14Sep
Interneta datplūsmas filtrēšanas procesā visiem ugunsmūriem ir kāda veida mežizstrādes funkcija, kas dokumentē to, kā ugunsmūris apstrādā dažāda veida satiksmi.Šie žurnāli var sniegt vērtīgu informāciju, piemēram, avota un galamērķa IP adreses, portu numurus un protokolus. Varat arī izmantot Windows ugunsmūra žurnāla failu, lai uzraudzītu TCP un UDP savienojumus un paketes, ko ugunsmūris ir bloķējis.
Kādēļ un kad ugunsmūra mežizstrāde ir noderīga - Lai pārliecinātos, vai jaunizveidotie ugunsmūra noteikumi darbojas pareizi, vai to atkļūdošanai, ja tie nedarbojas pareizi.
- Lai noteiktu, vai Windows ugunsmūris ir pieteikšanās kļūmju cēlonis. Ar ugunsmūra mežizstrādes funkciju jūs varat pārbaudīt, vai nav atvērtas atklātas ligzdas, ir dinamiska ostas atveres, tiek analizēti kritušie paketēm ar stingriem un neatliekamiem karodziņiem un analizēti kritušie paketes sūtīšanas ceļā.
- Lai palīdzētu un identificētu ļaunprātīgas darbības - ar ugunsmūra mežizstrādes funkciju jūs varat pārbaudīt, vai tīklā ir vai nu kāda ļaunprātīga darbība, lai gan jums jāatceras, ka tajā nav informācijas, kas nepieciešama darbības avota izsekošanai.
- Ja pamanāt atkārtotus neveiksmīgos mēģinājumus piekļūt ugunsmūrii un / vai citām augsta profila sistēmām no vienas IP adreses( vai IP adrešu grupas), tad, iespējams, vēlēsities uzrakstīt noteikumu, lai likvidētu visus savienojumus no šīs IP telpas( pārliecinieties, kaIP adresi nav spoofed).
- Izejošie savienojumi, kas tiek saņemti no iekšējiem serveriem, piemēram, Web serveriem, var liecināt, ka kāds izmanto jūsu sistēmu, lai uzsāktu uzbrukumus datoriem, kas atrodas citos tīklos.
Kā ģenerēt žurnāla failu
Pēc noklusējuma žurnāla fails ir atspējots, kas nozīmē, ka žurnāla failam nav rakstīta neviena informācija. Lai izveidotu žurnāla failu, nospiediet taustiņu "Win key + R", lai atvērtu lodziņu Run. Ierakstiet "wf.msc" un nospiediet taustiņu Enter. Parādās ekrāns "Windows ugunsmūris ar uzlabotu drošību".Ekrāna labajā pusē noklikšķiniet uz "Rekvizīti".
Atveras jauns dialoglodziņš.Tagad noklikšķiniet uz cilnes "Privātā profila" un izvēlnē "Pieteikšanās sadaļa" atlasiet "Pielāgot".
Atveras jauns logs, un no šī ekrāna izvēlieties maksimālo žurnāla izmēru, atrašanās vietu un to, vai pieslēgt tikai nokritušos paketēm, veiksmīgu savienojumu vai abus. Pakātais kritums ir pakete, ko Windows ugunsmūris ir bloķējis. Veiksmīgs savienojums attiecas gan uz ienākošajiem savienojumiem, gan uz visiem jūsu izveidotajiem savienojumiem, izmantojot internetu, taču tas ne vienmēr nozīmē, ka iebrucējs ir veiksmīgi izveidojis savienojumu ar datoru.
Pēc noklusējuma Windows ugunsmūris ieraksta žurnāla ierakstus uz% SystemRoot% \ System32 \ LogFiles \ Firewall \ Pfirewall.log un saglabā tikai pēdējos 4 MB datu. Lielākajā daļā ražošanas vides šis logs pastāvīgi tiks rakstīts uz jūsu cietā diska, un, mainot log faila izmēru ierobežojumu( lai aktivizētu darbību ilgā laika periodā), tas var izraisīt veiktspēju.Šī iemesla dēļ jums vajadzētu ļaut reģistrēt tikai tad, ja ir aktīvi novērst problēmu, un pēc tam nekavējoties atspējot reģistrēšanu, kad esat pabeidzis.
Nāknē noklikšķiniet uz cilnes "Publiskais profils" un atkārtojiet tās pašas darbības, kuras izmantojāt cilnei "Privāts profils".Tagad jūs esat ieslēdzis žurnālu gan privātiem, gan publiskiem tīkla savienojumiem.Žurnāla fails tiks izveidots W3C paplašinātā žurnāla formātā( .log), kuru varat pārbaudīt ar izvēlētu teksta redaktoru vai importēt to izklājlapā.Viens žurnāla fails var saturēt tūkstošus teksta ierakstus, tādēļ, ja jūs lasāt tos ar Notepad, atspējojiet vārdu aploksni, lai saglabātu kolonnas formatējumu. Ja skatāties žurnāla failu izklājlapā, visi logi loģiski tiek parādīti slejās, lai atvieglotu analīzi.
Ekrānā galvenajā logā "Windows ugunsmūris ar uzlaboto drošību" ritiniet uz leju, līdz tiek parādīta saite "Uzraudzība".Informācijas rūtī sadaļā "Pierakstīšanās iestatījumi" noklikšķiniet uz faila ceļa blakus "Faila nosaukums". Grāmatzīme tiek atvērta Notepad.
interpretējot Windows ugunsmūra žurnālu
Windows ugunsmūra drošības žurnālā ir divas sadaļas. Galvenē ir statiska, aprakstoša informācija par žurnāla versiju un pieejamajiem laukiem.Žurnāla pamatteksts ir apkopoti dati, kas ievadīti satiksmes rezultātā, kas mēģina šķērso ugunsmūri. Tas ir dinamisks saraksts, un jaunie ieraksti joprojām tiek parādīti žurnāla apakšdaļā.Lauki ir rakstīti no lapas uz otru pa labi.(-) tiek izmantots, ja laukam nav ierakstu.
Saskaņā ar Microsoft Technet dokumentāciju log faila galvene satur:
Version - parāda, kura Windows ugunsmūra drošības žurnāla versija ir instalēta.
Software - parāda programmatūras, kas izveido žurnālu, nosaukumu.
Laiks - Norāda, ka visa laika loga informācija žurnālā ir vietējā laikā.
lauki - parāda to lauku sarakstu, kas ir pieejami drošības žurnāla ierakstiem, ja dati ir pieejami.
Kamēr žurnāla faila pamatā ir:
datums - datuma lauks norāda datumu formātā YYYY-MM-DD.
laiks - vietējais laiks tiek parādīts žurnāla failā, izmantojot formātu HH: MM: SS.Darba stundas ir norādītas 24 stundu formātā.
darbība - Tā kā ugunsmūris apstrādā datplūsmu, tiek reģistrētas noteiktas darbības. Pieteiktie pasākumi ir DROP savienojuma noklusēšanai, ATVĒRTI savienojuma atvēršanai, CLOSE savienojuma aizvēršanai, OPEN-INBOUND vietējai datoram atvērtā sesijā un INFO-EVENTS-LOST notikumiem, ko apstrādā Windows ugunsmūris, betnetika ierakstīti drošības žurnālā.
protokols - izmanto protokolu, piemēram, TCP, UDP vai ICMP.
src-ip - parāda avota IP adresi( datora IP adresi, kas mēģina izveidot komunikāciju).
dst-ip - parāda savienojuma mēģinājuma galamērķa IP adresi.
src-port - porta numurs nosūtītājā datorā, no kura tika mēģināts savienojums.
dst-port - ports, uz kuru sūtītājs mēģināja izveidot savienojumu.
izmērs - parāda pakešu lielumu baitos.
tcpflags - Informācija par TCP kontroles lodziņiem TCP galvenēs.
tcpsyn - parāda TCP sērijas numuru paketē.
tcpack - parāda TCP apstiprinājuma numuru paketē.
tcpwin - parāda TCP loga lielumu, baitos, paketē.
icmptype - informācija par ICMP ziņojumiem.
icmpcode - informācija par ICMP ziņojumiem.
info - parāda ierakstu, kas ir atkarīgs no notikušā darbības veida.
ceļš - parāda komunikācijas virzienu. Pieejamās opcijas ir SEND, RECEIVE, FORWARD un UNKNOWN.
Kā jūs pamanāt, žurnāla ieraksts patiešām ir liels, un tam var būt līdz 17 informācijas daļām, kas saistītas ar katru notikumu. Tomēr vispārējai analīzei ir svarīgi tikai pirmie astoņi informācijas elementi. Tagad ar informāciju, kas atrodas jūsu rokā, jūs varat analizēt informāciju par ļaunprātīgu darbību vai atkļūdošanas lietojumprogrammu kļūmēm.
Ja jums ir aizdomas par jebkādu ļaunprātīgu darbību, tad atveriet žurnāla failu Piezīmju tabulā un visus darbības logā ierakstiet visus log ierakstus ar DROP un atzīmējiet, vai galamērķa IP adrese beidzas ar numuru, kas nav 255. Ja atrodat daudzus šādus ierakstus, tadņemiet vērā paketes galamērķa IP adreses. Kad esat pabeidzis problēmas novēršanu, varat atspējot ugunsmūra mežizstrādi.
Tīkla problēmu novēršana dažkārt var būt diezgan bīstama, un ieteicama laba prakse, ja Windows ugunsmūris tiek novērsts, lai iespējotu vietējos žurnālus. Kaut arī Windows ugunsmūra žurnāla fails nav noderīgs, lai analizētu kopējo tīkla drošību, joprojām ir laba prakse, ja vēlaties kontrolēt to, kas notiek aiz skata.