[转载]解决Windows XP Service Pack 2中Windows防火墙的设置问题
信息来源:[url]http://support.microsoft.com/default.aspx?kbid=875357[/url]<p><h1 class="title">解决 Windows XP Service Pack 2 中 Windows 防火墙的设置问题</h1><div class="appliesToLink"><a href="#appliesto">察看这篇文章对应的产品</a></div><div class="articleProperty"><table><tr><td class="label">文章 ID</td><td class="text">:</td><td class="text">875357</td></tr><tr><td class="label">最后更新日期</td><td class="text">:</td><td class="text">2004年8月18日</td></tr><tr><td class="label">版本</td><td class="text">:</td><td class="text">1.2</td></tr></table></div><div class="notice"><a id="XSLTH3120120121120121120120"></a><h3>本任务的内容</h3><table class="list"><tr><td class="bullet">•</td><td class="text"><span><a href="#1">简介</a></span><table class="list"><tr><td class="bullet">•</td><td class="text"><span><a href="#2">识别故障症状</a></span></td></tr><tr><td class="bullet">•</td><td class="text"><span><a href="#3">使用 Windows 防火墙安全警报来配置
Windows 防火墙</a></span></td></tr><tr><td class="bullet">•</td><td class="text"><span><a href="#4">使用 Windows 安全中心来配置
Windows 防火墙</a></span><table class="list"><tr><td class="bullet">•</td><td class="text"><span><a href="#5">添加例外程序</a></span></td></tr><tr><td class="bullet">•</td><td class="text"><span><a href="#7">添加例外端口</a></span></td></tr></table></td></tr><tr><td class="bullet">•</td><td class="text"><span><a href="#10">使用日志记录</a></span><table class="list"><tr><td class="bullet">•</td><td class="text"><span><a href="#12">解释日志文件</a></span></td></tr></table></td></tr><tr><td class="bullet">•</td><td class="text"><span><a href="#13">使用命令行支持</a></span></td></tr><tr><td class="bullet">•</td><td class="text"><span><a href="#14">收集诊断数据</a></span></td></tr><tr><td class="bullet">•</td><td class="text"><span><a href="#15">解决防火墙问题</a></span></td></tr><tr><td class="bullet">•</td><td class="text"><span><a href="#16">配置 Windows
防火墙组策略</a></span></td></tr></table></td></tr></table><span><a id="1"></a></span></div><div class="toc"><h5>本页内容</h5><table class="tallTable"><tr><td class="image"><a href="#kb1"><img src="/library/images/support/kbgraphics/PUBLIC/EN-US/downArrow.gif" alt="概要" title="概要"></a></td><td class="text" colspan="2"><a href="#kb1">概要</a></td></tr><tr><td class="image"><a href="#kb2"><img src="/library/images/support/kbgraphics/PUBLIC/EN-US/downArrow.gif" alt="简介" title="简介"></a></td><td class="text" colspan="2"><a href="#kb2">简介</a></td></tr><tr><td class="image"><a href="#kb3"><img src="/library/images/support/kbgraphics/PUBLIC/EN-US/downArrow.gif" alt="更多信息" title="更多信息"></a></td><td class="text" colspan="2"><a href="#kb3">更多信息</a></td></tr><tr class="subHeader"><td class="space"></td><td class="image"><a href="#XSLTH3121121123120121120120"><img