Siga estos pasos para solucionar problemas en una aplicación o un tráfico orientados a la red que el firewall de Host Intrusion Prevention está bloqueando:
- Guarde los registros de HipShield y archivo FireSvc existentes y elimine los originales. Esta acción restablece los registros.
- Active el registro de firewall y de IPS completo. Ve KB72869 para obtener información sobre el registro de Host Intrusion Prevention.
- Abra la interfaz de usuario del cliente de Host Intrusion Prevention (UI) y borre la Registro de actividades.
- En Opciones de Firewall Directiva, o bien de forma local en el cliente tras desbloquear la interfaz de usuario del cliente, activar la Modo de adaptación Option.
- Comprobar el problema:
¿Funciona?
¿Se ha creado una regla adaptable? Si es así, agregue la regla adecuada a la Directiva de firewall de cliente.
- Vuelva a probar el problema con la directiva actualizada aplicada.
- Compruebe el registro de actividad de la interfaz de usuario del cliente en busca de bloques.
- Busque en la Archivo FireSvc. log las PID BLOQUEADO.
- Si no hay bloques y no se ha creado ninguna regla en el modo de adaptación, asegúrese de que el cliente esté ejecutando el parche de host IPS más reciente. Ve KB70725 información sobre la versión de parche y hotfix.
Utilice la regla any-any
- En la consola del servidor de ePO, duplique la Regla de Firewall Directiva que se está ejecutando.
- Modifique esta nueva Directiva, asígnela al cliente de prueba y cree una regla de Firewall nueva.
- Seleccione lo siguiente:
Host IPS 8.0:
Ficha Descripción>
Nombre = Permitir cualquier
Acción = Habilitar
Dirección = Cualquiera
Estado = Activado
Ficha Opciones de red>
Protocolo de red = Cualquier protocolo
Ficha Opciones de transporte>
Protocolos de transporte = Todos los protocolos
Ficha aplicaciones>
Dejar en blanco
Ficha planificación>
Estado de planificación = Dejar desactivado (desactivado)
- Guardar la Permitir cualquier regla y moverla a la parte superior de la Directiva firewall recién duplicada.
- En la consola del servidor de ePO, duplique la Opciones de Firewall Directiva que se está ejecutando.
- Modifique esta Directiva recién duplicada, asígnela al cliente de prueba y modifique las siguientes funciones de la Opciones de Firewall políticas.
Host IPS 8.0:
"Permitir tráfico para protocolos no admitidos" = Activado
Protección de inicio = Deshabilita
"Activar protección de falsificaciones de IP" = Deshabilita
"Umbral de bloqueo de TrustedSource entrante" = No bloquear
"Umbral de bloqueo de TrustedSource de salida" = No bloquear
- Para host IPS 8.0, establezca la Bloqueo de DNS Directiva para McAfee predeterminadao asegúrese de que la directiva asignada no tenga entradas de bloqueo de DNS.
- Vuelva a probar el problema.
¿Funciona?
Si funciona, expanda todos los grupos de reglas firewall de la Directiva con nombre y analice cada una de las reglas de firewall de arriba abajo. Preste especial atención a las reglas que se han CATCH como acción. En función de esta revisión, mueva el Cualquier any la regla se reduce a varias posiciones en el conjunto de reglas.
NOTAS:
- Al analizar las reglas varias veces y volver a probar el problema, puede determinar qué regla podría estar bloqueando la aplicación.
- Para host IPS 8.0, es posible que otras funciones estén bloqueando el tráfico, por ejemplo, TrustedSource o Falsificación de IP características. El problema puede reproducirse si vuelve a activar estas funciones. El motivo se debe a que se procesan las reglas de firewall creadas para estas funciones hasta su Firewall Directiva de reglas.
Host IPS 8.0: Verifique que los detalles de la aplicación coincidan con los detalles del ejecutable de forma adecuada. Por ejemplo, el Descripción del archivo el valor debe ser la descripción exacta de la aplicación, y no un valor de comentario para la aplicación. Ve KB71735.
Si no se encuentra ninguna regla, agregue la regla adecuada al conjunto de directivas firewall y a la nueva prueba.
