Cách theo dõi hoạt động tường lửa với Nhật ký tường lửa Windows

Trong quá trình lọc lưu lượng truy cập Internet, tất cả các tường lửa có một số loại tính năng ghi nhật ký ghi lại cách tường lửa xử lý các loại lưu lượng khác nhau. Các nhật ký này có thể cung cấp thông tin có giá trị như địa chỉ IP nguồn và đích, số cổng và giao thức. Bạn cũng có thể sử dụng tệp nhật ký Tường lửa Windows để giám sát các kết nối và gói TCP và UDP bị tường lửa chặn.

Tại sao và khi đăng nhập tường lửa là hữu ích

1. Để xác minh xem các quy tắc tường lửa mới được thêm có hoạt động đúng hay để gỡ lỗi chúng nếu chúng không hoạt động như mong đợi.
2. Để xác định xem Tường lửa của Windows có phải là nguyên nhân gây ra lỗi ứng dụng hay không - Với tính năng ghi nhật ký Tường lửa, bạn có thể kiểm tra các cổng mở bị vô hiệu hóa, mở cổng động, phân tích các gói bị rơi bằng cờ đẩy và cờ khẩn cấp và phân tích các gói bị rơi trên đường gửi.
3. Để giúp và xác định hoạt động độc hại - Với tính năng ghi nhật ký Tường lửa, bạn có thể kiểm tra xem có hoạt động độc hại nào xảy ra trong mạng của mình hay không, mặc dù bạn phải nhớ rằng nó không cung cấp thông tin cần thiết để theo dõi nguồn gốc của hoạt động.
4. Nếu bạn nhận thấy nhiều lần không thành công để truy cập vào tường lửa và / hoặc các hệ thống cấu hình cao khác từ một địa chỉ IP (hoặc nhóm địa chỉ IP), thì bạn có thể muốn viết một quy tắc để loại bỏ tất cả các kết nối từ không gian IP đó (đảm bảo rằng Địa chỉ IP không bị giả mạo).
5. Các kết nối gửi đến từ các máy chủ nội bộ như máy chủ Web có thể là dấu hiệu cho thấy ai đó đang sử dụng hệ thống của bạn để khởi động các cuộc tấn công vào các máy tính nằm trên các mạng khác.

Cách tạo tệp nhật ký

Theo mặc định, tệp nhật ký bị vô hiệu hóa, có nghĩa là không có thông tin nào được ghi vào tệp nhật ký. Để tạo một tệp nhật ký, nhấn phím Win Win + R R để mở hộp Run. Nhập loại wf.msc nghiêm trọng và nhấn Enter. Tường lửa Windows Windows với màn hình Advanced Security 'xuất hiện. Ở bên phải màn hình, nhấp vào Thuộc tính.

Một hộp thoại mới xuất hiện. Bây giờ hãy nhấp vào tab Cá nhân của Wikipedia và chọn Thẻ Tùy chỉnh trong phần Ghi nhật ký.

Một cửa sổ mới mở ra và từ màn hình đó chọn kích thước nhật ký, vị trí tối đa của bạn và liệu chỉ ghi nhật ký các gói bị rơi, kết nối thành công hay cả hai. Gói bị rơi là gói mà Tường lửa Windows đã chặn. Kết nối thành công đề cập đến cả kết nối đến cũng như bất kỳ kết nối nào bạn đã thực hiện qua Internet, nhưng điều đó không có nghĩa là kẻ xâm nhập đã kết nối thành công với máy tính của bạn.

Theo mặc định, Windows Firewall ghi các mục nhật ký vào % SystemRoot% \ System32 \ LogFiles \ Firewall \ Pfirewall.log và chỉ lưu trữ 4 MB dữ liệu cuối cùng. Trong hầu hết các môi trường sản xuất, nhật ký này sẽ liên tục ghi vào đĩa cứng của bạn và nếu bạn thay đổi giới hạn kích thước của tệp nhật ký (để ghi nhật ký hoạt động trong một khoảng thời gian dài) thì nó có thể gây ra tác động hiệu suất. Vì lý do này, bạn chỉ nên kích hoạt ghi nhật ký khi chủ động khắc phục sự cố và sau đó tắt ngay lập tức đăng nhập khi bạn kết thúc.

Tiếp theo, nhấp vào tab Hồ sơ công cộng của Wikipedia và lặp lại các bước tương tự bạn đã làm cho tab Hồ sơ cá nhân của Wikipedia. Bây giờ bạn đã bật nhật ký cho cả kết nối mạng riêng và chung. Tệp nhật ký sẽ được tạo ở định dạng nhật ký mở rộng W3C (.log) mà bạn có thể kiểm tra bằng trình chỉnh sửa văn bản bạn chọn hoặc nhập chúng vào bảng tính. Một tệp nhật ký duy nhất có thể chứa hàng ngàn mục nhập văn bản, vì vậy nếu bạn đang đọc chúng qua Notepad thì hãy tắt tính năng gói từ để giữ định dạng cột. Nếu bạn đang xem tệp nhật ký trong bảng tính thì tất cả các trường sẽ được hiển thị logic trong các cột để phân tích dễ dàng hơn.