src="/library/images/support/kbgraphics/PUBLIC/EN-US/downArrow.gif" alt="识别故障症状" title="识别故障症状"></a></td><td class="text"><a href="#XSLTH3121121123120121120120">识别故障症状</a></td></tr><tr class="subHeader"><td class="space"></td><td class="image"><a href="#XSLTH3133121123120121120120"><img src="/library/images/support/kbgraphics/PUBLIC/EN-US/downArrow.gif" alt="使用 Windows 防火墙安全警报来配置 Windows 防火墙" title="使用 Windows 防火墙安全警报来配置 Windows 防火墙"></a></td><td class="text"><a href="#XSLTH3133121123120121120120">使用 Windows 防火墙安全警报来配置 Windows 防火墙</a></td></tr><tr class="subHeader"><td class="space"></td><td class="image"><a href="#XSLTH3140121123120121120120"><img src="/library/images/support/kbgraphics/PUBLIC/EN-US/downArrow.gif" alt="使用 Windows 安全中心来配置 Windows 防火墙" title="使用 Windows 安全中心来配置 Windows 防火墙"></a></td><td class="text"><a href="#XSLTH3140121123120121120120">使用 Windows 安全中心来配置 Windows 防火墙</a></td></tr><tr class="subHeader"><td class="space"></td><td class="image"><a href="#XSLTH3164121123120121120120"><img src="/library/images/support/kbgraphics/PUBLIC/EN-US/downArrow.gif" alt="使用日志记录" title="使用日志记录"></a></td><td class="text"><a href="#XSLTH3164121123120121120120">使用日志记录</a></td></tr><tr class="subHeader"><td class="space"></td><td class="image"><a href="#XSLTH3188121123120121120120"><img src="/library/images/support/kbgraphics/PUBLIC/EN-US/downArrow.gif" alt="使用命令行支持" title="使用命令行支持"></a></td><td class="text"><a href="#XSLTH3188121123120121120120">使用命令行支持</a></td></tr><tr class="subHeader"><td class="space"></td><td class="image"><a href="#XSLTH3229121123120121120120"><img src="/library/images/support/kbgraphics/PUBLIC/EN-US/downArrow.gif" alt="解决防火墙问题" title="解决防火墙问题"></a></td><td class="text"><a href="#XSLTH3229121123120121120120">解决防火墙问题</a></td></tr><tr class="subHeader"><td class="space"></td><td class="image"><a href="#XSLTH3235121123120121120120"><img src="/library/images/support/kbgraphics/PUBLIC/EN-US/downArrow.gif" alt="配置 Windows 防火墙组策略" title="配置 Windows 防火墙组策略"></a></td><td class="text"><a href="#XSLTH3235121123120121120120">配置 Windows 防火墙组策略</a></td></tr><tr><td class="image"><a href="#appliesto"><img src="/library/images/support/kbgraphics/PUBLIC/EN-US/downArrow.gif" alt="这篇文章中的信息适用于:" title="这篇文章中的信息适用于:"></a></td><td class="text" colspan="2"><a href="#appliesto">这篇文章中的信息适用于:</a></td></tr></table></div><div class="section"><a id="kb1"></a><h2 class="subTitle">概要</h2><div class="sbody"><i>Microsoft Windows XP Service Pack 2 (SP2) 包括 Microsoft Windows 防火墙,此更新的防火墙软件将替代 Internet 连接防火墙 (ICF)。如果 Microsoft Windows 防火墙阻止某个服务或程序所使用的端口,您可以配置 Windows 防火墙以创建一个例外项。如果出现下列情况,则 Windows 防火墙可能阻止了某个程序或服务:</i><table class="list"><tr><td class="bullet">•</td><td class="text"><i>程序不响应客户端的请求。</i></td></tr><tr><td class="bullet">•</td><td class="text"><i>客户端程序无法从服务器接收数据。