خانه - راه اندازی روتر
پلت فرم فیلتر ویندوز امکان اتصال را فراهم کرد. فایروال ویندوز با امنیت پیشرفته - تشخیص و عیب یابی

دیواره آتش(فایروال یا فایروال) ویندوز باعث احترام نمی شود. کمی از XP به Vista تغییر کرده است، کار ساده خود را به خوبی انجام می دهد، اما جاه طلبی برای بهترین فایروال شخصی را ندارد. با این حال، با وجود این واقعیت که فایروال ویندوز 7 چندین ویژگی جدید دریافت کرد، هنوز آن چیزی که انتظار داشتم در آن ببینم را دریافت نکرد.

معاشرت با Homegroup

در حین نصب ویندوز 7 ایجاد یک "گروه خانگی" را پیشنهاد می کند. از آنجایی که سایر رایانه های ویندوز 7 در شبکه کشف می شوند، از آنها نیز دعوت می شود تا به گروه بپیوندند. و تنها چیزی که آنها برای این کار نیاز دارند یک رمز عبور برای آن است. با این حال، با داشتن یک رایانه با ویندوز 7، من روند ورود به گروهی از رایانه‌های دیگر را ندیدم، اگرچه اعلان در این مورد آسیبی نخواهد داشت. با این حال، در حالی که هر رایانه ای که ویندوز 7 دارد می تواند به یک گروه خانگی بپیوندد، رایانه هایی که از Windows 7 Home Basic و Windows 7 Starter استفاده می کنند نمی توانند یکی ایجاد کنند.

رایانه‌های موجود در همان گروه خانگی می‌توانند چاپگرها و کتابخانه‌های فایل خاصی را به اشتراک بگذارند (یا، همانطور که می‌گویند، «اشتراک بگذارند»). به‌طور پیش‌فرض، کتابخانه‌های تصاویر، موسیقی، ویدیوها و اسناد به اشتراک گذاشته می‌شوند، اما کاربر می‌تواند بنا به صلاحدید خود آنها را محدود کند. راهنما در سیستم عامل توضیحات واضحی در مورد نحوه حذف یک فایل یا پوشه از اشتراک گذاری، یا نحوه تبدیل آن فقط خواندنی، یا نحوه محدود کردن دسترسی به آن ارائه می دهد.

در او شبکه خانگیکاربر می‌تواند محتوای خود را با رایانه‌ها و دستگاه‌های دیگر و حتی رایانه‌هایی که از ویندوز 7 استفاده نمی‌کنند و حتی برای رایانه‌های غیر رایانه‌ای به اشتراک بگذارد. به طور خاص، مایکروسافت نمونه هایی از نحوه اشتراک گذاری محتوا در Xbox 360 را نشان داد. با این حال، این شرکت اتصال Wii را به شبکه ارائه نمی دهد. متأسفانه، این شرکت Wii را به عنوان یک دستگاه رسانه استریم صلاحیت نکرد.

بنابراین، شبکه خانگی شما در ویندوز 7 چقدر امن تر است؟ به طور معمول، کاربرانی که موفق به اشتراک گذاری فایل ها و پوشه ها نمی شوند شروع به غیرفعال کردن همه چیز در اطراف خود می کنند، از جمله دیوار فایل، آنتی ویروس و غیره، که به نظر آنها ممکن است در این فرآیند اختلال ایجاد کند. در عین حال، اگر اشتراک‌گذاری را ساده کنید، می‌توانید از خاموش کردن همه چیز در اطراف خود جلوگیری کنید.

اگر ویستا شبکه ها را به عمومی (Public) و خصوصی (Private) تقسیم کند، ویندوز 7 شبکه خصوصی را به خانه (خانه) و محل کار (Work) تقسیم می کند. گروه خانگی(HomeGroup) فقط هنگام انتخاب شبکه خانگی در دسترس است. با این حال، حتی در شبکه کاریرایانه شما همچنان می‌تواند دستگاه‌های دیگر را ببیند و به آن متصل شود. به نوبه خود، در یک شبکه عمومی (مانند شبکه بی سیم در یک کافی نت)، ویندوز 7 برای ایمنی شما، دسترسی شما به دستگاه های دیگر را مسدود می کند. این یک فرصت کوچک اما خوب است.

فایروال دو حالته

در Vista و XP، مدیریت فایروال به سادگی روشن و خاموش کردن آن است. در همین حال زمان ویندوز 7 تنظیمات پیکربندی مختلفی را برای شبکه های خصوصی (خانه و محل کار) و عمومی به کاربر ارائه می دهد. در عین حال، کاربر برای کار مثلاً در یک کافه محلی نیازی به وارد کردن تنظیمات فایروال ندارد. تنها کاری که او باید انجام دهد این است که یک شبکه عمومی را انتخاب کند و فایروال خود کل مجموعه پارامترهای محدود کننده را اعمال خواهد کرد. به احتمال زیاد، کاربران شبکه عمومی را برای مسدود کردن تمام اتصالات ورودی پیکربندی خواهند کرد. در ویستا، این کار بدون قطع تمام ترافیک ورودی در شبکه خود کاربر امکان پذیر نیست.

برخی از کاربران نمی دانند که چرا فایروال نیاز است. اگر UAC کار می کند، آیا فایروال زیاده روی نمی کند؟ در واقع، این برنامه ها اهداف کاملا متفاوتی دارند. UAC برنامه ها و عملکرد آنها را در سیستم محلی نظارت می کند. فایروال به دقت به داده های ورودی و خروجی نگاه می کند. اگر این دو برنامه را به‌عنوان دو قهرمان تصور کنید که پشت به هم ایستاده‌اند و حملات زامبی‌ها را دفع می‌کنند، شاید بتوان گفت، به سختی می‌توانید اشتباه کنید.

ابتدا کنجکاو شدم فرصت جدید«چه زمانی به من اطلاع بده دیوار آتش ویندوزبلوک ها برنامه جدید" آیا این نشانه آن است که فایروال ویندوز کنترل برنامه ها را به دست آورده و به یک فایروال دو طرفه واقعی تبدیل شده است؟ من میل به غیرفعال کردن این ویژگی را به خود مشغول کرد. و در نتیجه، فایروال ویندوز بیش از آنچه که داشت مورد احترام قرار نگرفت.

ده سال از زمانی که ZoneLabs فایروال شخصی دو طرفه را محبوب کرده است می گذرد. برنامه ZoneAlarm او تمام پورت های کامپیوتر را مخفی می کرد (که فایروال ویندوز می تواند انجام دهد) و همچنین به شما اجازه می داد دسترسی برنامه ها به اینترنت را کنترل کنید (کاری که فایروال ویندوز هنوز نمی تواند انجام دهد). من نیازی به نظارت هوشمند بر رفتار برنامه ندارم، مانند نورتون امنیت اینترنت 2010 و در بسته های دیگر. اما امیدوارم با انتشار ویندوز 8، مایکروسافت مجموعه ای از قابلیت های ZoneAlarm ده ساله را در فایروال خود معرفی کند.

مایکروسافت به خوبی می داند که بسیاری از کاربران فایروال ها و بسته های امنیتی شخص ثالث را نصب می کنند و به سادگی فایروال ویندوز را غیرفعال می کنند. در گذشته، بسیاری از برنامه های امنیتی شخص ثالث به طور خودکار فایروال ویندوز را غیرفعال می کردند تا از درگیری جلوگیری کنند. در ویندوز 7 خود مایکروسافت این کار را انجام داد. هنگام نصب یک فایروال شناخته شده، سیستم عامل فایروال داخلی خود را غیرفعال می کند و گزارش می دهد که "تنظیمات فایروال توسط فلان برنامه از فلان سازنده کنترل می شود."

چه از آن استفاده کنید یا نه، فایروال ویندوز در هر ویندوز 7 وجود دارد، با یکپارچگی کامل با سیستم عامل. بنابراین آیا بهتر نیست که برنامه های امنیتی شخص ثالث بتوانند از دیوار فایل ویندوز برای اهداف خود استفاده کنند؟ این ایده پشت یک رابط برنامه نویسی به نام پلت فرم فیلترینگ ویندوز است. اما آیا توسعه دهندگان از آن استفاده خواهند کرد؟ بیشتر در این مورد در قسمت بعدی.

امنیت ویندوز 7: پلتفرم فیلترینگ ویندوز

فایروال ها باید با ویندوز 7 در سطح بسیار پایینی کار کنند که برنامه نویسان مایکروسافت کاملا از آن متنفرند. برخی از فناوری‌های مایکروسافت مانند PatchGuard که در نسخه‌های 64 بیتی ویندوز 7 وجود دارد (ویندوز 7 64 بیتی مزایای امنیتی زیادی نسبت به ویندوز 7 32 بیتی دارد)، مهاجمان را مسدود می‌کند و همچنین هسته را از دسترسی به آن محافظت می‌کند. با این حال، مایکروسافت همان سطح امنیت برنامه های شخص ثالث را ارائه نمی دهد. خوب چه کار کنیم؟

راه حل این مشکل پلتفرم فیلترینگ ویندوز (WFP) است. به گفته مایکروسافت، دومی اجازه می دهد تا فایروال های شخص ثالث بر اساس کلید باشد قابلیت های ویندوزفایروال - به شما امکان می دهد قابلیت های سفارشی را به آنها اضافه کنید و به طور انتخابی بخش هایی از فایروال ویندوز را فعال و غیرفعال کنید. در نتیجه کاربر می تواند فایروالی را انتخاب کند که با فایروال ویندوز همزیستی داشته باشد.

اما واقعا چقدر برای توسعه دهندگان امنیت مفید است؟ آیا از آن استفاده خواهند کرد؟ از چند نفر پرسیدم و جواب های زیادی گرفتم.

BitDefender LLC

مدیر توسعه محصول Iulian Costache گفت که شرکت او در حال حاضر از این پلتفرم در ویندوز 7 استفاده می کند. با این حال، آنها با نشت حافظه قابل توجهی مواجه شده اند. این خطا در سمت مایکروسافت است که بزرگترین غول نرم افزاری قبلاً آن را تأیید کرده است. با این حال، جولیان نمی داند که چه زمانی حل خواهد شد. در ضمن موقتا تعویض شده اند راننده جدید WFP در TDI قدیمی.

