Solución de problemas de tráfico de la aplicación/red al utilizar Firewall de ENS
Artículos técnicos ID:
KB90662
Última modificación: 2022-09-12 16:57:29 Etc/GMT
Última modificación: 2022-09-12 16:57:29 Etc/GMT
Entorno
Firewall Endpoint Security (ENS) 10.x
Resumen
Actualizaciones recientes de este artículo
Aplicaciones de terceros que Firewall de ENS bloquea:
Si el Firewall de ENS bloquea una aplicación de terceros para que no funcione correctamente, póngase en contacto con el equipo de soporte de proveedores de aplicaciones de terceros. Solicite documentación sobre el tráfico de red específico que debería permitirse a través del Firewall ENS. El sitio web del proveedor de terceros también puede contener documentación sobre el tráfico de red que necesita la aplicación. Con los requisitos de tráfico de red documentados, puede crear reglas de firewall para permitir el tráfico de red a través de la Firewall de ENS para que la aplicación de terceros funcione correctamente.
Siga estos pasos para solucionar los problemas relacionados con la aplicación o el tráfico de red al utilizar Firewall de ENS:
Seleccione registro de depuración para el módulo Firewall de ENS
Seleccione la "registrar todo el tráfico bloqueado" y "registrar todo el tráfico permitido" Firewall opciones de registro
Prueba activando la función de modo de adaptación de Firewall de ENS
Tenga en cuenta las limitaciones de la función de modo de adaptación de Firewall de ENS. Hay condiciones en las que la Firewall ENS no puede crear automáticamente reglas de cliente. Consulte la sección Preguntas frecuentes de "-modo de adaptación" de la Guía del producto Endpoint Security correspondiente para obtener detalles.
La activación de la función de modo de adaptación de Firewall de ENS permite dos pasos de solución de problemas.
Volver al principio
Probar mediante la opción permitir cualquier directiva
Para implementar una directiva de permiso, debe modificar las directivas de firewall de Endpoint Security, Opciones y regpara los con la configuración que se describe a continuación.
Prueba al aislar el tipo de tráfico de red que resuelve el problema
Para determinar qué tipo de tráfico de red está relacionado con el problema, aísle el tráfico de la red mediante distintos criterios. Las combinaciones genéricas diferentes pueden ayudarle a determinar el tipo de tráfico de red en el que debe centrarse al revisar las entradas bloqueadas en elFirewallEventMonitor.log archivo.
Nota: La lista proporcionada a continuación es solo una guía de algunos ejemplos de criterios y no pretende ser una lista completa.
Ejemplo de uso:
Si se permite que todo el tráfico entrante resuelva el problema, restrinja aún más la regla a TCP frente a UDP frente a ICMP.
Si permite que todo el tráfico TCP entrante resuelva el problema, revise los registros de firewall para el tráfico TCP entrante bloqueado .
Ejemplos de combinaciones genéricas:
Probar mediante la admisión de protocolos no admitidos
Active la opción permitir tráfico para protocolos no admitidos en la firewall de Endpoint Security, la directiva Opciones y volver a probar para comprobar si esta acción resuelve el problema.
Volver al principio
Prueba desactivando la funcionalidad de reputación de la red de GTI
Defina el umbral de reputación de red entrante y el umbral de reputación de red saliente que no se bloqueará en la directiva firewall de Endpoint Security, Opciones . A continuación, vuelva a probar y confirme si esta acción resuelve el problema. La función reputación de red de GTI procesa el tráfico de red antes que el resto de reglas de Firewall contenidas en la Directiva reglas de firewall , que podría contener una regla de Firewall permitir cualquier-cualquiera . Si la funcionalidad de reputación de red de GTI bloquea el tráfico de red, consulte KB90837-FAQ para Firewall de Endpoint Security Global Threat Intelligence.
Volver al principio
Prueba desactivando el GTI "bloquear todos los ejecutables no de confianza" funcionalidad
Desactive la opción bloquear todos los ejecutables que no sean de confianza en la directiva firewall de Endpoint Security, Opciones . A continuación, vuelva a probar y confirme si esta acción resuelve el problema. Esta función bloquea todos los archivos ejecutables que no están firmados o tienen una reputación de GTI desconocida. Para obtener información sobre esta función, consulte KB90096-explicación de la regla de verificación de "ejecutable." El tráfico de red bloqueado por esta función se registra en elFirewallEventMonitor.log archivo con la entrada: regla coincidente: regla de verificación de ejecutable.
