ไฟร์วอลล์(ไฟร์วอลล์หรือไฟร์วอลล์) Windows ไม่เคารพคำสั่ง เปลี่ยนจาก XP เป็น Vista เล็กน้อย มันทำงานได้ดี แต่ไม่มีความทะเยอทะยานที่จะเป็นไฟร์วอลล์ส่วนบุคคลที่ดีที่สุด อย่างไรก็ตามแม้ว่าไฟร์วอลล์ Windows 7 จะได้รับคุณสมบัติใหม่หลายอย่าง แต่ก็ยังไม่ได้รับสิ่งที่ฉันคาดว่าจะเห็น
แขวนอยู่กับโฮมกรุ๊ป
ในระหว่าง การติดตั้งวินโดว์ 7 แนะนำการสร้าง "โฮมกรุ๊ป" เมื่อมีการค้นพบคอมพิวเตอร์ Windows 7 บนเครือข่ายมากขึ้น พวกเขาจะได้รับแจ้งให้เข้าร่วมกลุ่มด้วย และสิ่งที่พวกเขาต้องการคือรหัสผ่านเท่านั้น อย่างไรก็ตาม ด้วยคอมพิวเตอร์เครื่องหนึ่งที่ใช้ Windows 7 ฉันไม่เห็นกระบวนการลงชื่อเข้าใช้กลุ่มของคอมพิวเตอร์เครื่องอื่น แม้ว่าการแจ้งเตือนเกี่ยวกับเรื่องนี้จะไม่เสียหายก็ตาม อย่างไรก็ตาม แม้ว่าคอมพิวเตอร์ Windows 7 ทุกเครื่องสามารถเข้าร่วมโฮมกรุ๊ปได้ แต่คอมพิวเตอร์ Windows 7 Home Basic และ Windows 7 Starter ก็ไม่สามารถสร้างโฮมกรุ๊ปได้
คอมพิวเตอร์ในโฮมกรุ๊ปเดียวกันสามารถแบ่งปัน (หรือตามที่พวกเขากล่าวว่า "แบ่งปัน") เครื่องพิมพ์และไลบรารีไฟล์เฉพาะ ตามค่าเริ่มต้น ไลบรารีของรูปภาพ เพลง วิดีโอ และเอกสารจะถูกแชร์ แต่ผู้ใช้สามารถจำกัดได้ตามดุลยพินิจของเขา ความช่วยเหลือในระบบปฏิบัติการให้คำอธิบายที่ชัดเจนเกี่ยวกับวิธีแยกไฟล์หรือโฟลเดอร์ออกจากการแบ่งปัน หรือวิธีทำให้เป็นแบบอ่านอย่างเดียว หรือวิธีจำกัดการเข้าถึง
ในเครือข่ายในบ้าน ผู้ใช้สามารถแบ่งปันเนื้อหาของตนกับคอมพิวเตอร์และอุปกรณ์อื่นๆ และแม้กระทั่งกับคอมพิวเตอร์ที่ไม่ได้ใช้ Windows 7 และแม้กระทั่งกับคอมพิวเตอร์ที่ไม่ใช่คอมพิวเตอร์เลย โดยเฉพาะอย่างยิ่ง Microsoft แสดงตัวอย่างวิธีการแชร์เนื้อหาสำหรับ Xbox 360 อย่างไรก็ตาม บริษัทไม่ได้เสนอให้เชื่อมต่อ Wii กับเครือข่าย อนิจจา บริษัทไม่มีคุณสมบัติ Wii เป็นอุปกรณ์สื่อสตรีมมิ่ง
ดังนั้นระบบเครือข่ายภายในบ้านใน Windows 7 จึงปลอดภัยมากขึ้นเพียงใด โดยปกติแล้ว ผู้ใช้ที่ไม่สามารถแชร์ไฟล์และโฟลเดอร์ได้จะเริ่มปิดการใช้งานทุกอย่าง รวมถึงไฟล์วอลล์ โปรแกรมป้องกันไวรัส ฯลฯ ซึ่งตามความเห็นของพวกเขาแล้ว อาจรบกวนกระบวนการนี้ได้ ในเวลาเดียวกัน หากคุณทำให้การแบ่งปันเป็นเรื่องง่าย การปิดทุกสิ่งรอบตัวก็สามารถหลีกเลี่ยงได้
หาก Vista แบ่งเครือข่ายออกเป็นสาธารณะ (สาธารณะ) และส่วนตัว (ส่วนตัว) Windows 7 จะแบ่งเครือข่ายส่วนตัวเป็นที่บ้าน (บ้าน) และที่ทำงาน (ที่ทำงาน) กลุ่มบ้าน(โฮมกรุ๊ป) ใช้ได้เฉพาะเมื่อเลือกเครือข่ายในบ้าน อย่างไรก็ตาม แม้จะอยู่ในเครือข่ายที่ทำงาน คอมพิวเตอร์ของคุณก็ยังสามารถมองเห็นและเชื่อมต่อกับอุปกรณ์อื่นๆ บนเครือข่ายได้ ในทางกลับกัน บนเครือข่ายสาธารณะ (เช่น ร้านอินเทอร์เน็ตไร้สาย) Windows 7 จะบล็อกการเข้าถึงจากคุณและจากคุณไปยังอุปกรณ์อื่นๆ เพื่อความปลอดภัยของคุณ นี่เป็นโอกาสเล็ก ๆ แต่ดี
ไฟร์วอลล์โหมดคู่
ใน Vista และ XP การจัดการไฟร์วอลล์ทำได้ง่ายเพียงแค่เปิดและปิด ในเวลาเดียวกัน เวลาของ Windows 7 เสนอการตั้งค่าต่างๆ ให้กับผู้ใช้สำหรับเครือข่ายส่วนตัว (ที่บ้านและที่ทำงาน) และเครือข่ายสาธารณะ ในเวลาเดียวกัน ผู้ใช้ไม่จำเป็นต้องป้อนการตั้งค่าไฟร์วอลล์เพื่อที่จะทำงานในร้านกาแฟท้องถิ่น ก็เพียงพอแล้วสำหรับเขาที่จะเลือกเครือข่ายสาธารณะและไฟร์วอลล์เองจะใช้พารามิเตอร์ที่จำกัดทั้งชุด เป็นไปได้มากว่าผู้ใช้จะกำหนดค่าเครือข่ายสาธารณะเพื่อบล็อกการเชื่อมต่อขาเข้าทั้งหมด ใน Vista ไม่สามารถทำได้โดยไม่ตัดทราฟฟิกขาเข้าทั้งหมดด้วย เครือข่ายของตัวเองผู้ใช้
ผู้ใช้บางคนไม่เข้าใจว่าทำไมต้องใช้ไฟร์วอลล์ หาก UAC ใช้งานได้ แสดงว่าไฟร์วอลล์ทำงานมากเกินไปใช่หรือไม่ อันที่จริงแล้ว โปรแกรมเหล่านี้มีจุดประสงค์ที่แตกต่างกันมาก UAC ติดตามโปรแกรมและการดำเนินการภายในระบบโลคัล ในทางกลับกัน ไฟร์วอลล์จะทำงานอย่างใกล้ชิดกับข้อมูลขาเข้าและขาออก หากคุณจินตนาการว่าโปรแกรมทั้งสองนี้เป็นฮีโร่สองคนที่ยืนหันหลังชนกันและต้านทานการโจมตีของซอมบี้ คุณแทบจะพูดได้เลยว่าคุณคิดไม่ผิด
ตอนแรกฉันรู้สึกทึ่ง โอกาสใหม่"แจ้งเตือนฉันเมื่อ ไฟร์วอลล์หน้าต่างบล็อก โปรแกรมใหม่". นี่เป็นสัญญาณว่าไฟร์วอลล์ Windows เข้าควบคุมโปรแกรมและกลายเป็นไฟร์วอลล์แบบสองทางจริงหรือ ฉันถูกกลืนกินโดยความปรารถนาที่จะปิดใช้งานคุณสมบัตินี้ และเป็นผลให้ Windows Firewall ไม่ได้รับความเคารพมากไปกว่าที่เป็นอยู่
เป็นเวลากว่าสิบปีแล้วที่ ZoneLabs ทำให้ไฟร์วอลล์ส่วนบุคคลแบบสองทางเป็นที่นิยม โปรแกรม ZoneAlarm ของเธอซ่อนพอร์ตคอมพิวเตอร์ทั้งหมด (ซึ่ง Windows Firewall สามารถทำได้) และยังอนุญาตให้คุณควบคุมการเข้าถึงโปรแกรมไปยังอินเทอร์เน็ต (Windows Firewall ยังไม่สามารถทำได้) ฉันไม่ต้องการการตรวจสอบพฤติกรรมของโปรแกรมอย่างชาญฉลาด เช่น ใน Norton ความปลอดภัยทางอินเทอร์เน็ต 2553 และแพ็คเกจอื่นๆ แต่ฉันหวังว่าด้วยการเปิดตัว Windows 8 Microsoft จะยังคงใช้คุณสมบัติ ZoneAlarm ที่มีอายุหลายสิบปีในไฟร์วอลล์
Microsoft ทราบดีว่าผู้ใช้จำนวนมากติดตั้งไฟร์วอลล์ของบริษัทอื่นและแพ็คเกจความปลอดภัย และเพียงแค่ปิดใช้งาน Windows Firewall ในอดีต โปรแกรมรักษาความปลอดภัยของบุคคลที่สามจำนวนมากปิดใช้งาน Windows Firewall โดยอัตโนมัติเพื่อหลีกเลี่ยงความขัดแย้ง ใน Windows 7 Microsoft ได้ทำมันเอง เมื่อติดตั้งไฟร์วอลล์ที่รู้จัก ระบบปฏิบัติการจะปิดใช้งานไฟร์วอลล์ในตัวและรายงานว่า "การตั้งค่าไฟร์วอลล์ถูกควบคุมโดยโปรแกรมดังกล่าวและโปรแกรมดังกล่าวจากผู้ผลิตดังกล่าว"
ไม่ว่าคุณจะใช้หรือไม่ก็ตาม Windows Firewall มีอยู่ใน Windows 7 ทุกเครื่องพร้อมการผสานรวมอย่างลึกซึ้งกับ ระบบปฏิบัติการ. จะดีกว่าไหมถ้าแอปพลิเคชันความปลอดภัยของบุคคลที่สามสามารถใช้ไฟล์วอลล์ของ Windows เพื่อวัตถุประสงค์ของตนเองได้ แนวคิดนี้อยู่เบื้องหลังอินเทอร์เฟซการเขียนโปรแกรมที่เรียกว่า Windows Filtering Platform แต่นักพัฒนาจะใช้หรือไม่ เพิ่มเติมเกี่ยวกับเรื่องนี้ในส่วนถัดไป
ความปลอดภัยของ Windows 7: แพลตฟอร์มการกรองของ Windows - แพลตฟอร์มการกรองของ Windows
ไฟร์วอลล์ต้องทำงานร่วมกับ Windows 7 ในระดับต่ำมาก ซึ่งโปรแกรมเมอร์ของ Microsoft เกลียดอย่างยิ่ง เทคโนโลยีบางอย่างของ Microsoft เช่น PatchGuard ที่พบใน Windows 7 รุ่น 64 บิต (Windows 7 แบบ 64 บิตมีข้อดีด้านความปลอดภัยมากกว่า Windows 7 แบบ 32 บิตหลายประการ) บล็อกผู้บุกรุกและปกป้องเคอร์เนลจากการเข้าถึง ถึงกระนั้น Microsoft ก็ไม่ได้ให้ความปลอดภัยในระดับเดียวกับโปรแกรมของบริษัทอื่น แล้วจะทำอย่างไร?
