14Sep
V procesu filtriranja internetnega prometa imajo vsi požarni zidi določeno vrsto funkcije za zapisovanje, ki dokumentira, kako požarni zid obravnava različne vrste prometa. Ti dnevniki lahko zagotovijo dragocene informacije, kot so izvorni in namembni naslovi IP, številke vrat in protokoli. Za spremljanje povezav TCP in UDP ter paketov, ki jih blokira požarni zid, lahko uporabite tudi datoteko dnevnika požarnega zidu Windows.
Zakaj in kdaj je prijava požarnega zidu uporabna - Če želite preveriti, ali nova pravila požarnega zidu pravilno delujejo ali jih odpravite, če ne delujejo po pričakovanjih.
- Če želite ugotoviti, ali je požarni zid Windows vzrok za napake v aplikaciji - s funkcijo beleženja požarnega zidu lahko preverite odprtine odprtih vrat, dinamične odprte odprtine, analizirate padajoče pakete s potisnimi in nujnimi zastavami ter analizirajte padajoče pakete na poti pošiljanja.
- Pomagati in prepoznati zlonamerno dejavnost - s funkcijo beleženja požarnega zidu lahko preverite, ali v vašem omrežju pride do kakršne koli zlonamerne dejavnosti, čeprav morate zapomniti, da ne zagotavlja informacij, potrebnih za ugotavljanje vira dejavnosti.
- Če opazite večkratne neuspešne poskuse dostopa do požarnega zidu in / ali drugih visokozmogljivih sistemov z enega IP-naslova( ali skupine naslovov IP), potem boste morda želeli napisati pravilo, da bo vse povezave iz tega prostega prostora odstranilo( zagotovite,naslov IP ni zavajajoč).
- Odhodne povezave, ki prihajajo iz notranjih strežnikov, kot so spletni strežniki, so lahko znak, da nekdo uporablja vaš sistem za napad na računalnike, ki se nahajajo v drugih omrežjih.
Kako ustvariti datoteko dnevnika
Datoteka dnevnika je privzeto onemogočena, kar pomeni, da v datoteko dnevnika ni zapisanih nobenih informacij.Če želite ustvariti datoteko dnevnika, pritisnite "Win ključ + R", da odprete okno Zaženi. Vpišite "wf.msc" in pritisnite Enter. Prikaže se zaslon »Windows Firewall with Advanced Security«.Na desni strani zaslona kliknite »Properties«.
Pojavi se novo pogovorno okno. Sedaj kliknite zavihek »Zasebni profil« in izberite »Prilagodi« v razdelku »Oddelek za odjavo«.
Odpre se novo okno in s tem zaslonom izberite največjo velikost dnevnika, lokacijo in prijavo le padajočih paketov, uspešne povezave ali obojega. Spuščeni paket je paket, ki ga je blokiral Windows Firewall. Uspešna povezava se nanaša tako na dohodne povezave kot tudi na vse povezave, ki ste jih vzpostavili prek interneta, vendar to ne pomeni vedno, da je vsiljivec uspešno povezan z vašim računalnikom.
Privzeto požarni zid Windows zapisuje dnevnike v% SystemRoot% \ System32 \ LogFiles \ Firewall \ Pfirewall.log in hrani samo zadnje 4 MB podatkov. V večini proizvodnih okolij bo ta dnevnik nenehno pisal na trdi disk, in če spremenite omejitev velikosti datoteke dnevnika( za dnevno aktivnost v dnevniku), potem lahko povzroči učinek na uspešnost. Zaradi tega morate omogočiti prijavo le, če aktivno odpravite težavo in takoj onemogočite prijavo, ko končate.
Nato kliknite zavihek »Javni profil« in ponovite enake korake, ki ste jih naredili za kartico »Zasebni profil«.Zdaj ste vklopili dnevnik za zasebne in javne omrežne povezave. Datoteka dnevnika bo ustvarjena v obliki razširjenega zapisa W3C( .log), ki jo lahko pregledate z urejevalnikom besedil po vaši izbiri ali pa jih uvozite v preglednico. Enotna datoteka dnevnika lahko vsebuje več tisoč vnosov besedila, tako da če jih berete skozi Notepad, onemogočite ovijanje besedila, da ohranite oblikovanje stolpcev.Če si ogledate datoteko dnevnika v preglednici, bodo vsa polja logično prikazana v stolpcih za lažjo analizo.
Na glavnem zaslonu Windows Firewall with Advanced Security se pomaknite navzdol, dokler ne prikažete povezave »Spremljanje«.V podoknu s podrobnostmi v razdelku »Nastavitve prijave« kliknite pot do datoteke zraven »Ime datoteke«. Dnevnik se odpre v beležki.
Razlaga dnevnika Windows Firewall
Dnevnik varnosti požarnega zidu Windows vsebuje dva razdelka. Glava vsebuje statične, opisne informacije o različici dnevnika in razpoložljivih poljih. Telo dnevnika so zbrani podatki, ki so vneseni kot rezultat prometa, ki poskuša prečkati požarni zid. To je dinamični seznam, pri čemer se na dnu dnevnika prikazujejo novi vnosi. Polja so napisana od leve proti desni po strani.(-) se uporablja, če za polje ni na voljo nobenega vnosa.
V skladu z dokumentacijo Microsoft Technet zaglavje datoteke dnevnika vsebuje: različico
- prikaže, katera različica dnevnika varnosti požarnega zidu Windows je nameščena. Programska oprema
- prikaže ime programske opreme, ki ustvarja dnevnik.
Time - Označuje, da so vse informacije o časovnem žigu v dnevniku v lokalnem času. Polja
- prikaže seznam polj, ki so na voljo za vnose varnostnega dnevnika, če so podatki na voljo.
Medtem ko telo dnevnika vsebuje:
datum - Polje za datum označuje datum v obliki YYYY-MM-DD.
time - Lokalni čas se prikaže v datoteki dnevnika s formatom HH: MM: SS.Ure se navedejo v 24-urnem formatu. Dejanje
- Ker požarni zid procesira promet, se zabeležijo nekatera dejanja. Prijavljeni ukrepi so DROP za spustitev povezave, ODPRTO za odpiranje povezave, ZAPRTO za zapiranje povezave, OPEN-INUND za vhodno sejo, odprto na lokalnem računalniku, in INFO-EVENTS-LOST za dogodke, ki jih obdela požarni zid Windows, vendarniso bili zabeleženi v dnevnik varnosti. Protokol
- protokol, ki se uporablja, kot so TCP, UDP ali ICMP.
src-ip - prikaže izvorni IP-naslov( naslov IP računalnika, ki poskuša vzpostaviti komunikacijo).
dst-ip - prikaže ciljni naslov IP povezave.
src-port - Številka vrat na računalniku, iz katerega je bila poskušana povezava.
dst-port - pristanišče, kamor je pošiljal računalnik poskušal vzpostaviti povezavo. Velikost
- Prikazuje velikost paketa v bajtih.
tcpflags - informacije o TCP kontrolnih zastavicah v glavi TCP.
tcpsyn - prikaže zaporedno številko TCP v paketu.
tcpack - prikaže številko potrditve TCP v paketu.
tcpwin - prikaže velikost okna TCP, v bajtih, v paketu.
icmptype - informacije o sporočilih ICMP.
icmpcode - Informacije o sporočilih ICMP.
info - prikaže vnos, ki je odvisen od vrste izvedenega dejanja.
pot - Prikazuje smer komunikacije. Možnosti, ki so na voljo, so POŠILJANJE, SPREJEMANJE, PREKLIC in NEZNANO.
Kot ste opazili, je vnos v dnevnik res velik in ima lahko do 17 podatkov, povezanih z vsakim dogodkom. Za splošno analizo pa so pomembni le prvih osem informacij. S podatki v vaši roki zdaj lahko analizirate podatke o zlonamerni dejavnosti ali napakah pri odpravi napak.
Če sumite na zlonamerno dejavnost, odprite datoteko dnevnika v beležnici in filtrirajte vse vnose dnevnika z DROP v področju delovanja in ugotovite, ali se ciljni naslov IP konča s številom, ki ni 255. Če najdete veliko takšnih vnosov, potemupoštevajte ciljne naslove IP za pakete. Ko končate odpravljanje težave, lahko onemogočite dnevnik požarnega zidu.
Odpravljanje težav z omrežnimi težavami je lahko včasih precej zastrašujoče in priporočljiva dobra praksa pri odpravljanju težav z požarnim zidom Windows je omogočiti domače dnevnike.Čeprav datoteka dnevnika požarnega zidu Windows ni uporabna za analizo splošne varnosti vašega omrežja, je še vedno dobra praksa, če želite spremljati, kaj se dogaja za prizori.