Volver al principio
Para la prueba, desactive la "permitir únicamente el tráfico saliente hasta que Firewall servicios se hayan iniciado" función
Desactive la opción permitir solo tráfico saliente hasta que se hayan iniciado los servicios Firewall en la directiva de firewall de Endpoint Security, Opciones . A continuación, vuelva a probar y compruebe si esta acción resuelve el problema. Esta función crea un conjunto de reglas de firewall codificadas de forma rígida en la kernel durante Windows hora de arranque. Las reglas se eliminan cuando los servicios de ENS se han iniciado por completo. Estas reglas pueden bloquear el tráfico de la red de la aplicación durante el proceso de inicio de Windows, lo que puede provocar problemas. Para obtener un problema conocido con esta función, consulte KB90765-Tras desinstalar el módulo Firewall de Endpoint Security, el cliente bloquea las conexiones de red entrantes.
Volver al principio
Prueba desactivando las reglas de red principales
Las reglas de red principales permiten algunos tipos de tráfico de red básico. Para obtener más información, consulte KB91206-FAQ para Firewall de Endpoint Security "desactivar McAfee Core Network Rules" función. Si dispone de una regla de bloqueo que bloquee correctamente el tráfico de red, activar la opción desactivar McAfee reglas de redes principales de la directiva firewall de Endpoint Security, Opciones . Vuelva a realizar la prueba para confirmar si esta acción resuelve el problema. Con la opción de registro ENS todos los bloqueados Seleccionedos, elFirewallEventMonitor.log archivo debe documentar los nombres de las reglas aplicables desde el grupo reglas de redes principales cuando cualquiera de estas reglas permita el tráfico de red.
Volver al principio
Comprobar activando las reglas de red principales
Las reglas de red principales permiten algunos tipos de tráfico de red básico. Para obtener más información, consulte KB91206-FAQ para Firewall de Endpoint Security "desactivar McAfee Core Network Rules" función. Es posible que algunos tráfico de red deban ser permitidos por estas reglas de firewall codificadas de forma rígida. Algunos clientes pueden optar por desactivar las reglas de red principales y esta opción puede provocar problemas.
Nota: La opción desactivar reglas de redes principales McAfee está desactivada de forma predeterminada. Es posible que los clientes que hayan activado esta opción (para desactivar estas reglas) tengan que restablecer esta función a su valor predeterminado con fines de prueba.
Comprobación de los valores de estado de Firewall de Firewall ENS y Windows Defender en Windows Security Center
Firewall de ENS asume ciertas categorías de Firewall en un sistema de Windows cuando está activada. Ejecute elnetsh advfirewall show global comando mediante un símbolo del sistema de administrador para verificar que los valores de categoría estén establecidos como sigue:
Volver al principio
Fecha | Actualización |
23 de junio de 2022 | Cambios de formato leves; no hay cambios de contenido. |
Aplicaciones de terceros que Firewall de ENS bloquea:
Si el Firewall de ENS bloquea una aplicación de terceros para que no funcione correctamente, póngase en contacto con el equipo de soporte de proveedores de aplicaciones de terceros. Solicite documentación sobre el tráfico de red específico que debería permitirse a través del Firewall ENS. El sitio web del proveedor de terceros también puede contener documentación sobre el tráfico de red que necesita la aplicación. Con los requisitos de tráfico de red documentados, puede crear reglas de firewall para permitir el tráfico de red a través de la Firewall de ENS para que la aplicación de terceros funcione correctamente.
Siga estos pasos para solucionar los problemas relacionados con la aplicación o el tráfico de red al utilizar Firewall de ENS:
Nota: No es necesario realizar todos estos pasos. Algunas de las pruebas a continuación solo se aplican en función del problema en el que esté solucionando problemas y de la configuración de firewall en uso. Los pasos más importantes son la activación del registro de depuración, "registrar todo el tráfico bloqueado," y "registrar todo el tráfico permitido."