วิธีแก้ไขปัญหานี้คือ Windows Filtering Platform (WFP) หลังตาม Microsoft อนุญาตให้ไฟร์วอลล์ของบุคคลที่สามใช้คีย์ได้ คุณลักษณะของ Windowsไฟร์วอลล์ - อนุญาตให้คุณเพิ่มคุณสมบัติที่กำหนดเองและเลือกเปิดหรือปิดใช้งานบางส่วนของไฟร์วอลล์ Windows เป็นผลให้ผู้ใช้สามารถเลือกไฟร์วอลล์ที่จะอยู่ร่วมกับไฟร์วอลล์ Windows
แต่สิ่งนี้มีประโยชน์มากเพียงใดสำหรับนักพัฒนาซอฟต์แวร์ความปลอดภัย พวกเขาจะใช้มันหรือไม่? ฉันสัมภาษณ์หลายคนและได้คำตอบมากมาย
BitDefender LLC
Iulian Costache ผู้จัดการฝ่ายพัฒนาผลิตภัณฑ์ระบุว่าบริษัทของเขากำลังใช้งานแพลตฟอร์มนี้บน Windows 7 อย่างไรก็ตาม พวกเขาประสบปัญหาการรั่วไหลของหน่วยความจำอย่างมาก ข้อบกพร่องอยู่ที่ฝั่งของ Microsoft เนื่องจากยักษ์ใหญ่ด้านซอฟต์แวร์รายใหญ่ที่สุดได้ยืนยันแล้ว อย่างไรก็ตาม จูเลียนไม่ทราบว่าจะได้รับการแก้ไขเมื่อใด ในระหว่างนี้พวกเขาถูกแทนที่ชั่วคราว ไดรเวอร์ใหม่ WFP เป็น TDI เก่า
บริษัท เช็ค พอยท์ ซอฟต์แวร์ เทคโนโลยีส์ จำกัด
Mirka Janus ผู้จัดการฝ่ายประชาสัมพันธ์ของ Check Point Software Technologies Ltd กล่าวว่าบริษัทของเขาใช้ WFP มาตั้งแต่ Vista นอกจากนี้ยังใช้แพลตฟอร์มภายใต้ Windows 7 อีกด้วย เป็นอินเทอร์เฟซที่ดีและรองรับเป็นอย่างดี แต่มัลแวร์ใดๆ หรือไดรเวอร์ที่เข้ากันไม่ได้อาจเป็นอันตรายสำหรับผลิตภัณฑ์รักษาความปลอดภัยที่ใช้แพลตฟอร์มดังกล่าว ZoneAlarm พึ่งพาเลเยอร์สองชั้นเสมอ เชื่อมต่อเครือข่ายและระดับแบทช์ ตั้งแต่ Vista เป็นต้นมา Microsoft ได้เสนอ WFP เป็นวิธีสนับสนุนในการกรองการเชื่อมต่อเครือข่าย เริ่มต้นด้วย Windows 7 SP1 Microsoft ควรสอน WFP เพื่อเปิดใช้งานการกรองแพ็กเก็ต
“การใช้ API ที่รองรับหมายถึงความเสถียรที่ดีขึ้นและ BSOD ที่น้อยลง สามารถลงทะเบียนไดรเวอร์ได้หลายตัวและนักพัฒนาไดรเวอร์ทุกคนไม่จำเป็นต้องกังวลเกี่ยวกับความเข้ากันได้กับไดรเวอร์อื่น ๆ หากไดรเวอร์ใดถูกบล็อก จะไม่มีไดรเวอร์อื่นที่ลงทะเบียนไว้สามารถข้ามการบล็อกนี้ได้ ในทางกลับกัน ไดรเวอร์ที่เข้ากันไม่ได้อาจกลายเป็นปัญหาได้ โดยข้ามไดรเวอร์อื่นที่ลงทะเบียนไว้ทั้งหมด เราไม่ได้พึ่งพา WFP เพียงอย่างเดียวสำหรับความปลอดภัยของเครือข่าย”
เอฟ-ซีเคียว คอร์ปอเรชั่น
Mikko Hypponen นักวิจัยอาวุโสของ F-Secure Corporation ระบุว่าด้วยเหตุผลบางอย่าง WFP ไม่เคยสนใจนักพัฒนาซอฟต์แวร์ความปลอดภัย ในขณะเดียวกัน บริษัทของเขาใช้ WFP มาระยะหนึ่งแล้วและพอใจกับมัน
แมคอาฟี อิงค์
ในทางกลับกัน หัวหน้าสถาปนิก McAfee Ahmed Sallam (Ahmed Sallam) กล่าวว่า WFP เป็นอินเทอร์เฟซการกรองเครือข่ายที่ทรงพลังและยืดหยุ่นกว่าอินเทอร์เฟซก่อนหน้าที่ใช้ NDIS McAfee ใช้ WFP อย่างกว้างขวางในผลิตภัณฑ์รักษาความปลอดภัยของบริษัท
ในขณะเดียวกัน แม้ว่า WFP จะมีคุณสมบัติเชิงบวก อาชญากรไซเบอร์ก็สามารถใช้ประโยชน์จากแพลตฟอร์มได้เช่นกัน แพลตฟอร์มอาจอนุญาตให้มัลแวร์เข้าสู่สแต็กเลเยอร์ของเครือข่าย เคอร์เนลของ Windows. ดังนั้น 64 บิต ไดรเวอร์ Windowsระดับเคอร์เนลต้องเซ็นชื่อแบบดิจิทัลเพื่อป้องกันเคอร์เนลจากการถูกโหลดเข้าไป มัลแวร์. อย่างไรก็ตาม ลายเซ็นดิจิทัลไม่จำเป็นสำหรับเวอร์ชัน 32 บิต
ใช่ ในทางทฤษฎีแล้ว ลายเซ็นดิจิทัลเป็นกลไกการป้องกันที่สมเหตุสมผล แต่ในความเป็นจริง ผู้เขียนมัลแวร์ยังสามารถได้รับลายเซ็นเหล่านั้น
ความปลอดภัยของแพนด้า
Pedro Bustamante โฆษกของ Panda Security กล่าวว่าบริษัทของเขากำลังตรวจสอบแพลตฟอร์ม WFP แต่ปัจจุบันไม่ได้ใช้งาน บริษัทเชื่อว่าข้อเสียเปรียบหลักของ WFP คือ ประการแรก การไม่สามารถสร้างเทคโนโลยีที่จะรวมกันได้ เทคนิคต่างๆเพื่อเพิ่มการปกป้องสูงสุด เทคโนโลยีจะไร้ประโยชน์หากบริษัทไม่สามารถดูแพ็กเก็ตขาเข้าและขาออกไปยังเครื่องได้ นอกจากนี้ยังควรทำหน้าที่เป็นเซ็นเซอร์สำหรับเทคโนโลยีการป้องกันอื่นๆ WFP ไม่มีคุณลักษณะเหล่านี้ ประการที่สอง WFP ได้รับการสนับสนุนโดย Vista และระบบปฏิบัติการที่ใหม่กว่าเท่านั้น แพลตฟอร์มไม่รองรับการทำงานแบบย้อนกลับ และประการที่สาม WFP เป็นแพลตฟอร์มที่ค่อนข้างใหม่ และบริษัทต้องการต่อยอดจากเทคโนโลยีที่เก่ากว่าและเป็นที่ยอมรับมากกว่า
บริษัทไซแมนเทค
Dan Nadir ผู้อำนวยการฝ่ายการจัดการผลิตภัณฑ์ผู้บริโภคของไซแมนเทคกล่าวว่า WFP ยังไม่ได้ใช้ในผลิตภัณฑ์ของตนเนื่องจากความแปลกใหม่ อย่างไรก็ตามเมื่อเวลาผ่านไป บริษัท วางแผนที่จะย้ายไปที่นั่นเพราะ อินเทอร์เฟซเก่าที่ใช้อยู่ในขณะนี้จะไม่สามารถให้ฟังก์ชันการทำงานเต็มรูปแบบที่ต้องการได้ พวกเขาถือว่า WFP เป็นแพลตฟอร์มที่ดีเพราะ ได้รับการออกแบบมาโดยเฉพาะเพื่อให้มีการทำงานร่วมกันระหว่างซอฟต์แวร์ของบุคคลที่สามที่หลากหลาย ตามหลักการแล้ว แพลตฟอร์มควรจะมีปัญหาด้านความเข้ากันได้น้อยลงในอนาคต WFP นั้นดีเช่นกันเพราะรวมเข้ากับ Microsoft Network Diagnostic Framework สิ่งนี้มีประโยชน์อย่างยิ่งเช่น ช่วยอำนวยความสะดวกอย่างมากในการค้นหาโปรแกรมเฉพาะที่เป็นอุปสรรคต่อ การรับส่งข้อมูลเครือข่าย. สุดท้าย WFP ควรนำไปสู่การปรับปรุงประสิทธิภาพและเสถียรภาพของระบบปฏิบัติการ เช่น แพลตฟอร์มหลีกเลี่ยงการจำลองและปัญหาความขัดแย้งหรือความเสถียรของไดรเวอร์
อย่างไรก็ตาม ในทางกลับกัน จากข้อมูลของ Nadir ระบุว่า WFP สามารถสร้างปัญหาบางอย่างที่มีอยู่ในโครงสร้างใดๆ ได้ - นักพัฒนาที่ใช้ WFP ไม่สามารถปิดช่องโหว่ภายใน WFP เอง และไม่สามารถขยายคุณลักษณะเฉพาะที่เสนอโดย WFP นอกจากนี้ หากหลายโปรแกรมใช้ WFP ผู้สร้างมัลแวร์อาจพยายามโจมตี WFP เองในทางทฤษฎี
เทรนด์ไมโคร อิงค์
ผู้อำนวยการฝ่ายวิจัยของ Trend Micro Inc. Dale Liao กล่าวว่าข้อได้เปรียบที่ใหญ่ที่สุดของแพลตฟอร์มนี้คือความเข้ากันได้กับระบบปฏิบัติการ ไฟร์วอลล์มาตรฐานก็มีประโยชน์เช่นกัน ตอนนี้พวกเขาสามารถมุ่งเน้นไปที่สิ่งที่สำคัญจริงๆ สำหรับผู้ใช้ สิ่งที่แย่เกี่ยวกับ WFP คือเมื่อพบข้อผิดพลาดในแพลตฟอร์ม บริษัทต้องรอให้ Microsoft แก้ไข
WFP: บทสรุป
ด้วยเหตุนี้ นักพัฒนาซอฟต์แวร์ด้านความปลอดภัยส่วนใหญ่ที่ฉันสัมภาษณ์จึงใช้ WFP อยู่แล้ว จริงบางอย่างควบคู่ไปกับเทคโนโลยีอื่น พวกเขาชอบความสามารถในการทำงานร่วมกัน พวกเขาชอบลักษณะที่เป็นทางการและเอกสารของแพลตฟอร์ม และยังชอบความเสถียรในการทำงานของมันอีกด้วย กับอีกคนหนึ่ง ด้านลบหากนักพัฒนาทั้งหมดเริ่มพึ่งพา WFP แพลตฟอร์มนั้นอาจกลายเป็นจุดอ่อนสำหรับทุกคน และพวกเขาจะต้องพึ่งพา Microsoft เพื่อแก้ไข นอกจากนี้ แพลตฟอร์มยังไม่มีการกรองระดับแพ็คเก็ต
ข้อเสียที่สำคัญของ WFP ก็คือไม่มีใน Windows XP ดังนั้นนักพัฒนาที่ต้องการสนับสนุน XP จะต้องเรียกใช้สองโครงการคู่ขนานกัน อย่างไรก็ตาม เมื่อ XP ออกสู่ตลาด ผมคิดว่า WFP จะได้รับความนิยมมากขึ้นในหมู่นักพัฒนา
ระบบปฏิบัติการ Snap-in Management Console (MMC) วินโดว์ วิสต้า™ เป็นไฟร์วอลล์การบันทึกเครือข่ายสำหรับเวิร์กสเตชันที่กรองการเชื่อมต่อขาเข้าและขาออกตามการตั้งค่าที่คุณกำหนด ตอนนี้คุณสามารถกำหนดการตั้งค่าไฟร์วอลล์และ โปรโตคอล IPsecด้วยเครื่องมือเดียว บทความนี้จะอธิบายวิธีการทำงานของ Windows Firewall ในโหมด Windows Firewall เพิ่มความปลอดภัยปัญหาทั่วไปและวิธีการแก้ไข
Windows Firewall พร้อม Advanced Security ทำงานอย่างไร
ไฟร์วอลล์หน้าต่างในโหมดการรักษาความปลอดภัยขั้นสูง เป็นไฟร์วอลล์การบันทึกสถานะเครือข่ายสำหรับเวิร์กสเตชัน ซึ่งแตกต่างจากไฟร์วอลล์สำหรับเราเตอร์ซึ่งติดตั้งที่เกตเวย์ระหว่างเครือข่ายท้องถิ่นของคุณกับอินเทอร์เน็ต Windows Firewall ได้รับการออกแบบมาให้ทำงานบนคอมพิวเตอร์แต่ละเครื่อง มันตรวจสอบการจราจรเท่านั้น เวิร์กสเตชัน: การรับส่งข้อมูลมาที่ที่อยู่ IP ของคอมพิวเตอร์เครื่องนี้และการรับส่งข้อมูลขาออกไปยังเครื่องคอมพิวเตอร์เอง Windows Firewall พร้อม Advanced Security ดำเนินการขั้นพื้นฐานดังต่อไปนี้:
มีการตรวจสอบแพ็กเก็ตขาเข้าและเปรียบเทียบกับรายการทราฟฟิกที่อนุญาต หากแพ็กเก็ตตรงกับค่าใดค่าหนึ่งในรายการ Windows Firewall จะส่งแพ็กเก็ตไปยัง TCP/IP เพื่อดำเนินการต่อไป หากแพ็กเก็ตไม่ตรงกับค่าใด ๆ ในรายการ Windows Firewall จะบล็อกแพ็กเก็ตและหากเปิดใช้งานการบันทึก จะสร้างรายการในไฟล์บันทึก
รายการการรับส่งข้อมูลที่อนุญาตนั้นเกิดขึ้นได้สองวิธี:
เมื่อการเชื่อมต่อที่ควบคุมโดยไฟร์วอลล์ Windows ที่มีความปลอดภัยขั้นสูงส่งแพ็คเก็ต ไฟร์วอลล์จะสร้างค่าในรายการเพื่ออนุญาตการรับส่งข้อมูลกลับ การรับส่งข้อมูลขาเข้าที่เหมาะสมจะต้องได้รับอนุญาตเพิ่มเติม
เมื่อคุณสร้าง Windows Firewall ด้วยกฎอนุญาตความปลอดภัยขั้นสูง การรับส่งข้อมูลที่สร้างกฎจะได้รับอนุญาตบนคอมพิวเตอร์ที่ใช้ Windows Firewall คอมพิวเตอร์เครื่องนี้จะยอมรับทราฟฟิกขาเข้าที่ได้รับอนุญาตอย่างชัดเจนเมื่อทำงานเป็นเซิร์ฟเวอร์ คอมพิวเตอร์ไคลเอนต์ หรือโหนดเครือข่ายเพียร์ทูเพียร์
ขั้นตอนแรกในการแก้ไขปัญหาเกี่ยวกับไฟร์วอลล์ Windows คือการตรวจสอบว่าโปรไฟล์ใดทำงานอยู่ Windows Firewall with Advanced Security เป็นแอปพลิเคชันที่ตรวจสอบสภาพแวดล้อมเครือข่ายของคุณ โปรไฟล์ Windows Firewall จะเปลี่ยนเมื่อสภาพแวดล้อมของเครือข่ายเปลี่ยนไป ส่วนกำหนดค่าคือชุดของการตั้งค่าและกฎที่ใช้ขึ้นอยู่กับสภาพแวดล้อมของเครือข่ายและการทำงาน เชื่อมต่อเครือข่าย.
