- 保存所有现有的 HipShield 和 FireSvc 日志并删除原始信息以重置日志。
注意:如果启用日志记录,请将其禁用。
- 启用完整 IPS 和防火墙日志记录。有关 Host Intrusion Prevention 日志记录的信息,请参阅 KB72869。
- 打开 Host Intrusion Prevention 客户端 UI 并清除活动日志。
- 在防火墙选项策略中,或在客户端本地(解锁客户端 UI 后),启用适应性模式选项。
- 测试问题:
正常吗?
创建了适应性规则吗?如果是,请将适当的规则添加到客户防火墙策略。
- 应用更新后的策略重新测试问题。
- 查看客户端 UI 活动日志寻找阻止项。
- 在 FireSvc.log 中搜索 BLOCKED PID。
- 如果没有阻止项且未在适应性模式下创建规则,则:
确保客户端正在运行最新的Host Intrusion Prevention 补丁:
Host IPS 8.0:有关补丁和修补程序版本信息,请参阅 KB70725。
使用 Any-Any 规则
- 在 ePO 服务器控制台中,复制当前正在运行的防火墙规则策略。
- 修改此新策略,将其分配给测试客户端,并创建新的防火墙规则。
- 选择以下各项:
HostIPS 7.0:
Name = Allow Any-Any
Action = Permit
Protocol = All IP Protocols
Direction = Either
Application = <blank>
Address = Any
Host IPS 8.0:
<说明选项卡>
Name = Allow Any-Any
Action = Allow
Direction = Either
Status = Enabled
<网络选项选项卡>
Network Protocol = Any Protocol
<传输选项选项卡>
Transport Protocols = All Protocols
<应用程序选项卡>
Leave blank
<计划选项卡>
Schedule Status = Leave unchecked (Disabled)
- 保存 Allow Any-Any 规则并将其移到新复制的防火墙策略的顶部。
- 在 ePO 服务器控制台中,复制当前正在运行的防火墙选项策略。
- 修改此新复制的策略,将其分配给测试客户端,并修改防火墙选项策略中的下列功能。
Host IPS 8.0:
"Allow traffic for unsupported protocols" = Enabled
Startup protection = Disabled
"Enable IP spoof protection" = Disabled
"Incoming TrustedSource block threshold" = Do not block
"Outgoing TrustedSource block threshold" = Do not block
- 对于 Host IPS 8.0,还要将 DNS 阻止策略设为 McAfee 默认,或仅需确保分配的策略没有 DNS 阻止条目。
- 重新测试问题。
正常吗?
如果正常,则展开命名策略中的全部防火墙规则组,并从上到下分析每个防火墙规则。特别注意那些操作为 BLOCK 的规则。根据此次审阅,将 Any-Any 规则向下移动到规则集中的多个位置。
注意:
- 执行此操作数次并重新测试问题后,您应能确定哪个规则可能阻止应用程序。
- 对于 Host IPS 8.0,还有其他功能可能会阻止流量,例如 TrustedSource 或 IP 欺骗功能。 如果您重新启用这些功能,该问题可能会重现,这是因为会在防火墙规则策略之前处理为这些功能创建的防火墙规则。
Host IPS 8.0:验证应用程序细节是否符合相应的可执行文件细节。例如,文件说明值应为确切的应用程序说明,此值不是应用程序的“备注”值。 请参阅 KB71735。
如果未找到规则,请将正确的规则添加到防火墙策略集并重新测试。
允许非 IP 协议测试
防火墙 NDIS 过滤器可能根本发现不了流量。请参阅
KB66899 以确保您已经过允许不受支持协议的测试。
禁用 TrustedSource 功能测试(仅限 Host IPS 8.0)
网络流量由
TrustedSource - Get Rating 防火墙规则先于
防火墙规则策略(可能包含
Allow Any-Any 防火墙规则)中包含的其他防火墙规则
之前进行处理。
禁用 IP 欺骗功能测试(仅限 Host IPS 8.0)
网络流量由
IP Spoofing 防火墙规则先于
防火墙规则策略(可能包含
Allow Any-Any 防火墙规则)中包含的其他防火墙规则
之前进行处理。
禁用/卸载 Host Intrusion Prevention NDIS 驱动程序测试
注意:以下知识库文章中的信息仅作测试使用,而非用于解决问题。
对于 Host IPS 8.0:启用 FWPassThru 模式。请参阅
KB75917。
注意:额外的分析可能需要以下高级故障排除。 如有以下任何需要,请联系 McAfee 支持。
测试安装 Microsoft NDIS Pass Thru 驱动程序的问题
某些问题可能是由 Microsoft 网络设备接口规格 (NDIS) 中的缺陷所致。 NDIS 为第三方网络设备驱动程序的编程应用程序接口。 要判断 NDIS 是否有问题,请卸载 Host Intrusion Prevention 并安装 Microsoft Pass Thru NDIS 驱动程序。有关详细信息,请参阅
KB68557。 联系 McAfee 支持以申请 NDIS PassThru 驱动程序。
- Host IPS 8.0:使用 Microsoft ETL 日志记录收集数据
有关收集 Host Intrusion Prevention 8.0 for Windows 的 ETL 日志的信息,请参阅 KB72868。
使用网络捕获软件(例如 Wireshark)收集数据
某些高级防火墙问题在重现过程中可能还需要网络数据包跟踪。通常会记录两个跟踪:一个有问题另一个没有。 您可以比较这两个跟踪以判断网络数据包流量的差异。
- 在测试客户端上安装网络捕获软件(例如 Wireshark)。
- 清除并重新初始化所有日志和客户端 UI 活动日志。
- 开始捕获网络跟踪。
- 重现相应问题。
- 停止网络跟踪捕获。
- 单击 EXPORT(导出)或 SAVE(保存)选项保存 Host IPS 客户端 UI 活动日志。
- 收集以下内容:
- 网络跟踪文件
- McAfeeFireLog.txt - Host IPS 客户端 UI 活动日志
- HipShield.log
- FireSvc.log
- 连同日志和完整的 MER 工具结果呈报给第 III 级支持。
- 识别应用程序尝试与之通信的客户端 IP 地址和网络服务器的 IP 地址。
- 禁用防火墙并创建一切运作正常的第二个网络跟踪,以便与不正常的跟踪作比较。
- 如果可以,请通过比较正常和不正常的网络跟踪来隔离在第一个跟踪中被阻止的网络流量。在策略中添加适当的规则。