Check Point Software Technologies Ltd

مدیر روابط عمومی Check Point Software Technologies Ltd میرکا جانوس گفت که شرکت او از زمان ویستا از WFP استفاده می کند. آنها همچنین از این پلت فرم تحت ویندوز 7 استفاده می کنند. این یک رابط خوب و پشتیبانی شده است، اما هر بدافزار یا درایور ناسازگار می تواند برای یک محصول امنیتی که به آن متکی است خطرناک باشد. ZoneAlarm همیشه بر دو لایه متکی بوده است - لایه اتصالات شبکهو سطح بسته. با شروع ویستا، مایکروسافت WFP را به عنوان یک روش پشتیبانی شده برای فیلتر کردن اتصالات شبکه ارائه کرد. با شروع ویندوز 7 SP1، مایکروسافت باید به WFP آموزش دهد تا فیلتر بسته را فعال کند.

استفاده از API های پشتیبانی شده به معنای بهبود ثبات و BSOD های کمتر است. بسیاری از درایورها را می توان ثبت کرد و هر توسعه دهنده درایور نگران سازگاری با دیگران نیست. اگر هر راننده ای، مثلاً مسدود شده باشد، هیچ راننده ثبت شده دیگری نمی تواند از آن مسدود شدن عبور کند. از سوی دیگر، یک درایور ناسازگار می‌تواند مشکل ساز شود و همه درایورهای ثبت شده دیگر را دور بزند. ما برای امنیت شبکه تنها به WFP متکی نیستیم.»

F-Secure Corporation

محقق ارشد F-Secure Corporation Mikko Hypponen گفت که WFP به دلایلی هرگز در میان توسعه دهندگان نرم افزار امنیتی محبوب نشد. در همان زمان، شرکت او برای مدت طولانی از WFP استفاده کرد و از آن راضی بود.

مک آفی، شرکت

به نوبه خود، معمار ارشد McAfee، احمد سالام، گفت که WFP یک رابط فیلتر شبکه قدرتمندتر و انعطاف پذیرتر از رابط قبلی مبتنی بر NDIS است. McAfee به طور فعال از WFP در محصولات امنیتی خود استفاده می کند.

در عین حال، علی‌رغم اینکه برنامه جهانی غذا دارای قابلیت‌های مثبتی است، مجرمان سایبری نیز می‌توانند از مزایای این پلتفرم استفاده کنند. این پلتفرم می تواند به بدافزار اجازه ورود به پشته شبکه سطح هسته ویندوز را بدهد. بنابراین، 64 بیتی درایورهای ویندوزسطح هسته باید دارای امضای دیجیتال باشد تا از بارگذاری هسته در آن محافظت کند بد افزار. با این حال، امضای دیجیتال در نسخه های 32 بیتی مورد نیاز نیست.

بله، از نظر تئوری، امضای دیجیتال یک مکانیسم امنیتی معقول است، اما در واقعیت، نویسندگان بدافزار هنوز هم می توانند آنها را برای خود به دست آورند.

امنیت پاندا

سخنگوی پاندا سکیوریتی، پدرو بوستامانت گفت که شرکت او بر پلتفرم WFP نظارت دارد اما در حال حاضر از آن استفاده نمی کند. این شرکت معایب اصلی WFP را اولاً ناتوانی در ایجاد فناوری می داند که تکنیک های مختلف را برای به حداکثر رساندن محافظت ترکیب کند. اگر شرکتی نتواند به بسته هایی که داخل و خارج از دستگاه می روند نگاه کند، فناوری بی فایده است. همچنین باید به عنوان یک حسگر برای سایر فناوری های امنیتی عمل کند. هیچ یک از این ویژگی ها توسط WFP ارائه نشده است. دوم اینکه WFP فقط توسط ویستا و سیستم عامل های جدیدتر پشتیبانی می شود. پلتفرم سازگار با عقب نیست. و سوم، WFP کاملاً است پلت فرم جدید، و این شرکت ترجیح می دهد به فناوری های قدیمی و اثبات شده تکیه کند.

شرکت سیمانتک

دن نادر، مدیر مدیریت محصولات مصرفی سیمانتک، گفت که WFP به دلیل تازگی نسبی هنوز در محصولات آنها استفاده نمی شود. با این حال، به مرور زمان این شرکت قصد دارد به آن مهاجرت کند، زیرا ... رابط های قدیمی که در حال حاضر به آنها تکیه می کنند، قادر به ارائه عملکرد کامل مورد نیاز خود نیستند. آنها برنامه جهانی غذا را پلت فرم خوبی می دانند زیرا... به طور خاص برای ارائه قابلیت همکاری بین انواع برنامه های شخص ثالث طراحی شده است. در اصل، پلتفرم باید در آینده مشکلات سازگاری کمتری داشته باشد. WFP همچنین عالی است زیرا با چارچوب تشخیصی شبکه مایکروسافت یکپارچه شده است. این بسیار مفید است زیرا ... جستجوی برنامه های خاصی را که مانعی برای آن هستند بسیار تسهیل می کند ترافیک شبکه. و در نهایت، WFP باید به بهبود عملکرد و ثبات سیستم عامل منجر شود زیرا... این پلتفرم از شبیه سازی و مشکلات ناشی از درگیری یا ثبات راننده جلوگیری می کند.

با این حال، از سوی دیگر، به گفته Nadir، WFP می‌تواند مشکلات خاصی را ایجاد کند که در هر ساختاری وجود دارد - توسعه‌دهندگان متکی به WFP نمی‌توانند آسیب‌پذیری‌ها را در خود WFP ببندند، و همچنین نمی‌توانند قابلیت‌های خاص ارائه شده توسط WFP را گسترش دهند. همچنین، اگر بسیاری از برنامه‌ها به WFP متکی باشند، سازندگان بدافزار از نظر تئوری می‌توانند سعی کنند به خود WFP حمله کنند.

Trend Micro Inc.

مدیر تحقیقات Trend Micro Inc. دیل لیائو گفت که بزرگترین مزیت این پلتفرم سازگاری آن با سیستم عامل است. همچنین، یک فایروال استاندارد اکنون کاربردی شده است. بنابراین اکنون آنها می توانند روی آنچه واقعا برای کاربر مهم است تمرکز کنند. نکته بد در مورد WFP این است که وقتی خطایی در پلتفرم کشف می شود، شرکت باید منتظر باشد تا توسط مایکروسافت برطرف شود.

WFP: نتیجه گیری

در نتیجه، بیشتر توسعه دهندگان امنیتی که من با آنها مصاحبه کردم قبلاً از WFP استفاده می کردند. درست است، برخی به موازات سایر فن آوری ها. آنها قابلیت همکاری، مانند مستندات و رسمی بودن پلت فرم، و همچنین ثبات درک شده از عملکرد آن را دوست دارند. از سوی دیگر، اگر همه توسعه دهندگان به WFP تکیه کنند، این پلتفرم به طور بالقوه می تواند به نقطه ضعفی برای همه تبدیل شود. و آنها باید برای رفع آن به مایکروسافت تکیه کنند. علاوه بر این، پلتفرم هنوز فیلتر سطح بسته را ارائه نمی دهد.

یکی دیگر از معایب بزرگ WFP این است که در ویندوز XP در دسترس نیست. بنابراین، توسعه دهندگانی که می خواهند از XP پشتیبانی کنند، باید دو پروژه موازی را اجرا کنند. با این حال، با خروج XP از بازار، من فکر می کنم WFP در بین توسعه دهندگان محبوب تر خواهد شد.

با شروع با سرور 2008 و ویستا، مکانیسم WFP در ویندوز ساخته شد.
که مجموعه ای از API ها و سرویس های سیستمی است. با کمک آن امکان پذیر شد
اتصالات را رد کرده و اجازه دهید، بسته های فردی را مدیریت کنید. اینها
نوآوری ها برای ساده کردن زندگی توسعه دهندگان مختلف در نظر گرفته شده است
حفاظت تغییرات ایجاد شده در معماری شبکه بر روی حالت هسته و
و بخش های حالت کاربر سیستم. در حالت اول، توابع لازم صادر می شوند
fwpkclnt.sys، در دوم - fwpuclnt.dll (حروف "k" و "u" در نام کتابخانه
مخفف کرنل و کاربر به ترتیب). در این مقاله در مورد برنامه کاربردی صحبت خواهیم کرد
WFP برای رهگیری و فیلتر کردن ترافیک و پس از آشنایی با اصول اولیه
با استفاده از تعاریف و قابلیت های WFP، فیلتر ساده خود را می نویسیم.

مفاهیم اساسی

قبل از شروع کدنویسی، کاملاً ضروری است که با اصطلاحات آن آشنا شویم
مایکروسافت - و ادبیات اضافی برای درک مقاله مفید خواهد بود
خوندنش راحت تر میشه :). پس بزن بریم.

طبقه بندی- فرآیند تعیین اینکه با یک بسته چه باید کرد.
اقدامات ممکن: اجازه، مسدود کردن یا فراخوانی.

فراخوان هامجموعه ای از توابع در درایور است که بازرسی را انجام می دهد
بسته ها آنها عملکرد ویژه ای دارند که طبقه بندی بسته ها را انجام می دهد. این
تابع می تواند موارد زیر را تعیین کند:

  • اجازه (FWP_ACTION_PERMIT)؛
  • بلوک (FWP_ACTION_BLOCK)؛
  • ادامه پردازش؛
  • درخواست داده های بیشتر؛
  • اتصال را خاتمه دهید

فیلترها- قوانینی که نشان می دهد در چه مواردی نامیده می شود
این یا آن فراخوان یک راننده می تواند چندین تماس داشته باشد، و
ما در این مقاله یک درایور با callout ایجاد خواهیم کرد. به هر حال، کولاوتاس
موارد داخلی نیز وجود دارد، به عنوان مثال، NAT-callout.

لایه- این نشانه ای است که توسط آن فیلترهای مختلف ترکیب می شوند (یا
همانطور که در MSDN می گویند "کانتینر").

برای گفتن حقیقت، مستندات مایکروسافت تاکنون کاملاً نامشخص به نظر می رسند
شما نمی توانید به نمونه های موجود در WDK نگاه کنید. بنابراین، اگر به طور ناگهانی تصمیم گرفتید چیزی را توسعه دهید
جدی، حتما باید با آنها آشنا شوید. خوب، الان صاف است
بیایید به سراغ تمرین برویم. برای کامپایل و تست های موفق به WDK (ویندوز) نیاز دارید
Driver Kit)، VmWare، ماشین مجازیبا نصب ویستا و دیباگر WinDbg.
در مورد WDK، من شخصا نسخه 7600.16385.0 را نصب کرده ام - همه چیز وجود دارد
لیب های ضروری (از آنجایی که ما درایور را توسعه خواهیم داد، فقط نیاز داریم
fwpkclnt.lib و ntoskrnl.lib) و نمونه هایی از استفاده از WFP. لینک به همه
ابزارها قبلا چندین بار ارائه شده اند، بنابراین آنها را تکرار نمی کنیم.