ไฟร์วอลล์แยกความแตกต่างระหว่างสภาพแวดล้อมเครือข่ายสามประเภท: โดเมน เครือข่ายสาธารณะ และเครือข่ายส่วนตัว โดเมนคือสภาพแวดล้อมเครือข่ายที่การเชื่อมต่อได้รับการรับรองโดยตัวควบคุมโดเมน ตามค่าเริ่มต้น การเชื่อมต่อเครือข่ายประเภทอื่นๆ ทั้งหมดจะถือว่าเป็น เครือข่ายสาธารณะ. เมื่อค้นพบสิ่งใหม่ การเชื่อมต่อ Windows Vista แจ้งให้ผู้ใช้ระบุว่า เครือข่ายนี้ส่วนตัวหรือสาธารณะ โปรไฟล์ทั่วไปมีไว้สำหรับใช้ในสถานที่สาธารณะ เช่น สนามบินหรือร้านกาแฟ โปรไฟล์ส่วนตัวออกแบบมาเพื่อใช้ที่บ้านหรือที่ทำงาน และบนเครือข่ายที่ปลอดภัย ในการกำหนดเครือข่ายเป็นแบบส่วนตัว ผู้ใช้ต้องมีสิทธิ์ระดับผู้ดูแลที่เหมาะสม
แม้ว่าคอมพิวเตอร์อาจเชื่อมต่อกับเครือข่ายในเวลาเดียวกัน ประเภทที่แตกต่างกันสามารถเปิดใช้งานได้เพียงหนึ่งโปรไฟล์เท่านั้น การเลือกโปรไฟล์ที่ใช้งานขึ้นอยู่กับเหตุผลต่อไปนี้:
ถ้าอินเทอร์เฟซทั้งหมดใช้การรับรองความถูกต้องของตัวควบคุมโดเมน โปรไฟล์โดเมนจะถูกใช้
ถ้าอินเทอร์เฟซอย่างน้อยหนึ่งอินเทอร์เฟซเชื่อมต่อกับเครือข่ายส่วนตัว และส่วนอื่นๆ ทั้งหมดเชื่อมต่อกับโดเมนหรือเครือข่ายส่วนตัว ระบบจะใช้โปรไฟล์ส่วนตัว
ในกรณีอื่นๆ ทั้งหมด จะใช้โปรไฟล์ทั่วไป
หากต้องการกำหนดโปรไฟล์ที่ใช้งานอยู่ ให้คลิกที่โหนด การสังเกตในพริบตา ไฟร์วอลล์ Windows พร้อมความปลอดภัยขั้นสูง. ข้อความด้านบน สถานะไฟร์วอลล์จะระบุว่าโปรไฟล์ใดใช้งานอยู่ ตัวอย่างเช่น หากมีการใช้งานโปรไฟล์โดเมน คำอธิบายภาพจะแสดงที่ด้านบนสุด โปรไฟล์โดเมนเปิดใช้งานอยู่.
เมื่อใช้โปรไฟล์ ไฟร์วอลล์ Windows สามารถอนุญาตทราฟฟิกขาเข้าโดยอัตโนมัติสำหรับเครื่องมือการจัดการคอมพิวเตอร์พิเศษเมื่อคอมพิวเตอร์อยู่ในโดเมน และบล็อกทราฟฟิกเดียวกันเมื่อคอมพิวเตอร์เชื่อมต่อกับเครือข่ายสาธารณะหรือส่วนตัว ดังนั้น การกำหนดประเภทของสภาพแวดล้อมเครือข่ายจึงรับประกันการปกป้องของคุณ เครือข่ายท้องถิ่นโดยไม่กระทบต่อความปลอดภัยของผู้ใช้มือถือ
ปัญหาทั่วไปเมื่อเรียกใช้ Windows Firewall ด้วย Advanced Security
ต่อไปนี้คือปัญหาหลักที่เกิดขึ้นเมื่อเรียกใช้ Windows Firewall ที่มี Advanced Security:
ในกรณีที่ทราฟฟิกถูกบล็อก คุณควรตรวจสอบก่อนว่าไฟร์วอลล์เปิดใช้งานอยู่หรือไม่ และโปรไฟล์ใดเปิดใช้งานอยู่ หากแอปพลิเคชันใดถูกบล็อก ตรวจสอบให้แน่ใจใน snap ไฟร์วอลล์ Windows พร้อมความปลอดภัยขั้นสูงมีกฎการอนุญาตที่ใช้งานอยู่สำหรับโปรไฟล์ปัจจุบัน หากต้องการตรวจสอบว่ามีกฎการอนุญาตอยู่ ให้คลิกสองครั้งที่โหนด การสังเกตแล้วเลือกส่วน ไฟร์วอลล์. หากไม่มีกฎการอนุญาตที่ใช้งานอยู่สำหรับโปรแกรมนี้ ให้ไปที่โหนดและสร้างกฎใหม่สำหรับโปรแกรมนี้ สร้างกฎสำหรับโปรแกรมหรือบริการ หรือระบุกลุ่มกฎที่ใช้กับคุณลักษณะนี้ และตรวจสอบให้แน่ใจว่าได้เปิดใช้งานกฎทั้งหมดในกลุ่มนั้นแล้ว
หากต้องการตรวจสอบว่ากฎการอนุญาตไม่ถูกแทนที่โดยกฎการบล็อก ให้ทำตามขั้นตอนเหล่านี้:
ในแผนผังเครื่องมือ ไฟร์วอลล์ Windows พร้อมความปลอดภัยขั้นสูงคลิกโหนด การสังเกตแล้วเลือกส่วน ไฟร์วอลล์.
ดูรายการของท้องถิ่นและที่ใช้งานอยู่ทั้งหมด นโยบายกลุ่ม. กฎการปฏิเสธจะลบล้างกฎการอนุญาต แม้ว่ากฎข้อหลังจะถูกกำหนดไว้อย่างแม่นยำกว่าก็ตาม
นโยบายกลุ่มป้องกันไม่ให้มีการบังคับใช้กฎท้องถิ่น
หากกำหนดค่าไฟร์วอลล์ Windows ที่มีความปลอดภัยขั้นสูงโดยใช้นโยบายกลุ่ม ผู้ดูแลระบบสามารถระบุได้ว่าจะใช้กฎไฟร์วอลล์หรือกฎความปลอดภัยการเชื่อมต่อที่สร้างโดยผู้ดูแลระบบภายในหรือไม่ สิ่งนี้เหมาะสมถ้ามีการกำหนดค่ากฎไฟร์วอลล์ภายในเครื่องหรือกฎความปลอดภัยการเชื่อมต่อที่ไม่ได้อยู่ในส่วนการตั้งค่าที่เกี่ยวข้อง
หากต้องการทราบว่าเหตุใดกฎไฟร์วอลล์ในเครื่องหรือกฎความปลอดภัยการเชื่อมต่อจึงหายไปจากส่วนการตรวจสอบ ให้ทำดังต่อไปนี้:
ในพริบตา ไฟร์วอลล์ Windows พร้อมความปลอดภัยขั้นสูงให้คลิกลิงก์ คุณสมบัติไฟร์วอลล์ Windows.
เลือกแท็บโปรไฟล์ที่ใช้งานอยู่
ในบท ตัวเลือก, กดปุ่ม ปรับแต่ง.
หากใช้กฎท้องถิ่น ส่วน กฎการรวมจะมีการใช้งาน
กฎที่ต้องใช้การเชื่อมต่อที่ปลอดภัยอาจปิดกั้นการรับส่งข้อมูล
เมื่อสร้างกฎไฟร์วอลล์สำหรับทราฟฟิกขาเข้าหรือขาออก หนึ่งในตัวเลือกคือ ถ้าเลือก ฟังก์ชันที่กำหนดคุณต้องมีกฎความปลอดภัยในการเชื่อมต่อที่เหมาะสมหรือนโยบาย IPSec แยกต่างหากที่กำหนดทราฟฟิกที่ปลอดภัย มิฉะนั้นการจราจรนี้จะถูกบล็อก
หากต้องการตรวจสอบว่ากฎของแอปพลิเคชันหนึ่งข้อขึ้นไปต้องการการเชื่อมต่อที่ปลอดภัย ให้ทำตามขั้นตอนเหล่านี้:
ในแผนผังเครื่องมือ ไฟร์วอลล์ Windows พร้อมความปลอดภัยขั้นสูงคลิกส่วน กฎสำหรับการเชื่อมต่อขาเข้า. เลือกกฎที่คุณต้องการตรวจสอบและคลิกที่ลิงค์ คุณสมบัติภายในขอบเขตของคอนโซล
เลือกแท็บ เป็นเรื่องธรรมดาและตรวจสอบว่าได้เลือกค่าปุ่มตัวเลือกหรือไม่ อนุญาตการเชื่อมต่อที่ปลอดภัยเท่านั้น.
หากระบุพารามิเตอร์สำหรับกฎ อนุญาตการเชื่อมต่อที่ปลอดภัยเท่านั้นขยายส่วน การสังเกตในแผนผังสแนปอินแล้วเลือกส่วน ตรวจสอบให้แน่ใจว่าการรับส่งข้อมูลที่กำหนดในกฎไฟร์วอลล์มีกฎความปลอดภัยในการเชื่อมต่อที่เหมาะสม
คำเตือน:
หากคุณมีนโยบาย IPSec ที่ใช้งานอยู่ ตรวจสอบให้แน่ใจว่านโยบายนั้นปกป้องการรับส่งข้อมูลที่จำเป็น อย่าสร้างกฎความปลอดภัยในการเชื่อมต่อเพื่อหลีกเลี่ยงความขัดแย้งระหว่างนโยบาย IPSec และกฎความปลอดภัยในการเชื่อมต่อ
ไม่สามารถอนุญาตการเชื่อมต่อขาออก
ในแผนผังเครื่องมือ ไฟร์วอลล์ Windows พร้อมความปลอดภัยขั้นสูงเลือกส่วน การสังเกต. เลือกแท็บโปรไฟล์ที่ใช้งานและภายใต้ สถานะไฟร์วอลล์ตรวจสอบว่าอนุญาตการเชื่อมต่อขาออกที่ไม่ตรงกับกฎการอนุญาต
ในบท การสังเกตเลือกส่วน ไฟร์วอลล์เพื่อให้แน่ใจว่าการเชื่อมต่อขาออกที่จำเป็นไม่ได้อยู่ในกฎการปฏิเสธ
นโยบายแบบผสมสามารถบล็อกทราฟฟิกได้
คุณสามารถกำหนดค่าไฟร์วอลล์และการตั้งค่า IPSec โดยใช้ อินเทอร์เฟซต่างๆระบบปฏิบัติการ Windows
การสร้างนโยบายในหลายๆ แห่งอาจนำไปสู่ความขัดแย้งและการบล็อกทราฟฟิกได้ มีจุดตั้งค่าต่อไปนี้:
ไฟร์วอลล์ Windows พร้อมความปลอดภัยขั้นสูง นโยบายนี้ได้รับการกำหนดค่าโดยใช้สแน็ปอินที่เหมาะสมในเครื่องหรือเป็นส่วนหนึ่งของนโยบายกลุ่ม นโยบายนี้ควบคุมไฟร์วอลล์และการตั้งค่า IPSec บนคอมพิวเตอร์ที่ใช้ Windows Vista
เทมเพลตการดูแลระบบไฟร์วอลล์ Windows นโยบายนี้ได้รับการกำหนดค่าโดยใช้ Group Policy Object Editor ในส่วน อินเทอร์เฟซนี้มีการตั้งค่า Windows Firewall ที่มีมาก่อน Windows Vista และมีไว้สำหรับกำหนดค่า GPO ที่จัดการ รุ่นก่อนหน้าหน้าต่าง. แม้ว่าจะสามารถใช้การตั้งค่าเหล่านี้กับคอมพิวเตอร์ที่กำลังทำงานอยู่ได้ การควบคุม Windows Vista ขอแนะนำให้ใช้นโยบายนี้แทน ไฟร์วอลล์ Windows พร้อมความปลอดภัยขั้นสูงเนื่องจากให้ความยืดหยุ่นและความปลอดภัยมากกว่า โปรดทราบว่าการตั้งค่าโปรไฟล์โดเมนบางส่วนจะใช้ร่วมกันระหว่างเทมเพลตการดูแลระบบไฟร์วอลล์ของ Windows และนโยบายไฟร์วอลล์ของ Windows ไฟร์วอลล์ Windows พร้อมความปลอดภัยขั้นสูงคุณจึงเห็นการตั้งค่าที่กำหนดในโปรไฟล์โดเมนโดยใช้สแน็ปอินได้ที่นี่ ไฟร์วอลล์ Windows พร้อมความปลอดภัยขั้นสูง.
