Miksi ja milloin palomuurin kirjaaminen on hyödyllistä
- Voit tarkistaa, ovatko juuri lisätyt palomuurisäännöt toimivat oikein tai että ne ovat virheellisiä, jos ne eivät toimi odotetulla tavalla.
- Määrittää, onko Windowsin palomuuri sovellusvirheiden syy - Palomuurin kirjautumisominaisuuden avulla voit tarkistaa käytöstä poistettujen porttien aukot, dynaamiset porttinäkymät, analysoida pudotettujen pakettien push- ja kiireellisiä lippuja sekä analysoida pudotettuja paketteja lähetyspolulle.
- Haitallisen toiminnan auttaminen ja tunnistaminen - Palomuurin kirjautumisominaisuuden avulla voit tarkistaa, onko verkossa tapahtunut haittaohjelmia tai ei, mutta sinun on muistettava, että se ei anna tietoja, jotka tarvitaan toiminnan lähteen etsimiseen.
- Jos havaitset toistuvia epäonnistuneita yrityksiä käyttää palomuuria ja / tai muita korkean profiilin järjestelmiä yhdestä IP-osoitteesta (tai IP-osoitteiden ryhmästä), voit halutessasi kirjoittaa säännön pudottamalla kaikki IP-osoitteesta tulevat yhteydet (varmista, että IP-osoite ei ole väärennetty).
- Lähtevät yhteydet, jotka tulevat sisäisistä palvelimista, kuten Web-palvelimet, voivat olla merkki siitä, että joku käyttää järjestelmääsi käynnistää hyökkäyksiä muissa verkoissa sijaitsevia tietokoneita vastaan.
Miten luodaan lokitiedosto
Lokitiedosto on oletusarvoisesti poistettu käytöstä, mikä tarkoittaa, että lokitiedostoon ei ole kirjoitettu mitään tietoja. Luo lokitiedosto avaamalla Run-ruutu painamalla "Win-näppäin + R". Kirjoita "wf.msc" ja paina Enter. Näyttöön tulee "Windowsin palomuuri, jossa on lisäasetukset" -näyttö. Napsauta näytön oikealla puolella olevaa "Ominaisuudet".
%SystemRoot%System32LogFilesFirewallPfirewall.log
ja tallentaa vain viimeiset 4 Mt dataa. Useimmissa tuotantoympäristöissä tämä loki kirjoittaa jatkuvasti kiintolevylle, ja jos muutat lokitiedoston kokorajoitusta (jos haluat kirjautua tapahtumaan pitkäksi ajaksi), se voi aiheuttaa suorituskyvyn. Tästä syystä sinun on sallittava kirjautumisen vain silloin, kun ongelman vianmääritys on aktiivinen, ja poista heti kirjautumisen heti, kun olet valmis.
Napsauta sitten julkisen profiilin välilehteä ja toista samoja vaiheita kuin "Yksityinen profiili" -välilehdessä. Olet nyt ottanut käyttöön sekä yksityisten että julkisten verkkoyhteyksien lokit. Lokitiedosto luodaan W3C-laajennetussa log-muodossa (.log), jota voit tarkastella haluamasi tekstieditorilla tai tuoda ne laskentataulukkoon. Yksittäinen lokitiedosto voi sisältää tuhansia tekstimerkintöjä, joten jos luet niitä Notepadin kautta, poista sitten sanaakääminen sarakkeen muotoilun säilyttämiseksi. Jos tarkastelet lokitiedostoa laskentataulukossa, kaikki kentät näytetään loogisesti sarakkeissa, jotta analyysi olisi helpompaa.
Selaa pääikkunan "Windowsin palomuuri, jossa on lisäasetukset" -näyttö, kunnes näyttöön tulee seuranta-linkki. Napsauta Tiedosto-osiossa Tiedostoasetukset-kohdan Tiedostonimi-kohdan vieressä olevaa tiedostopolkua. Loki avautuu Muistioon.
Tulkitsee Windowsin palomuurin loki
Windowsin palomuurin tietoturvapäiväkirja sisältää kaksi osiota. Otsikko antaa staattisia, kuvailevia tietoja lokin versiosta ja käytettävissä olevista kentistä. Lokin runko on kerätty tieto, joka syötetään tuloksena liikenteestä, joka yrittää ylittää palomuurin. Se on dynaaminen luettelo ja uudet merkinnät näkyvät lokin alareunassa. Kentät kirjoitetaan sivun vasemmalta oikealle. Käytetään (-), kun kenttää ei ole saatavilla.
Versio - Näyttää, mikä Windows-palomuurin tietoturvapäiväkirjan versio on asennettu. Ohjelmisto - Näyttää lokin luomisen ohjelmiston nimen. Aika - Ilmaisee, että lokitiedon aikaleiman tiedot ovat paikallisesti. Kentät - Näyttää luettelon kentistä, jotka ovat käytettävissä tietoturvapäiväkirjojen kohdalla, jos tietoja on saatavilla.
Vaikka lokitiedoston runko sisältää:
päivämäärä - Päiväkenttään merkitään päiväys muodossa YYYY-MM-DD. aika - Paikallinen aika näkyy lokitiedostossa muodossa HH: MM: SS. Tuntia viitataan 24 tunnin muodossa. toiminta - Kun palomuuri käsittelee liikennettä, tiettyjä toimintoja tallennetaan.Kirjautuneet toiminnot ovat DROP yhteyden avaamiseen, avattu yhteyden avaaminen, sulkeminen yhteyden sulkemiseksi, avoimen paikallisen tietokoneen avatun istunnon avaaminen ja INFO-EVENTS-LOST Windowsin palomuurin käsittelemien tapahtumien yhteydessä. ei tallennettu tietoturvapäiväkirjaan. protokolla - Käytetty protokolla kuten TCP, UDP tai ICMP. src-ip - Näyttää lähteen IP-osoitteen (tietokoneen IP-osoite, joka yrittää muodostaa yhteyden). dst-ip - Näyttää yhteysyrityksen kohde-IP-osoitteen. src-portti - Portin numero lähettävässä tietokoneessa, josta yhteys yritti. dst-portti - Portti, johon lähettävä tietokone yritti muodostaa yhteyden. koko - Näyttää paketin koon tavuina. tcpflags - Tietoja TCP-ohjausobjekteja TCP-otsikoissa. tcpsyn - Näyttää TCP-sekvenssinumeron pakettina. tcpack - Näyttää paketin TCP-kuittausnumeron. tcpwin - Näyttää TCP-ikkunan koon, tavuina pakettina. icmptype - Tietoja ICMP-viesteistä. icmpcode - Tietoja ICMP-viesteistä. info - Näyttää merkinnän, joka riippuu tapahtuneesta toiminnosta. polku - Näyttää tiedonsiirron suunnan. Käytettävissä olevat vaihtoehdot ovat SEND, RECEIVE, FORWARD ja UNKNOWN.
Kuten huomaat, lokimerkintä on todella suuri ja sillä voi olla jopa 17 tietoa jokaisesta tapahtumasta. Kuitenkin vain kahdeksan ensimmäistä tietoa on tärkeä yleisen analyysin kannalta. Nyt käsillä olevien tietojen avulla voit analysoida tietoja haitallisista toimista tai virheenkorjausohjelmien vioista.
Jos epäilet haitallista toimintaa, avaa lokitiedosto Muistiossa ja suodata kaikki lokimerkinnät DROP-toiminnolla toimintakentässä ja huomaa, onko kohde-IP-osoite lopetettu muilla kuin 255. Jos löydät useita tällaisia merkintöjä, ota sitten Huomautus pakettien kohde-IP-osoitteista. Kun olet lopettanut ongelman vianmäärityksen, voit poistaa palomuurin kirjautumisen käytöstä.
Verkko-ongelmien vianmääritys voi olla varsin pelottava ajoittain ja suositeltu hyviä käytäntöjä, kun Windowsin palomuurin vianmääritys mahdollistaa alkuperäisten lokien ottamisen käyttöön. Vaikka Windowsin palomuurin lokitiedosto ei ole hyödyllinen verkon yleisen turvallisuuden analysoimiseksi, se on silti hyvä käytäntö, jos haluat seurata tapahtumien taustalla olevia tapahtumia.