کد نویسی

برای مقداردهی اولیه callout، تابع BlInitialize را نوشتم. الگوریتم عمومی
ایجاد callout و افزودن فیلتر به این صورت است:

  1. FWPMENGINEOPEN0یک جلسه را باز می کند؛
  2. FWPMTRANSACTIONBEGIN0- شروع عملیات با WFP.
  3. FWPSCALLOUTREGISTER0- ایجاد یک فراخوان جدید؛
  4. FWPMCALLOUTADD0- اضافه کردن یک شی callout به سیستم.
  5. FWPMFILTERADD0- افزودن فیلتر(های) جدید؛
  6. FWPMTRANSACTIONCOMMIT0- ذخیره تغییرات (اضافه شد
    فیلترها).

توجه داشته باشید که توابع به 0 ختم می شوند. در ویندوز 7 برخی از این موارد
توابع تغییر کردند، به عنوان مثال، FwpsCalloutRegister1 ظاهر شد (با
ذخیره شده توسط FwpsCalloutRegister0). آنها در استدلال متفاوت هستند و در نتیجه،
نمونه های اولیه طبقه بندی توابع، اما برای ما این در حال حاضر مهم نیست - 0-توابع
جهانی.

FwpmEngineOpen0 و FwpmTransactionBegin0 برای ما جالب نیستند - اینها هستند
مرحله مقدماتی سرگرمی با عملکرد شروع می شود
FwpsCalloutRegister0:

نمونه اولیه FwpsCalloutRegister0

NTSTATUS NTAPI FwpsCalloutRegister0
__inout void *deviceObject،
__inst FWPS_CALLOUT0 * callout،
__out_opt UINT32 *calloutId
);

قبلاً گفتم که callout مجموعه ای از توابع است، اکنون زمان آن است
در این مورد بیشتر به ما بگویید ساختار FWPS_CALLOUT0 شامل نشانگرهای سه است
توابع - طبقه بندی (classifyFn) و دو اطلاع رسانی (درباره
افزودن/حذف فیلتر (notifyFn) و بستن جریان پردازش شده (flowDeleteFn)).
دو عملکرد اول اجباری هستند، آخرین مورد فقط در صورتی مورد نیاز است
شما می خواهید خود بسته ها را نظارت کنید، نه فقط اتصالات. همچنین در ساختار
شامل یک شناسه منحصر به فرد، callout GUID (calloutKey).

کد ثبت نام Callout

FWPS_CALLOUT sCallout = (0);
sCallout.calloutKey = *calloutKey;
sCallout.classifyFn = BlClassify;
// تابع طبقه بندی
sCallout.notifyFn = (FWPS_CALLOUT_NOTIFY_FN0)BlNotify;
// تابع اطلاع رسانی در مورد افزودن/حذف فیلتر
// یک فراخوان جدید ایجاد کنید
status = FwpsCalloutRegister(DeviceObject، &sCallout، calloutId)؛

DWORD WINAPI FwpmCalloutAdd0(
__در دسته موتور HANDLE،
__inst FWPM_CALLOUT0 *callout،
__in_opt PSECURITY_DESCRIPTOR sd،
__out_opt UINT32 *id
);
ساختار typedef FWPM_CALLOUT0_ (
GUID calloutKey;
FWPM_DISPLAY_DATA0 نمایش داده ها؛ // توضیحات فراخوان
پرچم های UINT32؛
GUID *providerKey;
FWP_BYTE_BLOB داده های ارائه دهنده؛
GUID applicableLayer.
calloutId UINT32;
) FWPM_CALLOUT0؛

در ساختار FWPM_CALLOUT0 ما به فیلد applicableLayer علاقه مندیم - منحصر به فرد
شناسه سطحی که فراخوانی به آن اضافه شده است. در مورد ما اینطور است
FWPM_LAYER_ALE_AUTH_CONNECT_V4. "v4" در نام شناسه به معنای نسخه است
پروتکل Ipv4، همچنین FWPM_LAYER_ALE_AUTH_CONNECT_V6 برای Ipv6 وجود دارد. با توجه به
شیوع کم IPv6 در در حال حاضر، ما فقط با آن کار خواهیم کرد
IPv4. CONNECT در نام به این معنی است که ما فقط نصب را کنترل می کنیم
اتصالات، صحبتی از بسته های ورودی یا خروجی به این آدرس نیست! اصلا
سطوح زیادی به غیر از سطح مورد استفاده ما وجود دارد - آنها در فایل هدر اعلام شده اند
fwpmk.h از WDK.

افزودن یک شیء فراخوانی به سیستم

// نام فراخوان
displayData.name = L"Blocker Callout";
displayData.description = L"Blocker Callout";
mCallout.calloutKey = *calloutKey;
mCallout.displayData = displayData;
// توضیحات فراخوان
//FWPM_LAYER_ALE_AUTH_CONNECT_V4
mCallout.applicableLayer = *layerKey;
status = FwpmCalloutAdd(gEngineHandle، &mCallout، NULL، NULL);

بنابراین، پس از اینکه callout با موفقیت به سیستم اضافه شد، باید ایجاد کنید
فیلتر، یعنی مشخص کنید در چه مواردی فراخوانی ما فراخوانی می شود، یعنی
- عملکرد طبقه بندی آن. یک فیلتر جدید توسط تابع FwpmFilterAdd0 ایجاد می شود،
که ساختار FWPM_FILTER0 را به عنوان آرگومان ارسال می کند.

FWPM_FILTER0 یک یا چند ساختار FWPM_FILTER_CONDITION0 دارد (آنها
عدد توسط فیلد numFilterConditions تعیین می شود. فیلد layerKey با یک GUID پر شده است
لایه ای که می خواهیم به آن بپیوندیم. در این مورد نشان می دهیم
FWPM_LAYER_ALE_AUTH_CONNECT_V4.

حالا بیایید نگاهی دقیق‌تر به پر کردن FWPM_FILTER_CONDITION0 بیندازیم. اولا، در
fieldKey باید به صراحت مشخص شود که چه چیزی را می خواهیم کنترل کنیم - پورت، آدرس،
برنامه یا چیز دیگری در این مورد، WPM_CONDITION_IP_REMOTE_ADDRESS
به سیستم نشان می دهد که ما به آدرس IP علاقه مند هستیم. مقدار fieldKey تعیین می کند که آیا
چه نوع مقادیری در ساختار FWP_CONDITION_VALUE گنجانده شده است
FWPM_FILTER_CONDITION0. در این مورد، آدرس ipv4 را در خود دارد. بیا بریم
به علاوه. فیلد matchType نحوه مقایسه را تعیین می کند
مقادیر در FWP_CONDITION_VALUE با آنچه از طریق شبکه آمده است. در اینجا گزینه های زیادی وجود دارد:
شما می توانید FWP_MATCH_EQUAL را مشخص کنید، که به معنای انطباق کامل با شرایط است، و
شما می توانید - FWP_MATCH_NOT_EQUAL، یعنی در واقع، ما می توانیم این را اضافه کنیم
بنابراین فیلترینگ را مستثنی می کند (آدرسی که اتصال به آن نظارت نمی شود).
همچنین گزینه های FWP_MATCH_GREATER، FWP_MATCH_LESS و موارد دیگر وجود دارد (به فهرست مراجعه کنید
FWP_MATCH_TYPE). در این مورد، FWP_MATCH_EQUAL داریم.

من زیاد مزاحم نشدم و فقط یک شرط برای مسدود کردن نوشتم
یک آدرس IP انتخاب شده در صورتی که برخی از برنامه ها تلاش کند
با ایجاد یک اتصال به آدرس انتخاب شده، طبقه بندی کننده فراخوانی می شود
تابع فراخوانی ما می توانید به کد خلاصه ای از آنچه گفته شده است نگاه کنید
نوار کناری "افزودن فیلتر به سیستم" را ببینید.

افزودن فیلتر به سیستم

filter.flags = FWPM_FILTER_FLAG_NONE;
filter.layerKey = *layerKey;
filter.displayData.name = L"Blocker Callout";
filter.displayData.description = L"Blocker Callout";
filter.action.type = FWP_ACTION_CALLOUT_UNKNOWN;
filter.action.calloutKey = *calloutKey;
filter.filterCondition = filterConditions;
// شرایط یک فیلتر
filter.numFilterConditions = 1;
//filter.subLayerKey = FWPM_SUBLAYER_UNIVERSAL;
filter.weight.type = FWP_EMPTY; // وزن خودکار.
// یک فیلتر به آدرس راه دور اضافه کنید
filterConditions.fieldKey = FWPM_CONDITION_IP_REMOTE_ADDRESS.
filterConditions.matchType = FWP_MATCH_EQUAL;
filterConditions.conditionValue.type = FWP_UINT32;
filterConditions.conditionValue.uint32 = ntohl(BLOCKED_IP_ADDRESS);
// یک فیلتر اضافه کنید
status = FwpmFilterAdd(gEngineHandle، &filter، NULL، NULL);

به طور کلی، البته، ممکن است شرایط فیلتر زیادی وجود داشته باشد. به عنوان مثال، شما می توانید
مسدود کردن اتصالات به یک پورت از راه دور یا محلی خاص (FWPM_CONDITION_IP_REMOTE_PORT) را مشخص کنید
و به ترتیب FWPM_CONDITION_IP_LOCAL_PORT). شما می توانید همه بسته ها را بگیرید
یک پروتکل خاص یا یک برنامه خاص. و این همه ماجرا نیست! می توان،
به عنوان مثال، ترافیک یک کاربر خاص را مسدود کنید. به طور کلی، جایی وجود دارد
قدم زدن.

