Koduleht » kuidas » Kuidas jälgida tulemüüri tegevust Windowsi tulemüüri logiga

    Kuidas jälgida tulemüüri tegevust Windowsi tulemüüri logiga

    Interneti-liikluse filtreerimisel on kõigil tulemüüridel teatud tüüpi logimisfunktsioon, mis dokumenteerib, kuidas tulemüür erinevat tüüpi liiklust käitles. Need logid võivad anda väärtuslikku teavet, nagu allika ja sihtkoha IP-aadressid, pordi numbrid ja protokollid. Võite kasutada ka Windowsi tulemüüri logifaili, et jälgida tulemüüri blokeeritud TCP- ja UDP-ühendusi ja pakette.

    Miks ja kui tulemüüri logimine on kasulik

    1. Et kontrollida, kas äsja lisatud tulemüüri reeglid toimivad korralikult või neid siluda, kui need ei tööta ootuspäraselt.
    2. Et otsustada, kas Windowsi tulemüür on rakenduste ebaõnnestumise põhjuseks - tulemüüri logimisfunktsiooniga saate kontrollida puudega portide avasid, dünaamilisi portide avasid, analüüsida langetatud pakette push- ja kiireloomuliste lippudega ning analüüsida langetatud pakette saatmise teel.
    3. Pahatahtliku tegevuse abistamiseks ja tuvastamiseks - tulemüüri logimisfunktsiooniga saate kontrollida, kas teie võrgus esineb pahatahtlikku tegevust, ehkki peate meeles pidama, et see ei anna teavet tegevuse allika jälgimiseks.
    4. Kui märkate korduvaid ebaõnnestunud katseid pääseda oma tulemüüri ja / või muudele kõrge profiiliga süsteemidele ühest IP-aadressist (või IP-aadresside rühmast), siis võiksite kirjutada reegli kõigi IP-ruumi ühenduste tühistamiseks (veenduge, et IP-aadressi ei ole rikutud.
    5. Sisemistest serveritest, näiteks veebiserveritest tulevad väljuvad ühendused võivad olla märk sellest, et keegi kasutab teie süsteemi, et käivitada rünnakud teistes võrkudes asuvate arvutite vastu.

    Kuidas genereerida logifaili

    Vaikimisi on logifail keelatud, mis tähendab, et logifaili ei kirjutata. Logifaili loomiseks vajuta "Win key + R", et avada käsk Run. Sisestage “wf.msc” ja vajutage Enter. Ekraanile ilmub “Windowsi tulemüür koos täiustatud turvalisusega”. Klõpsake ekraani paremal poolel „Properties”.

    Ilmub uus dialoogiboks. Nüüd klõpsake vahekaardil „Privaatne profiil” ja valige „Kohandamine“ jaotises „Logging Section“.

    Avaneb uus aken ja sellest ekraanist valige maksimaalne logi suurus, asukoht ja kas logida ainult langenud paketid, edukas ühendus või mõlemad. Langenud pakett on pakett, mille Windowsi tulemüür on blokeerinud. Edukas ühendus viitab nii sissetulevatele ühendustele kui ka internetiühendusele, kuid see ei tähenda alati, et sissetungija on teie arvutiga edukalt ühendatud.

    Vaikimisi kirjutab Windowsi tulemüür logi kirjed % SystemRoot% System32 logifailid Firewall Pfirewall.log ja salvestab ainult viimased 4 MB andmeid. Enamikus tootmiskeskkondades kirjutab see logi pidevalt kõvakettale ja kui muudate logifaili suuruse piirangut (logige aktiivsust pika aja jooksul), siis võib see põhjustada tulemuslikkuse mõju. Sel põhjusel peaksite lubama sisselogimist ainult probleemi aktiivse tõrkeotsingu korral ja seejärel kohe lõpetades logimise keelamise.

    Seejärel klõpsake vahekaardil „Avalik profiil” ja korrake samu samme, mida tegite vahekaardil „Privaatne profiil”. Olete nüüd logi sisse lülitanud nii era- kui ka avaliku võrguühenduse jaoks. Logifail luuakse W3C laiendatud logivormingus (.log), mida saate uurida oma valitud tekstiredaktoriga või importida neid arvutustabelisse. Üks logifail võib sisaldada tuhandeid tekstisisestusi, nii et kui te loete neid Notepadi kaudu, siis blokeerige veerude vormingu säilitamiseks sõnaümbris. Kui vaatate logifaili arvutustabelis, kuvatakse kõik väljad loogiliselt logides, et neid oleks lihtsam analüüsida.

    Ekraanil „Windowsi tulemüür koos täiustatud turvalisusega” liikuge allapoole, kuni näete linki „Seire”. Klõpsake paanil „Logging Settings” jaotises „Logging Settings“ (Faili nimi) failiraamatut..

    Windowsi tulemüüri logi tõlgendamine

    Windowsi tulemüüri turvalisuse logis on kaks osa. Päis sisaldab staatilist, kirjeldavat teavet logi versiooni ja olemasolevate väljade kohta. Logi keha on koostatud andmed, mis sisestatakse tulemüüri läbimist üritava liikluse tulemusena. See on dünaamiline nimekiri ja uued kirjed ilmuvad logi allosas. Väljad on kirjutatud vasakult paremale üle lehe. (-) kasutatakse siis, kui väljal ei ole sisenemist.

    Microsoft Techneti dokumentatsiooni kohaselt sisaldab logifaili päis:

    Versioon - kuvab, milline Windowsi tulemüüri turvalisuse logi versioon on installitud.
    Tarkvara - kuvab logi loomise tarkvara nime.
    Aeg - Näitab, et kogu logis olev aegmärgi teave on kohaliku aja järgi.
    Väljad - kuvab andmeväljade nimekirja, mis on kättesaadavad turvalogi kirjete jaoks, kui andmed on kättesaadavad.

    Kui logifaili keha sisaldab:

    date - kuupäeva väli identifitseerib kuupäeva kujul YYYY-MM-DD.
    aeg - kohalik aeg kuvatakse logifailis vormingus HH: MM: SS. Tunde viidatakse 24-tunnises vormingus.
    - kui tulemüür töötleb liiklust, salvestatakse teatavad toimingud. Logitud toimingud on DROP ühenduse katkestamiseks, OPEN ühenduse avamiseks, ühenduse sulgemiseks CLOSE, kohalikule arvutile avatud sissetuleva seansi jaoks OPEN-INBOUND ja Windowsi tulemüüri poolt töödeldavate sündmuste puhul INFO-EVENTS-LOST, kuid ei ole turvaprotokolli salvestatud.
    protokoll - kasutatav protokoll, näiteks TCP, UDP või ICMP.
    src-ip - kuvab allika IP-aadressi (selle arvuti IP-aadress, mis üritab luua sidet).
    dst-ip - kuvab ühenduse katse sihtkoha IP-aadressi.
    src-port - sadama number selle saatva arvuti juures, kust ühendust üritati.
    dst-port - sadam, kuhu saatev arvuti üritas ühendust luua.
    size - näitab paketi suurust baitides.
    tcpflags - TCP-päistes olevate TCP-kontroll lippude teave.
    tcpsyn - kuvab TCP järjestuse numbri paketis.
    tcpack - kuvab paketis TCP kinnitusnumbri.
    tcpwin - kuvab paketi TCP akna suuruse baitides.
    icmptype - teave ICMP-sõnumite kohta.
    icmpcode - teave ICMP-sõnumite kohta.
    info - kuvab kirje, mis sõltub toimingu liigist.
    tee - kuvab side suuna. Saadaval on SEND, RECEIVE, FORWARD ja UNKNOWN.

    Kui märkate, on logi kirje tõepoolest suur ja võib sisaldada kuni 17 tükki iga sündmusega seotud teavet. Üldise analüüsi jaoks on siiski olulised ainult esimesed kaheksa informatsiooni. Teie käe üksikasjadega saate nüüd analüüsida pahatahtliku tegevuse või rakenduste tõrkeotsingute andmeid.

    Kui kahtlustate pahatahtlikku tegevust, siis avage logifail Notepadis ja filtreerige kõik toiminguväljal DROP-i logi kirjed ning märkige, kas sihtkoha IP-aadress lõpeb numbriga, mis ei ole 255. Kui leiate palju selliseid kirjeid, siis võtke märge pakettide IP-aadresside kohta. Kui olete probleemi tõrkeotsingu lõpetanud, saate tulemüüri logimise keelata.

    Võrguprobleemide tõrkeotsing võib aeg-ajalt olla üsna hirmuäratav ja soovitatav hea tava, kui Windowsi tulemüüri tõrkeotsing on võimaldada kohalike logide lubamist. Kuigi Windowsi tulemüüri logifail ei ole teie võrgu üldise turvalisuse analüüsimiseks kasulik, jääb see siiski hea tava, kui soovite jälgida, mis on kulisside taga.