- Seleccione registro de depuración para el módulo Firewall de ENS
- Seleccione la "registrar todo el tráfico bloqueado" y "registrar todo el tráfico permitido" Firewall opciones de registro
- Prueba activando la función de modo de adaptación de Firewall de ENS
- Pasos para la solución de problemas Si activa la función de modo de adaptación Firewall de ENS soluciona el problema
- Probar mediante la opción permitir cualquier directiva
- Prueba al aislar el tipo de tráfico de red que resuelve el problema
- Probar mediante la admisión de protocolos no admitidos
- Prueba desactivando la funcionalidad de reputación de red Global Threat Intelligence (GTI)
- Prueba desactivando el GTI "bloquear todos los ejecutables no de confianza" funcionalidad
- Para la prueba, desactive la "permitir únicamente el tráfico saliente hasta que Firewall servicios se hayan iniciado" función
- Prueba desactivando las reglas de red principales
- Comprobar activando las reglas de red principales
- Comprobación de los valores de estado de Firewall de Firewall ENS y Windows Defender en Windows Security Center
- Recopilación de datos mediante requisitos mínimos de escalación (MER),
FWInfo AMTrace herramientas y software de captura de red
Seleccione registro de depuración para el módulo Firewall de ENS
- Para los sistemas gestionados de ePolicy Orchestrator (ePO):
- Abra la consola de ePO.
- Edite la directiva Endpoint Security ajustes generales, Opciones .
- Haga clic en Mostrar avanzadas.
- Seleccione Seleccione para firewall en la sección depurar registro .
- Guarde la directiva.
- Para sistemas independientes que ePO no gestiona:
- Abra la consola de ENS desde el icono del área de notificación de McAfee Agent o mediante la ejecución de la aplicación
\Program Files (x86)\McAfee\Endpoint Security\Endpoint Security Platform\MFEConsole.exe . - Haga clic en el módulo firewall o haga clic en la flecha hacia abajo de la esquina superior derecha y, a continuación, haga clic en configuración.
Nota: Es posible que tenga que desbloquear primero la consola de ENS mediante el Administrador iniciar sesión.
- Haga clic en la sección ajustes generales .
- Haga clic en Mostrar avanzadas.
- Seleccione Seleccione para firewall en la sección depurar registro .
- Haga clic en Aplicar.
- Abra la consola de ENS desde el icono del área de notificación de McAfee Agent o mediante la ejecución de la aplicación
Seleccione la "registrar todo el tráfico bloqueado" y "registrar todo el tráfico permitido" Firewall opciones de registro
- Active la opción registrar todo el tráfico bloqueado y registrar todas las opciones de registro de Firewall de tráfico permitido :
- Para sistemas gestionados por ePO:
- Abra la consola de ePO.
- Edite la Directiva de opciones firewall de Endpoint Security.
- Haga clic en Mostrar avanzadas.
- Seleccione registrar todo el tráfico bloqueado y Registre todo el tráfico permitido en la sección Opciones de ajuste .
- En actividades relacionadas con GTI, seleccione Registrar tráfico coincidente en la sección reputación de red McAfee GTI .
- Guarde la directiva.
- Para sistemas independientes que ePO no gestiona:
- Abra la consola de ENS.
- Abra la configuración del módulo firewall .
- Seleccione registrar todo el tráfico bloqueado y Registre todo el tráfico permitido en la sección Opciones de ajuste .
- En actividades relacionadas con GTI, seleccione Registrar tráfico coincidente en la sección reputación de red McAfee GTI .
- Haga clic en Aplicar.
- Para sistemas gestionados por ePO:
- Reproduzca el problema.
- Revise el
FirewallEventMonitor.log archivo para obtener detalles sobre el tráfico de red bloqueado y permitido. ElFirewallEventMonitor.log archivo se encuentra en el directorio\ProgramData\McAfee\Endpoint Security\Logs\
Prueba activando la función de modo de adaptación de Firewall de ENS
Tenga en cuenta las limitaciones de la función de modo de adaptación de Firewall de ENS. Hay condiciones en las que la Firewall ENS no puede crear automáticamente reglas de cliente. Consulte la sección Preguntas frecuentes de "-modo de adaptación" de la Guía del producto Endpoint Security correspondiente para obtener detalles.
Para obtener los documentos del producto, vaya al portal de documentación del producto.