با این حال، اجازه دهید به فیلتر بازگردیم. تابع طبقه بندی در مورد ما به سادگی است
اتصال به آدرس مشخص شده (BLOCKED_IP_ADDRESS) را مسدود می کند
FWP_ACTION_BLOCK:

کد تابع طبقه بندی ما

void BlClassify(
const FWPS_INCOMING_VALUES* inFixedValues،
const FWPS_INCOMING_METADATA_VALUES* در MetaValues،
بسته VOID*، فیلتر IN const FWPS_FILTER*،
UINT64 flowContext، FWPS_CLASSIFY_OUT* classifyOut)
{
// ساختار FWPS_CLASSIFY_OUT0 را پر کنید
if(classifyOut)( // بسته را مسدود کند
classifyOut->actionType =
FWP_ACTION_BLOCK؛
// هنگام مسدود کردن بسته ای که نیاز دارید
FWPS_RIGHT_ACTION_WRITE را بازنشانی کنید
classifyOut->حقوق&=~FWPS_RIGHT_ACTION_WRITE;
}
}

در عمل، تابع طبقه بندی ممکن است FWP_ACTION_PERMIT را نیز تنظیم کند،
FWP_ACTION_CONTINUE و غیره

و در نهایت، هنگام تخلیه درایور، باید تمام نصب شده را حذف کنید
callouts (حدس بزنید اگر سیستم بخواهد callout را فراخوانی کند چه اتفاقی خواهد افتاد
درایور خالی شده؟ درست است، BSOD). یک تابع برای این وجود دارد
FwpsCalloutUnregisterById. به عنوان یک پارامتر 32 بیتی ارسال می شود
شناسه callout که توسط تابع FwpsCalloutRegister برگردانده شده است.

پایان دادن به فراخوانی

NTSTATUS BlUninitialize())(
NTSTATUS ns;
if(gEngineHandle)(
FwpmEngineClose(gEngineHandle);

}
if(gBlCalloutIdV4)(
ns =FwpsCalloutUnregisterById(gBlCalloutIdV4);
}
بازگشت ns;
}

همانطور که می بینید، برنامه نویسی فیلتر WFP کار دشواری نیست، زیرا
MS یک API بسیار راحت در اختیار ما قرار داد. به هر حال، در مورد ما نصب کردیم
فیلتر در درایور، اما این کار را هم از usermod می توان انجام داد! به عنوان مثال، نمونه از wdk
msnmntr (مانیتور ترافیک مسنجر MSN) دقیقاً این کار را انجام می دهد - این به شما اجازه نمی دهد
قسمت کرنل حالت فیلتر را اضافه بار کنید.

راهنمای شما

برای ثبت فراخوانی، به یک شناسه منحصر به فرد نیاز دارد. به منظور. واسه اینکه. برای اینکه
GUID (شناسه منحصر به فرد جهانی) خود را دریافت کنید، از guidgen.exe موجود استفاده کنید
در ویژوال استودیو ابزار در (VS_Path)\Common7\Tools قرار دارد. احتمال برخورد
بسیار کوچک است زیرا طول GUID 128 بیت است و در کل 2^128 بیت موجود است
شناسه ها

رفع اشکال فیلتر

برای رفع اشکال هیزم، استفاده از ترکیب Windbg+VmWare راحت است. برای این شما نیاز دارید
هم سیستم مهمان (که ویستا است) و هم دیباگر را پیکربندی کنید
WinDbg. اگر در WinXP مجبور بودید boot.ini را برای اشکال زدایی از راه دور ویرایش کنید، پس
برای Vista+ یک ابزار کنسول به نام bcdedit وجود دارد. طبق معمول، باید اشکال زدایی را فعال کنید:

BCDedit /dbgsettings SERIAL DEBUGPORT:1 BAUDRATE:115200 BCDedit /debug
روشن (یا BCDedit /set debug ON)

حالا همه چیز آماده است! ما یک فایل دسته ای را با متن زیر راه اندازی می کنیم:

start windbg -b -k com:pipe,port=\\.\pipe\com_1,resets=0

و خروجی اشکال زدایی را در پنجره windbg ببینید (تصویر را ببینید).

نتیجه

همانطور که می بینید، دامنه WFP بسیار گسترده است. این به شما بستگی دارد که چگونه تصمیم بگیرید
از این دانش استفاده کنید - برای بد یا برای خوب :)

ورودی کلیدی کنسول مدیریت سیستم عامل (MMC). ویندوز ویستا™ یک فایروال سنجش شبکه برای ایستگاه های کاری است که اتصالات ورودی و خروجی را بر اساس فیلتر می کند. تنظیمات داده شده. اکنون می توانید تنظیمات فایروال را پیکربندی کنید و پروتکل IPsecبا یک ابزار این مقاله نحوه عملکرد فایروال ویندوز با امنیت پیشرفته، مشکلات رایج و راه حل ها را شرح می دهد.

فایروال ویندوز با امنیت پیشرفته چگونه کار می کند

فایروال ویندوز با امنیت پیشرفته یک فایروال ثبت وضعیت شبکه برای ایستگاه های کاری است. برخلاف فایروال های روتر، که در دروازه بین شبکه محلی شما و اینترنت مستقر می شوند، فایروال ویندوز برای اجرا بر روی رایانه های فردی طراحی شده است. این فقط ترافیک ایستگاه کاری را نظارت می کند: ترافیک ورودی به آدرس IP آن رایانه و ترافیک خروجی از خود رایانه. فایروال ویندوز با امنیت پیشرفته عملیات اساسی زیر را انجام می دهد:

    بسته دریافتی بررسی و با لیست ترافیک مجاز مقایسه می شود. اگر بسته با یکی از مقادیر لیست مطابقت داشته باشد، فایروال ویندوز بسته را برای پردازش بیشتر به TCP/IP ارسال می کند. اگر بسته با هیچ یک از مقادیر موجود در لیست مطابقت نداشته باشد، فایروال ویندوز بسته را مسدود می کند و در صورت فعال بودن ورود به سیستم، یک ورودی در فایل گزارش ایجاد می کند.

لیست ترافیک مجاز به دو صورت تشکیل می شود:

    هنگامی که اتصالی که توسط فایروال ویندوز با امنیت پیشرفته کنترل می شود بسته ای را ارسال می کند، فایروال یک مقدار در لیست ایجاد می کند تا ترافیک برگشتی پذیرفته شود. ترافیک ورودی مربوطه به مجوز اضافی نیاز دارد.

    هنگامی که یک قانون مجاز برای فایروال ویندوز با امنیت پیشرفته ایجاد می کنید، ترافیکی که برای آن قانون ایجاد کرده اید در رایانه ای که فایروال ویندوز را اجرا می کند مجاز می شود. این رایانه هنگام کار به عنوان سرور، رایانه مشتری یا میزبان شبکه همتا به همتا، ترافیک ورودی به طور صریح مجاز را می پذیرد.

اولین قدم برای حل مشکلات فایروال ویندوز این است که بررسی کنید کدام نمایه فعال است. فایروال ویندوز با امنیت پیشرفته برنامه ای است که بر محیط شبکه شما نظارت می کند. نمایه فایروال ویندوز با تغییر محیط شبکه شما تغییر می کند. نمایه مجموعه ای از تنظیمات و قوانین است که بسته به محیط شبکه و جریان اعمال می شود اتصالات شبکه.

فایروال بین سه نوع محیط شبکه تمایز قائل می شود: شبکه های دامنه، عمومی و خصوصی. دامنه یک محیط شبکه است که در آن اتصالات توسط یک کنترل کننده دامنه احراز هویت می شوند. به طور پیش فرض، سایر انواع اتصالات شبکه به عنوان شبکه های عمومی در نظر گرفته می شوند. وقتی یک مورد جدید کشف می شود اتصالات ویندوزویستا از کاربر می خواهد تا مشخص کند که آیا این شبکهخصوصی یا عمومی نمایه عمومی برای استفاده در مکان های عمومی مانند فرودگاه ها یا کافه ها در نظر گرفته شده است. نمایه خصوصی برای استفاده در خانه یا محل کار و همچنین در یک شبکه امن در نظر گرفته شده است. برای تعریف شبکه به عنوان خصوصی، کاربر باید از امتیازات مدیریتی مناسب برخوردار باشد.

اگرچه کامپیوتر می تواند به طور همزمان به شبکه ها متصل شود انواع متفاوت، فقط یک نمایه می تواند فعال باشد. انتخاب پروفایل فعال به دلایل زیر بستگی دارد:

    اگر همه اینترفیس ها از احراز هویت کنترل کننده دامنه استفاده کنند، از نمایه دامنه استفاده می شود.

    اگر حداقل یکی از اینترفیس ها به آن متصل باشد شبکه خصوصیو همه موارد دیگر - برای دامنه یا شبکه های خصوصی، از یک نمایه خصوصی استفاده می شود.

    در تمام موارد دیگر، مشخصات عمومی استفاده می شود.

برای تعیین نمایه فعال، روی گره کلیک کنید مشاهدهدر یک لحظه فایروال ویندوز با امنیت پیشرفته. بالای متن وضعیت فایروالنشان می دهد که کدام نمایه فعال است. به عنوان مثال، اگر یک پروفایل دامنه فعال باشد، در بالای صفحه نمایش داده می شود نمایه دامنه فعال است.

با استفاده از نمایه‌ها، فایروال ویندوز می‌تواند به‌طور خودکار ترافیک ورودی را برای ابزارهای مدیریت رایانه خاص زمانی که رایانه در یک دامنه قرار دارد، اجازه دهد و هنگامی که رایانه به یک شبکه عمومی یا خصوصی متصل است، همان ترافیک را مسدود کند. بنابراین، تعیین نوع محیط شبکه از شما محافظت می کند شبکه محلیبدون به خطر انداختن امنیت کاربران موبایل.

مشکلات رایج هنگام اجرای فایروال ویندوز با امنیت پیشرفته

مشکلات اصلی که هنگام اجرای فایروال ویندوز با امنیت پیشرفته رخ می دهد، به شرح زیر است:

در صورت مسدود شدن ترافیک، ابتدا باید بررسی کنید که آیا فایروال فعال است و کدام نمایه فعال است. اگر هر یک از برنامه ها مسدود شده است، مطمئن شوید که Snap-in وجود دارد فایروال ویندوز با امنیت پیشرفتهیک قانون مجاز فعال برای نمایه فعلی وجود دارد. برای تأیید وجود قانون مجاز، روی گره دوبار کلیک کنید مشاهدهو سپس بخش را انتخاب کنید دیواره آتش. اگر قوانین مجاز فعالی برای این برنامه وجود ندارد، به سایت بروید و یک قانون جدید برای این برنامه ایجاد کنید. یک قانون برای یک برنامه یا سرویس ایجاد کنید یا یک گروه قانون را مشخص کنید که برای این ویژگی اعمال می شود و مطمئن شوید که همه قوانین در آن گروه فعال هستند.

برای تأیید اینکه یک قانون مجاز توسط یک قانون مسدود کننده لغو نشده است، این مراحل را دنبال کنید:

    در درخت اسنپ فایروال ویندوز با امنیت پیشرفتهروی گره کلیک کنید مشاهدهو سپس بخش را انتخاب کنید دیواره آتش.

