Risoluzione dei problemi relativi a un'applicazione/traffico di rete quando si utilizza il firewall ENS
Articoli tecnici ID:
KB90662
Ultima modifica: 2022-09-12 16:57:22 Etc/GMT
Ultima modifica: 2022-09-12 16:57:22 Etc/GMT
Ambiente
Firewall Endpoint Security (ENS) 10.x
Riepilogo
Aggiornamenti recenti a questo articolo
Applicazioni di terze parti che ENS firewall blocca:
Se il firewall ENS impedisce il corretto funzionamento di un'applicazione di terze parti, contattare il team di assistenza fornitori di applicazioni di terze parti. Richiedi la documentazione relativa al traffico di rete specifico che dovrebbe essere consentito tramite il firewall ENS. Il sito Web del fornitore di terze parti potrebbe inoltre contenere documentazione relativa al traffico di rete richiesto dall'applicazione. Con i requisiti del traffico di rete documentato, è possibile creare regole di firewall per consentire al traffico di rete attraverso il firewall ENS di funzionare correttamente per l'applicazione di terze parti.
Attenersi alla procedura seguente per risolvere il problema di un'applicazione o di un traffico di rete quando si utilizza il firewall ENS:
Attiva la registrazione di debug per il modulo Firewall ENS
Attiva il "registra tutto il traffico bloccato" e "registra tutto il traffico consentito" firewall opzioni di registrazione
Verifica attivando la funzionalità di modalità adattiva per il firewall ENS
Tenere presente le limitazioni della funzionalità di modalità adattiva per il firewall ENS. Esistono condizioni in cui il firewall ENS non è in grado di creare automaticamente regole client. Per informazioni dettagliate, consultare la sezione relativa alle "FAQ-modalità adattiva" della Guida del prodotto Endpoint Security pertinente.
L'attivazione della funzionalità di modalità adattiva del firewall ENS consente due passaggi di risoluzione dei problemi.
Torna all'inizio
Verifica utilizzando una policy Consenti
Per implementare una policy Consenti , è necessario modificare le policy di Firewall Endpoint Security, Opzioni e regole con le impostazioni descritte di seguito.
Verifica isolando il tipo di traffico di rete che risolve il problema
Per determinare il tipo di traffico di rete correlato al problema, isolare il traffico di rete in base a criteri diversi. Diverse combinazioni generiche consentono di determinare il tipo di traffico di rete su cui concentrarsi quando si riesaminano le voci bloccate nelFirewallEventMonitor.log file.
Nota: L'elenco riportato di seguito è solo una guida ad alcuni esempi di criteri e non intende essere un elenco completo.
Esempio:
Se si consente a tutto il traffico in ingresso di risolvere il problema, limitare ulteriormente la regola a TCP rispetto a UDP rispetto a ICMP.
Se si consente a tutto il traffico TCP in ingresso di risolvere il problema, esaminare i registri firewall per il traffico TCP in ingresso bloccato .
Esempi di combinazioni generiche:
Verifica mediante l'autorizzazione di protocolli non supportati
Attivare l'opzione Consenti traffico per protocolli non supportati nel Firewall Endpoint Security, Opzioni Policy e Ripeti test per verificare se l'azione risolve il problema.
Torna all'inizio
Verifica disattivando la funzionalità di reputazione della rete GTI
Impostare la soglia di reputazione della rete in entrata e la soglia di reputazione della rete in uscita su non bloccare nel Firewall Endpoint Security, Opzioni Policy. Quindi, eseguire nuovamente la verifica e confermare se l'azione risolve il problema. La funzione di reputazione della rete GTI elabora il traffico di rete prima delle altre regole di firewall contenute nelle regole del firewall Policy, che potrebbero contenere una regola di firewall Consenti qualsiasi. Se la funzionalità di reputazione della rete GTI blocca il traffico di rete, consultare KB90837-FAQs per Firewall Endpoint Security Global Threat Intelligence.
Torna all'inizio
Verifica disattivando la "GTI blocca tutti gli eseguibili non affidabili" funzionalità
Disattivare l'opzione blocca tutti gli eseguibili non affidabili nel Firewall Endpoint Security, Opzioni Policy. Quindi, eseguire nuovamente la verifica e confermare se l'azione risolve il problema. Questa funzionalità blocca tutti gli eseguibili che non sono firmati o che dispongono di una reputazione GTI sconosciuta. Per informazioni su questa funzionalità, consultare KB90096-spiegazione della regola di verifica dell'eseguibile "." IlFirewallEventMonitor.log traffico di rete bloccato da questa funzione viene registrato nel file con la voce: regola corrispondenza: regola di Verifica dell'eseguibile.