- Edite la Directiva de Opciones de firewall de Endpoint Securitydesde la consola de ePO o la consola de ens.
- Haga clic en Mostrar avanzadas.
- Seleccione Seleccione modo de adaptación (crea reglas en el cliente automáticamente) en la sección Opciones de ajuste .
Nota: Si el cliente de ENS es gestionado por ePO, también activar la opción conservar las reglas agregadas por el usuario y las reglas de modo de adaptación existentes cuando se implementa esta directiva . Esta opción permite que el cliente de ENS Conserve estas reglas de cliente y no elimine las reglas de cliente si se produce una implementación de directivas McAfee Agent. Permite cargar las reglas de cliente en el servidor de ePO para la administración de directivas. La tarea servidor de Firewall de ENS traductor de propiedades ePO procesa las reglas de cliente y las convierte de reglas de cliente individuales a reglas de cliente de ePO que se puede administrar en el menú informes, firewall reglas de cliente . Esta tarea no es la tarea servidor de ENSFW traductor de propiedades , sino una tarea interna oculta que se ejecuta automáticamente cada 15 minutos. Mantenga la tarea servidor de ENSFW traductor de propiedades no oculta siempre en estado desactivado .
- Aplique la directiva modificada al cliente y vuelva a probar el problema. Si el problema se ha resuelto, continúe con el paso siguiente. Si el problema no se ha resuelto, continúe con la siguiente sección.
- Abra la consola de ENS y abra el menú de firewall .
- Desplácese hacia abajo hasta la sección regpara los y revise el grupo de Firewall adaptable .
- Amplíe el grupo de firewall adaptable y revise las reglas de cliente para determinar por qué se han creado las reglas nuevas. Se pueden crear reglas de Firewall cliente por muchas razones. Modifique las reglas existentes según sea necesario o cree reglas de firewall en la Directiva, si existen otras reglas de firewall en la Directiva para esa aplicación o tráfico de red específicos. Si cree que las reglas se han creado por error, póngase en contacto con Soporte técnico para obtener más información. Consulte la sección información relacionada con "" para ver los detalles de contacto.
La activación de la función de modo de adaptación de Firewall de ENS permite dos pasos de solución de problemas.
- Compruebe si se han creado reglas de cliente de modo de adaptación para el tráfico de red aplicable. Abra el menú de ENS firewall cliente y, a continuación, vaya a la sección reglas . Localice el grupo de firewall adaptable . Haga clic en el signo de > y abra el grupo y enumere las reglas de cliente local. Si el grupo está atenuado y no se puede abrir, no se han creado reglas de cliente de forma local en el sistema. Si el cliente de ENS es gestionado por ePO, estas reglas de cliente de modo de adaptación se envían al servidor de ePO para Firewall administración de reglas de cliente. Revise la Firewall reglas de cliente en el menú de reglas de generación de informes, firewall cliente .
- Firewall de ENS modo de adaptación también cambia la regla predeterminada bloquear todo el tráfico en la parte inferior de la Directiva cliente. Cambia este valor predeterminado a una regla "permitir todos los" denominada regla de adaptación. Si no se crearon reglas de cliente adaptables en el paso anterior, revise el
FirewallEventMonitor.log archivo de la regla coincidencia de registros: entradas de regla adaptable . Estas entradas contienen el tráfico de red que otras reglas de firewall no permiten o no se bloquean y que el modo de adaptación no aprende. Debe crear manualmente reglas de firewall, de forma local en el cliente o mediante la Directiva de ePO, para este tráfico coincidente. Estas reglas le ayudan a identificar qué tráfico de red resuelve el problema. Es posible que más de un tipo de tráfico de red resuelva un problema de aplicación de terceros concreto. Para el tráfico de red permitido a través de la regla de Firewall denominada regla adaptable, la ruta del ejecutable es normalmente, lo que significa que el ejecutable de la regla de Firewall definida debe estar < también>en blanco.
Ejemplo:
Time: 01/13/2020 11:30:38 AM
Event: Traffic
IP Address: 10.10.10.1
Description:
Path:
Message: Allowed Incoming UDP - Source 10.10.10.1 : (56711) Destination 10.10.10.2 : (49284)
Matched Rule: Adaptive Rule
Volver al principio
Probar mediante la opción permitir cualquier directiva
Para implementar una directiva de permiso, debe modificar las directivas de firewall de Endpoint Security, Opciones y regpara los con la configuración que se describe a continuación.
- Edite la directiva firewall de Endpoint Security, Opciones como sigue, mediante la consola de ePO o la consola de ENS:
- Haga clic en Mostrar avanzadas.
- En la sección firewall , seleccione Seleccione Firewall.
- En la sección Opciones de protección , configure las siguientes opciones:
- Permitir tráfico para protocolos no admitidos: Seleccionedo
- Permitir solo tráfico saliente hasta que se inicien firewall servicios: desactivado
- Permitir tráfico en puente Seleccionedo
- En la sección Opciones de ajuste , configure las siguientes opciones:
- Seleccione modo de adaptación- desactivado
- Desactivar reglas de redes principales: Seleccioneda
Nota: le recomendamos que deje esta función activada; la desactivación de las reglas de red principales podría interrumpir las comunicaciones de red en el cliente.
- Registrar todo el tráfico bloqueado: Seleccionedo
- Registrar todo el tráfico permitido Seleccionedo
- En la sección reputación de red McAfee GTI , configure las siguientes opciones:
- Tratar coincidencia de GTI como intrusión desactivada
- Tráfico de coincidencia de registros Seleccionedo
- Bloquear todos los ejecutables que no son de confianza: desactivado
- Umbral de reputación de red entrante: no bloquear
- Umbral de reputación de red saliente, no bloquear
- En el caso de ENS 10.6.0 y posteriores, el servidor de calificaciones de GTI no es accesible y no es necesario realizar ninguna configuración.
- En la sección bloqueo de DNS , no es necesaria ninguna configuración.
- En la sección redes definidas , no es necesario realizar ninguna configuración.
- En la sección archivos ejecutables de confianza , no es necesario realizar ninguna configuración.
- Edite el firewall de Endpoint Security, la directiva reglas como sigue desde la consola de ePO o la consola de ENS:
- Haga clic en Agregar regla.
- En la sección Descripción , configure las siguientes opciones:
- Nombre: permitir cualquier
- Estado- Seleccione regla
- Acciones- permitir
- Tratar coincidencia como intrusión desactivada
- Tráfico de coincidencia de registros- desactivado
- Dirección, ya sea
- En la sección redes , configure las siguientes opciones:
- Protocolo de red: cualquier protocolo
- Tipos de conexión: seleccione todos los tipos mostrados.
- Especificar redes : no es necesaria ninguna configuración.
En la sección transporte , configure las siguientes opciones: - Protocolo de transporte: todos los protocolos
- En la sección aplicaciones , no es necesario realizar ninguna configuración.
- En la sección planificación , configure las siguientes opciones:
- Seleccione planificación- desactivado
- Seleccione planificación- desactivado
- Vuelva a probar el problema.
Si el problema se ha resuelto, expanda todos los grupos de reglas de firewall de la Directiva con nombre y analice cada una de las reglas de firewall de arriba abajo. Preste especial atención a las reglas que tienen el bloqueo como acción. En función de esta revisión, mueva la regla any-any hacia abajo a varias posiciones en el conjunto de reglas. Si no se encuentra una regla, agregue la regla adecuada al conjunto de directivas firewall y a la nueva prueba. Si lo hace varias veces y volver a probar el problema, puede determinar qué regla está bloqueando la aplicación.
Nota: Verifique que los detalles de la aplicación coincidan con los detalles del ejecutable de forma adecuada. Por ejemplo, el valor de Descripción de archivo debe ser la descripción exacta de la aplicación; Este valor no es un valor de comentario para la aplicación. Para obtener más información, consulte KB71735-purpose del campo Descripción del archivo ejecutable en firewall de Endpoint Security y Host Intrusion Prevention.
Prueba al aislar el tipo de tráfico de red que resuelve el problema
Para determinar qué tipo de tráfico de red está relacionado con el problema, aísle el tráfico de la red mediante distintos criterios. Las combinaciones genéricas diferentes pueden ayudarle a determinar el tipo de tráfico de red en el que debe centrarse al revisar las entradas bloqueadas en el
Nota: La lista proporcionada a continuación es solo una guía de algunos ejemplos de criterios y no pretende ser una lista completa.