นโยบาย IPSec นโยบายนี้ได้รับการกำหนดค่าโดยใช้สแน็ปอินในเครื่อง การจัดการนโยบาย IPSecหรือ Group Policy Object Editor ภายใต้ Computer Configuration\Windows Settings\Security Settings\IP Security Policies บนเครื่องคอมพิวเตอร์ นโยบายนี้กำหนดการตั้งค่า IPSec ที่สามารถใช้ได้ทั้ง Windows และ Windows Vista รุ่นก่อนหน้า ไม่ควรใช้พร้อมกันในคอมพิวเตอร์เครื่องเดียวกัน นโยบายนี้และกฎความปลอดภัยการเชื่อมต่อที่กำหนดไว้ในนโยบาย ไฟร์วอลล์ Windows พร้อมความปลอดภัยขั้นสูง.
หากต้องการดูตัวเลือกเหล่านี้ทั้งหมดในสแนปอินที่เหมาะสม ให้สร้างสแนปอินคอนโซลการจัดการของคุณเอง และเพิ่มสแนปอินเข้าไป ไฟร์วอลล์ Windows พร้อมความปลอดภัยขั้นสูง, และ ความปลอดภัยของไอพี.
เมื่อต้องการสร้างสแน็ปอินคอนโซลการจัดการของคุณเอง ให้ทำตามขั้นตอนเหล่านี้:
คลิกที่ปุ่ม เริ่มไปที่เมนู ทุกโปรแกรมจากนั้นในเมนู มาตรฐานแล้วเลือกรายการ วิ่ง.
ในกล่องข้อความ เปิด เข้า.
ดำเนินการต่อ.
บนเมนู คอนโซลเลือก .
รายการ สแน็ปอินที่มีอยู่เลือกสแน็ป ไฟร์วอลล์ Windows พร้อมความปลอดภัยขั้นสูงและกดปุ่ม เพิ่ม.
คลิกที่ปุ่ม ตกลง.
ทำซ้ำขั้นตอนที่ 1 ถึง 6 เพื่อเพิ่ม snaps ควบคุม นโยบายกลุ่ม และ การตรวจสอบความปลอดภัย IP.
หากต้องการตรวจสอบว่านโยบายใดที่ใช้งานอยู่ในโปรไฟล์ที่ใช้งานอยู่ ให้ใช้ขั้นตอนต่อไปนี้:
หากต้องการตรวจสอบว่ามีการใช้นโยบายใด ให้ทำตามขั้นตอนเหล่านี้:
ใน บรรทัดคำสั่งพิมพ์ mmc แล้วกดปุ่ม เข้า.
หากกล่องโต้ตอบการควบคุมบัญชีผู้ใช้ปรากฏขึ้น ให้ยืนยันการดำเนินการที่ร้องขอแล้วคลิก ดำเนินการต่อ.
บนเมนู คอนโซลเลือกรายการ เพิ่มหรือลบสแน็ป.
รายการ สแน็ปอินที่มีอยู่เลือกสแน็ป การจัดการนโยบายกลุ่มและกดปุ่ม เพิ่ม.
คลิกที่ปุ่ม ตกลง.
ขยายโหนดในต้นไม้ (โดยปกติจะเป็นต้นไม้ของป่าที่ คอมพิวเตอร์เครื่องนี้) แล้วคลิกสองครั้งที่ส่วนในบานหน้าต่างรายละเอียดของคอนโซล
เลือกค่าสวิตช์ แสดงการตั้งค่านโยบายสำหรับจากค่านิยม ผู้ใช้ปัจจุบัน หรือ ผู้ใช้รายอื่น. หากคุณไม่ต้องการแสดงการตั้งค่านโยบายสำหรับผู้ใช้ แต่แสดงเฉพาะการตั้งค่านโยบายสำหรับคอมพิวเตอร์ ให้เลือกค่าปุ่มตัวเลือก ไม่แสดงนโยบายผู้ใช้ (ดูนโยบายคอมพิวเตอร์เท่านั้น)และดับเบิลคลิกที่ปุ่ม ไกลออกไป.
คลิกที่ปุ่ม พร้อม. ตัวช่วยสร้างผลลัพธ์ของนโยบายกลุ่มสร้างรายงานในบานหน้าต่างรายละเอียดของคอนโซล รายงานประกอบด้วยแท็บ สรุป, ตัวเลือกและ เหตุการณ์นโยบาย.
เพื่อตรวจสอบว่าไม่มีข้อขัดแย้งกับนโยบายความปลอดภัย IP หลังจากสร้างรายงานแล้ว ให้เลือก ตัวเลือกและเปิด Computer Configuration\Windows Settings\Security Settings\IP Security Settings ในบริการไดเรกทอรี Active Directory หากไม่มีส่วนสุดท้าย แสดงว่าไม่มีการตั้งค่านโยบายความปลอดภัย IP มิฉะนั้น ชื่อและคำอธิบายของนโยบาย ตลอดจน GPO ของนโยบายนั้นจะแสดงขึ้น หากคุณใช้นโยบายความปลอดภัย IP และนโยบายไฟร์วอลล์ Windows ที่มีนโยบายความปลอดภัยขั้นสูงพร้อมกับกฎความปลอดภัยการเชื่อมต่อ นโยบายเหล่านี้อาจขัดแย้งกัน ขอแนะนำให้คุณใช้เพียงหนึ่งในนโยบายเหล่านี้ ทางออกที่ดีที่สุดคือการใช้นโยบายความปลอดภัย IP ร่วมกับไฟร์วอลล์ Windows ที่มีกฎความปลอดภัยขั้นสูงสำหรับการรับส่งข้อมูลขาเข้าหรือขาออก หากมีการกำหนดค่าการตั้งค่าในที่ต่างๆ และไม่สอดคล้องกัน ความขัดแย้งของนโยบายอาจเกิดขึ้นได้ยาก
อาจมีความขัดแย้งระหว่างนโยบายที่กำหนดใน GPO ในเครื่องและสคริปต์ที่กำหนดค่าโดยแผนกไอที ตรวจสอบนโยบายความปลอดภัย IP ทั้งหมดโดยใช้โปรแกรม IP Security Monitor หรือพิมพ์คำสั่งต่อไปนี้ที่พรอมต์คำสั่ง:
หากต้องการดูการตั้งค่าที่กำหนดไว้ในเทมเพลตการดูแลระบบไฟร์วอลล์ของ Windows ให้ขยายส่วน คอมพิวเตอร์ Configuration\Administrative Templates\Network\Network Connections\Windows Firewall.
หากต้องการดูเหตุการณ์ล่าสุดที่เกี่ยวข้องกับนโยบายปัจจุบัน คุณสามารถไปที่แท็บ เหตุการณ์นโยบายในคอนโซลเดียวกัน
หากต้องการดูนโยบายที่ใช้โดย Windows Firewall with Advanced Security ให้เปิดสแนปอินบนคอมพิวเตอร์ที่กำลังวินิจฉัยและตรวจทานการตั้งค่าภายใต้ การสังเกต.
หากต้องการดูเทมเพลตการดูแลระบบ ให้เปิดสแน็ปอิน นโยบายกลุ่มและในส่วน ผลลัพธ์ของนโยบายกลุ่มดูว่ามีการตั้งค่าที่สืบทอดมาจาก Group Policy ที่อาจทำให้ทราฟฟิกถูกปฏิเสธหรือไม่
หากต้องการดูนโยบายความปลอดภัย IP ให้เปิดสแน็ปอินการตรวจสอบความปลอดภัย IP เลือกในต้นไม้ คอมพิวเตอร์เฉพาะที่. ในขอบเขตคอนโซล เลือกลิงก์ นโยบายที่ใช้งานอยู่, โหมดพื้นฐานหรือ โหมดด่วน. ตรวจสอบนโยบายการแข่งขันที่อาจส่งผลให้การจราจรติดขัด
ในบท การสังเกตตะครุบ ไฟร์วอลล์ Windows พร้อมความปลอดภัยขั้นสูงคุณสามารถดูกฎนโยบายท้องถิ่นและนโยบายกลุ่มที่มีอยู่ สำหรับการได้รับ ข้อมูลเพิ่มเติมอ้างถึงส่วน " การใช้ฟังก์ชั่นนาฬิกาแบบ snap-in ไฟร์วอลล์ Windows พร้อมความปลอดภัยขั้นสูง » ของเอกสารฉบับนี้
หากต้องการหยุด IPSec Policy Agent ให้ทำตามขั้นตอนเหล่านี้:
คลิกที่ปุ่ม เริ่มและเลือกส่วน แผงควบคุม.
คลิกไอคอน ระบบและการบำรุงรักษาและเลือกส่วน การบริหาร.
ดับเบิลคลิกที่ไอคอน บริการ. ดำเนินการต่อ.
