Attenersi alla procedura seguente per risolvere i problemi relativi a un'applicazione di rete o a un traffico che il firewall di Host Intrusion Prevention sta bloccando:
- Salvare i registri esistenti di HipShield e FireSvc ed eliminare gli originali. Questa azione Reimposta i registri.
- Attivare l'IPS completo e la registrazione firewall. Vedere KB72869 per informazioni sulla registrazione di Host Intrusion Prevention.
- Aprire l'interfaccia utente client di Host Intrusion Prevention (UI) e deselezionare la Registro attività.
- Nel Opzioni firewall policy o localmente sul client dopo aver sbloccato l'interfaccia utente client, attivare la Modalità adattiva opzione.
- Verificare il problema:
Funziona?
È stata creata una regola adattiva? In tal caso, aggiungere la regola appropriata al firewall cliente policy.
- Eseguire nuovamente il test del problema con il policy aggiornato applicato.
- Controllare il registro attività dell'interfaccia utente client per eventuali blocchi.
- Cerca nel FireSvc. log per PID BLOCCATO.
- Se non sono presenti blocchi e non viene creata alcuna regola in modalità adattiva, assicurarsi che il client esegua la patch host IPS più recente. Vedere KB70725 per informazioni sulla versione di patch e hotfix.
Utilizzare la regola any-any
- Nella console del server ePO, duplicare il Regola firewall policy in esecuzione.
- Modificare questa nuova policy, assegnarla al client di prova e creare una nuova regola firewall.
- Selezionare quanto segue:
Host IPS 8.0:
Scheda Descrizione>
Nome = Consenti qualsiasi
Azione = Consentire
Direzione = Sia
Stato = Abilitato
Scheda Opzioni di rete>
Protocollo di rete = Qualsiasi protocollo
Scheda Opzioni di trasporto>
Protocolli di trasporto = Tutti i protocolli
Scheda applicazioni>
Lascia in bianco
Scheda pianificazione>
Stato pianificazione = Lascia incontrollato (disattivato)
- Salvare il Consenti qualsiasi regola e spostarla nella parte superiore della policy di firewall appena duplicata.
- Nella console del server ePO, duplicare il Opzioni firewall policy in esecuzione.
- Modificare questo policy appena duplicato, assegnarlo al client di prova e modificare le seguenti funzionalità nella Opzioni firewall policy.
Host IPS 8.0:
"Consenti traffico per protocolli non supportati" = Abilitato
Protezione all'avvio = Disattivato
"Attiva protezione da spoofing IP" = Disattivato
"Soglia di blocco TrustedSource in entrata" = Non bloccare
"Soglia di blocco TrustedSource in uscita" = Non bloccare
- Per host IPS 8.0, è possibile impostare il Blocco DNS policy a McAfee impostazione predefinitao assicurarsi che il policy assegnato non disponga di voci di blocco DNS.
- Eseguire nuovamente il test del problema.
Funziona?
Se funziona, espandere tutti i gruppi di regole firewall nella policy denominata e analizzare ciascuna delle regole di firewall dall'alto verso il basso. Prestare particolare attenzione alle regole che hanno BLOCCO come azione. In base a questa recensione, spostare il Any-any regola in basso in molte posizioni nel set di regole.
NOTE:
- Analizzando le regole diverse volte e ritestando il problema, è possibile determinare quale regola potrebbe bloccare l'applicazione.
- Per host IPS 8.0, altre funzionalità potrebbero bloccare il traffico, ad esempio TrustedSource o Spoofing IP funzionalità. Il problema potrebbe verificarsi nuovamente se si riattivano queste funzionalità. Il motivo è che le regole di firewall create per queste funzionalità vengono elaborate prima la regola del firewall policy.
Host IPS 8.0: Verificare che i dettagli dell'applicazione coincidano adeguatamente con i dettagli dell'eseguibile. Ad esempio, il Descrizione file il valore deve essere la descrizione esatta dell'applicazione e non un valore di commento per l'applicazione. Vedere KB71735.
Se non si trova una regola, aggiungere la regola appropriata al firewall policy impostare e riprovare.