</i></td></tr></table><i>Windows 防火墙安全警报可能会通知您 Windows 防火墙阻止了某个特定程序。发生这种情况时,您可以选择“安全警报”对话框中的“取消阻止该程序”来取消阻止该程序。为帮助确定阻止了哪些程序和端口,您可以配置 Windows 防火墙来记录被丢弃的数据包。通过使用 Windows 防火墙 Netsh 帮助程序,您可以在命令提示符下配置 Windows 防火墙和 Windows 防火墙日志记录。问题并不总是由程序兼容性造成的。组策略设置也可能会禁止运行程序。Windows XP Service Pack 2 (SP2) 包含多个实用工具,您可以使用这些工具来解决 Windows 防火墙问题。</i><div class="topOfPage"><table><tr><td class="image"><a href="#toc"><img src="/library/images/support/kbgraphics/public/en-us/upArrow.gif" alt="返回页首" title="返回页首"></a></td><td class="text"><a href="#toc">返回页首</a></td></tr></table></div></div><a id="kb2"></a><h2 class="subTitle">简介</h2><div class="sbody">解决防火墙阻止问题的最好方法是修改程序,使其与有状态的筛选防火墙一起使用。如果无法修改程序,则可以配置 Windows
防火墙,以便为特定端口和程序添加例外项。本文讨论与 Windows XP Service Pack 2
防火墙的默认配置有关的故障症状,如何配置例外端口和程序,以及如何解决防火墙设置问题。<br><br><span><a href="#0">返回页首</a></span><div class="topOfPage"><table><tr><td class="image"><a href="#toc"><img src="/library/images/support/kbgraphics/public/en-us/upArrow.gif" alt="返回页首" title="返回页首"></a></td><td class="text"><a href="#toc">返回页首</a></td></tr></table></div></div><a id="kb3"></a><h2 class="subTitle">更多信息</h2><div class="sbody"><span><a id="2"></a></span><a id="XSLTH3121121123120121120120"></a><h3>识别故障症状</h3>与防火墙的默认配置有关的故障有两种表现形式:
<table class="list"><tr><td class="bullet">•</td><td class="text">客户端程序无法从服务器接收数据。例如,下列客户端程序无法接收数据:
<table class="list"><tr><td class="bullet">•</td><td class="text">FTP 客户端</td></tr><tr><td class="bullet">•</td><td class="text">多媒体流软件</td></tr><tr><td class="bullet">•</td><td class="text">某些电子邮件程序中的新邮件通知</td></tr></table></td></tr><tr><td class="bullet">•</td><td class="text">在基于 Windows XP 的计算机上运行的服务器程序无法响应客户端请求。例如,下列服务器程序无法响应:
<table class="list"><tr><td class="bullet">•</td><td class="text">Web 服务器,如 Internet 信息服务 (IIS)</td></tr><tr><td class="bullet">•</td><td class="text">远程桌面</td></tr><tr><td class="bullet">•</td><td class="text">文件共享</td></tr></table><b>注意:</b><table class="list"><tr><td class="bullet">•</td><td class="text">网络程序中的故障不只限于防火墙问题。RPC 或 DCOM
的安全更改也可能会导致出现这些故障。因此,您必须确定该故障是否与指示某个程序被阻止的 Windows 防火墙安全警报一起出现。 </td></tr><tr><td class="bullet">•</td><td class="text"> 服务故障不会与 Windows
防火墙安全警报一起出现,因为服务通常与用户登录会话无关。如果故障与服务相关,可按照“使用 Windows 安全中心来配置 Windows
防火墙”一节中讨论的方法来配置防火墙。</td></tr></table></td></tr></table>如果某个程序被阻止,您可能会收到以下 Windows 防火墙安全警报:<br><br><div class="message">为帮助保护您的计算机,Windows 防火墙已阻止该程序从 Internet
或网络接收未经请求的信息。<br><br>名称:<var>程序名称</var><br>发行商:<var>发行商名称</var><br><div class="indent"><br>取消阻止该程序
<br>继续阻止该程序
<br>继续阻止该程序,但以后要再次询问我
</div><br>了解 Windows 防火墙的更多信息。</div><br><br><span><a href="#0">返回页首</a></span><br><span><a id="3"></a></span><a id="XSLTH3133121123120121120120"></a><h3>使用 Windows 防火墙安全警报来配置 Windows 防火墙</h3> Windows 防火墙安全警报提供以下三个选项:
<table class="list"><tr><td class="bullet">•</td><td class="text">取消阻止该程序。</td></tr><tr><td class="bullet">•</td><td class="text">继续阻止该程序。</td></tr><tr><td class="bullet">•</td><td class="text">继续阻止该程序,但以后要再次询问我。</td></tr></table><br>要取消阻止该程序,可在“安全警报”对话框中单击“取消阻止该程序”,然后单击“确定”。<br><span><a id="4"></a></span><a id="XSLTH3140121123120121120120"></a><h3>使用 Windows 安全中心来配置 Windows 防火墙</h3><span><a id="5"></a></span><a id="XSLTH4142121123120121120120"></a><h4>添加例外程序</h4>在将程序添加到例外列表中后,防火墙就可以打开多个端口范围,每次运行该程序时,这些端口范围都可能会发生变化。要添加例外程序,请按照下列步骤操作:
<table class="list"><tr><td class="number">1.</td><td class="text">使用管理员帐户登录。 <br><br>
有关如何确定当前登录的帐户是否是管理员帐户的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章: <div class="indent"><span><a class="KBlink" href="/kb/871211/"> 871211</a></span>
如何检查您是否以管理员身份登录以及计算机是否有适当的组策略
</div></td></tr><tr><td class="number">2.</td><td class="text">单击“开始”,单击“运行”,键入
<span class="userInput">Wscui.cpl</span>,然后单击“确定”。</td></tr><tr><td class="number">3.</td><td class="text"> 在“Windows 安全中心”窗口中,单击“Windows 防火墙”。</td></tr><tr><td class="number">4.</td><td class="text">在“例外”选项卡上,单击“添加程序”。</td></tr><tr><td class="number">5.</td><td class="text">在程序列表中,单击要添加的程序的名称,然后单击“确定”。如果您的程序名不在程序列表中,请单击“浏览”以查找该程序,然后单击“确定”。<br><br><br><b>注意:</b>如果不知道该程序的位置,请与程序供应商联系以确定程序位置。<br><br>有关如何与程序供应商联系的信息,请单击下面列表中适当的文章编号,以查看 Microsoft 知识库中相应的文章:<div class="indent"><span><a class="KBlink" href="/kb/65416/">65416</a></span> 硬件和软件供应商联系信息,A-K<br><br><span><a class="KBlink" href="/kb/60781/">60781</a></span> 硬件和软件供应商联系信息,L-P<br><br><span><a class="KBlink" href="/kb/60782/">60782</a></span> 硬件和软件供应商联系信息,Q-Z</div></td></tr><tr><td class="number">6.</td><td class="text">单击“确定”关闭“Windows 防火墙”。</td></tr><tr><td class="number">7.</td><td class="text">测试该程序以检查防火墙设置是否正确。</td></tr></table><br><span><a href="#0">返回页首</a></span><br><span><a id="7"></a></span><a id="XSLTH4149121123120121120120"></a><h4>添加例外端口</h4>如果通过将程序添加到例外列表中不能解决此问题,则可以手动添加端口。为此,您必须首先确定该程序所使用的端口。确定所使用端口的可靠方法是与程序供应商取得联系。如果无法联系供应商,或者找不到端口列表,则可以使用
Netstat.exe 工具来确定所使用的端口。<br><br><a id="XSLTH5153121123120121120120"></a><h5>确定端口</h5><table class="list"><tr><td class="number">1.</td><td class="text">启动该程序,并尝试使用其网络功能。例如,对于多媒体程序,尝试启动音频流。对于 Web
服务器,尝试启动服务。</td></tr><tr><td class="number">2.</td><td class="text">在命令提示符下,键入 <span class="userInput"> Netstat –ano >
netstat.txt</span>,然后按 Enter 键。此命令可创建 Netstat.txt
文件。该文件会列出所有侦听端口。</td></tr><tr><td class="number">3.</td><td class="text">在命令提示符下,键入 <span class="userInput">Tasklist >
tasklist.txt</span>,然后按 Enter 键。如果该程序作为服务运行,请键入 <span class="userInput">Tasklist /svc
> tasklist.txt </span> 而不是 <span class="userInput">Tasklist >
tasklist.txt</span>,以便列出每个进程中加载的服务。</td></tr><tr><td class="number">4.</td><td class="text">打开 Tasklist.txt 文件,然后找到要排查其问题的程序。记下进程的进程标识符,然后打开
