概要
Microsoft Windows XP Service Pack 2 (SP2) 包括 Microsoft Windows 防火墻，此更新的防火墻軟件將替代 Internet 連接防火墻 (ICF)。如果 Microsoft Windows 防火墻阻止某個服務或程序所使用的端口，您可以配置 Windows 防火墻以創建一個例外項。如果出現下列情況，則 Windows 防火墻可能阻止了某個程序或服務： • 程序不響應客戶端的請求。 
• 客戶端程序無法從服務器接收數據。 
Windows 防火墻安全警報可能會通知您 Windows 防火墻阻止了某個特定程序。發生這種情況時，您可以選擇“安全警報”對話框中的“取消阻止該程序”來取消阻止該程序。為幫助確定阻止了哪些程序和端口，您可以配置 Windows 防火墻來記錄被丟棄的數據包。通過使用 Windows 防火墻 Netsh 幫助程序，您可以在命令提示符下配置 Windows 防火墻和 Windows 防火墻日志記錄。問題并不總是由程序兼容性造成的。組策略設置也可能會禁止運行程序。Windows XP Service Pack 2 (SP2) 包含多個實用工具，您可以使用這些工具來解決 Windows 防火墻問題。 
 
簡介
解決防火墻阻止問題的最好方法是修改程序，使其與有狀態的篩選防火墻一起使用。如果無法修改程序，則可以配置 Windows 防火墻，以便為特定端口和程序添加例外項。本文討論與 Windows XP Service Pack 2 防火墻的默認配置有關的故障癥狀，如何配置例外端口和程序，以及如何解決防火墻設置問題。


 
更多信息
識別故障癥狀
與防火墻的默認配置有關的故障有兩種表現形式： • 客戶端程序無法從服務器接收數據。例如，下列客戶端程序無法接收數據： • FTP 客戶端 
• 多媒體流軟件 
• 某些電子郵件程序中的新郵件通知 
 
• 在基于 Windows XP 的計算機上運行的服務器程序無法響應客戶端請求。例如，下列服務器程序無法響應： • Web 服務器，如 Internet 信息服務 (IIS) 
• 遠程桌面 
• 文件共享 
注意： • 網絡程序中的故障不只限于防火墻問題。RPC 或 DCOM 的安全更改也可能會導致出現這些故障。因此，您必須確定該故障是否與指示某個程序被阻止的 Windows 防火墻安全警報一起出現。  
• 服務故障不會與 Windows 防火墻安全警報一起出現，因為服務通常與用戶登錄會話無關。如果故障與服務相關，可按照“使用 Windows 安全中心來配置 Windows 防火墻”一節中討論的方法來配置防火墻。 
 
如果某個程序被阻止，您可能會收到以下 Windows 防火墻安全警報：


為幫助保護您的計算機，Windows 防火墻已阻止該程序從 Internet 或網絡接收未經請求的信息。

名稱：程序名稱
發行商：發行商名稱


取消阻止該程序 
繼續阻止該程序 
繼續阻止該程序，但以后要再次詢問我 

了解 Windows 防火墻的更多信息。




使用 Windows 防火墻安全警報來配置 Windows 防火墻
Windows 防火墻安全警報提供以下三個選項： • 取消阻止該程序。 
• 繼續阻止該程序。 
• 繼續阻止該程序，但以后要再次詢問我。 

要取消阻止該程序，可在“安全警報”對話框中單擊“取消阻止該程序”，然后單擊“確定”。

使用 Windows 安全中心來配置 Windows 防火墻
添加例外程序
在將程序添加到例外列表中后，防火墻就可以打開多個端口范圍，每次運行該程序時，這些端口范圍都可能會發生變化。要添加例外程序，請按照下列步驟操作： 1. 使用管理員帳戶登錄。 

有關如何確定當前登錄的帳戶是否是管理員帳戶的其他信息，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應的文章： 
871211 (http://support.microsoft.com/kb/871211/) 如何檢查您是否以管理員身份登錄以及計算機是否有適當的組策略  
2. 單擊“開始”，單擊“運行”，鍵入 Wscui.cpl，然后單擊“確定”。 
3. 在“Windows 安全中心”窗口中，單擊“Windows 防火墻”。 
4. 在“例外”選項卡上，單擊“添加程序”。 
5. 在程序列表中，單擊要添加的程序的名稱，然后單擊“確定”。如果您的程序名不在程序列表中，請單擊“瀏覽”以查找該程序，然后單擊“確定”。


注意：如果不知道該程序的位置，請與程序供應商聯系以確定程序位置。

有關如何與程序供應商聯系的信息，請單擊下面列表中適當的文章編號，以查看 Microsoft 知識庫中相應的文章： 
65416 (http://support.microsoft.com/kb/65416/) 硬件和軟件供應商聯系信息，A-K

60781 (http://support.microsoft.com/kb/60781/) 硬件和軟件供應商聯系信息，L-P

60782 (http://support.microsoft.com/kb/60782/) 硬件和軟件供應商聯系信息，Q-Z 
6. 單擊“確定”關閉“Windows 防火墻”。 
7. 測試該程序以檢查防火墻設置是否正確。 



添加例外端口
如果通過將程序添加到例外列表中不能解決此問題，則可以手動添加端口。為此，您必須首先確定該程序所使用的端口。確定所使用端口的可靠方法是與程序供應商取得聯系。如果無法聯系供應商，或者找不到端口列表，則可以使用 Netstat.exe 工具來確定所使用的端口。


確定端口
1. 啟動該程序，并嘗試使用其網絡功能。例如，對于多媒體程序，嘗試啟動音頻流。對于 Web 服務器，嘗試啟動服務。 
2. 在命令提示符下，鍵入 Netstat –ano > netstat.txt，然后按 Enter 鍵。此命令可創建 Netstat.txt 文件。該文件會列出所有偵聽端口。 
3. 在命令提示符下，鍵入 Tasklist > tasklist.txt，然后按 Enter 鍵。如果該程序作為服務運行，請鍵入 Tasklist /svc > tasklist.txt 而不是 Tasklist > tasklist.txt，以便列出每個進程中加載的服務。 
4. 打開 Tasklist.txt 文件，然后找到要排查其問題的程序。記下進程的進程標識符，然后打開 Netstat.txt 文件。記下與該進程標識符關聯的任何條目和所使用的協議。 
如果進程的端口號小于 1024，則端口號可能不會發生變化。如果使用的端口號大于 1024，則程序可能會使用某個范圍內的端口。因此，打開個別端口可能無法解決此問題。


添加例外端口
1. 單擊“開始”，單擊“運行”，鍵入 Wscui.cpl，然后單擊“確定”打開“Windows 防火墻”。 
2. 單擊“例外”選項卡，然后單擊“添加端口”以顯示“添加端口”對話框。 
3. 輸入程序所使用的端口號。 
4. 根據程序使用的協議，選擇 TCP 或 UDP 協議。 
5. 在“名稱”字段中，為該端口鍵入一個描述性名稱。 
6. 單擊“更改范圍”以查看或設置例外端口的范圍，然后單擊“確定”。 
7. 單擊“確定”以關閉“添加端口”對話框。 
8. 要驗證程序的端口設置是否正確，請測試該程序。 



使用日志記錄
您可以啟用日志記錄，以幫助確定入站通信的來源，并提供有關被阻止的通信的詳細信息。%Windir%/pfirewall.log 是默認的日志文件。要啟用日志記錄，請按照下列步驟操作： 1. 單擊“開始”，單擊“運行”，鍵入 Firewall.cpl，然后單擊“確定”。 
2. 單擊“高級”選項卡。 
3. 在“安全記錄”中，單擊“設置”。 
4. 在“日志設置”中，單擊選中“記錄被丟棄的數據包”復選框，然后單擊“確定”。 
5. 單擊“確定”關閉“Windows 防火墻”。 

注意：不會記錄成功的出站通信。也不會記錄未被阻止的出站通信。



解釋日志文件
對于記錄的每個數據包，都會收集以下日志信息：

字段 說明 示例 
Date 顯示記錄的事務發生時的年、月和日。日期的記錄格式為 YYYY-MM-DD，其中 YYYY 表示年，MM 表示月，DD 表示天。 2001-01-27 
Time 顯示記錄的事務發生時的小時、分鐘和秒。時間的記錄格式為：HH:MM:SS，其中 HH 是以 24 小時格式表示的小時，MM 表示分鐘數，SS 表示秒數。 21:36:59 
Action 指示防火墻觀察到的操作。防火墻的可用選項有 OPEN、CLOSE、DROP 和 INFO-EVENTS-LOST。INFO-EVENTS-LOST 操作指示已發生但未記錄在日志中的事件數。 OPEN 
Protocol 顯示通信時所使用的協議。協議條目也可以是一個數字，用來表示不使用 TCP、UDP 或 ICMP 的數據包。 TCP 
src-ip 顯示源 IP 地址，即嘗試建立通信的計算機的 IP 地址。 192.168.0.1 
dst-ip 顯示通信嘗試的目標 IP 地址。 192.168.0.1 
src-port 顯示發送計算機的源端口號。src-port 條目以 1 到 65,535 之間的整數形式記錄。只有 TCP 和 UDP 會顯示有效的 src-port 條目。所有其他協議的 src-port 條目均顯示為“-”。 4039 
dst-port 顯示目標計算機的端口號。dst-port 條目以 1 到 65,535 之間的整數形式記錄。只有 TCP 和 UDP 會顯示有效的 dst-port 條目。所有其他協議的 dst-port 條目均顯示為“-”。 53 
size 顯示以字節表示的數據包大小。 60 
tcpflags 顯示 IP 數據包 TCP 報頭中的 TCP 控制標志： • Ack：確認字段有效 
• Fin：沒有來自發送方的其他數據 
• PSH：推入功能 
• Rst：重置連接 
• Syn：同步序列號 
• Urg：緊急指針字段有效 
標志均采用大寫字母形式。 AFP 
tcpsyn 顯示數據包中的 TCP 序列號。 1315819770 
tcpack 顯示數據包中的 TCP 確認號。 0 
tcpwin 顯示數據包中用字節表示的 TCP 窗口大小。 64240 
icmptype 顯示一個數字，表示 ICMP 消息的“類型”字段。 8 
icmpcode 顯示一個數字，表示 ICMP 消息的“代碼”字段。 0 
info 顯示一個信息條目，具體取決于執行的操作類型。例如，INFO-EVENTS-LOST 操作為以下事件個數創建一個條目：從該事件類型最后一次發生后發生但未記錄到日志中的事件。 23 

注意：連字符 (-) 用于其中沒有條目信息的字段。



使用命令行支持
Windows 防火墻 Netsh 幫助程序已添加到 Windows XP 的 Microsoft Advanced Networking Pack 中。此命令行幫助程序以前適用于 IPv6 Windows 防火墻。在 Windows XP Service Pack 2 中，該幫助程序現在支持對 IPv4 進行配置。

通過使用 Netsh 幫助程序，您現在可以： • 配置 Windows 防火墻的默認狀態。（選項包括“關閉”、“啟用”和“啟用并且沒有例外”。） 
• 配置必須打開的端口。 
• 配置端口以啟用全局訪問，或限制對本地子網的訪問。 
• 將端口設置為在所有接口上打開，或者僅在特定接口上打開。 
• 配置日志記錄選項。 
• 配置 Internet 控制消息協議 (ICMP) 處理選項。 
• 在例外列表中添加或刪除程序。 
這些配置選項適用于 IPv4 Windows 防火墻和 IPv6 Windows 防火墻，但 Windows 防火墻版本中不存在的特定功能除外。



收集診斷數據
可以使用 Netsh.exe 工具，在命令行中檢索 Windows 防火墻的配置和狀態信息。此工具將 IPv4 防火墻支持添加到以下 Netsh 上下文中： 
netsh firewall
要使用此上下文，請在命令提示符下鍵入 netsh firewall，然后根據需要使用其他 Netsh 命令。以下命令對于收集防火墻狀態和配置信息非常有用： • Netsh firewall show state 
• Netsh firewall show config 

可以將這些命令的輸出與 netstat –ano 命令的輸出進行比較，確定可能打開偵聽端口并且在防火墻配置中無相應例外項的程序。下表列出了受支持的數據收集和配置命令。

注意：只有管理員能夠修改設置。

數據收集 命令 說明 
show allowedprogram 顯示允許的程序。 
show config 顯示詳細的本地配置信息。 
show currentprofile 顯示當前配置文件。 
show icmpsetting 顯示 ICMP 設置。 
show logging 顯示日志記錄設置。 
show opmode 顯示操作模式。 
show portopening 顯示例外端口。 
show service 顯示服務。 
show state 顯示當前的狀態信息。 
show notifications 顯示當前通知設置。 