    فهرستی از تمام قوانین سیاست محلی و گروهی فعال را مشاهده کنید. قوانین ممنوعیت قوانین مجاز را نادیده می گیرند حتی اگر دومی دقیق تر تعریف شده باشد.

Group Policy از اعمال قوانین محلی جلوگیری می کند

اگر فایروال ویندوز با امنیت پیشرفته با استفاده از خط مشی گروه پیکربندی شده باشد، سرپرست شما می تواند تعیین کند که از قوانین فایروال یا قوانین امنیتی اتصال ایجاد شده توسط مدیران محلی استفاده شود. اگر قوانین فایروال محلی یا قوانین امنیتی اتصال پیکربندی شده باشند که در بخش تنظیمات مربوطه نیستند، منطقی است.

برای تعیین اینکه چرا قوانین فایروال محلی یا قوانین امنیتی اتصال در بخش مانیتورینگ وجود ندارد، این مراحل را دنبال کنید:

    در ضربه محکم و ناگهانی فایروال ویندوز با امنیت پیشرفته، روی لینک کلیک کنید ویژگی های فایروال ویندوز.

    برگه نمایه فعال را انتخاب کنید.

    در فصل گزینه ها، دکمه را فشار دهید اهنگ.

    اگر قوانین محلی اعمال می شود، بخش ترکیب قوانینفعال خواهد بود.

قوانینی که به اتصالات ایمن نیاز دارند ممکن است ترافیک را مسدود کنند

هنگام ایجاد یک قانون فایروال برای ترافیک ورودی یا خروجی، یکی از پارامترها . در صورت انتخاب این تابع، باید یک قانون امنیتی اتصال مناسب یا یک خط مشی جداگانه IPSec داشته باشید که تعیین کند چه ترافیکی ایمن است. در غیر این صورت این ترافیک مسدود می شود.

برای تأیید اینکه یک یا چند قانون برنامه به اتصالات ایمن نیاز دارند، این مراحل را دنبال کنید:

    در درخت اسنپ فایروال ویندوز با امنیت پیشرفتهبخش کلیک کنید قوانین اتصالات ورودی. قانون مورد نظر را برای بررسی انتخاب کنید و روی پیوند کلیک کنید خواصدر محدوده کنسول

    یک برگه را انتخاب کنید معمول هستندو بررسی کنید که آیا مقدار دکمه رادیویی انتخاب شده است یا خیر فقط مجاز است اتصالات امن .

    اگر قانون با پارامتر مشخص شده باشد فقط اتصالات امن را مجاز کنید، بخش را گسترش دهید مشاهدهدر درخت snap-in و بخش را انتخاب کنید. اطمینان حاصل کنید که ترافیک تعریف شده در قانون فایروال دارای قوانین امنیتی اتصال مناسب است.

    هشدار:

    اگر یک خط مشی فعال IPSec دارید، مطمئن شوید که این خط مشی از ترافیک لازم محافظت می کند. برای جلوگیری از تضاد خط مشی IPSec و قوانین امنیت اتصال، قوانین امنیتی اتصال ایجاد نکنید.

اتصالات خروجی مجاز نیست

    در درخت اسنپ فایروال ویندوز با امنیت پیشرفتهیک بخش را انتخاب کنید مشاهده. تب نمایه فعال و در قسمت را انتخاب کنید وضعیت فایروالبررسی کنید که اتصالات خروجی که تحت قانون مجاز نیستند مجاز باشند.

    در فصل مشاهدهیک بخش را انتخاب کنید دیواره آتشاطمینان حاصل شود که اتصالات خروجی مورد نیاز در قوانین انکار مشخص نشده است.

سیاست های مختلط می تواند منجر به مسدود شدن ترافیک شود

می توانید تنظیمات فایروال و IPSec را با استفاده از رابط های مختلف ویندوز پیکربندی کنید.

ایجاد خط‌مشی در مکان‌های مختلف می‌تواند منجر به درگیری و مسدود شدن ترافیک شود. نقاط تنظیم زیر در دسترس هستند:

    فایروال ویندوز با امنیت پیشرفته. این خط مشی با استفاده از Snap-in مناسب به صورت محلی یا به عنوان بخشی از Group Policy پیکربندی می شود. این خط‌مشی تنظیمات فایروال و IPSec را در رایانه‌های دارای ویندوز ویستا تعریف می‌کند.

    قالب اداری فایروال ویندوز. این خط مشی با استفاده از Group Policy Object Editor در بخش پیکربندی می شود. این رابط شامل تنظیمات فایروال ویندوز است که قبل از ویندوز ویستا در دسترس بود و برای پیکربندی GPO که نسخه های قبلی ویندوز را کنترل می کند استفاده می شود. اگرچه این پارامترها را می توان برای رایانه های در حال اجرا استفاده کرد کنترل ویندوزویستا، توصیه می شود به جای آن از سیاست استفاده کنید فایروال ویندوز با امنیت پیشرفته، زیرا انعطاف پذیری و امنیت بیشتری را فراهم می کند. لطفاً توجه داشته باشید که برخی از تنظیمات نمایه دامنه در قالب و خط مشی اداری Windows Firewall مشترک هستند فایروال ویندوز با امنیت پیشرفته، بنابراین می توانید در اینجا پارامترهای پیکربندی شده در نمایه دامنه را با استفاده از snap-in مشاهده کنید فایروال ویندوز با امنیت پیشرفته.

    سیاست های IPSec این خط مشی با استفاده از snap-in محلی پیکربندی شده است مدیریت سیاست IPSecیا Group Policy Object Editor در قسمت Computer Configuration\Windows Configuration\Security Settings\IP Security Policies در "رایانه محلی". این خط‌مشی تنظیمات IPSec را تعریف می‌کند که هم نسخه‌های قبلی ویندوز و هم ویندوز ویستا می‌توانند از آن استفاده کنند. نباید به طور همزمان در یک رایانه استفاده شود این سیاستو قوانین امنیت اتصال تعریف شده در خط مشی فایروال ویندوز با امنیت پیشرفته.

برای مشاهده همه این گزینه‌ها در اسنپ‌این‌های مناسب، یک فایل ورودی کنسول مدیریت خود را ایجاد کنید و اسنپ‌این‌ها را به آن اضافه کنید. فایروال ویندوز با امنیت پیشرفته، و امنیت IP.

برای ایجاد Snap-in کنسول مدیریت خود، این مراحل را دنبال کنید:

    روی دکمه کلیک کنید شروع کنید، به منو بروید همه برنامه ها، سپس به منو استانداردو انتخاب کنید اجرا کردن.

    در یک فیلد متنی باز کن وارد.

    ادامه هید.

    در منو کنسولمورد را انتخاب کنید

    در لیست لوازم جانبی موجودتجهیزات را انتخاب کنید فایروال ویندوز با امنیت پیشرفتهو دکمه را فشار دهید اضافه کردن.

    روی دکمه کلیک کنید خوب.

    مراحل 1 تا 6 را برای افزودن اسنپ تکرار کنید کنترل خط مشی گروه و مانیتور امنیت IP.

برای بررسی اینکه کدام خط‌مشی‌ها در یک نمایه فعال فعال هستند، از روش زیر استفاده کنید:

برای بررسی اینکه کدام خط‌مشی اعمال می‌شود، این مراحل را دنبال کنید:

    که در خط فرمان mmc را وارد کرده و کلید را فشار دهید وارد.

    اگر کادر محاوره ای User Account Control ظاهر شد، اقدام درخواستی را تایید کرده و کلیک کنید ادامه هید.

    در منو کنسولمورد را انتخاب کنید افزودن یا حذف Snap-in.

    در لیست لوازم جانبی موجودتجهیزات را انتخاب کنید مدیریت خط مشی گروهو دکمه را فشار دهید اضافه کردن.

    روی دکمه کلیک کنید خوب.

    یک گره را در یک درخت گسترش دهید (معمولاً درخت جنگلی که در آن قرار دارد) این کامپیوتر) و روی قسمت در قسمت جزئیات کنسول دوبار کلیک کنید.

    مقدار دکمه رادیویی را انتخاب کنید نمایش تنظیمات خط مشی برایاز ارزش ها کاربر فعلییا کاربر دیگری. اگر نمی خواهید تنظیمات خط مشی را برای کاربران نمایش دهید، بلکه فقط تنظیمات خط مشی را برای رایانه نمایش می دهید، دکمه رادیویی را انتخاب کنید عدم نمایش خط مشی کاربر (فقط مشاهده خط مشی رایانه)و دوبار دکمه را فشار دهید به علاوه.

    روی دکمه کلیک کنید آماده. جادوگر نتایج خط مشی گروه گزارشی را در قسمت جزئیات کنسول ایجاد می کند. گزارش شامل برگه ها می باشد خلاصه, گزینه هاو رویدادهای سیاسی.

    برای اطمینان از عدم مغایرت با سیاست های امنیتی IP، پس از ایجاد گزارش، برگه را انتخاب کنید گزینه هاو Computer Configuration\Windows Configuration\Security Settings\IP Security Settings را در سرویس دایرکتوری باز کنید. اکتیو دایرکتوری. اگر آخرین بخش وجود نداشته باشد، سیاست امنیتی IP تنظیم نشده است. در غیر این صورت، نام و شرح خط مشی و GPO که به آن تعلق دارد نمایش داده می شود. اگر از یک خط مشی امنیتی IP و یک فایروال ویندوز با خط مشی امنیت پیشرفته همزمان با قوانین امنیتی اتصال استفاده می کنید، ممکن است این خط مشی ها با هم تضاد داشته باشند. توصیه می شود فقط از یکی از این خط مشی ها استفاده کنید. راه حل بهینهاز سیاست های امنیتی IP همراه با فایروال ویندوز با قوانین امنیتی پیشرفته برای ترافیک ورودی یا خروجی استفاده می کند. اگر پارامترها در مکان‌های مختلف پیکربندی شوند و با یکدیگر سازگار نباشند، ممکن است تضادهای خط‌مشی که حل‌وفصل آن‌ها دشوار است، ایجاد شود.

    همچنین ممکن است بین خط مشی های تعریف شده در اشیاء خط مشی محلی گروه و اسکریپت های پیکربندی شده توسط بخش فناوری اطلاعات تداخل وجود داشته باشد. تمام سیاست های امنیتی IP را با استفاده از برنامه IP Security Monitor یا با وارد کردن دستور زیر در خط فرمان بررسی کنید:

    برای مشاهده تنظیمات تعریف شده در قالب اداری فایروال ویندوز، بخش را گسترش دهید پیکربندی کامپیوتر\الگوهای مدیریتی\شبکه\اتصالات شبکه\فایروال ویندوز.

