14Sep
בתהליך סינון תעבורת האינטרנט, לכל חומת האש יש סוג כלשהו של תכונת רישום המתעד כיצד חומת האש מטפלת בסוגי תנועה שונים.יומנים אלה יכולים לספק מידע בעל ערך כמו כתובות IP של מקור ויעד, מספרי יציאה ופרוטוקולים.ניתן גם להשתמש בקובץ יומן חומת האש של Windows כדי לפקח על חיבורי TCP ו- UDP ועל מנות שחסומות חומת האש חסומות.
מדוע וכאשר הרישום של חומת האש הוא שימושי - כדי לוודא אם כללי חומת האש שנוספו לאחרונה פועלים כהלכה או כדי לנטרל אותם אם הם לא פועלים כצפוי.
- כדי לקבוע אם חומת האש של Windows היא הסיבה לכשלים ביישום - בעזרת התכונה 'רישום חומת אש', באפשרותך לבדוק את יציאות היציאה הנכשלות, פתחי יציאה דינמיים, לנתח מנות מנותקות באמצעות דגלים דחופים ודחופים ולנתח מנות מנותקות בנתיב השליחה.
- כדי לסייע בזיהוי פעילות זדונית - בעזרת התכונה 'רישום חומת האש' תוכל לבדוק אם מתרחשת פעילות זדונית כלשהי ברשת שלך, אם כי עליך לזכור שהיא אינה מספקת את המידע הדרוש כדי לאתר את מקור הפעילות.
- אם תבחין בניסיונות חוזרים ונשנים לא מוצלחים לגשת אל חומת האש ו / או למערכות פרופיל גבוהות אחרות מכתובת IP אחת( או קבוצה של כתובות IP), ייתכן שתרצה לכתוב כלל להפיל את כל החיבורים ממרחב ה- IP הזה( וודא כיכתובת ה- IP אינה מזויפת).
- חיבורים יוצאים שמקורם בשרתים פנימיים, כגון שרתי אינטרנט, עשויים להוות אינדיקציה לכך שמישהו משתמש במערכת שלך כדי להפעיל התקפות על מחשבים הממוקמים ברשתות אחרות.
כיצד ליצור את קובץ היומן
כברירת מחדל, קובץ היומן מושבת, כלומר אין מידע שנכתב בקובץ היומן.כדי ליצור קובץ יומן לחץ על "Win + R +" כדי לפתוח את תיבת ההפעלה.הקלד "wf.msc" והקש על Enter.מופיע המסך "חומת האש של Windows עם אבטחה מתקדמת".בצד ימין של המסך, לחץ על "מאפיינים".
מופיעה תיבת דו-שיח חדשה.עכשיו לחץ על הכרטיסייה "פרופיל פרטי" ובחר "התאמה אישית" בסעיף "רישום".
נפתח חלון חדש וממסך זה לבחור את גודל היומן המרבי, מיקום, ואם להיכנס רק מנות ירד, חיבור מוצלח או שניהם.מנה מנותקת היא מנה שחומת האש של Windows חסמה.חיבור מוצלח מתייחס הן לחיבורים נכנסים והן לכל חיבור שעשיתם דרך האינטרנט, אבל זה לא תמיד אומר כי פורץ מחובר בהצלחה למחשב.
כברירת מחדל, חומת האש של Windows כותבת ערכי יומן ל-% SystemRoot% \ System32 \ LogFiles \ Firewall \ Pfirewall.log ומאחסנת רק את 4 MB הנתונים האחרונים.ברוב סביבות הייצור, יומן זה יכתוב ללא הרף לדיסק הקשיח שלך, ואם תשנה את מגבלת הגודל של קובץ היומן( כדי להיכנס לפעילות במשך תקופה ארוכה), הדבר עלול לגרום להשפעה על הביצועים.מסיבה זו, עליך לאפשר רישום רק כאשר אתה מנסה לפתור בעיות באופן פעיל ולאחר מכן תסיים באופן מיידי את ביטול הרישום.
לאחר מכן, לחץ על הכרטיסייה "פרופיל ציבורי" וחזור על אותם השלבים שעשית עבור הכרטיסייה "פרופיל פרטי".הפעלת כעת את היומן עבור חיבורי רשת פרטיים וציבוריים.קובץ היומן ייווצר בתבנית יומן מורחבת של W3C( .log), שאותה תוכל לבדוק עם עורך טקסט לפי בחירתך או לייבא אותם לגיליון אלקטרוני.קובץ יומן יחיד יכול להכיל אלפי רשומות טקסט, כך שאם אתה קורא אותם דרך Notepad ולאחר מכן להשבית גלישת מילים כדי לשמור על עיצוב העמודה.אם אתה מציג את קובץ היומן בגיליון אלקטרוני, כל השדות יוצגו באופן הגיוני בעמודות לצורך ניתוח קל יותר.
במסך הראשי של "חומת האש של Windows עם אבטחה מתקדמת", גלול למטה עד שתראה את הקישור "ניטור".בחלונית הפרטים, תחת "הגדרות רישום", לחץ על נתיב הקובץ ליד "שם קובץ". היומן נפתח בפנקס הרשימות.
לפרש את חומת האש של Windows
יומן האבטחה של חומת האש של Windows מכיל שני מקטעים.הכותרת מספקת מידע סטטי, תיאורי, לגבי גירסת היומן והשדות הזמינים.גוף היומן הוא הנתונים המורכבים המוזנים כתוצאה מהתנועה המנסה לחצות את חומת האש.זוהי רשימה דינמית, וערכים חדשים ממשיכים להופיע בתחתית היומן.השדות נכתבים משמאל לימין על פני הדף.ה -( -) משמש כאשר אין כניסה לזמין עבור השדה.
על פי התיעוד של Microsoft Technet, הכותרת של קובץ היומן מכילה:
Version - מציג איזו גירסה של יומן האבטחה של חומת האש של Windows מותקנת.
Software - מציג את שם התוכנה היוצרת את היומן.
Time - מציין שכל פרטי חותמת היומן נמצאים בזמן המקומי.
Fields - מציג רשימת שדות הזמינים עבור רשומות יומן אבטחה, אם הנתונים זמינים.
בעוד שהגוף של קובץ היומן מכיל:
תאריך - שדה התאריך מזהה את התאריך בפורמט YYYY-MM-DD.זמן
- השעה המקומית מוצגת בקובץ היומן באמצעות הפורמט HH: MM: SS.את השעות הם הפניה בפורמט 24 שעות.
פעולה - כמו חומת האש תהליכים התנועה, פעולות מסוימות נרשמות.הפעולות שנרשמו הן DROP להשמטת חיבור, פתיחה לפתיחת חיבור, סגור לסגירת חיבור, OPEN-INBOUND עבור הפעלה נכנסת שנפתחה למחשב המקומי ו- INFO-EVENTS-LOST עבור אירועים שעובדו על-ידי חומת האש של Windows, אךלא נרשמו ביומן האבטחה.פרוטוקול
- פרוטוקול המשמש כגון TCP, UDP או ICMP.
src-ip - מציג את כתובת ה- IP של המקור( כתובת ה- IP של המחשב המנסה ליצור תקשורת).
dst-ip - מציג את כתובת ה- IP של היעד של ניסיון התחברות.
src-port - מספר היציאה במחשב השולח שממנו ננסה החיבור.
dst-port - היציאה שאליה המחשב השולח מנסה ליצור חיבור.גודל
- מציג את גודל המנה בבתים.
tcpflags - מידע על דגלי בקרת TCP בכותרות TCP.
tcpsyn - מציג את מספר הרצף של TCP בחבילה.
tcpack - מציג את מספר אישור ה- TCP בחבילה.
tcpwin - מציג את גודל חלון TCP, בבתים, בחבילה.
icmptype - מידע על הודעות ICMP.
icmpcode - מידע על הודעות ICMP.
info - הצגת רשומה שתלויה בסוג הפעולה שהתרחשה.
נתיב - מציג את כיוון התקשורת.האפשרויות הזמינות הן SEND, RECEIVE, FORWARD ו- UNKNOWN.
כפי שאתם מבחינים, הערך ביומן הוא אכן גדול ויכול להכיל עד 17 פיסות מידע הקשורות לכל אירוע.עם זאת, רק הראשון שמונה חתיכות של מידע חשובים עבור ניתוח כללי.עם הפרטים בידיים שלך עכשיו אתה יכול לנתח את המידע עבור פעילות זדונית או כשלים יישום באגים.
אם אתה חושד בפעילות זדונית כלשהי, פתח את קובץ היומן בפנקס הרשימות וסנן את כל רשומות היומן באמצעות DROP בשדה הפעולה וציין אם כתובת ה- IP של היעד מסתיימת במספר שאינו 255. אם אתה מוצא רשומות רבות כאלה,לרשום את כתובות ה- IP היעד של מנות.לאחר שסיימת לפתור את הבעיה, באפשרותך להשבית את רישום חומת האש.
בעיות בפתרון בעיות ברשת עשויות להיות מרתיעה למדי בזמנים ומומלץ מומלץ בעת פתרון בעיות בחומת האש של Windows כדי לאפשר את היומנים המקוריים.למרות שקובץ היומן של חומת האש של Windows אינו שימושי לניתוח האבטחה הכוללת של הרשת שלך, זה עדיין נשאר טוב אם אתה רוצה לפקח על מה שקורה מאחורי הקלעים.