Ejemplo de uso:
Si se permite que todo el tráfico entrante resuelva el problema, restrinja aún más la regla a TCP frente a UDP frente a ICMP.
Si permite que todo el tráfico TCP entrante resuelva el problema, revise los registros de firewall para el tráfico TCP entrante bloqueado .
Ejemplos de combinaciones genéricas:
- Permitir todo el tráfico saliente
- Permitir todo el tráfico entrante
- Permitir todo el tráfico IPv4
- Entrante frente a saliente
- TCP frente a UDP frente a ICMP
- Permitir todo el tráfico IPv6
- Entrante frente a saliente
- TCP frente a UDP frente a ICMP
- Permitir todo el tráfico TCP
- Entrante frente a saliente
- Entrante frente a saliente
- Permitir todo el tráfico UDP
- Entrante frente a saliente
- Entrante frente a saliente
- Permitir todo el tráfico ICMP
- Entrante frente a saliente
- ICMPv4 frente a ICMPv6
- Permitir todo el tráfico de difusión ( 255.255.255.255 )
- Permitir todo el tráfico de multidifusión ( 224.0.0.252 - 239.255.255.250 )
Probar mediante la admisión de protocolos no admitidos
Active la opción permitir tráfico para protocolos no admitidos en la firewall de Endpoint Security, la directiva Opciones y volver a probar para comprobar si esta acción resuelve el problema.
Volver al principio
Prueba desactivando la funcionalidad de reputación de la red de GTI
Defina el umbral de reputación de red entrante y el umbral de reputación de red saliente que no se bloqueará en la directiva firewall de Endpoint Security, Opciones . A continuación, vuelva a probar y confirme si esta acción resuelve el problema. La función reputación de red de GTI procesa el tráfico de red antes que el resto de reglas de Firewall contenidas en la Directiva reglas de firewall , que podría contener una regla de Firewall permitir cualquier-cualquiera . Si la funcionalidad de reputación de red de GTI bloquea el tráfico de red, consulte KB90837-FAQ para Firewall de Endpoint Security Global Threat Intelligence.
Volver al principio
Prueba desactivando el GTI "bloquear todos los ejecutables no de confianza" funcionalidad
Desactive la opción bloquear todos los ejecutables que no sean de confianza en la directiva firewall de Endpoint Security, Opciones . A continuación, vuelva a probar y confirme si esta acción resuelve el problema. Esta función bloquea todos los archivos ejecutables que no están firmados o tienen una reputación de GTI desconocida. Para obtener información sobre esta función, consulte KB90096-explicación de la regla de verificación de "ejecutable." El tráfico de red bloqueado por esta función se registra en el
Volver al principio
Para la prueba, desactive la "permitir únicamente el tráfico saliente hasta que Firewall servicios se hayan iniciado" función
Desactive la opción permitir solo tráfico saliente hasta que se hayan iniciado los servicios Firewall en la directiva de firewall de Endpoint Security, Opciones . A continuación, vuelva a probar y compruebe si esta acción resuelve el problema. Esta función crea un conjunto de reglas de firewall codificadas de forma rígida en la kernel durante Windows hora de arranque. Las reglas se eliminan cuando los servicios de ENS se han iniciado por completo. Estas reglas pueden bloquear el tráfico de la red de la aplicación durante el proceso de inicio de Windows, lo que puede provocar problemas. Para obtener un problema conocido con esta función, consulte KB90765-Tras desinstalar el módulo Firewall de Endpoint Security, el cliente bloquea las conexiones de red entrantes.
