使用netsh的跟踪Netsh的跟踪停止命令來捕獲各種定制選擇的情況下診斷信息,如 世界糧食計劃署支持IPSec

要捕獲的Netsh跟踪診斷節

1.在一個 管理員:命令提示符,運行命令 \桌面的netsh跟踪開始場景=世界糧食計劃署的IPSec跟踪文件=%USERPROFILE%\ SampleTrace.cab

替換路徑適合您的環境的文件名。

2.該命令的輸出顯示你的軌跡運行,該文件將數據寫入,以及其他可能的參數細節。

3.重現的,因為你試圖診斷問題。

4.運行命令 的netsh跟踪停止

該計算機需要一些時間來為您指定的位置收集跟踪數據編譯成一個.cab文件。

5.打開Windows資源管理器,瀏覽到您指定的文件夾,然後雙擊.cab文件,並檢查其內容。各種文本文件,.xml文件,事件日誌文件,以及其他類型也包括在內。

 

使用具有高級安全性的Windows防火牆常見故障排除情況

以下是使用Windows防火牆具有高級安全性時遇到的常見問題。選擇最符合您的問題的描述。

Windows防火牆阻止程序

其中一個使用網絡防火牆時,最常見的問題是,它有時會阻止網絡流量,你要允許。以下各節討論原因,防火牆可能會阻礙交通。

驗證Windows防火牆啟用了您的網絡位置



 診斷的第一步下降或堵塞交通的情況是,以確定是否防火牆處於打開狀態以及網絡位置配置文件處於活動狀態:域,私人或公共。

 

要驗證啟用了防火牆當前網絡位置配置文件

  • 執行下列操作之一:
    • 在Windows PowerShell命令提示符下,運行以下命令:

獲取-NetFirewallProfile

輸出顯示每個活動的網絡配置文件(域,專用,公共)的狀態。例如:

PS C:\用戶\管理員>獲取-NetFirewallProfile

 

名稱:Domain

啟用:真

DefaultInboundAction:NotConfigured

DefaultOutboundAction:NotConfigured

AllowInboundRules:NotConfigured

AllowLocalFirewallRules:NotConfigured

AllowLocalIPsecRules:NotConfigured

AllowUserApps:NotConfigured

AllowUserPorts:NotConfigured

AllowUnicastResponseToMulticast:NotConfigured

NotifyOnListen:真

EnableStealthModeForIPsec:NotConfigured

LOGFILENAME:%SYSTEMROOT%\ SYSTEM32 \ LogFiles文件\防火牆\為pfirewall.log

LogMaxSizeKilobytes:4096

LogAllowed:假

LogBlocked:假

LogIgnored:NotConfigured

DisabledInterfaceAlias​​es:{} NotConfigured

 

名稱:Private

啟用:真

DefaultInboundAction:NotConfigured

DefaultOutboundAction:NotConfigured

AllowInboundRules:NotConfigured

AllowLocalFirewallRules:NotConfigured

AllowLocalIPsecRules:NotConfigured

AllowUserApps:NotConfigured

AllowUserPorts:NotConfigured

AllowUnicastResponseToMulticast:NotConfigured

NotifyOnListen:真

EnableStealthModeForIPsec:NotConfigured

LOGFILENAME:%SYSTEMROOT%\ SYSTEM32 \ LogFiles文件\防火牆\為pfirewall.log

LogMaxSizeKilobytes:4096

LogAllowed:假

LogBlocked:假

LogIgnored:NotConfigured

DisabledInterfaceAlias​​es:{} NotConfigured

 

名稱:Public

啟用:真

DefaultInboundAction:NotConfigured

DefaultOutboundAction:NotConfigured

AllowInboundRules:NotConfigured

AllowLocalFirewallRules:NotConfigured

AllowLocalIPsecRules:NotConfigured

AllowUserApps:NotConfigured

AllowUserPorts:NotConfigured

AllowUnicastResponseToMulticast:NotConfigured

NotifyOnListen:真

EnableStealthModeForIPsec:NotConfigured

LOGFILENAME:%SYSTEMROOT%\ SYSTEM32 \ LogFiles文件\防火牆\為pfirewall.log

LogMaxSizeKilobytes:4096

LogAllowed:假

LogBlocked:假

LogIgnored:NotConfigured

DisabledInterfaceAlias​​es:{} NotConfigured

...