配置 命令 說明 
add allowedprogram 用于通過指定程序的文件名來添加例外通信。 
set allowedprogram 用于修改現有允許的程序的設置。 
delete allowedprogram 用于刪除現有允許的程序。 
set icmpsetting 用于指定允許的 ICMP 通信。 
set logging 用于為 Windows 防火墻指定全局日志記錄選項，或為特定連接（接口）指定日志記錄選項。 
set opmode 用于為 Windows 防火墻指定全局操作模式，或為特定連接（接口）指定操作模式。 
add portopening 用于通過指定 TCP 或 UDP 端口來添加例外通信。 
set portopening 用于修改現有打開的 TCP 或 UDP 端口的設置。 
delete portopening 用于刪除現有打開的 TCP 或 UDP 端口。 
set service 用于啟用或丟棄 RPC 和 DCOM 通信、文件和打印機共享以及 UPnP 通信。 
set notifications 用于指定當程序試圖打開端口時是否通知用戶。 
reset 將防火墻配置重置為默認設置。它提供與“Windows 防火墻”界面中的“還原為默認值”按鈕相同的功能。 




解決防火墻問題
除程序兼容性問題外，Windows 防火墻還可能會出現其他問題。請按照下列步驟操作來診斷問題： 1. 要檢查 TCP/IP 是否正常工作，請使用 ping 命令測試環回地址 (127.0.0.1) 和分配的 IP 地址。 
2. 檢查用戶界面中的配置，確定是否誤將防火墻設置為“關閉”或“啟用并且沒有例外”。 
3. 使用 netsh 命令收集防火墻狀態和配置信息，以查找無意中設定的可能妨礙防火墻正常運行的設置。 
4. 在命令提示符下鍵入以下命令來確定“Windows 防火墻/Internet 連接共享”服務的狀態： 
sc query sharedaccess
（該服務的簡稱是 SharedAccess。）如果此服務未啟動，請根據 Win32 退出代碼來排查服務啟動問題。 
5. 在命令提示符下鍵入以下命令來確定 Ipnat.sys 防火墻驅動程序的狀態： 
sc query ipnat
此命令還會返回上一次啟動嘗試的 Win32 退出代碼。如果驅動程序未啟動，請使用適用于任何其他驅動程序的故障排查步驟。 
6. 如果該驅動程序和服務均在運行，而且事件日志中沒有相關的錯誤，請使用“Windows 防火墻”屬性“高級”選項卡上的“還原為默認值”選項來消除任何可能有問題的配置。 
7. 如果問題仍未解決，請查找可能產生異常行為的策略設置。為此，請在命令提示符下鍵入 GPResult /v > gpresult.txt，然后檢查生成的文本文件以查找與防火墻有關的配置策略。 


配置 Windows 防火墻組策略
請與您的網絡管理員聯系，確定組策略設置是否禁止程序和方案在企業環境中運行。 

Windows 防火墻組策略設置位于以下“組策略對象編輯器”管理單元路徑中： • 計算機配置/管理模板/網絡/網絡連接/Windows 防火墻 
• 計算機配置/管理模板/網絡/網絡連接/Windows 防火墻/域配置文件 
• 計算機配置/管理模板/網絡/網絡連接/Windows 防火墻/標準配置文件  

從這些位置，您可以配置以下組策略設置： • Windows 防火墻：允許已驗證的 Internet 協議安全 (IPSec) 繞過 
• Windows 防火墻：保護所有網絡連接 
• Windows 防火墻：不允許例外 
• Windows 防火墻：定義例外程序 
• Windows 防火墻：允許本地程序例外 
• Windows 防火墻：允許遠程管理例外 
• Windows 防火墻：允許文件和打印共享例外  
• Windows 防火墻：允許 ICMP 例外 
• Windows 防火墻：允許遠程桌面例外 
• Windows 防火墻：允許通用即插即用 (UpnP) 框架例外 
• Windows 防火墻：禁止通知 
• Windows 防火墻：允許日志記錄 
• Windows 防火墻：禁止對多播或廣播請求進行單播響應 
• Windows 防火墻：定義例外端口 
• Windows 防火墻：允許本地端口例外