Làm thế nào để biết quy tắc tường lửa windows nào đang chặn lưu lượng

16

Tôi đang cố gắng thiết lập một máy tính để chấp nhận tất cả lưu lượng truy cập đến nhưng chỉ cho phép lưu lượng đi đến một IP cụ thể. Tôi đã đặt quy tắc cho phép tất cả cho Đến và quy tắc Cho phép chỉ định địa chỉ IP là địa chỉ Gửi đi được chấp nhận duy nhất. Tôi cũng đã thiết lập một quy tắc từ chối tất cả Quy tắc gửi đi, giả sử rằng quy tắc khác sẽ được ưu tiên.

Vấn đề tôi gặp phải là tất cả lưu lượng truy cập đang bị chặn, ngay cả lưu lượng truy cập đến IP mà tôi đã chỉ định là được phép.

Tôi đang tìm cách để theo dõi lưu lượng truy cập thông qua tường lửa và xem chính xác quy tắc nào đang chặn lưu lượng. Nhật ký được tạo bởi giám sát tường lửa cho tôi biết rằng lưu lượng đã bị hủy nhưng không phải quy tắc nào đã chặn nó.

windows  networking  firewall 
Josh
nguồn
Tôi cũng thường muốn làm điều này, nhưng có vẻ như tường lửa Windows tích hợp không có nhiều thứ để cung cấp về vấn đề này. Tôi muốn biết nếu bạn tìm một giải pháp để ghi nhật ký chi tiết hơn.
David Woodward
Tường lửa Windows thực sự là để bảo vệ PC của bạn khỏi mạng chứ không phải mạng từ PC. Mạng nên có tường lửa riêng để bảo vệ nó.
Ron Maupin

Câu trả lời:

20

(Lưu ý: điều này áp dụng cho Windows 7 và có thể hoặc không thể hoạt động với các phiên bản mới hơn.)

Các bước sau sẽ dẫn bạn đến quy tắc chặn kết nối của bạn:

  • Mở bảng điều khiển Windows (có quyền Quản trị) để nhập lệnh
  • Cho phép kiểm toán cho Nền tảng lọc Windows (WFP):
    • chạy lệnh:
      auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:enable /failure:enable
    • chạy lệnh:
      auditpol /set /subcategory:"Filtering Platform Connection" /success:enable /failure:enable
  • (Điều này có thể khiến bạn chìm đắm trong dữ liệu Nhật ký sự kiện - chỉ cho phép kiểm tra lỗi và có thể chỉ các lỗi kết nối sẽ làm giảm số lượng mục nhật ký. Hãy chọn lọc những gì bạn thực sự cần)
  • Tái bản vấn đề
  • Chạy lệnh: netsh wfp show state(điều này tạo ra một tệp XML trong thư mục hiện tại)
  • Mở trình xem sự kiện: Chạy ( Windows+ R)>eventvwr.msc
    • đi tới "Nhật ký Windows"> "Bảo mật"
    • trong danh sách, xác định nhật ký gói rơi (gợi ý: sử dụng tính năng Tìm kiếm trên menu bên phải, tìm kiếm các mục (IP nguồn, cổng đích, v.v.) cụ thể cho vấn đề của bạn)
    • trong chi tiết nhật ký, cuộn xuống và lưu ý ID bộ lọc được sử dụng để chặn gói
  • Mở tệp XML đã tạo:
    • tìm kiếm bộ lọcID được ghi chú và kiểm tra tên quy tắc (phần tử "displayData> name" trên nút XML tương ứng)

Điều này sẽ cung cấp cho bạn một khởi đầu tốt để tìm quy tắc chặn.

Khi bạn hoàn thành, đừng quên tắt kiểm toán:

  • chạy lệnh:
    auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:disable /failure:disable
  • chạy lệnh:
    auditpol /set /subcategory:"Filtering Platform Connection" /success:disable /failure:disable

Lưu ý: tùy thuộc vào cài đặt ngôn ngữ Windows của bạn, dịch vụ kiểm toán có thể sử dụng các tên không phải tiếng Anh khác nhau. Để tìm tên danh mục con, hãy chạy lệnh: auditpol /get /category:*và tìm các danh mục con tương ứng với "Lọc thả gói nền tảng" và "Lọc kết nối nền tảng" trong ngôn ngữ hệ thống.

Bob
nguồn
1
Điều này sẽ không đưa bạn đến đâu nếu bạn đã bật tính năng lọc ngoài trong Windows Firewall, bởi vì sau đó, tất cả các chương trình không có quy tắc cho phép rõ ràng sẽ bị chặn theo mặc định. Vì vậy, chương trình của bạn có thể không bị chặn bởi một quy tắc tường lửa nào cả.
Alexandru Dicu
2
Điều này đã làm việc với Windows Server 2012 R2.
AresAvatar
Trong trường hợp của tôi, DisplayData-name nói Default Outbound, vì vậy ít nhất tôi chắc chắn quy tắc cho phép của tôi bị bỏ qua, do đó, đó là một lỗi là tường lửa của Microsoft.
metottaster
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.