    برای مشاهده آخرین رویدادهای مربوط به خط مشی فعلی، می توانید به برگه مراجعه کنید رویدادهای خط مشیدر همان کنسول

    برای مشاهده خط مشی استفاده شده توسط فایروال ویندوز با امنیت پیشرفته، snap-in را در رایانه ای که در حال تشخیص آن هستید باز کنید و تنظیمات زیر را بررسی کنید. مشاهده.

برای مشاهده الگوهای اداری، Snap-in را باز کنید خط مشی گروهو در بخش نتایج خط مشی گروهبررسی کنید که آیا تنظیماتی به ارث رسیده از Group Policy که ممکن است باعث رد شدن ترافیک شود یا خیر.

برای مشاهده خط مشی های امنیتی IP، snap-in IP Security Monitor را باز کنید. در درخت انتخاب کنید کامپیوتر محلی. در محدوده کنسول، پیوند را انتخاب کنید سیاست فعال, حالت ابتدایییا حالت سریع. خط‌مشی‌های رقابتی که ممکن است منجر به مسدود شدن ترافیک شود را بررسی کنید.

در فصل مشاهدهتقلب فایروال ویندوز با امنیت پیشرفتهمی توانید مشاهده کنید قوانین موجودسیاست محلی و گروهی برای گرفتن اطلاعات اضافیمراجعه به بخش " استفاده از ویژگی ساعت در یک عکس فوری فایروال ویندوز با امنیت پیشرفته » این سند.

برای متوقف کردن IPSec Policy Agent، این مراحل را دنبال کنید:

    روی دکمه کلیک کنید شروع کنیدو یک بخش را انتخاب کنید صفحه کنترل.

    روی نماد کلیک کنید سیستم و نگهداری آنو یک بخش را انتخاب کنید مدیریت.

    روی نماد دوبار کلیک کنید خدمات. ادامه هید.

    یک سرویس را در لیست پیدا کنید عامل سیاست IPSec

    اگر خدمات نماینده IPSecدر حال اجرا است، روی آن کلیک راست کرده و آیتم منو را انتخاب کنید متوقف کردن. همچنین می توانید سرویس را متوقف کنید نماینده IPSecاز خط فرمان با استفاده از دستور

سیاست همتا به همتا ممکن است باعث رد شدن ترافیک شود

برای اتصالاتی که از IPSec استفاده می کنند، هر دو کامپیوتر باید دارای خط مشی های امنیتی IP سازگار باشند. این سیاست ها را می توان با استفاده از قوانین امنیتی اتصال فایروال ویندوز تعریف کرد امنیت IPیا ارائه دهنده امنیت IP دیگر.

برای بررسی تنظیمات خط مشی امنیت IP در یک شبکه همتا به همتا، این مراحل را دنبال کنید:

    در ضربه محکم و ناگهانی فایروال ویندوز با امنیت پیشرفتهگره را انتخاب کنید مشاهدهو قوانین امنیت اتصالبرای اطمینان از اینکه خط مشی امنیتی IP در هر دو گره شبکه پیکربندی شده است.

    اگر یکی از کامپیوترهای یک شبکه همتا به همتا بیش از نسخه اولیهویندوز نسبت به ویندوز ویستا، مطمئن شوید که حداقل یکی از مجموعه‌های رمزنگاری حالت بومی و یکی از مجموعه‌های رمزنگاری حالت سریع، از الگوریتم‌هایی استفاده می‌کنند که توسط هر دو میزبان پشتیبانی می‌شوند.

    1. روی بخش کلیک کنید حالت ابتدایی، در قسمت جزئیات کنسول، اتصالی را که می خواهید آزمایش کنید انتخاب کنید، سپس روی پیوند کلیک کنید خواصدر محدوده کنسول ویژگی های اتصال را برای هر دو گره بررسی کنید تا از سازگاری آنها اطمینان حاصل کنید.

      مرحله 2.1 را برای پارتیشن تکرار کنید حالت سریع. ویژگی های اتصال را برای هر دو گره بررسی کنید تا از سازگاری آنها اطمینان حاصل کنید.

    اگر از احراز هویت Kerberos نسخه 5 استفاده می کنید، مطمئن شوید که هاست در همان دامنه یا یک دامنه قابل اعتماد است.

    اگر از گواهی ها استفاده می کنید، مطمئن شوید که کادرهای مورد نیاز علامت زده شده اند. برای گواهی هایی که از تبادل کلید اینترنت (IKE) IPSec استفاده می کنند، باید امضای دیجیتالی. گواهینامه هایی که از پروتکل اینترنت احراز هویت شده (AuthIP) استفاده می کنند، نیاز به احراز هویت مشتری دارند (بسته به نوع احراز هویت سرور). برای اطلاعات بیشتر در مورد گواهینامه های AuthIP، لطفاً به مقاله مراجعه کنید احراز هویت IP در ویندوز ویستا AuthIP در ویندوز ویستا در وب سایت مایکروسافت.

فایروال ویندوز با امنیت پیشرفته قابل پیکربندی نیست

فایروال ویندوز با تنظیمات امنیتی پیشرفته در موارد زیر خاکستری (خاکستری) می شود:

    کامپیوتر به شبکه ای با مدیریت متمرکزو مدیر شبکه از Group Policies برای پیکربندی فایروال ویندوز با تنظیمات امنیتی پیشرفته استفاده می کند. در این مورد، در بالای ضربه محکم و ناگهانی فایروال ویندوز با امنیت پیشرفتهپیغام "برخی تنظیمات توسط Group Policy کنترل می شوند" را مشاهده خواهید کرد. سرپرست شبکه شما این خط‌مشی را پیکربندی می‌کند و در نتیجه از تغییر تنظیمات فایروال ویندوز جلوگیری می‌کند.

    رایانه ای که ویندوز ویستا را اجرا می کند به یک شبکه مدیریت مرکزی متصل نیست، اما تنظیمات فایروال ویندوز توسط خط مشی گروه محلی تعیین می شود.

برای تغییر فایروال ویندوز با تنظیمات امنیتی پیشرفته با استفاده از سیاست گروه محلی، از Snap-in استفاده کنید خط مشی کامپیوتر محلی. برای باز کردن این snap-in، در خط فرمان secpol را وارد کنید. اگر کادر محاوره ای User Account Control ظاهر شد، اقدام درخواستی را تایید کرده و کلیک کنید ادامه هید. برای پیکربندی فایروال ویندوز با تنظیمات خط مشی امنیت پیشرفته، به Computer Configuration\Windows Configuration\Security Settings\Windows Firewall with Advanced Security بروید.

کامپیوتر به درخواست های پینگ پاسخ نمی دهد

راه اصلی برای آزمایش اتصال بین رایانه ها استفاده از ابزار Ping برای آزمایش اتصال به یک آدرس IP خاص است. در حین پینگ، یک پیام اکو ICMP (همچنین به عنوان درخواست اکو ICMP شناخته می شود) ارسال می شود و در مقابل یک پاسخ اکو ICMP درخواست می شود. به طور پیش فرض، فایروال ویندوز پیام های اکو ICMP دریافتی را رد می کند، بنابراین رایانه نمی تواند پاسخ اکو ICMP ارسال کند.

اجازه دادن به پیام‌های اکو ICMP ورودی به رایانه‌های دیگر اجازه می‌دهد رایانه شما را پینگ کنند. از سوی دیگر، این امر کامپیوتر را در برابر حملات با استفاده از پیام های اکو ICMP آسیب پذیر می کند. با این حال، توصیه می‌شود در صورت لزوم به پیام‌های اکو ICMP ورودی اجازه دهید و سپس آن‌ها را غیرفعال کنید.

برای اجازه دادن به پیام‌های اکو ICMP، قوانین ورودی جدید ایجاد کنید که به بسته‌های درخواست اکو ICMPv4 و ICMPv6 اجازه می‌دهد.

برای حل و فصل درخواست های اکو ICMPv4 و ICMPv6، این مراحل را دنبال کنید:

    در درخت اسنپ فایروال ویندوز با امنیت پیشرفتهگره را انتخاب کنید قوانین اتصالات ورودیو روی لینک کلیک کنید قانون جدیددر ناحیه اکشن کنسول

    قابل تنظیمو دکمه را فشار دهید به علاوه.

    مقدار سوئیچ را مشخص کنید همه برنامه هاو دکمه را فشار دهید به علاوه.

    در لیست کشویی نوع پروتکلمقدار را انتخاب کنید ICMPv4.

    روی دکمه کلیک کنید اهنگبرای آیتم پارامترهای پروتکل ICMP.

    دکمه رادیو را روی انواع ICMP خاص، کادر را علامت بزنید درخواست اکو، دکمه را فشار دهید خوبو دکمه را فشار دهید به علاوه.

    در مرحله انتخاب آدرس های IP محلی و راه دور مربوط به این قانون، سوئیچ ها را روی مقادیر تنظیم کنید. هر آدرس IPیا آدرس های IP مشخص شده. اگر مقدار را انتخاب کنید آدرس های IP مشخص شده، آدرس های IP مورد نیاز را مشخص کنید، روی دکمه کلیک کنید اضافه کردنو دکمه را فشار دهید به علاوه.

    مقدار سوئیچ را مشخص کنید اجازه اتصالو دکمه را فشار دهید به علاوه.

    در مرحله انتخاب نمایه، یک یا چند نمایه (نمایه دامنه، نمایه خصوصی یا عمومی) را که می خواهید در آنها از این قانون استفاده کنید انتخاب کنید و روی دکمه کلیک کنید. به علاوه.

    در زمینه نامنام قانون و در فیلد را وارد کنید شرح- توضیحات اختیاری روی دکمه کلیک کنید آماده.

    مراحل بالا را برای پروتکل ICMPv6 تکرار کنید و انتخاب کنید نوع پروتکلمقدار کشویی ICMPv6بجای ICMPv4.

اگر قوانین امنیتی اتصال فعال دارید، حذف موقت ICMP از الزامات IPsec ممکن است به حل مشکلات کمک کند. برای انجام این کار، در snap را باز کنید فایروال ویندوز با امنیت پیشرفتهپنجره محاوره ای خواص، به برگه بروید تنظیمات IPSecو مقدار را در لیست کشویی مشخص کنید آرهبرای پارامتر ICMP را از IPSec حذف کنید.

توجه داشته باشید

تنظیمات فایروال ویندوز فقط توسط مدیران و اپراتورهای شبکه قابل تغییر است.