  •  右鍵單擊 開始魅力,單擊控制面板,單擊 系統和安全,並且在Windows防火牆單擊檢查防火牆狀態

大多數遵循使用Windows防火牆高級安全MMC管理單元,而不是Windows防火牆控制面板程序,該程序。

要開始使用高級安全MMC管理單元的Windows防火牆

  • 從開始屏幕類型wf.msc,然後按Enter鍵

沒有活躍的“允許”的交通規則



默認情況下,具有高級安全性的Windows阻止防火牆所有非法入站網絡流量,並允許所有出站網絡流量。對於未經請求的入站網絡流量到達您的計算機,你必須創建一個允許規則,以允許該類型的網絡流量。如果一個網絡程序無法訪問,請驗證高級安全管理單元的Windows防火牆沒有為當前配置文件活躍允許規則。要驗證有一個活動允許規則,雙擊監視,然後單擊防火牆。如果沒有積極的允許程序規則,到入站規則節點,並創建該項目的新規則。無論是創建一個程序規則或服務的規則,或搜索適用於該功能並確保已啟用該組中的所有規則一個組。允許交通,你必須創建需要偵聽交通項目的規則。如果你知道程序所需的TCP或UDP端口號,你可以額外限制規則,只有那些端口,降低開放的所有端 ​​口的程序的漏洞。







通過使用Windows防火牆控制面板程序將程序添加的入站規則

  1. 右鍵單擊開始魅力,單擊控制面板,然後單擊 系統和安全。
  2. 在Windows防火牆,單擊 允許程序通過Windows防火牆的應用程序

2.在 允許的應用程序和功能,檢查列表,看是否異常的程序已經存在,只是需要啟用。如果你找到一個,單擊更改設置,然後選擇旁邊的複選框,然後單擊 確定

3.如果規則不存在,請點擊 允許其他應用程序

4.在 添加應用程序對話框中,無論是從列表中選擇您的應用程序,或者單擊 瀏覽按鈕,輸入路徑的可執行文件。

5.如果程序只能從特定的網絡類型進行訪問,單擊 網絡 ​​類型,並選擇 私人公共網絡類型。單擊添加到應用程序添加到列表中。

6.您的新的異常,在它旁邊的複選框選中標記顯示在列表中按字母順序排列。點擊 OK保存新的例外規則。

7.運行需要能夠接收未經請求的網絡流量的網絡程序測試您的規則。

通過使用高級安全MMC管理單元的Windows防火牆的程序添加入站規則

1.在開始屏幕類型 wf.msc,然後按Enter鍵

2.單擊 入站規則和檢查清單,看看是否允許規則,以滿足您的需求已經存在,只是需要啟用。禁用的規則有一個灰色的圖標旁邊給他們,同時啟用的規則是紅色,綠色或黃色。在啟用列還表明

3.如果在列表中找到一個規則,右鍵單擊規則名稱,然後單擊啟用 啟用規則

4.如果規則不存在,則按照以下步驟創建你的程序的新規則:

一。在導航窗格中,選擇 入站規則

B。在 操作窗格中,單擊新建規則

Ç。在 規則類型頁上,選擇程序,然後單擊下一步

ð。在 程序頁面上,選擇此程序路徑,然後單擊 瀏覽,並導航到你希望能夠接收的入站網絡流量的程序。點擊 下一步繼續。

即 在 操作頁面上,選擇允許連接,然後單擊 下一步

F。在 個人資料頁面上,選擇配置文件到該規則應適用,然後單擊 下一步

克。在 名稱頁上,鍵入一個名稱和規則的描述。

規則被創建並自動啟用。

小時。通過運行必須能夠接收未經請求的網絡流量的網絡程序測試您的規則。

有一個活躍的“塊”的規則為交通

默認情況下,具有高級安全性的Windows阻止防火牆所有非法入站網絡流量,並允許所有出站網絡流量。為您的計算機網絡程序將信息發送到網絡上,你通常不需要做任何事情。防火牆的默認配置允許所有出站流量。如果一個塊規則是積極的,它可以防止匹配其標準被發送的網絡數據包。塊規則可以存在無論是在 入站規則出站規則列表。

