Hangi Windows güvenlik duvarı kuralının trafiği engellediğini nasıl anlarım?

16

Tüm gelen trafiği kabul etmek için bir bilgisayar kurmaya çalışıyorum ama sadece belirli bir IP'ye giden trafiğe izin veriyorum. Gelen için bir izin tüm kuralı ve yalnızca kabul edilebilir Giden adres olarak bir IP adresi belirten bir İzin Ver kuralı belirledim. Ayrıca, diğer kuralın öncelikli olacağı varsayılarak, tüm Giden kuralını reddetme ayarladım.

Sahip olduğum sorun, tüm trafiğin engelleniyor olması, hatta trafiğin izin verildiği belirtilen IP'ye gitmesidir.

Güvenlik duvarı üzerinden trafiği izlemek ve tam olarak hangi kuralın trafiği engellediğini görmek için bir yol arıyorum. Güvenlik duvarı izlemesi tarafından oluşturulan günlük bana trafiğin düştüğünü, ancak hangi kuralın onu engellediğini söylüyor.

windows  networking  firewall 
alay etmek
kaynak
Bunu da sık sık yapmak istedim, ancak yerleşik Windows güvenlik duvarının bu konuda sunacak çok şeyi yok gibi görünüyor. Daha ayrıntılı günlük kaydı almak için bir çözüm bulup bulamayacağınızı bilmek isterim.
David Woodward
Windows güvenlik duvarı, PC'nizdeki ağı değil, bilgisayarınızı ağdan korumak içindir. Ağın onu korumak için kendi güvenlik duvarı olmalıdır.
Ron Maupin

Yanıtlar:

20

(Not: bu Windows 7 için geçerlidir ve daha yeni sürümlerle çalışabilir veya çalışmayabilir.)

Aşağıdaki adımlar sizi bağlantınızı engelleyen kurala götürecektir:

  • Komut girmek için bir Windows konsolu açın (Yönetim haklarıyla birlikte)
  • Windows Filtreleme Platformu (WFP) için denetimi etkinleştirin:
    • komutu çalıştır:
      auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:enable /failure:enable
    • komutu çalıştır:
      auditpol /set /subcategory:"Filtering Platform Connection" /success:enable /failure:enable
  • (Bu, Olay Günlüğü verilerinde boğulmaya neden olabilir - yalnızca hata denetimlerini etkinleştirir ve muhtemelen yalnızca bağlantı hataları günlük girdilerinin sayısını azaltır. Gerçekten ihtiyacınız olan şey hakkında seçici olun)
  • Sorunu yeniden oluşturun
  • Komutu çalıştır: netsh wfp show state(bu, geçerli klasörde bir XML dosyası oluşturur)
  • Olay görüntüleyiciyi açın: Çalıştır ( Windows+ R)>eventvwr.msc
    • "Windows günlükleri"> "Güvenlik" e gidin
    • listede, bırakılan paket günlüğünü belirleyin (ipucu: sağ menüdeki Ara özelliğini kullanın, sorununuza özgü öğeleri arayın (kaynak IP'si, hedef bağlantı noktası vb.))
    • günlük ayrıntılarında aşağı kaydırın ve paketi engellemek için kullanılan filtre kimliğini not edin
  • Oluşturulan XML dosyasını açın:
    • belirtilen filterID'yi arayın ve kural adını kontrol edin (ilgili XML düğümündeki "displayData> name" öğesi)

Bu size engelleme kuralını bulmanız için iyi bir başlangıç ​​sağlayacaktır.

İşiniz bittiğinde, denetimi kapatmayı unutmayın:

  • komutu çalıştır:
    auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:disable /failure:disable
  • komutu çalıştır:
    auditpol /set /subcategory:"Filtering Platform Connection" /success:disable /failure:disable

Not: Windows dil ayarınıza bağlı olarak, denetim hizmeti İngilizce olmayan farklı adlar kullanabilir. Alt kategori adlarını bulmak için command: komutunu çalıştırın auditpol /get /category:*ve sistem dilinde "Platform Paket Bırakma Filtreleme" ve "Platform Bağlantısı Filtreleme" ifadelerine karşılık gelen alt kategorileri bulun.

şilin
kaynak
1
Windows Güvenlik Duvarı'nda giden filtrelemeyi etkinleştirdiyseniz, bu sizi hiçbir yere götürmez, çünkü o zaman açık bir izin kuralı olmayan tüm programlar varsayılan olarak engellenir. Bu nedenle, programınız bir güvenlik duvarı kuralı tarafından engellenmeyebilir.
Alexandru Dicu
2
Bu, Windows Server 2012 R2 ile çalıştı.
AresAvatar
Benim durumumda DisplayData-adı söylüyor Default Outbound, bu yüzden en azından eminim izin kuralım yok sayılır, bu yüzden bir hata Microsoft güvenlik duvarı.
metablaster
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.