ค้นหาบริการในรายการ ตัวแทนนโยบาย IPSec
ถ้าบริการ ตัวแทน IPSecกำลังทำงานอยู่ คลิกขวาที่มันแล้วเลือกรายการเมนู หยุด. คุณยังสามารถหยุดบริการได้ ตัวแทน IPSecจากบรรทัดคำสั่งโดยใช้คำสั่ง
นโยบายเครือข่ายเพียร์ทูเพียร์อาจทำให้การรับส่งข้อมูลถูกปฏิเสธ
สำหรับการเชื่อมต่อโดยใช้ IPSec คอมพิวเตอร์ทั้งสองเครื่องต้องมีนโยบายความปลอดภัย IP ที่เข้ากันได้ นโยบายเหล่านี้สามารถกำหนดได้โดยใช้สแนปอิน Windows Firewall Connection Security Rules ความปลอดภัยของไอพีหรือผู้ให้บริการรักษาความปลอดภัย IP รายอื่น
ในการตรวจสอบการตั้งค่านโยบายความปลอดภัย IP ในเครือข่ายเพียร์ทูเพียร์ ให้ทำตามขั้นตอนเหล่านี้:
คลิกส่วน โหมดพื้นฐานในบานหน้าต่างรายละเอียดของคอนโซล เลือกการเชื่อมต่อที่จะทดสอบ แล้วคลิกลิงก์ คุณสมบัติภายในขอบเขตของคอนโซล ตรวจสอบคุณสมบัติการเชื่อมต่อสำหรับทั้งสองโหนดเพื่อให้แน่ใจว่าเข้ากันได้
ทำซ้ำขั้นตอนที่ 2.1 สำหรับส่วน โหมดด่วน. ตรวจสอบคุณสมบัติการเชื่อมต่อสำหรับทั้งสองโหนดเพื่อให้แน่ใจว่าเข้ากันได้
ในพริบตา ไฟร์วอลล์ Windows พร้อมความปลอดภัยขั้นสูงเลือกโหนด การสังเกตและ กฎความปลอดภัยการเชื่อมต่อเพื่อให้แน่ใจว่าทั้งสองโฮสต์บนเครือข่ายมีการกำหนดค่านโยบายความปลอดภัย IP
หากคอมพิวเตอร์เครื่องใดเครื่องหนึ่งในเครือข่ายเพียร์ทูเพียร์ทำงานก่อนหน้านี้ รุ่นของ Windowsกว่า Windows Vista ตรวจสอบให้แน่ใจว่าชุดรหัสโหมดเนทีฟอย่างน้อยหนึ่งชุดและชุดรหัสโหมดด่วนหนึ่งชุดใช้อัลกอริทึมที่สนับสนุนโดยโฮสต์ทั้งสอง
หากคุณใช้การตรวจสอบสิทธิ์ Kerberos เวอร์ชัน 5 ตรวจสอบให้แน่ใจว่าโฮสต์อยู่ในโดเมนเดียวกันหรือเชื่อถือได้
หากใช้ใบรับรอง ตรวจสอบให้แน่ใจว่าได้เลือกช่องทำเครื่องหมายที่จำเป็นแล้ว ต้องมีใบรับรองที่ใช้ Internet Key Exchange (IKE) IPSec Key Exchange ลายเซ็นดิจิทัล. ใบรับรองที่ใช้ Authenticated Internet Protocol (AuthIP) จำเป็นต้องมีการรับรองความถูกต้องของไคลเอนต์ (ขึ้นอยู่กับประเภทการรับรองความถูกต้องของเซิร์ฟเวอร์) สำหรับข้อมูลเพิ่มเติมเกี่ยวกับใบรับรอง AuthIP โปรดดูบทความ IP ที่รับรองความถูกต้องใน Windows Vista AuthIP ใน Windows Vista บนเว็บไซต์ Microsoft
ไม่สามารถกำหนดค่า Windows Firewall ด้วย Advanced Security
ไฟร์วอลล์ Windows ที่มีการตั้งค่าความปลอดภัยขั้นสูงจะเป็นสีเทาในกรณีต่อไปนี้:
คอมพิวเตอร์เชื่อมต่อกับเครือข่ายด้วย การจัดการแบบรวมศูนย์และผู้ดูแลระบบเครือข่ายใช้ Group Policies เพื่อกำหนดค่า Windows Firewall ด้วยการตั้งค่า Advanced Security ในกรณีนี้ ที่ด้านบนของสแน็ป ไฟร์วอลล์ Windows พร้อมความปลอดภัยขั้นสูงคุณจะเห็นข้อความ "การตั้งค่าบางอย่างถูกควบคุมโดย Group Policy" ผู้ดูแลระบบเครือข่ายของคุณกำหนดค่านโยบาย ซึ่งป้องกันไม่ให้คุณเปลี่ยนการตั้งค่า Windows Firewall
คอมพิวเตอร์ที่ใช้ Windows Vista ไม่ได้เชื่อมต่อกับเครือข่ายที่มีการจัดการจากส่วนกลาง แต่การตั้งค่า Windows Firewall ถูกกำหนดโดยนโยบายกลุ่มภายในเครื่อง
หากต้องการเปลี่ยนการตั้งค่า Windows Firewall ด้วย Advanced Security โดยใช้นโยบายกลุ่มภายใน ให้ใช้ นโยบายคอมพิวเตอร์เฉพาะที่. หากต้องการเปิดสแนปอินนี้ ให้พิมพ์ secpol ที่พรอมต์คำสั่ง หากกล่องโต้ตอบการควบคุมบัญชีผู้ใช้ปรากฏขึ้น ให้ยืนยันการดำเนินการที่ร้องขอแล้วคลิก ดำเนินการต่อ. ไปที่ Computer Configuration\Windows Settings\Security Settings\Windows Firewall with Advanced Security เพื่อกำหนดค่า Windows Firewall ด้วยการตั้งค่านโยบาย Advanced Security
คอมพิวเตอร์ไม่ตอบสนองต่อคำขอ ping
วิธีหลักในการทดสอบการเชื่อมต่อระหว่างคอมพิวเตอร์คือการใช้ยูทิลิตี้ Ping เพื่อทดสอบการเชื่อมต่อกับที่อยู่ IP เฉพาะ ในระหว่างการ ping ข้อความ ICMP echo (หรือที่เรียกว่าคำขอ ICMP echo) จะถูกส่งไปและมีการร้องขอการตอบสนอง ICMP echo ในการตอบกลับ ตามค่าเริ่มต้น ไฟร์วอลล์ Windows จะปฏิเสธข้อความเสียงสะท้อน ICMP ขาเข้า ดังนั้นคอมพิวเตอร์จึงไม่สามารถส่งการตอบสนองเสียงสะท้อน ICMP ได้
การอนุญาตให้ข้อความสะท้อน ICMP เข้ามาจะทำให้คอมพิวเตอร์เครื่องอื่นสามารถ ping คอมพิวเตอร์ของคุณได้ ในทางกลับกัน สิ่งนี้จะทำให้คอมพิวเตอร์เสี่ยงต่อการถูกโจมตีโดยใช้ ICMP echo Messages อย่างไรก็ตาม ขอแนะนำให้เปิดใช้งาน ICMP echoes ขาเข้าชั่วคราว หากจำเป็น จากนั้นจึงปิดใช้งาน
ในการอนุญาตข้อความ echo ของ ICMP ให้สร้างกฎขาเข้าใหม่เพื่ออนุญาตแพ็กเก็ตคำขอ echo ของ ICMPv4 และ ICMPv6
หากต้องการอนุญาตคำขอ echo ของ ICMPv4 และ ICMPv6 ให้ทำตามขั้นตอนเหล่านี้:
ในแผนผังเครื่องมือ ไฟร์วอลล์ Windows พร้อมความปลอดภัยขั้นสูงเลือกโหนด กฎสำหรับการเชื่อมต่อขาเข้าและคลิกที่ลิงค์ กฎใหม่ในขอบเขตของคอนโซล
ปรับแต่งได้และกดปุ่ม ไกลออกไป.
ระบุค่าปุ่มตัวเลือก ทุกโปรแกรมและกดปุ่ม ไกลออกไป.
หยด ประเภทโปรโตคอลเลือกค่า ไอซีเอ็มพีวี4.
คลิกที่ปุ่ม ปรับแต่งสำหรับรายการ พารามิเตอร์โปรโตคอล ICMP.
ตั้งค่าปุ่มตัวเลือกเป็น ICMP บางประเภทให้ทำเครื่องหมายในช่อง คำขอเสียงสะท้อน, กดปุ่ม ตกลงและกดปุ่ม ไกลออกไป.
ในขั้นตอนของการเลือกที่อยู่ IP ในเครื่องและระยะไกลที่สอดคล้องกับ กฎนี้ให้ตั้งค่าปุ่มตัวเลือกเป็นค่า ที่อยู่ IP ใด ๆหรือ ที่อยู่ IP ที่ระบุ. หากคุณเลือกความคุ้มค่า ที่อยู่ IP ที่ระบุระบุที่อยู่ IP ที่ต้องการ คลิกปุ่ม เพิ่มและกดปุ่ม ไกลออกไป.
ระบุค่าปุ่มตัวเลือก อนุญาตการเชื่อมต่อและกดปุ่ม ไกลออกไป.
ในขั้นตอนการเลือกโปรไฟล์ ให้เลือกโปรไฟล์อย่างน้อยหนึ่งโปรไฟล์ (โปรไฟล์โดเมน โปรไฟล์ส่วนตัวหรือสาธารณะ) ที่คุณต้องการใช้กฎนี้ และคลิกปุ่ม ไกลออกไป.
ในสนาม ชื่อป้อนชื่อกฎและในฟิลด์ คำอธิบายเป็นคำอธิบายเพิ่มเติม คลิกที่ปุ่ม พร้อม.
ทำซ้ำขั้นตอนข้างต้นสำหรับโปรโตคอล ICMPv6 โดยเลือกในขั้นตอน ประเภทโปรโตคอลค่าแบบเลื่อนลง ไอซีเอ็มพีv6แทน ไอซีเอ็มพีวี4.
หากคุณมีกฎความปลอดภัยการเชื่อมต่อที่ใช้งานอยู่ การยกเว้นชั่วคราวของ ICMP จากข้อกำหนด IPsec สามารถช่วยแก้ไขปัญหาได้ ในการทำเช่นนี้ให้เปิดใน snap ไฟร์วอลล์ Windows พร้อมความปลอดภัยขั้นสูงหน้าต่างโต้ตอบ คุณสมบัติไปที่แท็บ การตั้งค่า IPSecและตั้งค่าในรายการแบบหล่นลง ใช่สำหรับพารามิเตอร์ ยกเว้น ICMP จาก IPSec.
บันทึก
การตั้งค่า Windows Firewall สามารถเปลี่ยนแปลงได้โดยผู้ดูแลระบบและผู้ให้บริการเครือข่ายเท่านั้น
ไม่สามารถแชร์ไฟล์และเครื่องพิมพ์ได้
ถ้าคุณไม่สามารถรับ การเข้าถึงทั่วไปไปยังไฟล์และเครื่องพิมพ์บนคอมพิวเตอร์ที่มีไฟร์วอลล์ Windows ที่ใช้งานอยู่ ตรวจสอบให้แน่ใจว่าได้เปิดใช้งานกฎกลุ่มทั้งหมดแล้ว เข้าถึงไฟล์และเครื่องพิมพ์ ไฟร์วอลล์ Windows พร้อมความปลอดภัยขั้นสูงเลือกโหนด กฎสำหรับการเชื่อมต่อขาเข้า เข้าถึงไฟล์และเครื่องพิมพ์ เปิดใช้งานกฎภายในขอบเขตของคอนโซล
ความสนใจ:
ขอแนะนำว่าอย่าเปิดใช้งานการแชร์ไฟล์และเครื่องพิมพ์บนคอมพิวเตอร์ที่เชื่อมต่อกับอินเทอร์เน็ตโดยตรง เนื่องจากผู้โจมตีอาจพยายามเข้าถึง ไฟล์ที่ใช้ร่วมกันและทำร้ายคุณด้วยการทำลายไฟล์ส่วนตัวของคุณ
ไม่สามารถจัดการ Windows Firewall จากระยะไกลได้
หากคุณไม่สามารถจัดการคอมพิวเตอร์จากระยะไกลโดยเปิดใช้งานไฟร์วอลล์ Windows ตรวจสอบให้แน่ใจว่าได้เปิดใช้งานกฎทั้งหมดในกลุ่มที่กำหนดค่าเริ่มต้นแล้ว การควบคุมระยะไกลของ Windows Firewallโปรไฟล์ที่ใช้งานอยู่ ในพริบตา ไฟร์วอลล์ Windows พร้อมความปลอดภัยขั้นสูงเลือกโหนด กฎสำหรับการเชื่อมต่อขาเข้าและเลื่อนรายการกฎไปที่กลุ่ม รีโมท. ตรวจสอบให้แน่ใจว่าเปิดใช้งานกฎเหล่านี้แล้ว เลือกกฎที่ถูกปิดใช้งานแต่ละข้อแล้วคลิกปุ่ม เปิดใช้งานกฎภายในขอบเขตของคอนโซล นอกจากนี้ ให้ตรวจสอบว่าบริการ IPSec Policy Agent ถูกเปิดใช้งาน บริการนี้จำเป็นสำหรับ รีโมทไฟร์วอลล์หน้าต่าง.
เมื่อต้องการตรวจสอบว่า ตัวแทนนโยบาย IPSec กำลังทำงาน ให้ทำตามขั้นตอนเหล่านี้:
คลิกที่ปุ่ม เริ่มและเลือกส่วน แผงควบคุม.
คลิกไอคอน ระบบและการบำรุงรักษาและเลือกส่วน การบริหาร.
ดับเบิลคลิกที่ไอคอน บริการ.
ถ้ากล่องโต้ตอบการควบคุมบัญชีผู้ใช้ปรากฏขึ้น ให้ป้อนข้อมูลประจำตัวที่จำเป็นสำหรับผู้ใช้ที่มีสิทธิ์ที่เหมาะสม จากนั้นคลิก ดำเนินการต่อ.
ค้นหาบริการในรายการ ตัวแทนนโยบาย IPSecและตรวจสอบให้แน่ใจว่ามีสถานะ "กำลังทำงาน"
ถ้าบริการ ตัวแทน IPSecหยุดคลิกขวาที่มันแล้วเลือก เมนูบริบทย่อหน้า วิ่ง. คุณยังสามารถเริ่มบริการ ตัวแทน IPSecจากบรรทัดรับคำสั่งโดยใช้คำสั่งเอเจนต์นโยบาย net start
บันทึก
บริการเริ่มต้น ตัวแทนนโยบาย IPSecเปิดตัว บริการนี้ควรทำงานเว้นแต่จะหยุดด้วยตนเอง
ตัวแก้ไขปัญหาไฟร์วอลล์ Windows
ส่วนนี้จะอธิบายถึงเครื่องมือและวิธีการที่ใช้ในการแก้ปัญหา ปัญหาทั่วไป. ส่วนนี้ประกอบด้วยส่วนย่อยต่อไปนี้:
การใช้คุณสมบัติการตรวจสอบใน Windows Firewall พร้อม Advanced Security
ขั้นตอนแรกในการแก้ไขปัญหาเกี่ยวกับ Windows Firewall คือการดูกฎปัจจุบัน การทำงาน การสังเกตให้คุณดูกฎที่ใช้ตามนโยบายท้องถิ่นและนโยบายกลุ่ม หากต้องการดูกฎจราจรขาเข้าและขาออกปัจจุบันในแผนผังสแนปอิน ไฟร์วอลล์ Windows พร้อมความปลอดภัยขั้นสูงเลือกส่วน การสังเกตแล้วเลือกส่วน ไฟร์วอลล์. ในส่วนนี้ คุณยังสามารถดูปัจจุบัน กฎความปลอดภัยการเชื่อมต่อและ สมาคมความปลอดภัย (โหมดพื้นฐานและโหมดด่วน).
เปิดใช้งานและใช้การตรวจสอบความปลอดภัยด้วยเครื่องมือบรรทัดคำสั่ง auditpol
ตามค่าเริ่มต้น ตัวเลือกการตรวจสอบจะถูกปิดใช้งาน หากต้องการกำหนดค่า ให้ใช้เครื่องมือบรรทัดคำสั่ง auditpol.exe ซึ่งเปลี่ยนการตั้งค่านโยบายการตรวจสอบบนเครื่องคอมพิวเตอร์ สามารถใช้ auditpol เพื่อเปิดหรือปิดการแสดงประเภทเหตุการณ์ต่างๆ และการดูเพิ่มเติมในสแน็ปอิน ผู้ชมเหตุการณ์.