امکان اشتراک گذاری فایل ها و چاپگرها وجود ندارد

اگر نمی توانید دریافت کنید دسترسی عمومیبرای فایل‌ها و چاپگرهای رایانه‌ای با فایروال ویندوز فعال، مطمئن شوید که همه قوانین گروه فعال هستند دسترسی به فایل ها و چاپگرها فایروال ویندوز با امنیت پیشرفتهگره را انتخاب کنید قوانین اتصالات ورودی دسترسی به فایل ها و چاپگرها قانون را فعال کنیددر محدوده کنسول

توجه:

اکیداً توصیه می‌شود اشتراک‌گذاری فایل و چاپگر را در رایانه‌هایی که مستقیماً به اینترنت متصل هستند، فعال نکنید، زیرا ممکن است مهاجمان سعی در دسترسی به فایل های به اشتراک گذاشته شدهو با آسیب رساندن به فایل های شخصی به شما آسیب برساند.

فایروال ویندوز را نمی توان از راه دور مدیریت کرد

اگر نمی‌توانید از راه دور رایانه‌ای را با فایروال ویندوز فعال مدیریت کنید، مطمئن شوید که همه قوانین در گروه پیش‌فرض فعال هستند. مدیریت فایروال ویندوز از راه دورپروفایل فعال در ضربه محکم و ناگهانی فایروال ویندوز با امنیت پیشرفتهگره را انتخاب کنید قوانین اتصالات ورودیو لیست قوانین را به گروه اسکرول کنید کنترل از راه دور. مطمئن شوید که این قوانین فعال هستند. هر یک از قوانین غیرفعال شده را انتخاب کنید و روی دکمه کلیک کنید قانون را فعال کنیددر محدوده کنسول علاوه بر این، مطمئن شوید که سرویس IPSec Policy Agent فعال است. این سرویس برای کنترل از راه دوردیوار آتش ویندوز.

برای تأیید اینکه آیا IPSec Policy Agent در حال اجرا است، این مراحل را دنبال کنید:

    روی دکمه کلیک کنید شروع کنیدو یک بخش را انتخاب کنید صفحه کنترل.

    روی نماد کلیک کنید سیستم و نگهداری آنو یک بخش را انتخاب کنید مدیریت.

    روی نماد دوبار کلیک کنید خدمات.

    اگر کادر محاوره ای User Account Control ظاهر شد، اطلاعات کاربر مورد نیاز را با مجوزهای مناسب وارد کرده و کلیک کنید ادامه هید.

    یک سرویس را در لیست پیدا کنید عامل سیاست IPSecو مطمئن شوید که وضعیت "در حال اجرا" است.

    اگر خدمات نماینده IPSecمتوقف شد، روی آن کلیک راست کرده و in را انتخاب کنید منوی زمینهپاراگراف راه اندازی. همچنین می توانید سرویس را راه اندازی کنید نماینده IPSecاز خط فرمان با استفاده از دستور عامل سیاست شروع خالص.

توجه داشته باشید

سرویس پیش فرض عامل سیاست IPSecراه اندازی شد. این سرویس باید در حال اجرا باشد مگر اینکه به صورت دستی متوقف شده باشد.

عیب یابی فایروال ویندوز

این بخش ابزارها و تکنیک هایی را توضیح می دهد که می توان از آنها برای حل مشکلات رایج استفاده کرد. این بخش از زیر بخش های زیر تشکیل شده است:

از ویژگی های نظارت در فایروال ویندوز با امنیت پیشرفته استفاده کنید

اولین قدم برای حل مشکلات فایروال ویندوز، مرور قوانین فعلی است. تابع مشاهدهبه شما امکان می دهد قوانین استفاده شده را بر اساس سیاست های محلی و گروهی مشاهده کنید. برای مشاهده قوانین ورودی و خروجی فعلی در درخت snap-in فایروال ویندوز با امنیت پیشرفتهیک بخش را انتخاب کنید مشاهدهو سپس بخش را انتخاب کنید دیواره آتش. در این بخش می توانید جریان را نیز مشاهده کنید قوانین امنیت اتصالو ارتباطات امنیتی (حالت های اصلی و سریع).

با استفاده از ابزار خط فرمان auditpol، حسابرسی امنیتی را فعال و استفاده کنید

به طور پیش فرض، گزینه های ممیزی غیرفعال هستند. برای پیکربندی آنها، از ابزار خط فرمان auditpol.exe استفاده کنید که تنظیمات خط مشی حسابرسی را در رایانه محلی تغییر می دهد. Auditpol را می توان برای فعال یا غیرفعال کردن نمایش دسته های مختلف رویدادها و سپس مشاهده آنها بعداً در Snap-in استفاده کرد. نمایشگر رویداد.

    برای مشاهده لیستی از دسته های پشتیبانی شده توسط auditpol، در خط فرمان وارد کنید:

  • برای مشاهده لیستی از زیرمجموعه هایی که در یک دسته بندی خاص گنجانده شده اند (به عنوان مثال، دسته بندی تغییر سیاست)، در خط فرمان وارد کنید:

    auditpol.exe /list /category:"تغییرات سیاست"
  • برای فعال کردن نمایش یک دسته یا زیر مجموعه، در خط فرمان وارد کنید:

    /Subcategory:" نام دسته"

به عنوان مثال، برای تنظیم سیاست های حسابرسی برای یک دسته و زیر مجموعه آن، باید دستور زیر را وارد کنید:

auditpol.exe /set /category:"تغییر خط مشی" /subcategory:"تغییر خط مشی در سطح قانون MPSSVC" /success:enable /failure:enable

تغییر سیاست

تغییر خط مشی در سطح قانون MPSSVC

تغییر خط مشی پلت فرم فیلترینگ

خروجی را وارد کنید

حالت پایه IPsec

حالت سریع IPsec

حالت پیشرفته IPsec

سیستم

درایور IPSEC

سایر رویدادهای سیستم

دسترسی به اشیا

رها کردن بسته توسط پلت فرم فیلتر

اتصال پلت فرم فیلتراسیون

برای اعمال تغییرات خط مشی ممیزی امنیتی، باید رایانه محلی را مجددا راه اندازی کنید یا یک به روز رسانی دستی خط مشی را مجبور کنید. برای اجبار به روز رسانی خط مشی، در خط فرمان وارد کنید:

جدایی/تجدید سیاست<название_политики>

پس از تکمیل تشخیص، می توانید با جایگزین کردن پارامتر enable در دستورات بالا با غیرفعال کردن و اجرای مجدد دستورات، حسابرسی رویداد را غیرفعال کنید.

رویدادهای ممیزی امنیتی را در گزارش رویداد مشاهده کنید

پس از فعال کردن حسابرسی، از Event Viewer برای مشاهده رویدادهای حسابرسی در گزارش رویداد امنیتی استفاده کنید.

برای باز کردن Event Viewer در پوشه Administrative Tools، مراحل زیر را دنبال کنید:

  1. روی دکمه کلیک کنید شروع کنید.

    یک بخش را انتخاب کنید صفحه کنترل. روی نماد کلیک کنید سیستم و نگهداری آنو یک بخش را انتخاب کنید مدیریت.

    روی نماد دوبار کلیک کنید نمایشگر رویداد.

برای افزودن Event Viewer به MMC، مراحل زیر را دنبال کنید:

    روی دکمه کلیک کنید شروع کنید، به منو بروید همه برنامه ها، سپس به منو استانداردو انتخاب کنید اجرا کردن.

    در یک فیلد متنی باز کن mmc را وارد کرده و کلید را فشار دهید وارد.

    اگر کادر محاوره ای User Account Control ظاهر شد، اقدام درخواستی را تایید کرده و کلیک کنید ادامه هید.

    در منو کنسولمورد را انتخاب کنید افزودن یا حذف Snap-in.

    در لیست لوازم جانبی موجودتجهیزات را انتخاب کنید نمایشگر رویدادو دکمه را فشار دهید اضافه کردن.

    روی دکمه کلیک کنید خوب.

    قبل از بستن snap-in، کنسول را برای استفاده در آینده ذخیره کنید.

در ضربه محکم و ناگهانی نمایشگر رویدادبخش را گسترش دهید لاگ های ویندوزو یک گره را انتخاب کنید ایمنی. در قسمت کاری کنسول، می توانید رویدادهای ممیزی امنیتی را مشاهده کنید. همه رویدادها در بالای منطقه کاری کنسول نمایش داده می شوند. برای نمایش روی یک رویداد در بالای قسمت کاری کنسول کلیک کنید اطلاعات دقیقدر پایین پانل روی زبانه معمول هستندشرح وقایع در قالب متن روشن وجود دارد. روی زبانه جزئیاتگزینه های نمایش رویداد زیر در دسترس هستند: ارائه شفافو حالت XML.

پیکربندی گزارش فایروال برای یک نمایه

قبل از اینکه بتوانید گزارش‌های فایروال را مشاهده کنید، باید فایروال ویندوز را با امنیت پیشرفته پیکربندی کنید تا فایل‌های گزارش تولید شود.

برای پیکربندی ورود به سیستم فایروال ویندوز با نمایه امنیتی پیشرفته، این مراحل را دنبال کنید:

    در درخت اسنپ فایروال ویندوز با امنیت پیشرفتهیک بخش را انتخاب کنید فایروال ویندوز با امنیت پیشرفتهو دکمه را فشار دهید خواصدر محدوده کنسول

    برگه نمایه ای را که می خواهید ورود به سیستم را پیکربندی کنید (نمایه دامنه، نمایه خصوصی یا نمایه عمومی) انتخاب کنید و سپس کلیک کنید اهنگدر فصل ورود به سیستم.

    نام و محل فایل لاگ را مشخص کنید.

    حداکثر اندازه فایل گزارش را مشخص کنید (از 1 تا 32767 کیلوبایت)

    در لیست کشویی ثبت بسته های گم شدهمقدار را وارد کنید آره.

    در لیست کشویی ثبت اتصالات موفقمقدار را وارد کنید آرهو سپس روی دکمه کلیک کنید خوب.

مشاهده فایل های گزارش فایروال

فایلی را که در روش قبلی مشخص کردید، "پیکربندی گزارش فایروال برای یک نمایه" را باز کنید. برای دسترسی به گزارش فایروال، باید حقوق مدیر محلی داشته باشید.

می توانید فایل گزارش را با استفاده از Notepad یا هر ویرایشگر متنی مشاهده کنید.

تجزیه و تحلیل فایل های لاگ فایروال

اطلاعات ثبت شده در لاگ در جدول زیر نشان داده شده است. برخی از داده ها فقط برای پروتکل های خاص (پرچم های TCP، نوع و کد ICMP و غیره) و برخی از داده ها فقط برای بسته های حذف شده (اندازه) مشخص می شوند.

رشته

شرح

مثال

نمایش سال، ماه و روزی که رویداد در آن ثبت شده است. تاریخ با فرمت YYYY-MM-DD نوشته می شود که در آن YYYY سال، MM ماه و DD روز است.

ساعت، دقیقه و ثانیه ای که رویداد در آن ضبط شده را نشان می دهد. زمان با فرمت HH:MM:SS نوشته می شود، که در آن HH ساعت در قالب 24 ساعته، MM دقیقه و SS دوم است.

عمل

عمل انجام شده توسط فایروال را نشان می دهد. اقدامات زیر وجود دارد: OPEN، CLOSE، DROP و INFO-EVENTS-LOST. عمل INFO-EVENTS-LOST نشان می دهد که چندین رویداد رخ داده است اما ثبت نشده است.

پروتکل

پروتکل مورد استفاده برای اتصال را نمایش می دهد. این ورودی همچنین می تواند نشان دهنده تعداد بسته هایی باشد که از پروتکل های TCP، UDP یا ICMP استفاده نمی کنند.

نشانی IP رایانه فرستنده را نشان می دهد.

نشانی IP رایانه گیرنده را نشان می دهد.

شماره پورت منبع کامپیوتر فرستنده را نمایش می دهد. مقدار پورت منبع به صورت یک عدد صحیح از 1 تا 65535 نوشته می شود. مقدار پورت منبع صحیح فقط برای پروتکل های TCP و UDP نمایش داده می شود. برای پروتکل های دیگر، "-" به عنوان پورت منبع نوشته می شود.

شماره پورت کامپیوتر مقصد را نمایش می دهد. مقدار پورت مقصد به صورت یک عدد صحیح از 1 تا 65535 نوشته می شود. مقدار پورت مقصد صحیح فقط برای پروتکل های TCP و UDP نمایش داده می شود. برای پروتکل های دیگر، "-" به عنوان پورت مقصد نوشته می شود.

اندازه بسته را بر حسب بایت نمایش می دهد.

پرچم های کنترل را نمایش می دهد پروتکل TCP، در هدر TCP بسته IP یافت می شود.

    آک.زمینه قدردانی قابل توجه است
    (فیلد تایید)

    فینداده دیگری از فرستنده وجود ندارد
    (دیتا دیگر برای انتقال وجود ندارد)

    Psh.عملکرد فشار
    (عملکرد فشار)

    Rst.اتصال را بازنشانی کنید

  • Syn.همگام سازی اعداد دنباله ای
    (همگام سازی شماره صف)

    اصرار کنیدمیدان اشاره گر فوری قابل توجه است
    (فیلد اشاره گر فوری فعال است)

پرچم با اولین حرف بزرگ نام خود مشخص می شود. مثلا پرچم فینبه عنوان نشان داده شده است اف.

شماره صف TCP را در بسته نمایش می دهد.

شماره تایید TCP را در بسته نمایش می دهد.

اندازه پنجره بسته TCP را بر حسب بایت نمایش می دهد.

تایپ کنیددر یک پیام ICMP

عددی را نشان می دهد که یک فیلد را نشان می دهد کددر یک پیام ICMP

اطلاعات را بر اساس عمل انجام شده نمایش می دهد. به عنوان مثال، برای عمل INFO-EVENTS-LOST مقدار از این رشتهتعداد رویدادهایی را نشان می دهد که از زمان وقوع قبلی یک رویداد از این نوع رخ داده اند اما ثبت نشده اند.

توجه داشته باشید

خط فاصله (-) در فیلدهایی از رکورد جاری که حاوی هیچ اطلاعاتی نیستند استفاده می شود.

ایجاد فایل های متنی netstat و tasklist

می توانید دو فایل ثبت سفارشی ایجاد کنید، یکی برای مشاهده آمار شبکه (لیستی از تمام پورت های گوش دادن) و دیگری برای مشاهده لیست وظایف سرویس و برنامه. لیست کار حاوی شناسه فرآیند (PID) برای رویدادهای موجود در فایل آمار شبکه است. مراحل ساخت این دو فایل در زیر توضیح داده شده است.

برای ایجاد فایل های متنی آمار شبکه و لیست وظایف، مراحل زیر را دنبال کنید:

    در خط فرمان، وارد کنید netstat -ano > netstat.txtو کلید را فشار دهید وارد.

    در خط فرمان، وارد کنید tasklist > tasklist.txtو کلید را فشار دهید وارد. اگر نیاز به ایجاد یک فایل متنی با لیست خدمات دارید، وارد کنید tasklist /svc > tasklist.txt.

    فایل های tasklist.txt و netstat.txt را باز کنید.

    کد فرآیندی که در حال تشخیص آن هستید را در فایل tasklist.txt بیابید و آن را با مقدار موجود در فایل netstat.txt مقایسه کنید. پروتکل های استفاده شده را ثبت کنید.

نمونه ای از صدور فایل های Tasklist.txt و Netstat.txt

Netstat.txt
PID ایالت آدرس خارجی آدرس محلی اولیه
TCP 0.0.0.0:XXX 0.0.0.0:0 LISTENING 122
TCP 0.0.0.0:XXXX 0.0.0.0:0 LISTENING 322
Tasklist.txt
نام تصویر PID نام جلسه نام جلسه# استفاده از Mem
==================== ======== ================ =========== ============
svchost.exe 122 Services 0 7,172 K
XzzRpc.exe 322 Services 0 5,104 K

توجه داشته باشید

آدرس های IP واقعی به "X" و سرویس RPC به "z" تغییر می کند.

مطمئن شوید که خدمات ضروری در حال اجرا هستند

خدمات زیر باید در حال اجرا باشد:

    سرویس فیلتر اولیه

    Client Policy Group

    ماژول های کلید IPsec برای تبادل کلید اینترنتی و احراز هویت IP

    خدمات جانبی IP

    سرویس عامل سیاست IPSec

    سرویس موقعیت مکانی شبکه

    خدمات فهرست شبکه

    دیوار آتش ویندوز

برای باز کردن Snap-in Services و تأیید اینکه سرویس های مورد نیاز در حال اجرا هستند، این مراحل را دنبال کنید:

    روی دکمه کلیک کنید شروع کنیدو یک بخش را انتخاب کنید صفحه کنترل.

    روی نماد کلیک کنید سیستم و نگهداری آنو یک بخش را انتخاب کنید مدیریت.

    روی نماد دوبار کلیک کنید خدمات.

    اگر کادر محاوره ای User Account Control ظاهر شد، اطلاعات کاربر مورد نیاز را با مجوزهای مناسب وارد کرده و کلیک کنید ادامه هید.

    اطمینان حاصل کنید که خدمات ذکر شده در بالا در حال اجرا هستند. اگر یک یا چند سرویس در حال اجرا نیستند، روی نام سرویس در لیست کلیک راست کرده و انتخاب کنید راه اندازی.

راه اضافی برای حل مشکلات

به عنوان آخرین راه حل، می توانید تنظیمات فایروال ویندوز خود را به حالت پیش فرض بازگردانید. بازگرداندن تنظیمات پیش فرض تمام تنظیمات انجام شده پس از نصب ویندوز ویستا را از دست می دهد. این ممکن است باعث شود برخی از برنامه ها کار نکنند. همچنین اگر کامپیوتر را از راه دور کنترل کنید، اتصال به آن قطع خواهد شد.

قبل از بازیابی تنظیمات پیش فرض، مطمئن شوید که پیکربندی فایروال فعلی خود را ذخیره کرده اید. این به شما امکان می دهد در صورت لزوم تنظیمات خود را بازیابی کنید.

در زیر مراحل ذخیره پیکربندی فایروال و بازیابی تنظیمات پیش فرض آورده شده است.

برای ذخیره تنظیمات فایروال فعلی، مراحل زیر را دنبال کنید:

    در ضربه محکم و ناگهانی فایروال ویندوز با امنیت پیشرفتهروی لینک کلیک کنید سیاست صادراتدر محدوده کنسول

برای بازگرداندن تنظیمات فایروال به حالت پیش فرض، مراحل زیر را دنبال کنید:

    در ضربه محکم و ناگهانی فایروال ویندوز با امنیت پیشرفتهروی لینک کلیک کنید بازیابی پیش فرض هادر محدوده کنسول

    هنگامی که یک فایروال ویندوز با اعلان امنیت پیشرفته دریافت کردید، کلیک کنید آرهبرای بازیابی مقادیر پیش فرض

نتیجه

راه های زیادی برای تشخیص و رفع مشکلات فایروال ویندوز با امنیت پیشرفته وجود دارد. از جمله:

    با استفاده از تابع مشاهدهبرای مشاهده اقدامات فایروال، قوانین امنیتی اتصال و ارتباطات امنیتی.

    رویدادهای ممیزی امنیتی مربوط به فایروال ویندوز را تجزیه و تحلیل کنید.

    ایجاد فایل های متنی فهرست وظیفه یا لیست کارو netstatبرای تحلیل تطبیقی



 


خواندن:



کلاس ها و فضاهای نام با استفاده و اعلان فضاهای نام

کلاس ها و فضاهای نام با استفاده و اعلان فضاهای نام

کلاس ها و فضاهای نام کلاس های NET Framework شاید بزرگترین مزیت نوشتن کد مدیریت شده - حداقل از نظر...

جزوه با موضوع "کامپیوتر و کودکان" وضعیت صحیح دست

جزوه در مورد موضوع

تمرینات ویژه ای برای چشمان خود انجام دهید! 1. فشردن و باز کردن شدید چشم ها با سرعت زیاد و پلک زدن مکرر چشم ها. 2. حرکت چشم ...

اسنوبورد: چگونه همه چیز شروع شد؟

اسنوبورد: چگونه همه چیز شروع شد؟

اسنوبورد یک ورزش المپیکی است که شامل پایین آمدن از دامنه ها و کوه های پوشیده از برف بر روی تجهیزات ویژه - اسنوبرد است. در اصل زمستان ...

عکس محل قرارگیری آن در نقشه جهان، توضیحات

عکس محل قرارگیری آن در نقشه جهان، توضیحات

از زمان های قدیم تا به امروز، آبراه های زیادی - کانال های مصنوعی - در جهان ایجاد شده است. وظایف اصلی این گونه مصنوعی ها تسهیل ...

فید-تصویر RSS