Probar mediante la autorización de protocolos no IP
Es posible que el filtro firewall de la especificación de interfaz de dispositivos de red (NDIS) no vea el tráfico en absoluto. Para asegurarse de que ha probado mediante la autorización de protocolos no admitidos, consulte
KB66899.
Prueba desactivando la funcionalidad de TrustedSource (host IPS 8.0 sólo
El tráfico de red lo procesa la
TrustedSource-obtener calificación regla de firewall
hasta las demás reglas de firewall contenidas en la
Reglas de Firewall Directiva, que podría contener un
Permitir cualquier regla de firewall.
Comprobación mediante la desactivación de la funcionalidad de falsificación de IP (host IPS 8.0 sólo
El tráfico de red lo procesa la
Falsificación de IP regla de firewall
hasta las demás reglas de firewall contenidas en la
Reglas de Firewall políticas. La Directiva reglas de Firewall podría contener un
Permitir cualquier regla de firewall.
Prueba desactivando o desinstalando los controladores NDIS de Host Intrusion Prevention
NOTA: La información del siguiente artículo de base de conocimiento es solo para pruebas. No está pensado para utilizarse como solución a un problema:
KB75917 -Activar modo FWPassThru.
Solución de problemas avanzada
NOTA: Es posible que se requiera la siguiente solución de problemas avanzada para obtener más análisis. Póngase en contacto con Soporte técnico para recibir asistencia si se requiere alguna de las siguientes opciones.
Comprobar el problema con el controlador de paso de transferencia de Microsoft NDIS instalado
Un defecto en NDIS podría provocar algunos problemas. NDIS es la interfaz de aplicaciones de programación para controladores de dispositivos de red de terceros. Para determinar si NDIS ha fallado, desinstale Host Intrusion Prevention e instale el controlador de Microsoft pass through NDIS. Para solicitar el controlador PassThru de NDIS, póngase en contacto con Soporte técnico.
Host IPS 8.0: Recopilación de datos mediante el registro de Microsoft ETL
Ve
KB72868 para obtener información sobre la recopilación de registros de ETL para Host Intrusion Prevention 8.0 para Windows.
Recopilación de datos mediante el software de captura de red (por ejemplo, Wireshark)
Algunos problemas de firewall avanzados también podrían requerir un rastreo de paquetes de red durante la reproducción. Normalmente, se registran dos trazas: una con el problema y la otra sin el problema. Puede comparar las trazas para determinar las diferencias con el tráfico de los paquetes de red:
- Instale el software de captura de red, por ejemplo, Wireshark, en el cliente de prueba.
- Borre y reinicialice todos los registros y el registro de actividad de IU cliente.
- Inicie la captura de un rastreo de red.
- Reproduzca el problema.
- Detenga la captura de rastreo de red.
- Haga clic en la EXPORTA bien NO y guarde el registro de actividad de IU cliente de host IPS.
- Recopile lo siguiente:
- Archivo de rastreo de red
- McAfeeFireLog. txt -Registro de actividad de IU de cliente de host IPS
- HipShield. log
- Archivo FireSvc. log
- Póngase en contacto con Soporte técnico y facilite los registros y los resultados de la herramienta de MER completa.
Para ponerse en contacto con el Soporte técnico, inicie sesión en ServicePortal y vaya a Crear una solicitud de servicio en
https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR:
- Si está registrado, introduzca su ID de usuario y contraseña y, a continuación, haga clic en Iniciar sesión.
- Si no está registrado, haga clic en Registrarse y rellene los campos obligatorios. Recibirá por correo electrónico la contraseña y las instrucciones para iniciar sesión.
- Identificar el Dirección IP del cliente y la Dirección IP del servidor de red con el que la aplicación está intentando comunicarse.
- Desactive la firewall y cree un segundo rastreo de la red que todo funcione correctamente para comparar el trazado de trabajo con el seguimiento de no funcionamiento.
- Si es posible, aísle el tráfico de red que se podría haber bloqueado en la primera traza comparando el rastreo de la red en funcionamiento y el que no funciona. Agregue las reglas adecuadas a la Directiva.