หากต้องการดูรายการของหมวดหมู่ย่อยที่รวมอยู่ในหมวดหมู่ที่กำหนด (เช่น ในหมวดหมู่การเปลี่ยนแปลงนโยบาย) ที่พรอมต์คำสั่ง ให้พิมพ์:
auditpol.exe /list /category:"เปลี่ยนนโยบาย"
หากต้องการเปิดใช้งานการแสดงประเภทหรือประเภทย่อย ให้ป้อนข้อมูลต่อไปนี้ที่บรรทัดคำสั่ง:
/หมวดย่อย:" NameCategory"
หากต้องการดูรายการประเภทที่สนับสนุนโดยโปรแกรม auditpol ที่พร้อมต์คำสั่ง ให้พิมพ์:
ตัวอย่างเช่น หากต้องการตั้งค่านโยบายการตรวจสอบสำหรับหมวดหมู่และหมวดหมู่ย่อย ให้ป้อนคำสั่งต่อไปนี้:
auditpol.exe /set /category:"เปลี่ยนนโยบาย" /subcategory:"เปลี่ยนนโยบายที่ระดับกฎ MPSSVC" /success:enable /failure:enable
การเปลี่ยนแปลงนโยบาย
การเปลี่ยนนโยบายที่ระดับกฎ MPSSVC
การเปลี่ยนนโยบายแพลตฟอร์มการกรอง
เข้าสู่ทางออก
IPsec โหมดพื้นฐาน
โหมด IPsec ที่รวดเร็ว
โหมด IPsec ขั้นสูง
ระบบ
ไดรเวอร์ IPSec
เหตุการณ์ของระบบอื่น ๆ
การเข้าถึงวัตถุ
วางแพ็คเก็ตโดยแพลตฟอร์มการกรอง
การเชื่อมต่อแพลตฟอร์มการกรอง
เพื่อให้การเปลี่ยนแปลงนโยบายการตรวจสอบความปลอดภัยมีผล คุณต้องรีสตาร์ทเครื่องคอมพิวเตอร์หรือบังคับให้มีการอัปเดตนโยบายด้วยตนเอง เมื่อต้องการบังคับให้รีเฟรชนโยบาย ที่พรอมต์คำสั่ง ให้พิมพ์:
secedit / รีเฟรชนโยบาย<название_политики>
หลังจากการวินิจฉัยเสร็จสิ้น คุณสามารถปิดใช้งานการตรวจสอบเหตุการณ์โดยแทนที่พารามิเตอร์เปิดใช้งานด้วยปิดใช้งานในคำสั่งด้านบนและเรียกใช้คำสั่งอีกครั้ง
การดูเหตุการณ์การตรวจสอบความปลอดภัยในบันทึกเหตุการณ์
หลังจากที่คุณเปิดใช้งานการตรวจสอบ ให้ใช้สแนปอินตัวแสดงเหตุการณ์เพื่อดูเหตุการณ์การตรวจสอบในบันทึกเหตุการณ์ความปลอดภัย
เมื่อต้องการเปิดสแนปอินตัวแสดงเหตุการณ์ในโฟลเดอร์เครื่องมือการดูแลระบบ ให้ทำตามขั้นตอนเหล่านี้:
คลิกที่ปุ่ม เริ่ม.
เลือกส่วน แผงควบคุม. คลิกไอคอน ระบบและการบำรุงรักษาและเลือกส่วน การบริหาร.
ดับเบิลคลิกที่ไอคอน ผู้ชมเหตุการณ์.
เมื่อต้องการเพิ่มสแน็ปอิน Event Viewer ใน MMC ให้ทำตามขั้นตอนเหล่านี้:
คลิกที่ปุ่ม เริ่มไปที่เมนู ทุกโปรแกรมจากนั้นในเมนู มาตรฐานแล้วเลือกรายการ วิ่ง.
ในกล่องข้อความ เปิดพิมพ์ mmc แล้วกดปุ่ม เข้า.
หากกล่องโต้ตอบการควบคุมบัญชีผู้ใช้ปรากฏขึ้น ให้ยืนยันการดำเนินการที่ร้องขอแล้วคลิก ดำเนินการต่อ.
บนเมนู คอนโซลเลือกรายการ เพิ่มหรือลบสแน็ป.
รายการ สแน็ปอินที่มีอยู่เลือกสแน็ป ผู้ชมเหตุการณ์และกดปุ่ม เพิ่ม.
คลิกที่ปุ่ม ตกลง.
ก่อนปิดสแนปอิน ให้บันทึกคอนโซลเพื่อใช้ในอนาคต
ในพริบตา ผู้ชมเหตุการณ์ขยายส่วน บันทึกของ Windows และเลือกโหนด ความปลอดภัย. คุณสามารถดูเหตุการณ์การตรวจสอบความปลอดภัยในพื้นที่ทำงานคอนโซล เหตุการณ์ทั้งหมดจะแสดงที่ด้านบนของพื้นที่ทำงานคอนโซล คลิกที่เหตุการณ์ที่ด้านบนของพื้นที่ทำงานคอนโซลเพื่อแสดง รายละเอียดข้อมูลที่ด้านล่างของแผง บนแท็บ เป็นเรื่องธรรมดาคำอธิบายเหตุการณ์จะอยู่ในรูปแบบของข้อความที่เข้าใจได้ บนแท็บ รายละเอียดมีอยู่ ตัวเลือกต่อไปนี้การแสดงเหตุการณ์: การนำเสนอที่ชัดเจนและ โหมด XML.
การตั้งค่าบันทึกไฟร์วอลล์สำหรับโปรไฟล์
ก่อนที่คุณจะสามารถดูบันทึกไฟร์วอลล์ คุณต้องกำหนดค่า Windows Firewall ด้วย Advanced Security เพื่อสร้างไฟล์บันทึก
ในการกำหนดค่าการบันทึกสำหรับ Windows Firewall ด้วยโปรไฟล์ Advanced Security ให้ทำตามขั้นตอนเหล่านี้:
ในแผนผังเครื่องมือ ไฟร์วอลล์ Windows พร้อมความปลอดภัยขั้นสูงเลือกส่วน ไฟร์วอลล์ Windows พร้อมความปลอดภัยขั้นสูงและกดปุ่ม คุณสมบัติภายในขอบเขตของคอนโซล
เลือกแท็บโปรไฟล์ที่คุณต้องการกำหนดค่าการบันทึก (โปรไฟล์โดเมน โปรไฟล์ส่วนตัว หรือโปรไฟล์สาธารณะ) จากนั้นคลิกปุ่ม ปรับแต่งในบท การบันทึก.
ระบุชื่อและตำแหน่งสำหรับล็อกไฟล์
ระบุ ขนาดสูงสุดไฟล์บันทึก (ตั้งแต่ 1 ถึง 32767 กิโลไบต์)
หยด บันทึกแพ็คเก็ตที่ไม่ได้รับป้อนค่า ใช่.
หยด บันทึกการเชื่อมต่อที่สำเร็จป้อนค่า ใช่จากนั้นคลิกปุ่ม ตกลง.
การดูไฟล์บันทึกของไฟร์วอลล์
เปิดไฟล์ที่คุณระบุในขั้นตอนก่อนหน้า "การกำหนดค่าบันทึกไฟร์วอลล์สำหรับโปรไฟล์" ในการเข้าถึงบันทึกไฟร์วอลล์ คุณต้องมีสิทธิ์ของผู้ดูแลระบบภายในเครื่อง
คุณสามารถดูไฟล์บันทึกด้วย Notepad หรือโปรแกรมแก้ไขข้อความใดๆ
การวิเคราะห์ไฟล์บันทึกของไฟร์วอลล์
ข้อมูลที่บันทึกจะแสดงในตารางต่อไปนี้ ข้อมูลบางอย่างถูกระบุสำหรับบางโปรโตคอลเท่านั้น (แฟล็ก TCP, ประเภทและรหัส ICMP เป็นต้น) และข้อมูลบางอย่างถูกระบุสำหรับแพ็กเก็ต (ขนาด) ที่ทิ้งเท่านั้น
|
สนาม |
คำอธิบาย |
ตัวอย่าง |
|
แสดงปี เดือน และวันที่บันทึกเหตุการณ์ วันที่เขียนในรูปแบบ YYYY-MM-DD โดยที่ YYYY คือปี MM คือเดือน และ DD คือวัน |
||
|
แสดงชั่วโมง นาที และวินาทีที่มีการบันทึกเหตุการณ์ เวลาเขียนในรูปแบบ HH:MM:SS โดยที่ HH คือชั่วโมงในรูปแบบ 24 ชั่วโมง MM คือนาที และ SS คือวินาที |
||
|
การกระทำ |
ระบุการดำเนินการโดยไฟร์วอลล์ การดำเนินการต่อไปนี้มีอยู่: เปิด ปิด ปล่อย และเหตุการณ์ข้อมูลสูญหาย การดำเนินการ INFO-EVENTS-LOST บ่งชี้ว่ามีเหตุการณ์เกิดขึ้นมากกว่าหนึ่งเหตุการณ์แต่ไม่ถูกบันทึก |
|
|
มาตรการ |
แสดงโปรโตคอลที่ใช้สำหรับการเชื่อมต่อ รายการนี้ยังสามารถเป็นจำนวนของแพ็กเก็ตที่ไม่ได้ใช้ TCP, UDP หรือ ICMP |
|
|
แสดงที่อยู่ IP ของคอมพิวเตอร์ที่ส่ง |
||
|
แสดงที่อยู่ IP ของคอมพิวเตอร์ปลายทาง |
||
|
แสดงหมายเลขพอร์ตต้นทางของคอมพิวเตอร์ที่ส่ง ค่าพอร์ตต้นทางเขียนเป็นจำนวนเต็มตั้งแต่ 1 ถึง 65535 ค่าพอร์ตต้นทางที่ถูกต้องจะแสดงสำหรับโปรโตคอล TCP และ UDP เท่านั้น สำหรับโปรโตคอลอื่น "-" ถูกเขียนเป็นพอร์ตต้นทาง |
||
|
แสดงหมายเลขพอร์ตของคอมพิวเตอร์ปลายทาง ค่าพอร์ตปลายทางเขียนเป็นจำนวนเต็มตั้งแต่ 1 ถึง 65535 ค่าพอร์ตปลายทางที่ถูกต้องจะแสดงสำหรับโปรโตคอล TCP และ UDP เท่านั้น สำหรับโปรโตคอลอื่น "-" ถูกเขียนเป็นพอร์ตปลายทาง |
||
|
แสดงขนาดแพ็คเก็ตเป็นไบต์ |
||
|
แสดงแฟล็กควบคุมโปรโตคอล TCP ที่พบในส่วนหัว TCP ของแพ็กเก็ต IP
เอิ๊กฟิลด์รับทราบที่มีนัยสำคัญ ครีบ.ไม่มีข้อมูลเพิ่มเติมจากผู้ส่ง ปล.ฟังก์ชั่นการกด Rst.รีเซ็ตการเชื่อมต่อ ธงแสดงด้วยอักษรตัวใหญ่ตัวแรกของชื่อ ตัวอย่างเช่นธง ครีบแสดงว่า ฉ. |
||
|
แสดงหมายเลขคิว TCP ในแพ็คเก็ต |
||
|
แสดงหมายเลขตอบรับ TCP ในแพ็คเก็ต |
||
|
แสดงขนาดหน้าต่างแพ็กเก็ต TCP เป็นไบต์ |
||
|
พิมพ์ในข้อความ ICMP |
||
|
แสดงตัวเลขแทนเขตข้อมูล รหัสในข้อความ ICMP |
||
|
แสดงข้อมูลตามการดำเนินการ ตัวอย่างเช่น สำหรับการดำเนินการ INFO-EVENTS-LOST ค่า เขตข้อมูลที่กำหนดระบุจำนวนเหตุการณ์ที่เกิดขึ้นแต่ไม่ได้บันทึกในช่วงเวลาที่ผ่านไปตั้งแต่เกิดเหตุการณ์ประเภทนี้ครั้งก่อน |
บันทึก
ยัติภังค์ (-) ใช้ในเขตข้อมูลในระเบียนปัจจุบันที่ไม่มีข้อมูลใดๆ
การสร้างไฟล์ข้อความ netstat และรายการงาน
คุณสามารถสร้างไฟล์บันทึกที่กำหนดเองได้สองไฟล์ ไฟล์หนึ่งสำหรับดูสถิติเครือข่าย (รายการพอร์ตการฟังทั้งหมด) และอีกไฟล์หนึ่งสำหรับดูรายการงานบริการและแอปพลิเคชัน รายการงานประกอบด้วย Process ID (ตัวระบุกระบวนการ, PID) สำหรับเหตุการณ์ที่มีอยู่ในไฟล์สถิติเครือข่าย ขั้นตอนการสร้างไฟล์ทั้งสองนี้มีคำอธิบายด้านล่าง
สำหรับการสร้าง ไฟล์ข้อความสถิติเครือข่ายและรายการงาน ให้ทำดังนี้:
ที่บรรทัดคำสั่ง พิมพ์ netstat -ano > netstat.txtและกดปุ่ม เข้า.
ที่บรรทัดคำสั่ง พิมพ์ รายการงาน > รายการงาน.txtและกดปุ่ม เข้า. หากคุณต้องการสร้างไฟล์ข้อความที่มีรายการบริการ ให้พิมพ์ รายการงาน /svc > รายการงาน.txt.
เปิดไฟล์ tasklist.txt และ netstat.txt
ค้นหา ID ของกระบวนการที่คุณกำลังวินิจฉัยในไฟล์ tasklist.txt และเปรียบเทียบกับค่าที่อยู่ในไฟล์ netstat.txt บันทึกโปรโตคอลที่ใช้
ตัวอย่างการออกไฟล์ Tasklist.txt และ Netstat.txt
netstat.txt
ที่อยู่ในท้องถิ่น Proto ที่อยู่ต่างประเทศรัฐ PID
TCP 0.0.0.0:XXX 0.0.0.0:0 กำลังฟัง 122
TCP 0.0.0.0:XXXX 0.0.0.0:0 กำลังฟัง 322
รายการงาน. txt
ชื่ออิมเมจ PID ชื่อเซสชัน # การใช้งาน Mem
==================== ======== ================ =========== ============
svchost.exe 122 บริการ 0 7.172 K
XzzRpc.exe 322 บริการ 0 5.104 K
บันทึก
ที่อยู่ IP จริงเปลี่ยนเป็น "X" และบริการ RPC เป็น "z"
ตรวจสอบให้แน่ใจว่าบริการที่จำเป็นทำงานอยู่
ต้องใช้บริการต่อไปนี้:
บริการกรองพื้นฐาน
ลูกค้านโยบายกลุ่ม
โมดูลคีย์ IPsec สำหรับการแลกเปลี่ยนคีย์อินเทอร์เน็ตและ IP ที่รับรองความถูกต้อง
บริการช่วยเหลือ IP
บริการตัวแทนนโยบาย IPSec
บริการตำแหน่งเครือข่าย
บริการรายการเครือข่าย
ไฟร์วอลล์หน้าต่าง
เมื่อต้องการเปิดสแน็ปอินบริการและตรวจสอบว่าบริการที่จำเป็นกำลังทำงานอยู่ ให้ทำตามขั้นตอนเหล่านี้:
คลิกที่ปุ่ม เริ่มและเลือกส่วน แผงควบคุม.
คลิกไอคอน ระบบและการบำรุงรักษาและเลือกส่วน การบริหาร.
ดับเบิลคลิกที่ไอคอน บริการ.
ถ้ากล่องโต้ตอบการควบคุมบัญชีผู้ใช้ปรากฏขึ้น ให้ป้อนข้อมูลประจำตัวที่จำเป็นสำหรับผู้ใช้ที่มีสิทธิ์ที่เหมาะสม จากนั้นคลิก ดำเนินการต่อ.
ตรวจสอบให้แน่ใจว่าบริการที่แสดงด้านบนทำงานอยู่ หากบริการหนึ่งหรือหลายรายการไม่ทำงาน ให้คลิกขวาที่ชื่อบริการในรายการแล้วเลือกคำสั่ง วิ่ง.
วิธีเพิ่มเติมในการแก้ปัญหา
เป็นทางเลือกสุดท้าย คุณสามารถคืนค่าการตั้งค่า Windows Firewall เริ่มต้นได้ การคืนค่าการตั้งค่าเริ่มต้นจะทำให้การตั้งค่าใดๆ ที่ทำไว้ตั้งแต่ติดตั้ง Windows Vista หายไป ซึ่งอาจทำให้บางโปรแกรมหยุดทำงาน นอกจากนี้ หากคุณจัดการคอมพิวเตอร์จากระยะไกล การเชื่อมต่อกับคอมพิวเตอร์จะขาดหายไป
ก่อนคืนค่าการตั้งค่าเริ่มต้น ตรวจสอบให้แน่ใจว่าคุณบันทึกการกำหนดค่าไฟร์วอลล์ปัจจุบันของคุณ ซึ่งจะช่วยให้คุณสามารถกู้คืนการตั้งค่าได้หากจำเป็น
ขั้นตอนในการบันทึกการกำหนดค่าไฟร์วอลล์และเรียกคืนการตั้งค่าเริ่มต้นมีอธิบายไว้ด้านล่าง
หากต้องการบันทึกการกำหนดค่าไฟร์วอลล์ปัจจุบัน ให้ทำดังต่อไปนี้:
ในพริบตา ไฟร์วอลล์ Windows พร้อมความปลอดภัยขั้นสูงคลิกที่ลิงค์ นโยบายการส่งออกภายในขอบเขตของคอนโซล
ในการคืนค่าการตั้งค่าไฟร์วอลล์เริ่มต้น ให้ทำดังต่อไปนี้:
ในพริบตา ไฟร์วอลล์ Windows พร้อมความปลอดภัยขั้นสูงคลิกที่ลิงค์ คืนค่าเริ่มต้นภายในขอบเขตของคอนโซล
เมื่อได้รับแจ้งจาก Windows Firewall with Advanced Security ให้คลิก ใช่เพื่อเรียกคืนค่าเริ่มต้น
บทสรุป
มีหลายวิธีในการวินิจฉัยและแก้ไขปัญหาเกี่ยวกับ Windows Firewall ที่มี Advanced Security ในหมู่พวกเขา:
การใช้งานฟังก์ชั่น การสังเกตเพื่อดูกิจกรรมไฟร์วอลล์ กฎความปลอดภัยในการเชื่อมต่อ และการเชื่อมโยงความปลอดภัย
วิเคราะห์เหตุการณ์การตรวจสอบความปลอดภัยที่เกี่ยวข้องกับ Windows Firewall
การสร้างไฟล์ข้อความ รายการงานและ เน็ตสแตทเพื่อการวิเคราะห์เปรียบเทียบ
เริ่มต้นด้วย Server 2008 และ Vista กลไก WFP ถูกสร้างขึ้นใน Windows
ซึ่งเป็นชุดของ API และบริการระบบ มันเป็นไปได้ด้วย
ปฏิเสธและอนุญาตการเชื่อมต่อ จัดการแพ็คเกจแต่ละรายการ เหล่านี้
นวัตกรรมมีจุดมุ่งหมายเพื่อทำให้ชีวิตของนักพัฒนาต่างๆ ง่ายขึ้น
การป้องกัน การเปลี่ยนแปลงที่เกิดขึ้นกับสถาปัตยกรรมเครือข่ายส่งผลกระทบต่อทั้งโหมดเคอร์เนลและ
และส่วนโหมดผู้ใช้ของระบบ ในกรณีแรก ฟังก์ชันที่จำเป็นจะถูกส่งออก
fwpkclnt.sys ในวินาที - fwpuclnt.dll (ตัวอักษร "k" และ "u" ในชื่อไลบรารี
หมายถึงเคอร์เนลและผู้ใช้ตามลำดับ) ในบทความนี้จะกล่าวถึงการใช้งาน
WFP สำหรับการสกัดกั้นและกรองทราฟฟิก และหลังจากทำความคุ้นเคยกับพื้นฐานแล้ว
ด้วยคำจำกัดความและความสามารถของ WFP เราจะเขียนตัวกรองอย่างง่ายของเราเอง
แนวคิดพื้นฐาน
ก่อนที่เราจะเริ่มเขียนโค้ด เราจำเป็นต้องทำความคุ้นเคยกับคำศัพท์เสียก่อน
Microsoft - และเพื่อทำความเข้าใจบทความจะเป็นประโยชน์และเอกสารเพิ่มเติม
มันจะอ่านง่ายขึ้น :) งั้นไปกัน.
การจัดหมวดหมู่- ขั้นตอนการพิจารณาว่าจะทำอย่างไรกับบรรจุภัณฑ์
จากการดำเนินการที่เป็นไปได้: อนุญาต บล็อก หรือโทรแจ้ง
คำบรรยายภาพเป็นชุดฟังก์ชันในไดรเวอร์ที่ทำการตรวจสอบ
แพ็คเกจ พวกเขามีฟังก์ชั่นพิเศษที่ทำการจำแนกแพ็กเก็ต นี้
ฟังก์ชันสามารถตัดสินใจได้ดังต่อไปนี้:
- อนุญาต (FWP_ACTION_PERMIT);
- บล็อก (FWP_ACTION_BLOCK);
- ดำเนินการต่อ;
- ขอข้อมูลเพิ่มเติม
- ยุติการเชื่อมต่อ
ตัวกรอง- กฎที่ระบุว่าเมื่อใดควรโทร
นี่หรือข้อความเสริมนั้น ไดรเวอร์หนึ่งตัวสามารถมีคำบรรยายได้หลายรายการ และ
เราจะจัดการกับการพัฒนาโปรแกรมควบคุมคำบรรยายในบทความนี้ โดยวิธีการสี
นอกจากนี้ยังมีในตัวเช่น NAT-callout
ชั้นเป็นคุณลักษณะที่รวมตัวกรองต่างๆ เข้าด้วยกัน (หรือ
ตามที่พวกเขาพูดใน MSDN "คอนเทนเนอร์")
ความจริงแล้วเอกสารจาก Microsoft ดูค่อนข้างคลุมเครือ
คุณไม่สามารถดูตัวอย่างใน WDK ได้ ดังนั้นหากคุณตัดสินใจที่จะพัฒนาบางสิ่งอย่างกระทันหัน
อย่างจริงจังคุณควรตรวจสอบพวกเขาอย่างแน่นอน ตอนนี้ก็ราบรื่นดี
เรามาฝึกกันต่อ สำหรับการคอมไพล์และการทดสอบที่ประสบความสำเร็จ คุณจะต้องใช้ WDK (Windows
ชุดไดรเวอร์), VmWare, เครื่องเสมือนเมื่อติดตั้ง Vista และดีบักเกอร์ WinDbg
สำหรับ WDK ฉันติดตั้งเวอร์ชัน 7600.16385.0 เป็นการส่วนตัว - ทุกอย่างอยู่ที่นั่น
libs ที่จำเป็น (เนื่องจากเราจะพัฒนาไดรเวอร์ เราจึงต้องการเพียง
fwpkclnt.lib และ ntoskrnl.lib) และตัวอย่าง WFP เชื่อมโยงไปยังทั้งหมด
เครื่องมือได้รับการอ้างถึงหลายครั้งแล้ว ดังนั้นเราจะไม่พูดซ้ำ
การเข้ารหัส
ในการเริ่มต้นคำบรรยาย ฉันเขียนฟังก์ชัน BlInitialize อัลกอริทึมทั่วไป
การสร้างข้อความเสริมและเพิ่มตัวกรองเป็นดังนี้:
- FWPMENGINEOPEN0ดำเนินการเปิดเซสชัน
- FWPMธุรกรรมเริ่มต้น0- เริ่มดำเนินการกับ WFP
- FWPSCALLOUTREGISTER0- การสร้างคำบรรยายภาพใหม่
- FWPMCALLOUTADD0- การเพิ่มวัตถุคำบรรยายให้กับระบบ
- FWPMFILTERADD0- เพิ่มตัวกรองใหม่
- FWPMTRANSACTIONCOMMIT0- บันทึกการเปลี่ยนแปลง (เพิ่ม
ตัวกรอง)
โปรดทราบว่าฟังก์ชันจะลงท้ายด้วย 0 ใน Windows 7 ฟังก์ชันเหล่านี้บางส่วน
มีการเปลี่ยนแปลงฟังก์ชัน เช่น FwpsCalloutRegister1 ปรากฏขึ้น (เมื่อ
บันทึก FwpsCalloutRegister0) พวกเขาขัดแย้งกันในข้อโต้แย้งและเป็นผลให้
ต้นแบบของฟังก์ชันการจำแนกประเภท แต่สำหรับเรา มันไม่สำคัญแล้ว - 0-ฟังก์ชัน
สากล.
FwpmEngineOpen0 และ FwpmTransactionBegin0 ไม่ได้สนใจเราเป็นพิเศษ - สิ่งเหล่านี้คือ
ขั้นตอนการเตรียมการ ความสนุกเริ่มที่ฟังก์ชั่น
FwpsCalloutRegister0:
FwpsCalloutRegister0 ต้นแบบ
NTSTATUS NTAPI FwpsCalloutRegister0
__inout เป็นโมฆะ *deviceObject,
__ ใน const FWPS_CALLOUT0 *คำบรรยาย
__out_opt UINT32 *calloutId
);
ฉันพูดไปแล้วว่าคำบรรยายเป็นชุดของฟังก์ชัน ถึงเวลาแล้ว
พูดคุยเกี่ยวกับรายละเอียดเพิ่มเติม โครงสร้าง FWPS_CALLOUT0 มีพอยน์เตอร์ถึงสามตัว
ฟังก์ชั่น - การจำแนกประเภท (classifyFn) และการแจ้งเตือนสองครั้ง (เกี่ยวกับ
เพิ่ม/ลบตัวกรอง (notifyFn) และปิดสตรีมที่กำลังประมวลผล (flowDeleteFn))
สองฟังก์ชันแรกเป็นฟังก์ชันบังคับ ส่วนฟังก์ชันสุดท้ายจำเป็นต่อเมื่อเท่านั้น
คุณต้องการตรวจสอบแพ็กเก็ตด้วยตัวเอง ไม่ใช่แค่การเชื่อมต่อ ในโครงสร้างอีกด้วย
มีตัวระบุเฉพาะ คำบรรยายภาพ GUID (calloutKey)
รหัสการลงทะเบียนการโทร
FWPS_CALLOUT sCallout = (0);
sCallout.calloutKey = *calloutKey;
sCallout.classifyFn = BlClassify;
// ฟังก์ชั่นการจำแนกประเภท
sCallout.notifyFn = (FWPS_CALLOUT_NOTIFY_FN0)BlNotify;
// ฟังก์ชั่นแจ้งเตือนเกี่ยวกับการเพิ่ม / ลบตัวกรอง
// สร้างข้อความเสริมใหม่
สถานะ = FwpsCalloutRegister (deviceObject, &sCallout, calloutId);
WINAPI DWORD FwpmCalloutAdd0(
__ ในเครื่องยนต์จับแฮนเดิล
__ ใน const FWPM_CALLOUT0 *คำบรรยาย
__in_opt PSECURITY_DESCRIPTOR sd
__out_opt UINT32 *รหัส
);
typedef โครงสร้าง FWPM_CALLOUT0_(
calloutKey GUID;
FWPM_DISPLAY_DATA0 แสดงข้อมูล; // คำอธิบายคำบรรยาย
แฟล็ก UINT32;
GUID *providerKey;
FWP_BYTE_BLOB ผู้ให้บริการข้อมูล;
ใช้เลเยอร์ GUID;
UINT32 calloutId;
) FWPM_CALLOUT0;
ในโครงสร้าง FWPM_CALLOUT0 เราสนใจฟิลด์ชั้นที่เกี่ยวข้อง - ไม่ซ้ำกัน
ตัวระบุระดับที่จะเพิ่มคำบรรยายภาพ ในกรณีของเรานี้
FWPM_LAYER_ALE_AUTH_CONNECT_V4. "v4" ในชื่อตัวระบุหมายถึงเวอร์ชัน
โปรโตคอล Ipv4 นอกจากนี้ยังมี FWPM_LAYER_ALE_AUTH_CONNECT_V6 สำหรับ Ipv6 กำลังพิจารณา
ความชุกต่ำของ Ipv6 ในขณะนี้ เราจะทำงานด้วยเท่านั้น
ไอพีวี4. CONNECT ในชื่อหมายความว่าเราเป็นผู้ควบคุมการติดตั้งเท่านั้น
การเชื่อมต่อไม่มีคำถามเกี่ยวกับแพ็กเก็ตขาเข้าและขาออกไปยังที่อยู่นี้! เลย
มีหลายระดับนอกเหนือจากที่เราใช้ - มีการประกาศไว้ในไฟล์ส่วนหัว
fwpmk.h จาก WDK
การเพิ่มอ็อบเจกต์การเรียกเข้าในระบบ
// ชื่อเรียก
displayData.name = L"Blocker Callout";
displayData.description = L"บล็อกเกอร์การเรียก";
mCallout.calloutKey = *calloutKey;
mCallout.displayData = displayData;
// คำอธิบายคำบรรยาย
//FWPM_LAYER_ALE_AUTH_CONNECT_V4
mCallout.applicableLayer = *layerKey;
สถานะ = FwpmCalloutAdd (gEngineHandle, &mCallout, NULL, NULL);
ดังนั้น หลังจากเพิ่มการเรียกเข้าในระบบสำเร็จแล้ว คุณต้องสร้าง
กรอง นั่นคือระบุว่ากรณีใดที่จะเรียกการเรียกของเรากล่าวคือ
- ฟังก์ชั่นการจำแนกประเภท ตัวกรองใหม่ถูกสร้างขึ้นโดยฟังก์ชัน FwpmFilterAdd0
ซึ่งโครงสร้าง FWPM_FILTER0 ถูกส่งผ่านเป็นอาร์กิวเมนต์
FWPM_FILTER0 มีอย่างน้อยหนึ่งโครงสร้าง FWPM_FILTER_CONDITION0 (ของพวกเขา
จำนวนถูกกำหนดโดยฟิลด์ numFilterConditions) ช่อง LayerKey เต็มไปด้วย GUID
เลเยอร์ (เลเยอร์) ที่เราต้องการเข้าร่วม ในกรณีนี้ เราระบุ
FWPM_LAYER_ALE_AUTH_CONNECT_V4.
ทีนี้มาดูการกรอก FWPM_FILTER_CONDITION0 ให้ละเอียดยิ่งขึ้น ประการแรกใน
ต้องระบุฟิลด์ fieldKey อย่างชัดเจนว่าเราต้องการควบคุมอะไร - พอร์ต, ที่อยู่,
ใบสมัครหรืออย่างอื่น ในกรณีนี้ WPM_CONDITION_IP_REMOTE_ADDRESS
บอกระบบว่าเราสนใจที่อยู่ IP ค่า fieldKey เป็นตัวกำหนด
ค่าประเภทใดที่จะอยู่ในโครงสร้าง FWP_CONDITION_VALUE ที่รวมอยู่ใน
FWPM_FILTER_CONDITION0. ในกรณีนี้ จะมีที่อยู่ ipv4 ไปกันเถอะ
ไกลออกไป. ช่อง matchType จะกำหนดวิธีการเปรียบเทียบ
ค่าใน FWP_CONDITION_VALUE กับสิ่งที่เกิดขึ้นบนเครือข่าย มีตัวเลือกมากมายที่นี่:
คุณสามารถระบุ FWP_MATCH_EQUAL ซึ่งจะหมายถึงการจับคู่แบบเต็มกับเงื่อนไข และ
คุณสามารถ - FWP_MATCH_NOT_EQUAL อันที่จริง เราสามารถเพิ่มสิ่งนี้ได้
ดังนั้นการกรองข้อยกเว้น (ที่อยู่การเชื่อมต่อที่ไม่ถูกติดตาม)
นอกจากนี้ยังมีตัวเลือก FWP_MATCH_GREATER, FWP_MATCH_LESS และอื่นๆ (ดู enum
FWP_MATCH_TYPE) ในกรณีนี้ เรามี FWP_MATCH_EQUAL
ฉันไม่ได้สนใจอะไรมาก แค่เขียนเงื่อนไขการบล็อก
หนึ่งที่อยู่ IP ที่เลือก ในกรณีที่บางแอปพลิเคชันพยายาม
สร้างการเชื่อมต่อกับที่อยู่ที่เลือก ลักษณนามจะถูกเรียก
ฟังก์ชั่นการโทรของเรา รหัสสรุปสิ่งที่ได้กล่าวสามารถดูได้ที่
ดูแถบด้านข้าง "การเพิ่มตัวกรองในระบบ"
การเพิ่มตัวกรองลงในระบบ
filter.flags = FWPM_FILTER_FLAG_NONE;
filter.layerKey = *เลเยอร์คีย์;
filter.displayData.name = L"บล็อกเกอร์คำบรรยาย";
filter.displayData.description = L"บล็อคข้อความเสริม";
filter.action.type = FWP_ACTION_CALLOUT_UNKNOWN;
filter.action.calloutKey = *calloutKey;
filter.filterCondition = เงื่อนไขตัวกรอง;
// หนึ่งเงื่อนไขการกรอง
filter.numFilterConditions = 1;
//filter.subLayerKey = FWPM_SUBLAYER_UNIVERSAL;
filter.weight.type = FWP_EMPTY; // น้ำหนักอัตโนมัติ
// เพิ่มตัวกรองไปยังที่อยู่ระยะไกล
filterConditions.fieldKey = FWPM_CONDITION_IP_REMOTE_ADDRESS;
filterConditions.matchType = FWP_MATCH_EQUAL;
filterConditions.conditionValue.type = FWP_UINT32;
filterConditions.conditionValue.uint32 = ntohl(BLOCKED_IP_ADDRESS);
// เพิ่มตัวกรอง
สถานะ = FwpmFilterAdd (gEngineHandle, &ตัวกรอง, NULL, NULL);
โดยทั่วไปแล้ว อาจมีเงื่อนไขการกรองมากมาย ตัวอย่างเช่น คุณสามารถ
ระบุการปิดกั้นการเชื่อมต่อกับพอร์ตระยะไกลหรือพอร์ตเฉพาะ (FWPM_CONDITION_IP_REMOTE_PORT
และ FWPM_CONDITION_IP_LOCAL_PORT ตามลำดับ) สามารถจับได้ทุกแพ็คเกจ
โปรโตคอลเฉพาะหรือแอปพลิเคชันเฉพาะ และนั่นไม่ใช่ทั้งหมด! สามารถ,
ตัวอย่างเช่น บล็อกการรับส่งข้อมูลของผู้ใช้เฉพาะราย โดยทั่วไปมีที่ไหน
เที่ยวเตร่
อย่างไรก็ตาม กลับไปที่ตัวกรอง ฟังก์ชันการจำแนกประเภทในกรณีของเรานั้นเรียบง่าย
บล็อกการเชื่อมต่อกับที่อยู่ที่ระบุ (BLOCKED_IP_ADDRESS) ย้อนกลับ
FWP_ACTION_BLOCK:
รหัสฟังก์ชันจำแนกประเภทของเรา
เป็นโมฆะ BlClassify (
const FWPS_INCOMING_VALUES* inFixedValues
Const FWPS_INCOMING_METADATA_VALUES* ใน MetaValues
แพ็คเก็ต VOID*, IN const FWPS_FILTER* ตัวกรอง
UINT64 flowContext,FWPS_CLASSIFY_OUT* classifyOut)
{
// กรอกโครงสร้าง FWPS_CLASSIFY_OUT0
ถ้า (classifyOut) ( // บล็อกแพ็คเกจ
classifyOut->actionType =
FWP_ACTION_BLOCK;
// เมื่อบล็อกแพ็คเกจ คุณต้องใช้
รีเซ็ต FWPS_RIGHT_ACTION_WRITE
classifyOut->สิทธิ์&=~FWPS_RIGHT_ACTION_WRITE;
}
}
ในทางปฏิบัติ ฟังก์ชันการจำแนกประเภทอาจตั้งค่า FWP_ACTION_PERMIT
FWP_ACTION_CONTINUE เป็นต้น
และสุดท้าย เมื่อทำการยกเลิกการโหลดไดรเวอร์ คุณต้องลบการติดตั้งทั้งหมดออก
คำบรรยาย (เดาว่าจะเกิดอะไรขึ้นหากระบบพยายามโทรออก
ยกเลิกการโหลดไดรเวอร์? ถูกต้อง BSOD) มีฟังก์ชั่นสำหรับสิ่งนี้
FwpsCalloutUnregisterById. มันถูกส่งผ่านพารามิเตอร์ 32 บิตเป็นพารามิเตอร์
ตัวระบุคำบรรยายที่ส่งคืนโดยฟังก์ชัน FwpsCalloutRegister
เสร็จสิ้นการเรียก
NTSTATUS BlUninitialize()(
NTSTATUS ns;
ถ้า(gEngineHandle)(
FwpmEngineปิด (gEngineHandle);
}
ถ้า (gBlCalloutIdV4) (
ns = FwpsCalloutUnregisterById(gBlCalloutIdV4);
}
กลับ ns;
}
อย่างที่คุณเห็น การตั้งโปรแกรมตัวกรอง WFP นั้นไม่ใช่เรื่องยากเพราะ
MS ให้ API ที่มีประโยชน์มากแก่เรา ในกรณีของเราเราตั้งค่า
กรองในไดรเวอร์ แต่ก็สามารถทำได้จาก usermod! ตัวอย่างเช่น ตัวอย่างจาก wdk
msnmntr (ตัวตรวจสอบการรับส่งข้อมูล MSN Messenger) ทำเช่นนั้น - ช่วยให้คุณทำไม่ได้
โอเวอร์โหลดส่วนโหมดเคอร์เนลของตัวกรอง
GUID ของคุณ
ในการลงทะเบียนข้อความเสริมนั้นจำเป็นต้องมีตัวระบุเฉพาะ เพื่อที่จะ
รับ GUID ของคุณ (Globally Unique Identifier) โดยใช้ guidgen.exe รวมอยู่ด้วย
วี วิชวลสตูดิโอ. เครื่องมือนี้อยู่ใน (VS_Path)\Common7\Tools ความน่าจะเป็นของการชนกัน
มีขนาดเล็กมากเนื่องจาก GUID มีความยาว 128 บิต และมี 2^128 พร้อมใช้งาน
ตัวระบุ
การดีบักตัวกรอง
สำหรับการดีบักฟืน คุณสามารถใช้ชุด Windbg + VmWare ได้อย่างสะดวก สำหรับสิ่งนี้คุณต้องการ
กำหนดค่าทั้งระบบเกสต์ (ในรูปแบบที่ Vista ทำหน้าที่) และดีบักเกอร์
วินด์บี หาก WinXP ต้องแก้ไข boot.ini สำหรับการดีบักระยะไกล
สำหรับ Vista+ มียูทิลิตี้คอนโซล bcdedit ตามปกติ คุณต้องเปิดใช้งานการดีบัก:
BCDedit /dbgsettings SERIAL DEBUGPORT:1 BAUDRATE:115200 BCDedit /debug
เปิด (หรือ BCDedit /set debug ON)
ตอนนี้ทุกอย่างพร้อมแล้ว! เราเปิดแบตช์ไฟล์พร้อมข้อความต่อไปนี้:
เริ่ม windbg -b -k com:pipe,port=\\.\pipe\com_1,resets=0
และดูผลลัพธ์การดีบักในหน้าต่าง windbg (ดูรูป)
บทสรุป
อย่างที่คุณเห็น ขอบเขตของ WFP นั้นค่อนข้างกว้าง คุณตัดสินใจอย่างไร
ใช้ความรู้นี้ - เพื่อความชั่วหรือความดี 🙂
กำลังโหลด...