Verifica mediante la concessione di protocolli non IP
Il filtro di firewall Network Device Interface Specification (NDIS) potrebbe non visualizzare affatto il traffico. Per verificare che i protocolli non supportati siano stati testati, consultare
KB66899.
Verifica disattivando la funzionalità di TrustedSource (host IPS 8.0 solo
Il traffico di rete viene elaborato dal
TrustedSource-Ottieni classificazione regola firewall
prima le altre regole di firewall contenute nel
Regole firewall policy, che potrebbe contenere un
Consenti qualsiasi firewall regola.
Verifica disattivando la funzionalità di spoofing IP (host IPS 8.0 solo
Il traffico di rete viene elaborato dal
Spoofing IP regola firewall
prima le altre regole di firewall contenute nel
Regole firewall policy. Le regole del firewall policy potrebbero contenere un
Consenti qualsiasi firewall regola.
Verifica disattivando o disinstallando i driver NDIS di Host Intrusion Prevention
Nota Le informazioni contenute nell'articolo della Knowledge Base riportato di seguito sono solo per il testing. Non può essere utilizzato come soluzione per un problema:
KB75917 -Attivare la modalità FWPassThru.
Risoluzione dei problemi avanzata
Nota Per ulteriori analisi potrebbe essere necessario il seguente processo di risoluzione dei problemi avanzato. Contattare Assistenza tecnica per assistenza se sono necessarie le seguenti informazioni.
Verifica del problema con il driver Microsoft NDIS pass thru installato
Un difetto in NDIS potrebbe causare alcuni problemi. NDIS è l'interfaccia di programmazione delle applicazioni per i driver di dispositivo di rete di terze parti. Per determinare se NDIS è in errore, disinstallare Host Intrusion Prevention e installare il driver Microsoft pass thru NDIS. Per richiedere il driver NDIS PassThru, contattare Assistenza tecnica.
Host IPS 8.0: Raccolta di dati mediante la registrazione di Microsoft ETL
Vedere
KB72868 per informazioni sulla raccolta dei registri ETL per Host Intrusion Prevention 8.0 per Windows.
Raccolta di dati mediante il software di cattura della rete (ad esempio, Wireshark)
Alcuni problemi di firewall avanzati potrebbero richiedere anche una traccia di pacchetti di rete durante la riproduzione. In genere, vengono registrate due tracce: una con il problema e l'altra senza il problema. È possibile confrontare le tracce per determinare eventuali differenze con il traffico dei pacchetti di rete:
- Installare il software di cattura della rete, ad esempio Wireshark, nel client di test.
- Deselezionare e reinizializzare tutti i registri e il registro attività di ClientUI.
- Avviare l'acquisizione di una traccia di rete.
- Riprodurre il problema.
- Arrestare l'acquisizione della traccia di rete.
- Fare clic sul pulsante Esporta o SALVARE e salvare il registro delle attività di host IPS ClientUI.
- Raccogliere quanto segue:
- File di traccia di rete
- McAfeeFireLog. txt -Registro attività dell'interfaccia utente del client Host IPS
- HipShield. log
- FireSvc. log
- Contattare Assistenza tecnica e fornire i registri e i risultati completi dello strumento MER.
Per contattare l'assistenza tecnica, accedere al ServicePortal e andare alla pagina Crea una richiesta di assistenza all'indirizzo
https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR:
- Se è stata effettuata la registrazione, digitare il proprio ID utente e la password, quindi fare clic su Accedi.
- Se non è stata effettuata la registrazione, fare clic su Registrati e compilare i campi obbligatori. La password e le istruzioni di accesso verranno inviate via email.
- Identificare il Indirizzo IP client E la Indirizzo IP del server di rete che l'applicazione sta tentando di comunicare con.
- Disattivare il firewall e creare una seconda traccia di rete con tutto ciò che funziona correttamente per confrontare la traccia di lavoro con la traccia non funzionante.
- Se possibile, isolare il traffico di rete che potrebbe essere stato bloccato nella prima traccia confrontando la traccia di rete funzionante e non funzionante. Aggiungere le regole appropriate alla policy.