Netstat.txt 文件。记下与该进程标识符关联的任何条目和所使用的协议。</td></tr></table>如果进程的端口号小于 1024,则端口号可能不会发生变化。如果使用的端口号大于
1024,则程序可能会使用某个范围内的端口。因此,打开个别端口可能无法解决此问题。<br><br><a id="XSLTH5158121123120121120120"></a><h5>添加例外端口</h5><table class="list"><tr><td class="number">1.</td><td class="text">单击“开始”,单击“运行”,键入
<span class="userInput">Wscui.cpl</span>,然后单击“确定”打开“Windows 防火墙”。</td></tr><tr><td class="number">2.</td><td class="text">单击“例外”选项卡,然后单击“添加端口”以显示“添加端口”对话框。</td></tr><tr><td class="number">3.</td><td class="text">输入程序所使用的端口号。</td></tr><tr><td class="number">4.</td><td class="text">根据程序使用的协议,选择 TCP 或 UDP 协议。</td></tr><tr><td class="number">5.</td><td class="text">在“名称”字段中,为该端口键入一个描述性名称。</td></tr><tr><td class="number">6.</td><td class="text">单击“更改范围”以查看或设置例外端口的范围,然后单击“确定”。</td></tr><tr><td class="number">7.</td><td class="text">单击“确定”以关闭“添加端口”对话框。</td></tr><tr><td class="number">8.</td><td class="text">要验证程序的端口设置是否正确,请测试该程序。</td></tr></table><br><span><a href="#0">返回页首</a></span><br><span><a id="10"></a></span><a id="XSLTH3164121123120121120120"></a><h3>使用日志记录</h3>您可以启用日志记录,以帮助确定入站通信的来源,并提供有关被阻止的通信的详细信息。%Windir%\pfirewall.log
是默认的日志文件。要启用日志记录,请按照下列步骤操作:
<table class="list"><tr><td class="number">1.</td><td class="text">单击“开始”,单击“运行”,键入
<span class="userInput">Firewall.cpl</span>,然后单击“确定”。</td></tr><tr><td class="number">2.</td><td class="text">单击“高级”选项卡。</td></tr><tr><td class="number">3.</td><td class="text">在“安全记录”中,单击“设置”。</td></tr><tr><td class="number">4.</td><td class="text">在“日志设置”中,单击选中“记录被丢弃的数据包”复选框,然后单击“确定”。</td></tr><tr><td class="number">5.</td><td class="text">单击“确定”关闭“Windows 防火墙”。</td></tr></table><br><b>注意:</b>不会记录成功的出站通信。也不会记录未被阻止的出站通信。<br><br><span><a href="#0">返回页首</a></span><br><span><a id="12"></a></span><a id="XSLTH4175121123120121120120"></a><h4>解释日志文件</h4>对于记录的每个数据包,都会收集以下日志信息:<br><br><table cellspacing="1" class="table"><tr><td>字段</td><td>说明</td><td>示例</td></tr><tr><td>Date</td><td>显示记录的事务发生时的年、月和日。日期的记录格式为 YYYY-MM-DD,其中 YYYY
表示年,MM 表示月,DD 表示天。</td><td>2001-01-27</td></tr><tr><td>Time</td><td>显示记录的事务发生时的小时、分钟和秒。时间的记录格式为:HH:MM:SS,其中 HH 是以 24
小时格式表示的小时,MM 表示分钟数,SS 表示秒数。</td><td>21:36:59</td></tr><tr><td>Action</td><td>指示防火墙观察到的操作。防火墙的可用选项有 OPEN、CLOSE、DROP 和
INFO-EVENTS-LOST。INFO-EVENTS-LOST 操作指示已发生但未记录在日志中的事件数。</td><td>OPEN</td></tr><tr><td>Protocol</td><td>显示通信时所使用的协议。协议条目也可以是一个数字,用来表示不使用 TCP、UDP 或
ICMP 的数据包。</td><td>TCP</td></tr><tr><td>src-ip</td><td>显示源 IP 地址,即尝试建立通信的计算机的 IP
地址。</td><td>192.168.0.1</td></tr><tr><td>dst-ip</td><td>显示通信尝试的目标 IP 地址。</td><td>192.168.0.1</td></tr><tr><td>src-port</td><td>显示发送计算机的源端口号。src-port 条目以 1 到 65,535
之间的整数形式记录。只有 TCP 和 UDP 会显示有效的 src-port 条目。所有其他协议的 src-port
条目均显示为“-”。</td><td>4039</td></tr><tr><td>dst-port</td><td>显示目标计算机的端口号。dst-port 条目以 1 到 65,535
之间的整数形式记录。只有 TCP 和 UDP 会显示有效的 dst-port 条目。所有其他协议的 dst-port
条目均显示为“-”。</td><td>53</td></tr><tr><td>size</td><td>显示以字节表示的数据包大小。</td><td>60</td></tr><tr><td>tcpflags</td><td>显示 IP 数据包 TCP 报头中的 TCP 控制标志:
<table class="list"><tr><td class="bullet">•</td><td class="text">Ack:确认字段有效</td></tr><tr><td class="bullet">•</td><td class="text">Fin:没有来自发送方的其他数据</td></tr><tr><td class="bullet">•</td><td class="text">PSH:推入功能</td></tr><tr><td class="bullet">•</td><td class="text">Rst:重置连接</td></tr><tr><td class="bullet">•</td><td class="text">Syn:同步序列号</td></tr><tr><td class="bullet">•</td><td class="text">Urg:紧急指针字段有效</td></tr></table>标志均采用大写字母形式。</td><td>AFP</td></tr><tr><td>tcpsyn</td><td>显示数据包中的 TCP 序列号。</td><td>1315819770</td></tr><tr><td>tcpack</td><td>显示数据包中的 TCP 确认号。</td><td>0</td></tr><tr><td>tcpwin</td><td>显示数据包中用字节表示的 TCP 窗口大小。</td><td>64240</td></tr><tr><td>icmptype</td><td>显示一个数字,表示 ICMP 消息的“类型”字段。</td><td>8</td></tr><tr><td>icmpcode</td><td>显示一个数字,表示 ICMP 消息的“代码”字段。</td><td>0</td></tr><tr><td>info</td><td>显示一个信息条目,具体取决于执行的操作类型。例如,INFO-EVENTS-LOST
操作为以下事件个数创建一个条目:从该事件类型最后一次发生后发生但未记录到日志中的事件。</td><td>23</td></tr></table><br><b>注意:</b>连字符 (-) 用于其中没有条目信息的字段。<br><br><span><a href="#0">返回页首</a></span><br><span><a id="13"></a></span><a id="XSLTH3188121123120121120120"></a><h3>使用命令行支持</h3>Windows 防火墙 Netsh 帮助程序已添加到 Windows XP 的 Microsoft Advanced
Networking Pack 中。此命令行帮助程序以前适用于 IPv6 Windows 防火墙。在 Windows XP Service Pack 2
中,该帮助程序现在支持对 IPv4 进行配置。<br><br>通过使用 Netsh 帮助程序,您现在可以:
<table class="list"><tr><td class="bullet">•</td><td class="text">配置 Windows 防火墙的默认状态。(选项包括“关闭”、“启用”和“启用并且没有例外”。)</td></tr><tr><td class="bullet">•</td><td class="text">配置必须打开的端口。</td></tr><tr><td class="bullet">•</td><td class="text">配置端口以启用全局访问,或限制对本地子网的访问。</td></tr><tr><td class="bullet">•</td><td class="text">将端口设置为在所有接口上打开,或者仅在特定接口上打开。</td></tr><tr><td class="bullet">•</td><td class="text">配置日志记录选项。</td></tr><tr><td class="bullet">•</td><td class="text">配置 Internet 控制消息协议 (ICMP) 处理选项。</td></tr><tr><td class="bullet">•</td><td class="text">在例外列表中添加或删除程序。</td></tr></table>这些配置选项适用于 IPv4 Windows 防火墙和 IPv6 Windows 防火墙,但 Windows
防火墙版本中不存在的特定功能除外。<br><br><span><a href="#0">返回页首</a></span><br><span><a id="14"></a></span><a id="XSLTH4200121123120121120120"></a><h4>收集诊断数据</h4>可以使用 Netsh.exe 工具,在命令行中检索 Windows 防火墙的配置和状态信息。此工具将 IPv4 防火墙支持添加到以下
Netsh 上下文中:<div class="indent"><b>netsh firewall</b></div>要使用此上下文,请在命令提示符下键入 <span class="userInput">netsh
firewall</span>,然后根据需要使用其他 <b>Netsh</b> 命令。以下命令对于收集防火墙状态和配置信息非常有用:
<table class="list"><tr><td class="bullet">•</td><td class="text"><b>Netsh firewall show state</b></td></tr><tr><td class="bullet">•</td><td class="text"><b>Netsh firewall show config</b></td></tr></table><br>可以将这些命令的输出与 <b>netstat –ano</b>
命令的输出进行比较,确定可能打开侦听端口并且在防火墙配置中无相应例外项的程序。下表列出了受支持的数据收集和配置命令。<br><br><b>注意:</b>只有管理员能够修改设置。<br><br><b>数据收集</b><table cellspacing="1" class="table"><tr><td>命令</td><td>说明</td></tr><tr><td>show allowedprogram</td><td>显示允许的程序。</td></tr><tr><td>show config</td><td>显示详细的本地配置信息。</td></tr><tr><td>show currentprofile</td><td>显示当前配置文件。</td></tr><tr><td>show icmpsetting</td><td>显示 ICMP 设置。</td></tr><tr><td>show logging</td><td>显示日志记录设置。</td></tr><tr><td>show opmode</td><td>显示操作模式。</td></tr><tr><td>show portopening</td><td>显示例外端口。</td></tr><tr><td>show service</td><td>显示服务。</td></tr><tr><td>show state</td><td>显示当前的状态信息。</td></tr><tr><td>show notifications</td><td>显示当前通知设置。</td></tr></table><br><b>配置</b><table cellspacing="1" class="table"><tr><td>命令</td><td>说明</td></tr><tr><td>add allowedprogram</td><td>用于通过指定程序的文件名来添加例外通信。</td></tr><tr><td>set allowedprogram</td><td>用于修改现有允许的程序的设置。</td></tr><tr><td>delete allowedprogram</td><td>用于删除现有允许的程序。</td></tr><tr><td>set icmpsetting</td><td>用于指定允许的 ICMP 通信。</td></tr><tr><td>set logging</td><td>用于为 Windows
防火墙指定全局日志记录选项,或为特定连接(接口)指定日志记录选项。</td></tr><tr><td>set opmode</td><td>用于为 Windows
防火墙指定全局操作模式,或为特定连接(接口)指定操作模式。</td></tr><tr><td>add portopening</td><td>用于通过指定 TCP 或 UDP 端口来添加例外通信。</td></tr><tr><td>set portopening</td><td>用于修改现有打开的 TCP 或 UDP 端口的设置。</td></tr><tr><td>delete portopening</td><td>用于删除现有打开的 TCP 或 UDP 端口。</td></tr><tr><td>set service</td><td>用于启用或丢弃 RPC 和 DCOM 通信、文件和打印机共享以及 UPnP
通信。</td></tr><tr><td>set notifications</td><td>用于指定当程序试图打开端口时是否通知用户。</td></tr><tr><td>reset</td><td>将防火墙配置重置为默认设置。它提供与“Windows
防火墙”界面中的“还原为默认值”按钮相同的功能。</td></tr></table><br><br><span><a href="#0">返回页首</a></span><br><span><a id="15"></a></span><a id="XSLTH3229121123120121120120"></a><h3>解决防火墙问题</h3>除程序兼容性问题外,Windows 防火墙还可能会出现其他问题。请按照下列步骤操作来诊断问题:
<table class="list"><tr><td class="number">1.</td><td class="text">要检查 TCP/IP 是否正常工作,请使用 <b>ping</b> 命令测试环回地址 (127.0.0.1) 和分配的 IP 地址。</td></tr><tr><td class="number">2.</td><td class="text">检查用户界面中的配置,确定是否误将防火墙设置为“关闭”或“启用并且没有例外”。</td></tr><tr><td class="number">3.</td><td class="text">使用 <b>netsh</b> 命令收集防火墙状态和配置信息,以查找无意中设定的可能妨碍防火墙正常运行的设置。</td></tr><tr><td class="number">4.</td><td class="text">在命令提示符下键入以下命令来确定“Windows 防火墙/Internet 连接共享”服务的状态:<div class="indent"><span class="userInput">sc query sharedaccess</span></div>(该服务的简称是 SharedAccess。)如果此服务未启动,请根据 Win32
退出代码来排查服务启动问题。</td></tr><tr><td class="number">5.</td><td class="text">在命令提示符下键入以下命令来确定 Ipnat.sys 防火墙驱动程序的状态:<div class="indent"><span class="userInput">sc query ipnat</span></div>此命令还会返回上一次启动尝试的 Win32
退出代码。如果驱动程序未启动,请使用适用于任何其他驱动程序的故障排查步骤。</td></tr><tr><td class="number">6.</td><td class="text">如果该驱动程序和服务均在运行,而且事件日志中没有相关的错误,请使用“Windows
防火墙”属性“高级”选项卡上的“还原为默认值”选项来消除任何可能有问题的配置。</td></tr><tr><td class="number">7.</td><td class="text">如果问题仍未解决,请查找可能产生异常行为的策略设置。为此,请在命令提示符下键入 <span class="userInput">GPResult
/v > gpresult.txt</span>,然后检查生成的文本文件以查找与防火墙有关的配置策略。</td></tr></table><span><a href="#0">返回页首</a></span><br><span><a id="16"></a></span><a id="XSLTH3235121123120121120120"></a><h3>配置 Windows 防火墙组策略</h3>请与您的网络管理员联系,确定组策略设置是否禁止程序和方案在企业环境中运行。 <br><br>Windows
防火墙组策略设置位于以下“组策略对象编辑器”管理单元路径中:
<table class="list"><tr><td class="bullet">•</td><td class="text">计算机配置/管理模板/网络/网络连接/Windows 防火墙</td></tr><tr><td class="bullet">•</td><td class="text">计算机配置/管理模板/网络/网络连接/Windows 防火墙/域配置文件</td></tr><tr><td class="bullet">•</td><td class="text">计算机配置/管理模板/网络/网络连接/Windows 防火墙/标准配置文件 </td></tr></table><br>从这些位置,您可以配置以下组策略设置:
<table class="list"><tr><td class="bullet">•</td><td class="text">Windows 防火墙:允许已验证的 Internet 协议安全 (IPSec) 绕过</td></tr><tr><td class="bullet">•</td><td class="text">Windows 防火墙:保护所有网络连接</td></tr><tr><td class="bullet">•</td><td class="text">Windows 防火墙:不允许例外</td></tr><tr><td class="bullet">•</td><td class="text">Windows 防火墙:定义例外程序</td></tr><tr><td class="bullet">•</td><td class="text">Windows 防火墙:允许本地程序例外</td></tr><tr><td class="bullet">•</td><td class="text">Windows 防火墙:允许远程管理例外</td></tr><tr><td class="bullet">•</td><td class="text">Windows 防火墙:允许文件和打印共享例外 </td></tr><tr><td class="bullet">•</td><td class="text">Windows 防火墙:允许 ICMP 例外</td></tr><tr><td class="bullet">•</td><td class="text">Windows 防火墙:允许远程桌面例外</td></tr><tr><td class="bullet">•</td><td class="text">Windows 防火墙:允许通用即插即用 (UpnP) 框架例外</td></tr><tr><td class="bullet">•</td><td class="text">Windows 防火墙:禁止通知</td></tr><tr><td class="bullet">•</td><td class="text">Windows 防火墙:允许日志记录</td></tr><tr><td class="bullet">•</td><td class="text">Windows 防火墙:禁止对多播或广播请求进行单播响应</td></tr><tr><td class="bullet">•</td><td class="text">Windows 防火墙:定义例外端口</td></tr><tr><td class="bullet">•</td><td class="text">Windows 防火墙:允许本地端口例外</td></tr></table><br>有关 Windows 防火墙组策略设置的更多信息,请下载下面的白皮书:<div class="indent"><span><a href="http://download.microsoft.com/download/6/8/a/68a81446-cd73-4a61-8665-8a67781ac4e8/wf_xpsp2.doc">Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2(对安装了Service Pack 2 的 Microsoft Windows XP 部署 Windows 防火墙设置)</a></span></div><div class="topOfPage"><table><tr><td class="image"><a href="#toc"><img src="/library/images/support/kbgraphics/public/en-us/upArrow.gif" alt="返回页首" title="返回页首"></a></td><td class="text"><a href="#toc">返回页首</a></td></tr></table></div></div></div><div class="appliesTo"><hr><a id="appliesto"></a><h5>这篇文章中的信息适用于:</h5><table class="list"><tr><td class="bullet">•</td><td class="text">Microsoft Windows XP Professional SP2</td></tr><tr><td class="bullet">•</td><td class="text">Microsoft Windows XP Home Edition SP2</td>
页:
[1]