要檢查是否積極阻止規則存在,並禁用它,如果發現

1.在開始屏幕類型 wf.msc,然後按Enter鍵

2.雙擊 監視,然後單擊防火牆

顯示當前定義的和積極的規則列表中。

3.如果你發現一個規律,你懷疑干擾了所需的網絡流量,請注意在價值 方向柱,入站出站

4.在導航窗格中,單擊 入站規則出站規則,這取決於你在步驟3中發現的價值。

5.右鍵單擊列表中的犯罪嫌疑人的規則,然後單擊 禁用規則。我們建議您不要禁用規則,直到驗證它確實是有問題的規則,並禁用它並沒有產生不良其他網絡流量的影響。

在一個特定的順序規則進行評估

具有高級安全性的Windows防火牆評估在特定的順序規則。網絡數據包可能匹配多個規則,並在其中的規則進行計算的順序決定規則適用​​於數據包。

 

訂單號

規則類型

描述

1

Windows服務強化

這種類型的規則從建立連接限制服務。服務限制默認配置,這樣的Windows服務只能以特定的方式溝通(即限制允許流量通過一個特定的端口),但直到你創建防火牆規則,交通是不允許的。

獨立軟件供應商可以使用公共Windows服務強化API來限制自己的服務。

2

連接安全規則

這種類型的規則定義計算機的情況下使用IPsec和如何在其中進行身份驗證。連接安全規則用於建立服務器和域隔離,以及在執行網絡訪問保護(NAP)策略。

3

經過身份驗證的繞過規則

這種類型的規則允許特定計算機的連接,如果流量的地方保護與IPsec的,不管其他入站規則。指定的計算機可以繞過阻止通信入站規則:這個例子是漏洞掃描器,即掃描其他程序,計算機程序和弱點網絡。

4

阻止規則

這種類型的規則明確阻止特定類型的傳入或傳出流量。

允許規則

這種類型的規則明確允許特定類型的傳入或傳出流量。

6

默認規則

這些規則定義時發生連接不符合任何一個高階規則的參數的作用。開箱即裝即用,入站默認設置是阻止連接,出站默認設置是允許連接。

 

在上表中列出的每個規則類別,規則是由他們的具體程度相匹配。例如,規則1和規則2都在同一類別。如果規則1具有參數甲乙規定和規則2的參數A,B,和C指定,則排除2將首先評估。被評估和匹配所有條件的第一個規則是施加於網絡數據包的規則。



 

組策略不允許要施加局部規則

當通過組策略高級安全策略配置Windows防火牆,管理員可以指定由本地管理員創建的防火牆或連接安全規則是否被應用。如果你已經創建了一個本地防火牆或連接安全規則,它沒有出現在相應的監控節點,這可能是原因。

為了驗證為什麼本地防火牆和連接安全規則不會出現在監控

1.在高級安全管理單元的Windows防火牆,單擊 屬性

2.單擊相應的活動配置的選項卡。

3.單擊 自定義設置部分。

4. 規則合併部分會告訴你,如果應用的地方性法規。

需要連接安全規則可能會阻礙交通





當您創建入站或出站防火牆規則,對動作的選項之一是 只允許安全連接。如果指定了此選項,你需要有一個連接安全規則或單獨IPsec策略導致的流量進行擔保。否則,流量老是掉線。

要驗證規則或規則程序是否需要安全

1.在高級安全管理單元的Windows防火牆,單擊 入站規則在樹中。選擇您要驗證的規則,然後單擊 屬性在操作窗格。

2.單擊 常規選項卡,在行動驗證 允許連接,如果它是安全的選擇。

3.如果規則有作用 允許連接,如果它是安全的,請單擊 監視樹,然後連接安全規則。驗證是否有地方保護的防火牆規則中指定的相應的交通連接安全規則。

警告

如果你有一個積極的IP安全策略的政策,確保政策保證所需的流量。不要創建連接安全規則,因為IP安全策略的政策和連接安全規則可能會發生衝突。

是不是被允許出站連接。

1.具有高級安全性的Windows防火牆管理單元中,單擊 監視。展開一節的活動配置文件,並在確認 防火牆國家的出站連接不匹配的規則是允許的。

2.在 監控中,單擊防火牆以確認您要允許沒有阻止規則的出站連接。

混合策略可能導致下跌的交通





有在Windows幾個接口,使您可以配置防火牆和IPSec設置。創建在多個地方政策可能會導致阻礙交通的衝突。下面的配置點可供選擇:

  • Windows防火牆具有高級安全性。這項政策是通過具有高級安全性的Windows防火牆配置管理單元在本地或組策略的一部分。這項政策同時配置防火牆和IPSec設置。
  • Windows防火牆管理模板。這項政策是通過在計算機配置\管理模板\網絡\網絡連接組策略管理編輯器\ Windows防火牆配置。此接口包​​含的Windows防火牆設置之前,Windows Vista和Windows可用Server 2008和配置控制早期版本的Windows的組策略對象時,應使用。這些設置可以應用到運行Windows 8或Windows Server 2012的計算機上,但建議您使用Windows防火牆具有高級安全性的政策,而不是因為它提供了更多的靈活性和安全性。請注意,某些配置文件設置Windows防火牆管理模板和具有高級安全性的政策Windows防火牆之間共享的領域,所以你可以期望看到設置在這裡,如果你在Windows防火牆配置域配置文件設置高級安全管理單元。
  • IP安全策略。這項政策是通過IP安全策略管理單元在本地或通過在計算機配置\ Windows設置\安全設置\ IP安全策略組策略管理編輯器進行配置。此策略配置,可以通過早期版本的Windows以及Windows Vista和Windows Server 2008的理解應該從Windows防火牆具有高級安全性的政策在同一台計算機上不能應用此策略和連接安全規則的IPsec設置。

要查看其相應的管理單元所有這些設置來創建自定義的MMC管理單元,並添加高級安全管理單元,組策略管理單元,以及IP安全監視器管理單元的Windows防火牆。

要創建一個自定義的MMC管理單元控制台

1.右鍵單擊 開始的魅力,然後單擊運行

2.在 打開文本框中,鍵入MMC,然後按ENTER鍵。

3.如果 用戶帳戶控制對話框,確認它顯示的操作是你想要什麼,然後單擊

4.在 文件菜單上,單擊添加/刪除管理單元

5.在 可用的管理單元列表框中,單擊具有高級安全性的Windows防火牆,然後單擊添加

6.選擇本地計算機,然後單擊 Finish(完成)

7.重複步驟1到6添加組策略管理單元和IP安全監視器。

8.在你關閉該單元中,保存並命名為將來使用自定義控制台。

要驗證哪些策略是活動的活動配置文件,使用基於Windows Server 2012域成員的以下步驟。

要驗證應用哪些政策

1.在命令提示符下,鍵入 MMC,然後按ENTER鍵。

2.如果 用戶帳戶控制對話框,確認它顯示的操作是你想要什麼,然後單擊 繼續

3.在文件菜單上,單擊 添加/刪除管理單元

4.在可用的管理單元列表中,單擊 組策略管理,然後單擊添加

5.單擊 OK

6.在樹中,單擊子節點(通常在本地計算機所在的森林),然後單擊雙擊 組策略結果的詳細信息窗格中。

7.在操作窗格中,單擊 更多操作,然後單擊組策略結果嚮導

8.單擊 下一步。點擊此計算機另一台計算機(鍵入計算機名和路徑,或者單擊瀏覽來找到它)。 注意: 如果你看到一個RPC服務器不可用試圖連接到另一台計算機時錯誤信息,您可能需要允許Windows管理規範(WMI )通過防火牆在遠程計算機上。按照前面的說明沒有激活的“允許”規則的交通部分,讓Windows管理規範(WMI)通過遠程防火牆。 點擊下一步了。









9.單擊 顯示策略設置為無論是當前用戶或者點擊一個特定的用戶。如果你不希望顯示設置用戶策略,並且希望只顯示計算機策略設置,單擊 不顯示在結果用戶策略設置(僅顯示計算機策略設置),單擊 下一步,和下一步了。

10.單擊 Finish(完成)。組策略結果將產生在詳細信息窗格中的報告。該報告選項卡包括: 摘要設置策略事件

11.為了確保沒有衝突的IP安全策略的政策,生成報告後,使用 設置選項卡,並找到對Active Directory計算機配置\ Windows設置\安全設置\ IP安全策略。如果最後一���節點不存在,那麼就沒有從IPsec策略代理政策。如果最後一個節點,則顯示策略名稱,描述和組策略對象(GPO)從該政策的起源。如果你同時擁有一個IP安全策略的政策,並使用連接安全規則的高級安全策略的Windows防火牆,那麼你的連接問題可能是政策衝突的結果。我們建議使用一個策略或其他,但不能同時使用。這是很好用的IP安全策略和入站或出站規則,從Windows防火牆具有高級安全性。政策衝突可能會出現,如果設置被配置在一個地方,當在另一個配置不考慮可能的故障排除變得更加困難。

有可能仍然是從本地組策略對象相互矛盾的政策或通過腳本您的IT部門可能已經運行。驗證使用IP安全監視器,或者在Windows PowerShell命令提示符處鍵入以下命令所有安全策略:

獲取-NetIPsecRule -PolicyStore ActiveStore

12.要看到Windows防火牆管理模板應用的設置,請參閱 計算機配置\管理模板\網絡\網絡連接\ Windows防火牆

13.在同一個控制台,你可以看看 政策活動標籤,看是否有過申請政策的近期問題。

14.要了解哪些政策是由Windows防火牆應用具有高級安全性,打開管理單元要排除故障的電腦和審查的設置 監控

要查看管理模板,打開組策略管理單元和下 組策略結果,驗證是否正被應用於任何傳統設置,可能會導致交通受阻。

要查看IP安全策略,打開IP安全監視器管理單元。單擊本地計算機中的樹。在詳細信息窗格中,單擊 活動策略主模式快速模式。搜索可能會造成交通的任何競爭策略來將擋。

通過監控的具有高級安全性的Windows防火牆管理單元中,您可以看到當前正在從本地和組策略應用的規則。請參閱本文的詳細信息,在“使用中的Windows防火牆監視高級安全管理單元”後。

如果沒有配置具有高級安全性的Windows防火牆IPsec規則,停止IPsec策略代理。這將讓你看到,如果從IPsec或Windows防火牆丟棄的流量結果。

要停止IPsec策略代理

  1. 右鍵單擊開始的魅力,然後單擊控制面板
  2. 單擊系統和安全
  3. 點擊管理工具
  4. 雙擊服務
  5. 找到IPsec策略代理在服務列表中,並在驗證 狀態列該服務已啟動
  6. 如果IPsec策略代理已啟動,請右鍵單擊 IPsec策略代理,然後單擊停止。另外,您也可以停止IPsec策略代理通過鍵入在命令提示符下 淨停止策略代理

     

 

 

對等計算機策略可能會導致流量下降



對於要使用IPsec建立通信,兩台計算機必須具有兼容的IPsec策略。這一政策可以通過Windows防火牆連接安全規則具有高級安全性或通過其他的IPsec提供商指定。

對計算機可能沒有免費政策

1.具有高級安全性的Windows防火牆管理單元中,單擊 監視連接安全規則 ,以驗證這兩個同齡人是否有一個配置的安全策略。

2.如果對等計算機運行的是Windows比Windows Vista的早期版本,驗證至少有一個主要模式的加密套件和被兩個同伴支持的一個快速模式的加密套件使用的算法。

一。點擊 主模式,單擊您要檢查在詳細信息窗格中的連接,然後單擊 屬性在操作窗格。查看連接細節雙方同行,以確認它們是兼容的。

B。重複步驟2a,這次取代 快速模式。查看連接細節雙方同行,以確認它們是兼容的。

3.如果Kerberos V5身份驗證時,驗證對方是在同一個域或受信任域中。

4.如果使用證書,驗證它有相應的標誌。使用Internet密鑰交換(IKE)證書只需要數字簽名的使用類型。使用AuthIP的證書需要客戶端認證(以及根據方案服務器認證),為使用類型。有關AuthIP的證書的詳細信息請參見“AuthIP的在Windows Vista”(http://go.microsoft.com/fwlink/?LinkId=76867)在Microsoft Web站點。

 

Windows防火牆是關閉的,每次我開始我的電腦



 