Trên Tường lửa chính của Windows Windows với màn hình Advanced Security, hãy cuộn xuống cho đến khi bạn thấy liên kết của Giám sát trực tuyến. Trong ngăn Chi tiết, bên dưới Cài đặt ghi nhật ký của Tử vi, hãy nhấp vào đường dẫn tệp bên cạnh Tên tệp của tên..

Giải thích nhật ký Windows Firewall

Nhật ký bảo mật Windows Firewall chứa hai phần. Tiêu đề cung cấp thông tin tĩnh, mô tả về phiên bản nhật ký và các trường có sẵn. Phần thân của nhật ký là dữ liệu được biên dịch được nhập vào do kết quả của lưu lượng truy cập cố gắng vượt qua tường lửa. Đây là một danh sách động và các mục mới tiếp tục xuất hiện ở dưới cùng của nhật ký. Các trường được viết từ trái sang phải trên toàn trang. (-) được sử dụng khi không có mục nhập nào cho trường.

Theo tài liệu Microsoft Technet, tiêu đề của tệp nhật ký chứa:

Phiên bản - Hiển thị phiên bản nhật ký bảo mật Windows Firewall nào được cài đặt.
Phần mềm - Hiển thị tên của phần mềm tạo nhật ký.
Thời gian - Cho biết tất cả thông tin dấu thời gian trong nhật ký đều theo giờ địa phương.
Các trường - Hiển thị danh sách các trường có sẵn cho các mục nhật ký bảo mật, nếu có sẵn dữ liệu.

Trong khi phần thân của tệp nhật ký chứa:

ngày - Trường ngày xác định ngày ở định dạng YYYY-MM-DD.
thời gian - Giờ địa phương được hiển thị trong tệp nhật ký bằng định dạng HH: MM: SS. Giờ được tham chiếu ở định dạng 24 giờ.
hành động - Khi tường lửa xử lý lưu lượng, một số hành động nhất định được ghi lại. Các hành động được ghi là DROP để hủy kết nối, MỞ để mở kết nối, ĐÓNG để đóng kết nối, OPEN-INBOUND cho phiên gửi đến được mở cho máy tính cục bộ và INFO-EVENT-LOST cho các sự kiện được xử lý bởi Windows Firewall, nhưng đã không được ghi lại trong nhật ký bảo mật.
giao thức - Giao thức được sử dụng như TCP, UDP hoặc ICMP.
src-ip - Hiển thị địa chỉ IP nguồn (địa chỉ IP của máy tính đang cố thiết lập liên lạc).
dst-ip - Hiển thị địa chỉ IP đích của lần thử kết nối.
src-port - Số cổng trên máy tính gửi mà kết nối đã được thử.
dst-port - Cổng mà máy tính gửi đang cố gắng tạo kết nối.
kích thước - Hiển thị kích thước gói theo byte.
tcpflags - Thông tin về cờ điều khiển TCP trong tiêu đề TCP.
tcpsyn - Hiển thị số thứ tự TCP trong gói.
tcpack - Hiển thị số xác nhận TCP trong gói.
tcpwin - Hiển thị kích thước cửa sổ TCP, tính bằng byte, trong gói.
icmptype - Thông tin về các tin nhắn ICMP.
icmpcode - Thông tin về các tin nhắn ICMP.
thông tin - Hiển thị mục nhập phụ thuộc vào loại hành động xảy ra.
đường dẫn - Hiển thị hướng của giao tiếp. Các tùy chọn khả dụng là GỬI, NHẬN, KIẾM và UNKNOWN.

Như bạn chú ý, mục nhật ký thực sự lớn và có thể có tới 17 mẩu thông tin liên quan đến mỗi sự kiện. Tuy nhiên, chỉ có tám thông tin đầu tiên là quan trọng để phân tích chung. Với các chi tiết trong tay bạn bây giờ, bạn có thể phân tích thông tin cho các hoạt động độc hại hoặc lỗi ứng dụng gỡ lỗi.

Nếu bạn nghi ngờ bất kỳ hoạt động độc hại nào, thì hãy mở tệp nhật ký trong Notepad và lọc tất cả các mục nhật ký bằng DROP trong trường hành động và lưu ý xem địa chỉ IP đích có kết thúc bằng một số khác không 255. Nếu bạn tìm thấy nhiều mục như vậy, hãy lấy một lưu ý về địa chỉ IP đích của các gói. Khi bạn đã khắc phục xong sự cố, bạn có thể tắt đăng nhập tường lửa.

Việc khắc phục sự cố mạng có thể khá khó khăn và đôi khi nên thực hiện tốt khi khắc phục sự cố Windows Firewall là kích hoạt nhật ký gốc. Mặc dù tệp nhật ký Tường lửa của Windows không hữu ích để phân tích bảo mật tổng thể của mạng của bạn, nhưng vẫn là một cách thực hành tốt nếu bạn muốn theo dõi những gì đang xảy ra đằng sau hậu trường.