Torna all'inizio
Verifica disattivando il "Consenti solo il traffico in uscita fino a quando i servizi di firewall non sono stati avviati" funzionalità
Disattivare l'opzione Consenti solo traffico in uscita fino a quando firewall servizi non sono stati avviati nell' Firewall Endpoint Security, Opzioni Policy. Quindi, eseguire nuovamente la verifica e verificare se l'azione risolve il problema. Questa funzione consente di creare una serie di regole di firewall hardcoded nel kernel durante il periodo di avvio Windows. Le regole vengono rimosse quando i servizi ENS sono stati completamente avviati. Queste regole possono bloccare il traffico di rete dell'applicazione durante il processo di avvio di Windows, che può causare problemi. Per un problema noto con questa funzionalità, consultare KB90765-dopo la disinstallazione del modulo Firewall Endpoint Security, il client blocca le connessioni di rete in arrivo.
Torna all'inizio
Verifica disattivando le regole di rete di base
Le regole di rete principali consentono alcuni tipi di traffico di rete di base. Per ulteriori informazioni, consultare KB91206-FAQs per firewall Endpoint Security "disattivare McAfee regole di networking di base" funzionalità. Se si dispone di una regola di blocco che blocca il traffico di rete in modo corretto, attivare l'opzione Disattiva regole di rete McAfee di base nel Firewall Endpoint Security, Opzioni Policy. Eseguire nuovamente la verifica per verificare se l'azione risolve il problema. Con il registro delle opzioni di registrazione ENS tutti i bloccati sono attivati, ilFirewallEventMonitor.log file deve documentare i nomi delle regole applicabili dal gruppo di Rules di base Networking quando una di queste regole consente il traffico di rete.
Torna all'inizio
Verifica attivando le regole di rete di base
Le regole di rete principali consentono alcuni tipi di traffico di rete di base. Per ulteriori informazioni, consultare KB91206-FAQs per firewall Endpoint Security "disattivare McAfee regole di networking di base" funzionalità. Potrebbe essere necessario consentire il traffico di rete da queste regole di firewall hardcoded. Alcuni clienti potrebbero scegliere di disattivare le regole di rete di base e questa scelta potrebbe causare problemi.
Nota: L'opzione Disable McAfee Core Networking Rules è deselezionata per impostazione predefinita. I clienti che hanno attivato questa opzione (per disattivare queste regole) potrebbero dover reimpostare questa funzionalità nuovamente su predefinita a scopo di test.
Verifica dei valori di stato del firewall ENS e Windows Defender in Windows Security Center
Il firewall ENS assume alcune categorie di firewall su un sistema Windows quando è attivato. Eseguire ilnetsh advfirewall show global comando utilizzando un prompt dei comandi di amministratore per verificare che i valori delle categorie siano impostati come indicato di seguito:
Torna all'inizio
Data | Aggiornamento |
23 giugno 2022 | Modifiche di formattazione minori; Nessuna modifica del contenuto. |
Applicazioni di terze parti che ENS firewall blocca:
Se il firewall ENS impedisce il corretto funzionamento di un'applicazione di terze parti, contattare il team di assistenza fornitori di applicazioni di terze parti. Richiedi la documentazione relativa al traffico di rete specifico che dovrebbe essere consentito tramite il firewall ENS. Il sito Web del fornitore di terze parti potrebbe inoltre contenere documentazione relativa al traffico di rete richiesto dall'applicazione. Con i requisiti del traffico di rete documentato, è possibile creare regole di firewall per consentire al traffico di rete attraverso il firewall ENS di funzionare correttamente per l'applicazione di terze parti.
Attenersi alla procedura seguente per risolvere il problema di un'applicazione o di un traffico di rete quando si utilizza il firewall ENS:
Nota: Non è necessario eseguire tutte queste operazioni. Alcuni test riportati di seguito sono applicabili solo in base al problema di cui si sta effettuando la risoluzione dei problemi e alle impostazioni di configurazione firewall in uso. La procedura più importante riportata di seguito attiva la registrazione di debug, "registra tutto il traffico bloccato," e "registra tutto il traffico consentito."
- Attiva la registrazione di debug per il modulo Firewall ENS
- Attiva il "registra tutto il traffico bloccato" e "registra tutto il traffico consentito" firewall opzioni di registrazione
- Verifica attivando la funzionalità di modalità adattiva per il firewall ENS
- Procedura per la risoluzione dei problemi se l'attivazione della funzionalità di modalità adattiva del firewall ENS risolve il problema
- Verifica utilizzando una policy Consenti
- Verifica isolando il tipo di traffico di rete che risolve il problema
- Verifica mediante l'autorizzazione di protocolli non supportati
- Verifica disattivando la funzionalità di reputazione della rete Global Threat Intelligence (GTI)
- Verifica disattivando la "GTI blocca tutti gli eseguibili non affidabili" funzionalità
- Verifica disattivando il "Consenti solo il traffico in uscita fino a quando i servizi di firewall non sono stati avviati" funzionalità
- Verifica disattivando le regole di rete di base
- Verifica attivando le regole di rete di base
- Verifica dei valori di stato del firewall ENS e Windows Defender in Windows Security Center
- Raccolta di dati con requisiti minimi di escalation (MER),
FWInfo ,AMTrace strumenti e software di cattura della rete
Attiva la registrazione di debug per il modulo Firewall ENS
- Per i sistemi gestiti di ePolicy Orchestrator (ePO):
- Aprire la console ePO.
- Modificare il In comune Endpoint Security, Opzioni Policy.
- Fare clic su Mostra Avanzate.
- Selezionare attiva per firewall nella sezione registrazione debug .
- Salvare il policy.
- Per i sistemi autonomi che ePO non gestisce:
- Aprire la console ENS dall'icona McAfee Agent area di notifica o eseguendo l'applicazione
\Program Files (x86)\McAfee\Endpoint Security\Endpoint Security Platform\MFEConsole.exe . - Fare clic sul modulo Firewall o sulla freccia giù nell'angolo in alto a destra, quindi fare clic su Impostazioni.
Nota: Potrebbe essere necessario prima sbloccare la console ENS utilizzando l' accesso amministratore.
- Fare clic sulla sezione in comune .
- Fare clic su Mostra Avanzate.
- Selezionare attiva per firewall nella sezione registrazione debug .
- Fare clic su Applica.
- Aprire la console ENS dall'icona McAfee Agent area di notifica o eseguendo l'applicazione
Attiva il "registra tutto il traffico bloccato" e "registra tutto il traffico consentito" firewall opzioni di registrazione
- Attiva il Registro tutto il traffico bloccato e registra tutte le opzioni di registrazione firewall traffico consentito:
- Per i sistemi gestiti da ePO:
- Aprire la console ePO.
- Modificare il Firewall Endpoint Security, Opzioni Policy.
- Fare clic su Mostra Avanzate.
- Selezionare registra tutto il traffico bloccato e registra tutto il traffico consentito nella sezione Opzioni di ottimizzazione .
- Per le attività correlate a GTI, selezionare registro corrispondente al traffico nella sezione McAfee GTI reputazione di rete .
- Salvare il policy.
- Per i sistemi autonomi che ePO non gestisce:
- Aprire la console ENS.
- Aprire le impostazioni del modulo Firewall .
- Selezionare registra tutto il traffico bloccato e registra tutto il traffico consentito nella sezione Opzioni di ottimizzazione .
- Per le attività correlate a GTI, selezionare registro corrispondente al traffico nella sezione McAfee GTI reputazione di rete .
- Fare clic su Applica.
- Per i sistemi gestiti da ePO:
- Riprodurre il problema.
- Per informazioni dettagliate sul traffico di rete bloccato e consentito, consultare il
FirewallEventMonitor.log file. IlFirewallEventMonitor.log file si trova nella directory\ProgramData\McAfee\Endpoint Security\Logs\
Verifica attivando la funzionalità di modalità adattiva per il firewall ENS
Tenere presente le limitazioni della funzionalità di modalità adattiva per il firewall ENS. Esistono condizioni in cui il firewall ENS non è in grado di creare automaticamente regole client. Per informazioni dettagliate, consultare la sezione relativa alle "FAQ-modalità adattiva" della Guida del prodotto Endpoint Security pertinente.
Per i documenti del prodotto, accedere al portale della documentazione del prodotto.
- Modificare i Firewall Endpoint Security, le Opzioni Policy dalla console ePO o dalla console ENS.
- Fare clic su Mostra Avanzate.
- Selezionare Attiva modalità adattiva (crea regole sul client automaticamente) nella sezione Opzioni di ottimizzazione .
Nota: Se il client ENS è gestito da ePO, consente inoltre di mantenere le regole esistenti aggiunte dall'utente e le regole di modalità adattiva quando questa policy viene imposta come opzione. Questa opzione consente al client ENS di mantenere queste regole client e di non eliminare le regole client, se si verifica una policy di McAfee Agent imposizione. Consente il caricamento delle regole client sul server ePO per la gestione policy. L'attività server di ENS Firewall traduttore proprietà ePO elabora le regole client e le converte da singole regole client a regole client di ePO-gestibili nel menu reportistica, firewall client Rules . Questa attività non è l'attività server di ENSFW traduttore proprietà elencata, ma un'attività interna nascosta che viene eseguita automaticamente ogni 15 minuti. Mantenere l'attività server di ENSFW traduttore proprietà non nascosta sempre in uno stato disattivato .
- Applicare il policy modificato al client e riprovare il problema. Se il problema è stato risolto, passare al passaggio successivo. Se il problema non è stato risolto, passare alla sezione successiva.
- Aprire la console ENS e aprire il menu Firewall .
- Scorrere verso il basso fino alla sezione regole ed esaminare il gruppo firewall adattiva .
- Espandete il gruppo firewall adattiva e esaminate le regole client per determinare il motivo per cui sono state create le nuove regole. Le regole firewall client potrebbero essere create per molti motivi. Modificare le regole esistenti in base alle esigenze o creare firewall regole nella policy, se nella policy sono presenti altre regole firewall per l'applicazione specifica o il traffico di rete. Se si ritiene che le regole siano state create per errore, contattare Assistenza tecnica per ulteriori indagini. Per i dettagli di contatto, consultare la sezione "informazioni correlate".
L'attivazione della funzionalità di modalità adattiva del firewall ENS consente due passaggi di risoluzione dei problemi.
- Verificare se vengono create regole client in modalità adattiva per il traffico di rete applicabile. Aprire il menu client di ENS firewall, quindi passare alla sezione regole . Individuare il gruppo firewall adattiva . Fare clic sul segno > e aprire il gruppo ed elencare le regole client locali. Se il gruppo è disattivato e non può essere aperto, non sono state create regole client localmente nel sistema. Se il client ENS è gestito da ePO, queste regole client in modalità adattiva vengono inviate al server ePO per la gestione delle regole client firewall. Esaminare le regole firewall client nel menu reportistica, firewall client Rules .
- La modalità adattiva firewall di ENS cambia anche la regola predefinita blocca tutto il traffico nella parte inferiore della policy client. Questa impostazione predefinita viene modificata in un "consentire a tutti" regola denominata regola adattiva. Se non sono state create regole client adattive dal passaggio precedente, esaminare il file per la regola corrispondente al registro: voci della
FirewallEventMonitor.log regola adattiva . Queste voci contengono il traffico di rete che altre regole di firewall non consentono o bloccano e che la modalità adattiva non viene imparata. Per questo traffico corrispondente è necessario creare manualmente firewall regole, localmente sul client o tramite ePO policy. Queste regole consentono di identificare il traffico di rete che risolve il problema. È possibile che più di un tipo di traffico di rete risolva un particolare problema di applicazione di terze parti. Per il traffico di rete consentito tramite la regola firewall denominata regola adattiva, il percorso dell'eseguibile è in genere, il che significa che l'eseguibile all'interno della regola firewall definita deve essere < vuoto .
Esempio:
Time: 01/13/2020 11:30:38 AM
Event: Traffic
IP Address: 10.10.10.1
Description:
Path:
Message: Allowed Incoming UDP - Source 10.10.10.1 : (56711) Destination 10.10.10.2 : (49284)
Matched Rule: Adaptive Rule
Torna all'inizio
Verifica utilizzando una policy Consenti
Per implementare una policy Consenti , è necessario modificare le policy di Firewall Endpoint Security, Opzioni e regole con le impostazioni descritte di seguito.
- Modificare il Firewall Endpoint Security, le Opzioni Policy come indicato di seguito, utilizzando la console ePO o la console ENS:
- Fare clic su Mostra Avanzate.
- Nella sezione Firewall , selezionare Attiva firewall.
- Nella sezione Opzioni di protezione , configurare le seguenti opzioni:
- Consenti traffico per protocolli non supportati- attivato
- Consenti solo il traffico in uscita fino a quando i servizi firewall non sono stati avviati- disattivato
- Consenti traffico con bridging attivato
- Nella sezione Opzioni di ottimizzazione , configurare le seguenti opzioni:
- Attiva modalità adattiva- disattivato
- Disattiva regole di rete di base- attivato
Nota: si consiglia di lasciare attivata questa funzionalità. la disattivazione delle regole di rete di base potrebbe interferire con le comunicazioni di reti sul client.
- Registra tutto il traffico bloccato attivato
- Registra tutti i traffici consentiti attivati
- Nella sezione McAfee GTI reputazione di rete , configurare le seguenti opzioni:
- Considera la corrispondenza GTI come intrusione- disattivata
- Accesso al traffico corrispondente attivato
- Blocca tutti gli eseguibili non affidabili- disattivati
- Soglia di reputazione della rete in entrata- non bloccare
- Soglia reputazione rete in uscita- non bloccare
- Per ENS 10.6.0 e versioni successive, il server di classificazione GTI non è raggiungibile e non è necessaria alcuna configurazione.
- Nella sezione blocco DNS , non è necessaria alcuna configurazione.
- Nella sezione reti definite , non è necessaria alcuna configurazione.
- Nella sezione eseguibili affidabili , non è necessaria alcuna configurazione.
- Modificare il Firewall Endpoint Security, le regole Policy come indicato di seguito dalla console ePO o dalla console ENS:
- Fare clic su Aggiungi regola.
- Nella sezione Descrizione , configurare le seguenti impostazioni:
- Nome- Consenti qualsiasi
- Regola di attivazione stato
- Azioni- Consenti
- Considera la corrispondenza come intrusione- disattivata
- Traffico di corrispondenza del registro- disattivato
- Direzione- o
- Nella sezione reti , configurare le seguenti impostazioni:
- Protocollo di rete- qualsiasi protocollo
- Tipi di connessione: selezionare tutti i tipi mostrati.
- Specifica reti : non è necessaria alcuna configurazione.
Nella sezione trasporto , configurare l'impostazione seguente: - Protocollo di trasporto: tutti i protocolli
- Nella sezione applicazioni , non è necessaria alcuna configurazione.
- Nella sezione pianificazione , configurare l'impostazione seguente:
- Attiva pianificazione- disattivata
- Attiva pianificazione- disattivata
- Eseguire nuovamente il test del problema.
Se il problema è stato risolto, espandere tutti i gruppi di regole firewall nella policy denominata e analizzare ciascuna delle regole firewall dall'alto verso il basso. Prestare particolare attenzione alle regole che sono bloccate come azione. In base a questa revisione, trasferire la regola any-any fino a molte posizioni nel set di regole. Se non si trova una regola, aggiungere la regola appropriata al firewall policy impostare e riprovare. Se si esegue questa operazione più volte e si verifica nuovamente il problema, è possibile determinare la regola che blocca l'applicazione.
Nota: Verificare che i dettagli dell'applicazione coincidano adeguatamente con i dettagli dell'eseguibile. Ad esempio, il valore di Descrizione del file deve essere la descrizione esatta dell'applicazione; Questo valore non è un valore di commento per l'applicazione. Per ulteriori informazioni, consultare KB71735-scopo del campo Descrizione file eseguibile in firewall Endpoint Security e Host Intrusion Prevention.
Verifica isolando il tipo di traffico di rete che risolve il problema
Per determinare il tipo di traffico di rete correlato al problema, isolare il traffico di rete in base a criteri diversi. Diverse combinazioni generiche consentono di determinare il tipo di traffico di rete su cui concentrarsi quando si riesaminano le voci bloccate nel
Nota: L'elenco riportato di seguito è solo una guida ad alcuni esempi di criteri e non intende essere un elenco completo.
Esempio:
Se si consente a tutto il traffico in ingresso di risolvere il problema, limitare ulteriormente la regola a TCP rispetto a UDP rispetto a ICMP.
Se si consente a tutto il traffico TCP in ingresso di risolvere il problema, esaminare i registri firewall per il traffico TCP in ingresso bloccato .
Esempi di combinazioni generiche:
- Consenti tutto il traffico in uscita
- Consenti tutto il traffico in ingresso
- Consenti tutto il traffico IPv4
- In ingresso e in uscita
- TCP rispetto a UDP rispetto a ICMP
- Consenti tutto il traffico IPv6
- In ingresso e in uscita
- TCP rispetto a UDP rispetto a ICMP
- Consenti tutto il traffico TCP
- In ingresso e in uscita
- In ingresso e in uscita
- Consenti tutto il traffico UDP
- In ingresso e in uscita
- In ingresso e in uscita
- Consenti tutto il traffico ICMP
- In ingresso e in uscita
- ICMPv4 rispetto a ICMPv6
- Consenti tutto il traffico broadcast ( 255.255.255.255 )
- Consenti tutto il traffico multicast ( 224.0.0.252 - 239.255.255.250 )
Verifica mediante l'autorizzazione di protocolli non supportati
Attivare l'opzione Consenti traffico per protocolli non supportati nel Firewall Endpoint Security, Opzioni Policy e Ripeti test per verificare se l'azione risolve il problema.
Torna all'inizio
Verifica disattivando la funzionalità di reputazione della rete GTI
Impostare la soglia di reputazione della rete in entrata e la soglia di reputazione della rete in uscita su non bloccare nel Firewall Endpoint Security, Opzioni Policy. Quindi, eseguire nuovamente la verifica e confermare se l'azione risolve il problema. La funzione di reputazione della rete GTI elabora il traffico di rete prima delle altre regole di firewall contenute nelle regole del firewall Policy, che potrebbero contenere una regola di firewall Consenti qualsiasi. Se la funzionalità di reputazione della rete GTI blocca il traffico di rete, consultare KB90837-FAQs per Firewall Endpoint Security Global Threat Intelligence.
Torna all'inizio
Verifica disattivando la "GTI blocca tutti gli eseguibili non affidabili" funzionalità
Disattivare l'opzione blocca tutti gli eseguibili non affidabili nel Firewall Endpoint Security, Opzioni Policy. Quindi, eseguire nuovamente la verifica e confermare se l'azione risolve il problema. Questa funzionalità blocca tutti gli eseguibili che non sono firmati o che dispongono di una reputazione GTI sconosciuta. Per informazioni su questa funzionalità, consultare KB90096-spiegazione della regola di verifica dell'eseguibile "." Il
Torna all'inizio
Verifica disattivando il "Consenti solo il traffico in uscita fino a quando i servizi di firewall non sono stati avviati" funzionalità
Disattivare l'opzione Consenti solo traffico in uscita fino a quando firewall servizi non sono stati avviati nell' Firewall Endpoint Security, Opzioni Policy. Quindi, eseguire nuovamente la verifica e verificare se l'azione risolve il problema. Questa funzione consente di creare una serie di regole di firewall hardcoded nel kernel durante il periodo di avvio Windows. Le regole vengono rimosse quando i servizi ENS sono stati completamente avviati. Queste regole possono bloccare il traffico di rete dell'applicazione durante il processo di avvio di Windows, che può causare problemi. Per un problema noto con questa funzionalità, consultare KB90765-dopo la disinstallazione del modulo Firewall Endpoint Security, il client blocca le connessioni di rete in arrivo.
Torna all'inizio
Verifica disattivando le regole di rete di base
Le regole di rete principali consentono alcuni tipi di traffico di rete di base. Per ulteriori informazioni, consultare KB91206-FAQs per firewall Endpoint Security "disattivare McAfee regole di networking di base" funzionalità. Se si dispone di una regola di blocco che blocca il traffico di rete in modo corretto, attivare l'opzione Disattiva regole di rete McAfee di base nel Firewall Endpoint Security, Opzioni Policy. Eseguire nuovamente la verifica per verificare se l'azione risolve il problema. Con il registro delle opzioni di registrazione ENS tutti i bloccati sono attivati, il
NOTE:
- Non si consiglia di disattivare le regole di rete di base. Potrebbe causare problemi di comunicazione di rete sul client, come indicato con il messaggio popup che si verifica quando si attiva questa funzionalità nell'interfaccia utente: "ladisattivazione delle regole di rete McAfee Core potrebbe danneggiare le comunicazioni di reti sul client. "
- Questo test consiste nel verificare se una delle regole di rete di base hardcoded consenta il traffico di rete prima che le regole di firewall elencate nelle regole del firewall Policy. In genere, si tratta di una soluzione di risoluzione dei problemi. Può aiutarti a determinare il motivo per cui il traffico di rete è consentito quando una regola di firewall personalizzata per consentire il traffico non esiste. Ad esempio, quando si tenta di bloccare il traffico di ping ICMP in uscita, ma la regola predefinita consente alle applicazioni di sistema in uscita di consentire il traffico di rete generato dal processo di sistema prima che vengano elaborate le regole di blocco.
Torna all'inizio
Verifica attivando le regole di rete di base
Le regole di rete principali consentono alcuni tipi di traffico di rete di base. Per ulteriori informazioni, consultare KB91206-FAQs per firewall Endpoint Security "disattivare McAfee regole di networking di base" funzionalità. Potrebbe essere necessario consentire il traffico di rete da queste regole di firewall hardcoded. Alcuni clienti potrebbero scegliere di disattivare le regole di rete di base e questa scelta potrebbe causare problemi.
Nota: L'opzione Disable McAfee Core Networking Rules è deselezionata per impostazione predefinita. I clienti che hanno attivato questa opzione (per disattivare queste regole) potrebbero dover reimpostare questa funzionalità nuovamente su predefinita a scopo di test.
- Deselezionare l'opzione Disattiva regole di networking McAfee Core nella Firewall Endpoint Security, Opzioni Policy.
- Aggiornare il policy localmente sul client.
- Verificare che le regole di rete McAfee Core non siano in uno stato disattivato sul client locale.
- Eseguire nuovamente il test del problema.
Verifica dei valori di stato del firewall ENS e Windows Defender in Windows Security Center
Il firewall ENS assume alcune categorie di firewall su un sistema Windows quando è attivato. Eseguire il
Categorie:
BootTimeRuleCategory McAfee Endpoint Security
FirewallRuleCategory Firewall McAfee Endpoint Security firewall
StealthRuleCategory McAfee Endpoint Security
ConSecRuleCategory firewall Windows Defender Firewall
Torna all'inizio
Raccolta di dati con requisiti minimi di escalation (Mer), FWInfo , AMTrac e strumenti e software di cattura della rete
Alcuni problemi di firewall avanzati potrebbero richiedere una traccia del pacchetto di rete mentre il problema viene riprodotto. Quando necessario, acquisire due insiemi di dati; uno con il problema e l'altro senza il problema, per fornire uno scenario funzionante e non funzionante. È possibile confrontare le tracce per determinare eventuali differenze con il traffico dei pacchetti di rete. Un insieme di dati provenienti da uno scenario non lavorativo è in genere il minimo necessario, a meno che non venga diversamente indicato da Assistenza tecnica.
Alcuni problemi di firewall avanzati potrebbero richiedere una traccia del pacchetto di rete mentre il problema viene riprodotto. Quando necessario, acquisire due insiemi di dati; uno con il problema e l'altro senza il problema, per fornire uno scenario funzionante e non funzionante. È possibile confrontare le tracce per determinare eventuali differenze con il traffico dei pacchetti di rete. Un insieme di dati provenienti da uno scenario non lavorativo è in genere il minimo necessario, a meno che non venga diversamente indicato da Assistenza tecnica.
- (Facoltativo) Installare il software di cattura della rete sul client di prova.
NOTE:- Una traccia di cattura della rete non è necessaria in tutte le situazioni, a meno che il problema non sia correlato a problemi di prestazioni o tempistiche. Quando necessario, Assistenza tecnica potrebbe richiedere in modo specifico una traccia di rete.
- In passato si sono verificati problemi di cattura della rete con il software WinPcap incluso in Wireshark. NETRESEC
RAWCap è un software di cattura di rete alternativo che è possibile utilizzare per evitare questi problemi.
- Ottenere lo
AMTrace strumento. Vedi KB86691-procedura minima di raccolta dei dati per problemi di Endpoint Security. - Attivare la registrazione di debug all'interno del prodotto ENS. Vedi KB86691-procedura minima di raccolta dei dati per problemi di Endpoint Security.
- Attivare il Registro tutto il traffico bloccato e registrare tutte le opzioni di registrazione traffico consentite nelle Opzioni del firewall Policy. A causa dell'accresciuta attività di registrazione di un numero maggiore di traffico di rete, potrebbe essere necessario modificare i limiti delle dimensioni del registro ENS. (Questa regolazione non è in genere necessaria). Modificare le seguenti opzioni di registrazione ENS nelle opzioni in comune ENS Policy se necessario:
- Limita dimensione (MB) di ciascun file di registro di debug : la dimensione predefinita è 50 MB
- Limita dimensione (MB) di ciascun file di registro delle attività-la dimensione predefinita è 10 MB
- Avviare l'acquisizione di una traccia di rete.
- Avviare lo
AMTrace strumento. Sono disponibili diversi modi per eseguire loAMTrace strumento. Eseguireamtrace.exe per avviare o arrestare manualmente lo strumento oppure utilizzare le seguenti opzioni della riga di comando:- Per avviare:
AMTrace.exe -b now -m 2GB - Per arrestare:
AMTrace -e
- Per avviare:
- Riprodurre il problema.
Nota: Documentare la data e l'ora precise del problema da riprodurre, per Assistenza tecnica log Review.
- Arrestare l'acquisizione della traccia di rete.
- Arrestare lo
AMTrace strumento. - Raccogliere un file MER dal sistema. Il MER deve includere i file di registro di ENS firewall
\ProgramData\McAfee\Endpoint Security\Logs\Firewall*.log - Raccogliere il traffico di rete e i dettagli dell'applicazione appropriati:
- Indirizzi IP di origine e di destinazione, inclusi eventuali altri dettagli relativi all'indirizzo di rete, se necessario.
- Numeri di porta di origine e di destinazione, se applicabili.
- Dettagli dell'eseguibile dell'applicazione, ad esempio nome del fornitore, percorso di installazione, percorso eseguibile e nome file.
- Data e ora di riproduzione del problema.
- Qualsiasi blocco pertinente o Consenti voci dai file di registro di ENS firewall, se pertinente.
- A volte, è necessaria una copia esportata delle policy del firewall ENS per un'analisi approfondita. Le policy firewall necessarie sono di solito le regole firewall o le policy Opzioni . Se è possibile fornire queste policy per Assistenza tecnica da esaminare, esportarle dal menu Catalogo delle policy della console ePO, non dal menu Catalogo firewall . Esportare le policy come policy file XML.
- Raccogli
FWInfo dati:- Aprire un prompt dei comandi come amministratore. Ad esempio, se si utilizza Windows 10, digitare cmd nella casella Avvia ricerca, fare clic con il pulsante destro del mouse su prompt dei comandi, selezionare Esegui come amministratore, quindi fare clic su Sì.
- Al prompt dei comandi amministratore, eseguire i seguenti comandi:
ipconfig /all > c:\ipconfig.txt
Nota:fwinfo è aC:\Program Files\Common Files\McAfee\SystemCore\fwinfo.exe .
fwinfo -configdisplay > c:\fwinfo-configdisplay1.txt
fwinfo -ipconfig > c:\fwinfo-ipconfig1.txt
fwinfo -policydisplayxml > c:\fwinfo-policydisplayxml1.txt
Nota: Eseguire il comando riportato di seguito sui sistemi Windows Vista SP1 o versioni successive. Il comando consente di creare un file denominatowfpstate.xml . Rinominare il file inwfpstate1.xml .
netsh wfp show state
- Contatta Assistenza tecnica e fornisci i dati raccolti sopra per un'ulteriore analisi. Per i dettagli di contatto, consultare la sezione "informazioni correlate".
Informazioni correlate
Per contattare assistenza tecnica, accedere alla pagina Crea richiesta di assistenza e accedere a ServicePortal.
- Se si è utenti registrati, digitare l'ID utente e la password, quindi fare clic su accesso.
- Se non si è utenti registrati, fare clic su registra e completare i campi per inviare via email i password e le istruzioni.
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
Prodotti interessati
Lingue:
Questo articolo è disponibile nelle seguenti lingue: