Bagaimana Mengesan Aktiviti Firewall dengan Windows Firewall Log

Dalam proses menapis trafik Internet, semua firewall mempunyai beberapa jenis ciri pembalakan yang mendokumenkan bagaimana firewall mengendalikan pelbagai jenis lalu lintas. Log ini boleh memberikan maklumat yang berharga seperti sumber dan destinasi alamat IP, nombor pelabuhan, dan protokol. Anda juga boleh menggunakan fail log Windows Firewall untuk memantau sambungan TCP dan UDP dan paket yang disekat oleh firewall.

Kenapa dan Apabila Pembalakan Firewall Berguna

1. Untuk mengesahkan sama ada aturan firewall yang baru ditambah berfungsi dengan baik atau debug mereka jika mereka tidak berfungsi seperti yang diharapkan.
2. Untuk menentukan sama ada Windows Firewall adalah punca kegagalan aplikasi - Dengan ciri pembalakan Firewall anda boleh menyemak bukaan pelabuhan yang tidak aktif, bukaan pelabuhan dinamik, menganalisis paket-paket yang jatuh dengan bendera dan bendera yang mendesak dan menganalisis paket yang jatuh di laluan hantar.
3. Untuk membantu dan mengenal pasti aktiviti berniat jahat - Dengan ciri pembalakan Firewall, anda boleh menyemak sama ada aktiviti berniat jahat berlaku dalam rangkaian anda atau tidak, walaupun anda harus mengingatnya tidak memberikan maklumat yang diperlukan untuk menjejaki sumber aktiviti.
4. Jika anda perhatikan percubaan berulang yang tidak berjaya untuk mengakses firewall dan / atau sistem profil tinggi yang lain dari satu alamat IP (atau kumpulan alamat IP), maka anda mungkin ingin menulis peraturan untuk menjatuhkan semua sambungan dari ruang IP tersebut (pastikan bahawa Alamat IP tidak dipalsukan).
5. Sambungan keluar dari pelayan dalaman seperti pelayan Web boleh menjadi petunjuk bahawa seseorang menggunakan sistem anda untuk melancarkan serangan terhadap komputer yang terletak pada rangkaian lain.

Cara Menjana Fail Log

Secara lalai, fail log dilumpuhkan, yang bermaksud tidak ada maklumat yang ditulis ke fail log. Untuk membuat fail log, tekan "Win key + R" untuk membuka kotak Run. Taip "wf.msc" dan tekan Enter. Skrin "Windows Firewall dengan Keamanan Lanjutan" muncul. Di sebelah kanan skrin, klik "Properties."

Kotak dialog baru muncul. Sekarang klik tab "Profil Persendirian" dan pilih "Sesuaikan" dalam "Seksyen Pembalakan."

Tetingkap baru dibuka dan dari skrin itu pilih saiz log maksimum, lokasi, dan sama ada untuk log hanya menurunkan paket, sambungan yang berjaya atau kedua-duanya. Satu paket yang jatuh adalah paket yang Windows Block telah disekat. Sambungan yang berjaya merujuk kepada sambungan masuk dan sambungan yang telah dibuat melalui Internet, tetapi tidak selalu bermakna bahawa penceroboh telah berjaya disambungkan ke komputer anda.

Secara lalai, Windows Firewall menulis entri log kepada % SystemRoot% \ System32 \ LogFiles \ Firewall \ Pfirewall.log dan menyimpan hanya 4 MB data terakhir. Dalam kebanyakan persekitaran pengeluaran, log ini akan sentiasa menulis ke cakera keras anda, dan jika anda mengubah had saiz fail log (untuk log aktiviti dalam tempoh masa yang lama) maka ia boleh menyebabkan kesan prestasi. Atas sebab ini, anda perlu mengaktifkan pembalakan hanya apabila mengatasi masalah secara aktif dan kemudian melumpuhkan log masuk dengan segera apabila anda selesai.

Seterusnya, klik tab "Profil Umum" dan ulangi langkah yang sama yang anda lakukan untuk tab "Profil Persendirian". Anda kini telah menghidupkan log untuk sambungan rangkaian peribadi dan awam. Fail log akan dibuat dalam format log dilanjutkan W3C (.log) yang boleh anda periksa dengan editor teks pilihan anda atau mengimportnya ke dalam spreadsheet. Satu fail log boleh mengandungi beribu-ribu entri teks, jadi jika anda membacanya melalui Notepad kemudian matikan kata pembungkus untuk memelihara pemformatan lajur. Jika anda melihat fail log dalam hamparan maka semua medan akan dipaparkan secara logik dalam lajur untuk analisis yang lebih mudah.

Pada skrin utama "Windows Firewall dengan Keamanan Lanjutan", tatal ke bawah sehingga anda melihat pautan "Pemantauan". Dalam anak tetingkap Butiran, di bawah "Tetapan Logging", klik laluan fail di sebelah "Nama Fail." Log terbuka di Notepad.

Menterjemah log Windows Firewall

Log keselamatan Windows Firewall mengandungi dua bahagian. Tajuknya menyediakan maklumat statik, deskriptif mengenai versi log, dan medan yang tersedia. Badan log adalah data yang dikumpulkan yang dimasukkan sebagai akibat dari lalu lintas yang mencoba menyeberangi firewall. Ia adalah senarai dinamik, dan entri baru terus muncul di bahagian bawah log. Bidang ini ditulis dari kiri ke kanan di seluruh halaman. (-) digunakan apabila tiada entri tersedia untuk medan.

Menurut dokumentasi Microsoft Technet, pengepala fail log mengandungi:

Versi - Memaparkan versi log keselamatan Windows Firewall dipasang.
Perisian - Memaparkan nama perisian yang mencipta log.
Masa - Menunjukkan bahawa semua maklumat timestamp dalam log adalah dalam masa tempatan.
Bidang - Memaparkan senarai medan yang tersedia untuk entri log keselamatan, jika data tersedia.

Semasa badan fail log mengandungi:

tarikh - Medan tarikh mengenal pasti tarikh dalam format YYYY-MM-DD.
Masa - Masa setempat dipaparkan dalam fail log menggunakan format HH: MM: SS. Jam dirujuk dalam format 24-jam.
tindakan - Sebagai firewall memproses lalu lintas, tindakan tertentu direkodkan. Tindakan log adalah DROP untuk menjatuhkan sambungan, BUKA untuk membuka sambungan, TUTUP untuk menutup sambungan, BUKA-INBOUND untuk sesi masuk yang dibuka kepada komputer setempat, dan INFO-EVENTS-LOST untuk peristiwa yang diproses oleh Windows Firewall, tetapi tidak direkodkan dalam log keselamatan.
protokol - Protokol yang digunakan seperti TCP, UDP, atau ICMP.
src-ip - Memaparkan alamat IP sumber (alamat IP komputer cuba untuk mewujudkan komunikasi).
dst-ip - Memaparkan alamat IP tujuan percubaan sambungan.
src-port - Nombor port pada komputer penghantaran yang mana sambungan telah dicuba.
dst-port - Pelabuhan yang mana komputer pengirim cuba membuat sambungan.
saiz - Memaparkan saiz paket dalam bait.
tcpflags - Maklumat mengenai bendera kawalan TCP di tajuk TCP.
tcpsyn - Memaparkan nombor urutan TCP dalam paket.
tcpack - Memaparkan nombor pengesahan TCP dalam paket.
tcpwin - Memaparkan saiz tetingkap TCP, dalam bait, dalam paket.
icmptype - Maklumat mengenai mesej ICMP.
icmpcode - Maklumat mengenai mesej ICMP.
info - Memaparkan entri yang bergantung pada jenis tindakan yang berlaku.
laluan - Memaparkan arah komunikasi. Pilihan yang tersedia adalah SENDIRI, MENERIMA, HADAPAN, dan UNKNOWN.

Seperti yang anda perhatikan, catatan log memang besar dan mungkin mempunyai sehingga 17 maklumat yang berkaitan dengan setiap peristiwa. Walau bagaimanapun, hanya lapan keping maklumat pertama yang penting untuk analisis umum. Dengan butiran di tangan anda sekarang anda boleh menganalisis maklumat untuk aktiviti berniat jahat atau kegagalan aplikasi debug.

Jika anda mengesyaki apa-apa aktiviti yang berniat jahat, kemudian buka fail log di Notepad dan menapis semua entri log dengan DROP dalam medan tindakan dan perhatikan sama ada alamat IP destinasi berakhir dengan nombor selain daripada 255. Jika anda mendapati banyak entri itu, maka ambil nota alamat IP destinasi bagi paket. Sebaik sahaja anda selesai menyelesaikan masalah, anda boleh mematikan pembalakan firewall.

Masalah rangkaian masalah boleh agak menakutkan pada masa-masa dan amalan baik yang disyorkan ketika menyelesaikan masalah Windows Firewall adalah untuk membolehkan log asli. Walaupun fail log Windows Firewall tidak berguna untuk menganalisis keselamatan keseluruhan rangkaian anda, ia masih menjadi amalan yang baik jika anda mahu memantau apa yang berlaku di belakang tabir.