有一個基於軟件防火牆運行在連接到網絡的任何計算機上是重要的。Windows防火牆包含在Windows 8和Windows Server 2012操作系統。如果Windows防火牆沒有運行,你認為它應該是,以下是可能的原因:

 

設置組策略管理

如果您的計算機連接到組織的網絡,那麼網絡管理員可能在您的計算機上管理的一些設置。例如,使用Active Directory域服務(AD DS)的網絡上,管理員可以使用組策略來集中配置計算機設置。這意味著,用戶通常不能改變設置。如果Windows防火牆在網絡上管理以這種方式,那麼Windows防火牆控制面板和高級安全Microsoft管理控制台的Windows防火牆(MMC)管理單元中都顯示類似於以下的橫幅:

當設置由組策略控制顯示的標題

 

欲了解更多信息,請聯繫有關影響Windows防火牆的組策略設置您的網絡管理員。

安裝了另一個(非Microsoft)的防火牆程序

Windows防火牆是在多個組件中使用層來幫助保護您的計算機“防禦縱深”戰略的重要組成部分。然而,使用多個防火牆的可能會導致問題。如果這兩個防火牆的例外規則不完全匹配,那麼網絡流量可以被阻止,並如預期的程序將無法正常工作。如果您安裝了非Microsoft防火牆程序,或者如果是由製造商安裝在您的計算機上,那麼防火牆程序可以禁用Windows防火牆,以防止發生衝突。如果你想繼續使用非微軟的防火牆程序,然後讓Windows防火牆關閉。

如果你想繼續使用非Microsoft防火牆程序和Windows防火牆一起,然後聯繫該程序的供應商,詢問是否支持並排端使用這些防火牆,如果是這樣,如何防止程序關閉Windows防火牆。

如果你想使用Windows防火牆來代替,卸載非Microsoft防火牆程序,然後按照以下任一過程中的步驟。

要啟用Windows防火牆通過使用控制面板

1.要刪除非Microsoft防火牆程序,用鼠標右鍵單擊 開始魅力,單擊控制面板,然後在 程序,單擊卸載程序。點擊非Microsoft防火牆程序列表中,然後單擊 卸載。按照屏幕上的指示完成卸載程序。

2.在主 控制面板窗口中,單擊系統和 安全,單擊Windows防火牆,然後單擊 打開或關閉Windows防火牆

3.如果 用戶帳戶控制對話框,確認它顯示的操作是你想要什麼,然後單擊 繼續

4.您可以打開Windows防火牆或關閉您使用的每個類型的網絡。

 

 

 另一種方案是停止Windows防火牆

如果您沒有在您的計算機上的其他防火牆程序安裝,您可以啟用安全審核,以幫助確定哪些是打開Windows防火牆關閉。當安全審核啟用,Windows生成在事件查看器安全日誌中的其他事件。您可以使用此日誌來跟踪特定類型的活動在您的計算機上。

之前,你可以查看安全審計事件,您必須啟用Windows生成它們。它們默認是關閉的。欲了解更多信息,請參閱 啟用IPsec和Windows防火牆審計事件

要查看安全審核事件

1.在 開始屏幕上,鍵入eventvwr.msc。雙擊事件查看器,當它出現在 結果列表。

2.如果 用戶帳戶控制對話框,確認它顯示的操作是你想要什麼,然後單擊 繼續

3.在導航頁上,展開 Windows日誌,然後單擊安全

4.尋找與4900的數字範圍事件低5000S,表明防火牆服務(MPSSVC)停止。打開事件,然後單擊 事件日誌聯機幫助鏈接,以確定為什麼該服務停止,以及如何得到它再次啟動。

一些這些事件列於下表中:

 

事件ID

事件文本

5029

Windows防火牆服務無法初始化驅動程序。該服務將繼續執行現行政策。錯誤代碼:%1

5030

Windows防火牆服務無法啟動。錯誤代碼:%1

5025

Windows防火牆服務已停止。

 

如果這些事件之一出現在安全日誌中:

  • 在事件查看器,請單擊事件描述窗口底部的事件日誌聯機幫助鏈接。對於許多事件的更多信息,包括具體到該事件的診斷和故障排除步驟,可用。
  • 檢查的前一刻,你發現了,包括被發現在其他日誌的事件發生後記錄的其他事件。發生在或接近同時的其他活動,有時可以指示失敗的原因。使用過濾器當前視圖選項來查看內的一些日誌或全部在指定的時間窗口已記錄的事件。

我需要禁用Windows防火牆



 

由於具有高級安全性的Windows防火牆在幫助保護免受安全威脅您的計算機的重要組成部分,我們建議您不要禁用它,除非你從一個有信譽的供應商提供保護的同等水平安裝另一個防火牆。你無法卸載Windows防火牆具有高級安全性; 你只能禁用防火牆功能。如果必須禁用防火牆功能,請人在這裡顯示的程序。

 

注意

要修改任何設置具有高級安全性的Windows防火牆,您必須是管理員組的成員或本地計算機上的網商群體。

與高級安全從命令提示符禁用Windows防火牆的防火牆部分

1.打開一個 管理員:命令提示符。要做到這一點,單擊 開始,單擊所有程序,單擊 附件,右鍵單擊命令提示符,然後單擊以管理員身份運行

2.如果 用戶帳戶控制對話框,確認它顯示的操作是你想要什麼,然後單擊 繼續

3.在命令提示符下,鍵入以下命令:

設置NetFirewallProfile銥捎糜假

 

通過使用Windows防火牆控制面板程序禁用具有高級安全性的Windows防火牆的防火牆部分

1.右鍵單擊 開始魅力,單擊控制面板,單擊 系統和安全,單擊Windows防火牆,然後單擊 打開Windows防火牆或關閉

2.您可以打開為您使用的每個網絡類型或關閉Windows防火牆,然後單擊 確定

通過使用高級安全MMC Windows防火牆禁止具有高級安全性的Windows防火牆的防火牆部分管理單元

1.右鍵單擊 開始魅力,單擊控制面板,單擊 系統和安全,單擊Windows防火牆,然後點擊高級設置

2.在導航窗格中,右鍵單擊 本地計算機上的Windows防火牆具有高級安全性,然後單擊 屬性

3.在每個的 域配置文件專用配置文件,並 公開信息標籤,更改防火牆的狀態選項關閉(不推薦)

4.單擊 OK保存更改。

慎重

不要禁用Windows防火牆停止服務。相反,使用的上述程序之一(或等效組策略設置)以關閉防火牆。如果你關閉Windows防火牆具有高級安全性的服務,你失去的服務,提供其他好處,如使用Internet協議安全(IPsec)連接安全規則的能力,Windows服務強化,並僱用網絡指紋攻擊的網絡保護。有關Windows服務強化的詳細信息,請參閱 http://go.microsoft.com/fwlink/?linkid=104976。非Microsoft防火牆軟件與Windows 8和Windows Server 2012兼容的程序可以禁用只待兼容性禁用Windows防火牆的高級安全需要的部分。你不應該禁用防火牆自己作此用途。停止與具有高級安全性的Windows防火牆相關的服務沒有微軟的支持。

如果您的計算機是由網絡管理員管理,禁用Windows防火牆的能力,可以通過使用組策略禁用。

我無法與高級安全配置Windows防火牆





如果沒有可用的Windows防火牆的高級安全特性的所有設置(顯示為灰色),那麼你的電腦可以是:
  • 託管網絡和網絡管理員的一部分已經用組策略配置具有高級安全性的行為Windows防火牆。在這種情況下,你會看到一個“為了您的安全,有些設置由組策略控制”的消息在Windows防火牆的頂部帶有高級安全管理單元。您的網絡管理員已配置的策略,以防止您更改高級安全配置Windows防火牆。
  • 運行Windows 8或Windows Server 2012,而不是託管網絡的一部分,但本地組策略設置已設置來配置具有高級安全性的行為Windows防火牆。

要編輯具有高級安全性的Windows防火牆本地組策略設置,使用本地計算機策略管理單元。打開本地計算機策略管理單元,類型 secpol在命令提示符下。如果 用戶帳戶控制對話框,確認它顯示的操作是你想要什麼,然後單擊 繼續。瀏覽到計算機配置\ Windows設置\安全設置\ Windows防火牆具有高級安全性配置具有高級安全性的政策Windows防火牆。



無人可以ping通我的電腦

在排除連接的情況下一種常見的步驟是使用Ping工具來ping計算機的IP地址,你試圖連接。當你ping通,你發送一個ICMP回顯消息(也稱為ICMP回應請求消息),並得到一個ICMP Echo Reply消息的回應。默認情況下,Windows防火牆不允許傳入ICMP回顯消息,因此該計算機不能發送一個ICMP回顯應答響應。

 

啟用傳入ICMP回顯消息將允許其他人來ping你的電腦。然而,它也使您的電腦容易受到使用ICMP回顯消息的攻擊類型。因此,我們建議您啟用允許傳入回顯請求暫時設置,然後禁用它時,它不再需要。

要啟用ICMP回顯信息,創建新的入站自定義規則,允許ICMPv4和ICMPv6回顯請求數據包。

要啟用ICMP回顯請求ICMPv4和ICMPv6的

1.具有高級安全性的Windows防火牆管理單元中,單擊 入站規則樹中,單擊新建規則操作窗格。

2.單擊 自定義,然後單擊下一步

3.單擊 所有程序,然後單擊下一步

4.對於 協議類型,選擇ICMPv4

5.單擊 自定義Internet控制消息協議(ICMP)的設置

6.單擊 回顯請求,單擊確定,然後單擊 下一步

7.在 哪個本地IP地址執行此規則匹配?哪些遠程IP地址不此規則匹配的點擊或者 任何IP地址,或者這些IP地址。如果您單擊 這些IP地址,指定IP地址,然後單擊 添加,然後單擊下一步

8.單擊 允許連接,然後單擊下一步

9.根據 這項規定何時適用?,單擊活動配置文件,任何或所有配置文件(域,專用,公共),以你想要的這條規則提出申請,然後單擊 下一步

10. 姓名鍵入一個名稱為這個規則和說明可選描述。單擊Finish(完成)

對於ICMPv6報11.重複步驟,選擇 的ICMPv6協議類型,而不是ICMPv4。

如果您有活動的連接安全規則,這也是為了排除故障,以免除ICMP暫時從IPsec的要求有所幫助。要做到這一點,在具有高級安全性的Windows防火牆管理單元,在屬性對話框中,單擊 IPSec設置選項卡,然後單擊從的IPsec免除ICMP。如果您有嘗試ping計算機上的活動連接安全規則這一步才是必需的。

注意

只有管​​理員或網絡運營商可以更改Windows防火牆設置。

沒有人可以訪問我的文件和打印機共享





如果你不能訪問啟用了Windows防火牆,驗證文件和打印機共享組適用於當前配置文件的所有規則都啟用了計算機上的文件或打印機共享。在與高級安全管理單元的Windows防火牆,單擊入站規則樹中的滾動與組名的文件和打印機共享的規則。驗證這些規則啟用。對於未啟用每個規則,選擇規則,然後單擊啟用規則,在操作窗格。



警告    啟用文件和打印機共享的直接連接到Internet的任何計算機強烈反對,因為惡意用戶可以試圖訪問文件共享並損壞您的個人文件。

 

我不能遠程管理Windows防火牆





如果你不能遠程管理啟用Windows防火牆的計算機上,驗證了所有預定義規則 的Windows防火牆的遠程管理組適用於您要管理的計算機上的活動配置文件被啟用。在與高級安全管理單元的Windows防火牆,單擊 入站規則樹並滾動到與組相關聯的規則 遠程管理。驗證這些規則啟用。對於未啟用每個規則,選擇規則,然後單擊 啟用規則,在操作窗格。此外,驗證IPsec策略代理服務已啟用。此服務是必需的遠程管理Windows防火牆。

 

 

要驗證IPsec策略代理啟動

1.右鍵單擊 開始的魅力,然後點擊控制面板

2.單擊 系統和安全

3.單擊 管理工具

4.雙擊 服務

5.如果 用戶帳戶控制對話框,確認它顯示的操作是你想要什麼,然後單擊 繼續

6.找到 IPsec策略代理在服務列表中,並驗證在 狀態,該服務已啟動欄。

7.如果IPsec策略代理未啟動,請右鍵單擊 IPsec策略代理,然後單擊開始。另外,您也可以啟動IPsec策略代理通過鍵入在命令提示符下NET START策略代理

注意

IPSec策略代理服務默認情況下啟用。除非你已經停止了這項服務,它應該運行。