Volver al principio
Prueba desactivando las reglas de red principales
Las reglas de red principales permiten algunos tipos de tráfico de red básico. Para obtener más información, consulte KB91206-FAQ para Firewall de Endpoint Security "desactivar McAfee Core Network Rules" función. Si dispone de una regla de bloqueo que bloquee correctamente el tráfico de red, activar la opción desactivar McAfee reglas de redes principales de la directiva firewall de Endpoint Security, Opciones . Vuelva a realizar la prueba para confirmar si esta acción resuelve el problema. Con la opción de registro ENS todos los bloqueados Seleccionedos, el
NOTAS:
- No se recomienda desactivar las reglas de red principales. Es posible que se produzcan problemas de comunicación de red en el cliente, tal y como se indica con el mensaje emergente que se produce al activar esta función en la interfaz de usuario: "aldesactivar McAfee reglas de red principales, se podría interrumpir las comunicaciones de red en el cliente. "
- Esta prueba permite verificar si alguna de las reglas de red principales codificadas de forma rígida admite el tráfico de red antes que cualquiera de las reglas firewall enumeradas en la directiva reglas de Firewall . Este paso suele ser una solución de problemas. Puede ayudarle a determinar por qué se permite el tráfico de red cuando no existe una regla de firewall personalizada para permitir el tráfico. (Por ejemplo, cuando intenta bloquear el tráfico de ping ICMP saliente, pero la regla predeterminada permitir aplicaciones salientes del sistema permite el tráfico de red generado por el proceso del sistema antes de que se procese cualquier regla de bloqueo).
Volver al principio
Comprobar activando las reglas de red principales
Las reglas de red principales permiten algunos tipos de tráfico de red básico. Para obtener más información, consulte KB91206-FAQ para Firewall de Endpoint Security "desactivar McAfee Core Network Rules" función. Es posible que algunos tráfico de red deban ser permitidos por estas reglas de firewall codificadas de forma rígida. Algunos clientes pueden optar por desactivar las reglas de red principales y esta opción puede provocar problemas.
Nota: La opción desactivar reglas de redes principales McAfee está desactivada de forma predeterminada. Es posible que los clientes que hayan activado esta opción (para desactivar estas reglas) tengan que restablecer esta función a su valor predeterminado con fines de prueba.
- Anule la selección de la opción desactivar reglas de redes principales McAfee en la directiva de firewall de Endpoint Security, Opciones .
- Amplíe la Directiva de forma local en el cliente.
- Verifique que las reglas de red principales de McAfee no estén en estado desactivado en el cliente local.
- Vuelva a probar el problema.
Comprobación de los valores de estado de Firewall de Firewall ENS y Windows Defender en Windows Security Center
Firewall de ENS asume ciertas categorías de Firewall en un sistema de Windows cuando está activada. Ejecute el
Categorías:
BootTimeRuleCategory McAfee Endpoint Security Firewall
FirewallRuleCategory McAfee Endpoint Security Firewall
StealthRuleCategory McAfee Endpoint Security Firewall
ConSecRuleCategory Windows Defender Firewall
Volver al principio
Recopilación de datos mediante requisitos mínimos de escalación (mer), FWInfo AMTrac e herramientas y software de captura de red
Algunos problemas de firewall avanzados pueden requerir un rastreo de paquetes de red mientras se reproduce el problema. Cuando sea necesario, Capture dos conjuntos de datos; uno con el problema y otro sin el problema, para proporcionar un escenario de trabajo y no laborable. Puede comparar las trazas para determinar las diferencias con el tráfico de los paquetes de red. Un conjunto de datos de un escenario no laborable suele ser el mínimo necesario, a menos que se indique lo contrario por Soporte técnico.
Algunos problemas de firewall avanzados pueden requerir un rastreo de paquetes de red mientras se reproduce el problema. Cuando sea necesario, Capture dos conjuntos de datos; uno con el problema y otro sin el problema, para proporcionar un escenario de trabajo y no laborable. Puede comparar las trazas para determinar las diferencias con el tráfico de los paquetes de red. Un conjunto de datos de un escenario no laborable suele ser el mínimo necesario, a menos que se indique lo contrario por Soporte técnico.
- (Opcional) Instale el software de captura de red en el cliente de prueba.
NOTAS:- No se necesita un rastreo de captura de red en todas las situaciones, a menos que el problema esté relacionado con problemas de rendimiento o de temporización. Es posible que Soporte técnico solicite específicamente un rastreo de red cuando sea necesario.
- Se han producido problemas de captura de red en el pasado con el software WinPcap incluido en Wireshark. NETRESEC
RAWCap es un software de captura de red alternativo que puede utilizar para evitar estos problemas.
- Obtenga la
AMTrace herramienta. Consulte los pasos de recopilación de datos mínimos de KB86691 para conocer Endpoint Security problemas. - Active el registro de depuración en el producto ENS. Consulte los pasos de recopilación de datos mínimos de KB86691 para conocer Endpoint Security problemas.
