Miért és mikor hasznos a tűzfal naplózása?
- Annak ellenőrzésére, hogy az újonnan hozzáadott tűzfalszabályok megfelelően működnek-e, vagy hibakeresésük van-e, ha nem működnek megfelelően.
- Annak meghatározása, hogy a Windows tűzfal az alkalmazáshibák oka - A tűzfal naplózási funkciójával ellenőrizheti a letiltott portok nyílásait, a dinamikus portnyitásokat, elemezheti az elhagyott csomagokat nyomógombokkal és sürgős zászlókkal, és elemezheti a csomagokat a küldési útvonalon.
- A rosszindulatú tevékenység segítése és azonosítása - A Tűzfal naplózási funkciójával ellenőrizheti, hogy a hálózatán bármilyen rosszindulatú tevékenység történik-e, de nem szabad elfelejtenie, hogy a rendszer nem biztosítja a tevékenység forrását nyomon követendő információkat.
- Ha ismétlődő sikertelen próbálkozásokat észlel egy tűzfal és / vagy más nagyszerű rendszerek IP-címekből (vagy IP-címekből álló csoportjából) való eléréséhez, írjon egy szabályt, hogy az összes IP-címet lekapcsolja (ellenőrizze, hogy a Az IP-cím nem hamisított).
- A belső szerverekről érkező kimenő kapcsolatok, például a webkiszolgálók jelezhetik, hogy valaki a rendszeren keresztül támadást indít a más hálózatokon található számítógépek ellen.
A naplófájl létrehozása
Alapértelmezés szerint a naplófájl le van tiltva, ami azt jelenti, hogy a naplófájlba semmilyen információt nem írnak. Naplófájl létrehozásához nyomja meg a "Win key + R" billentyűt a Run (Futtatás) mező megnyitásához. Írja be a "wf.msc" parancsot, és nyomja meg az Enter billentyűt. Megjelenik a "Windows Firewall with Advanced Security" képernyő. A képernyő jobb oldalán kattintson a "Tulajdonságok" elemre.
%SystemRoot%System32LogFilesFirewallPfirewall.log
és csak az utolsó 4 MB adatot tárolja. A legtöbb termelési környezetben ez a napló folyamatosan írja a merevlemezre, és ha módosítja a naplófájl méretkorlátját (hosszú időtartamra történő naplózásra), akkor ez teljesítményhatást okozhat. Emiatt engedélyezni kell a naplózást csak akkor, ha aktívan megoldja a problémát, majd azonnal letiltja a naplózást, amikor elkészült.
Ezután kattintson a "Nyilvános profil" fülre, és ismételje meg a "Privát profil" lapon végrehajtott lépéseket. Most bekapcsolta a naplót mind a privát, mind a nyilvános hálózathoz. A naplófájl egy W3C kiterjesztett napló formátumban (.log) jön létre, amelyet meg lehet vizsgálni egy tetszőleges szövegszerkesztővel, vagy importálhatja őket egy táblázatba. Egyetlen naplófájl több ezer szövegbevitelt tartalmazhat, tehát ha a Jegyzettömbön keresztül olvasod őket, akkor letiltja a szócsomagolás használatát az oszlopformázás megőrzéséhez. Ha a naplófájlt egy táblázatban látja, akkor minden mező logikusan jelenik meg az oszlopokban az egyszerű elemzés érdekében.
A legfontosabb "Windows tűzfal fejlett biztonsági" képernyővel görgessen lefelé, amíg meg nem jelenik a "Figyelő" link. A Részletekablakban a "Naplóbeállítások" alatt kattintson a "Fájlnév" melletti fájl elérési útjára. A napló megjelenik a Jegyzettömbben.
A Windows tűzfal naplójának értelmezése
A Windows tűzfal biztonsági naplója két szakaszból áll. A fejléc statikus, leíró jellegű információkat tartalmaz a napló változatáról és a rendelkezésre álló mezőkről. A napló teste a fordított adatforgalom eredményeként létrejött adat, amely megpróbálja átlépni a tűzfalat. Dinamikus lista, és az új bejegyzések továbbra is megjelennek a napló alján. A mezők balról jobbra íródnak az oldalon. A (-) akkor használatos, ha a mezőre nincs bejegyzés.
Verzió - Megjeleníti a Windows tűzfal biztonsági naplójának verzióját. Szoftver - Megjeleníti a napló létrehozó szoftver nevét. Idő - Azt jelzi, hogy a napló összes időbélyege a helyi időben van. Mezők - Megjeleníti a biztonsági naplóbejegyzésekhez rendelkezésre álló mezők listáját, ha rendelkezésre áll adat.
Míg a naplófájl testje a következőket tartalmazza:
dátum - A dátum mező a dátumot YYYY-MM-DD formátumban azonosítja. idő - A helyi idő a HH: MM: SS formátumban megjelenik a naplófájlban. Az órák 24 órás formátumúak. fellépés - Ahogy a tűzfal feldolgozza a forgalmat, bizonyos műveleteket rögzítenek.A naplózott műveletek DROP a kapcsolat leállításához, NYITOTT a kapcsolat megnyitásához, Zárás a kapcsolat bezárásához, OPEN-INBOUND a helyi számítógépen megnyitott bejövő munkamenethez és INFO-EVENTS-LOST a Windows tűzfal által feldolgozott eseményekhez. nem rögzítették a biztonsági naplóban. protokoll - Az alkalmazott protokoll, például TCP, UDP vagy ICMP. src-ip - Megjeleníti a forrás IP-címét (a kommunikáció megpróbálásához szükséges számítógép IP-címe). dst-ip - Megjeleníti a kapcsolódási kísérlet cél-IP-címét. src-port - A küldő számítógép portszámát, ahonnan a kapcsolatot megkísérelték. dst-port - A port, amelyhez a küldő számítógép próbál kapcsolatot létesíteni. méret - A csomagméretet bájtban jeleníti meg. tcpflags - Információ a TCP vezérlő zászlókról a TCP fejlécekben. tcpsyn - Megjeleníti a TCP szekvencia számát a csomagban. tcpack - Megjeleníti a csomag TCP-nyugtázási számát. tcpwin - Megjeleníti a TCP ablakméretet, bájtban, a csomagban. icmptype - Információ az ICMP üzenetekről. icmpcode - Információ az ICMP üzenetekről. info - Egy bejegyzést jelenít meg, amely a végrehajtott művelet típusától függ. útvonal - Megjeleníti a kommunikáció irányát. A rendelkezésre álló lehetőségek a SEND, RECEIVE, FORWARD és az UNKNOWN.
Amint észreveszi, a napló bejegyzés valóban nagy, és legfeljebb 17 darab információt tartalmazhat minden egyes eseményhez. Azonban csak az első nyolc információ fontos az általános elemzéshez. A kezedben lévő részletek segítségével elemezheti a rosszindulatú tevékenységekre vonatkozó információkat, illetve hibakeresési alkalmazáshibákat.
Ha bármilyen rosszindulatú tevékenységet gyanít, akkor nyissa meg a naplófájlt a Jegyzettömbben, és szűrje le az összes naplóbejegyzést a DROP-val a cselekvési mezőben, és jegyezze meg, hogy a cél-IP-cím 255-nél több számmal végződik-e. Ha sok ilyen bejegyzést talál, akkor a csomagok cél-IP-címének megjegyzését. Miután befejezte a probléma megoldását, letilthatja a tűzfal naplózását.
A hálózati problémák hibaelhárítása időről időre meglehetősen ijesztő lehet, és a Windows tűzfal hibaelhárításakor ajánlott helyes gyakorlat a natív naplók engedélyezése. Bár a Windows tűzfal naplófájlja nem hasznos a hálózat általános biztonságának elemzéséhez, még mindig jó gyakorlat, ha meg szeretné figyelni, hogy mi történik a jelenetek mögött.