- Active la opción registrar todos los tráfico bloqueado y registrar todas las opciones de registro de tráfico permitido en la directiva Opciones de Firewall . Debido a la mayor actividad del registro de más tráfico de red, es posible que necesite ajustar los límites de tamaño del registro de ENS. (Este ajuste normalmente no es necesario.) Ajuste las siguientes opciones de registro de ENS en la directiva Opciones de ajustes generales de ENS si es necesario:
- Limitar tamaño (MB) de cada uno de los archivos de registro de depuración : el tamaño predeterminado es 50 MB
- Limitar tamaño (MB) de cada uno de los archivos de registro de actividades : el tamaño predeterminado es 10 MB
- Inicie la captura de un rastreo de red.
- Inicie la
AMTrace herramienta. Hay varias formas de ejecutar laAMTrace herramienta. Ejecúteloamtrace.exe para iniciar o detener la herramienta manualmente, o bien utilice los siguientes modificadores de la línea de comandos:- Para empezar:
AMTrace.exe -b now -m 2GB - Para detener:
AMTrace -e
- Para empezar:
- Reproduzca el problema.
Nota: Documente la fecha y la hora precisas del problema que se va a reproducir, para Soporte técnico revisión de registro.
- Detenga la captura de rastreo de red.
- Detenga la
AMTrace herramienta. - Recopile un archivo de MER del sistema. El MER debe incluir los archivos de registro de Firewall de ENS
\ProgramData\McAfee\Endpoint Security\Logs\Firewall*.log - Recopile el tráfico de red y los detalles de aplicación adecuados:
- Direcciones IP de origen y destino, incluido cualquier otro detalle de dirección de red relacionada, si es necesario.
- Números de puerto de origen y destino, si procede.
- Detalles del ejecutable de la aplicación, por ejemplo, el nombre del proveedor, la ruta de instalación, la ruta del ejecutable y el nombre del archivo.
- Fecha y hora de la reproducción del problema.
- Cualquier entrada de bloqueo relevante o permitir entradas de los archivos de registro de Firewall de ENS, si procede.
- En ocasiones, se necesita una copia exportada de las directivas de Firewall de ENS para realizar un análisis exhaustivo. Las directivas de Firewall necesarias suelen ser para los regpara los de firewall o las directivas de Opciones . Si puede proporcionar estas directivas para Soporte técnico a revisar, exporte desde el menú de Catálogo de directivas de la consola de ePO, no el menú Catálogo de Firewall . Exporte las directivas como archivos XML de directivas.
- Recopilar
FWInfo datos:- Abra un símbolo del sistema como administrador. Por ejemplo, si utiliza Windows 10, escriba cmd en el cuadro iniciar búsqueda, haga clic con el botón derecho del ratón en símbolo del sistema, seleccione Ejecutar como administradory haga clic en sí.
- En la línea de comandos del administrador, ejecute los siguientes comandos:
ipconfig /all > c:\ipconfig.txt
Nota:fwinfo se encuentra enC:\Program Files\Common Files\McAfee\SystemCore\fwinfo.exe .
fwinfo -configdisplay > c:\fwinfo-configdisplay1.txt
fwinfo -ipconfig > c:\fwinfo-ipconfig1.txt
fwinfo -policydisplayxml > c:\fwinfo-policydisplayxml1.txt
Nota: Ejecute el siguiente comando en Windows Vista SP1 o en sistemas posteriores. El comando crea un archivo con el nombrewfpstate.xml . Cambie el nombre del archivo awfpstate1.xml .
netsh wfp show state
- Póngase en contacto con Soporte técnico y proporcione los datos recopilados más arriba para realizar más análisis. Consulte la sección información relacionada con "" para ver los detalles de contacto.
Información relacionada
Para ponerse en contacto con Soporte técnico, vaya a la Página crear una solicitud de servicio e inicie sesión en ServicePortal.
- Si es un usuario registrado, escriba su ID de usuario y contraseña y, a continuación, haga clic en iniciar sesión.
- Si no es un usuario registrado, haga clic en registrar y rellene los campos para que la contraseña y las instrucciones se envíen por correo electrónico.
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
Productos implicados
Idiomas:
Este artículo se encuentra disponible en los siguientes idiomas: