Miks ja millal tulemüüri logimine on kasulik
- Kontrollige, kas äsja lisatud tulemüüri eeskirjad töötavad korralikult või neid siluda, kui need ei toimi ootuspäraselt.
- Et kindlaks teha, kas Windowsi tulemüür on rakenduse tõrke põhjus - tulemüüri logimise funktsiooniga saate kontrollida puudega sadama avausi, dünaamilisi sadama avausi, analüüsida mahakandunud pakette otseteatega ja kiireloomuliste lipidega ning analüüsida saatmisteedel kukutud pakette.
- Pahavastase tegevuse abistamiseks ja tuvastamiseks - tulemüüri logimise funktsiooniga saate kontrollida, kas teie võrgus on pahatahtlik tegevus või mitte, kuigi peate meeles pidama, et see ei anna teavet, mis on vajalik tegevuse allika leiutamiseks.
- Kui märkate korduvat ebaõnnestunud katsed juurdepääsu ühest IP-aadressist (või IP-aadresside grupist) oma tulemüürile ja / või teistele kõrge profiiliga süsteemidele, siis võiksite kirjutada reegli, et kustutada kõik selle IP-ruumi ühendused (veenduge, et IP-aadressi ei rämpseta).
- Sisemiste serverite, näiteks veebiserverite kaudu saadetavad väljaminevad ühendused võivad olla märge, et keegi kasutab teie süsteemi, et käivitada rünnakud teiste võrkude arvutite vastu.
Kuidas logifaili genereerida
Vaikimisi on logifail keelatud, mis tähendab, et logifailile ei kirjutata ühtki informatsiooni. Logifaili loomiseks vajutage klahvi Run käivitamiseks nuppu "Win key + R". Tippige "wf.msc" ja vajutage sisestusklahvi. Ilmub "Windowsi tulemüür koos täiustatud turvalisusega". Klõpsake ekraani paremal küljel "Atribuudid".
%SystemRoot%System32LogFilesFirewallPfirewall.log
ja salvestab ainult viimase 4 MB andmeid. Enamikus tootmiskeskkondades kirjutab see log teie kettale pidevalt ja kui muudate logifaili suuruse piiri (logida aktiivsust pikema aja jooksul), võib see põhjustada efektiivsuse. Sel põhjusel peaksite logimise lubama ainult siis, kui probleem on aktiivselt tõrkeotsinguks ja seejärel lõpetage kohe logimine.
Seejärel klikkige vahekaardil "Avalik profiil" ja korrake samu samme, mille olete teinud vahekaardil "Privaatne profiil". Nüüd olete logi sisse lülitanud nii era- kui ka avaliku võrguühenduse jaoks. Logifail luuakse W3C pikendatud logiformaadis (.log), mida saate uurida koos oma valitud tekstiredaktoriga või importida need arvutustabelisse. Üks logifail võib sisaldada tuhandeid tekstisisestusi, nii et kui te neid lugate Notepadi kaudu, siis keelake veergude vormingu säilitamiseks sõna pakkimine. Kui vaatate logifaili arvutustabelisse, siis kuvatakse kõik väljad loogiliselt veergudele lihtsamaks analüüsideks.
Põhiaknas "Windowsi tulemüür Advanced Security" ekraaniga kerige allapoole, kuni näete linki "Seire". Klõpsake üksikasjade paneelil "Logimise seadete" all faili käsku "Failinimi" kõrval olev faili tee. Logi avaneb Notepadis.
Windowsi tulemüüri logi tõlgendamine
Windowsi tulemüüri turvameetmel on kaks jaotist. Päis pakub staatilist kirjeldavat teavet logi versiooni ja saadaolevate väljaannete kohta. Logi keha on koondatud andmed, mis sisestatakse tulemüüri ületamisel liikluse tulemusena. See on dünaamiline loend ja uued sissekanded ilmuvad logi põhjas. Põllud on kirjutatud lehekülje vasakult paremale. (-) kasutatakse juhul, kui väljal pole ühtegi kirjet.
Versioon - kuvab, milline Windowsi tulemüüri turvamärgise versioon on installitud. Tarkvara - kuvab logi loomise tarkvara nime. Aeg - näitab, et kogu logi ajatempli teave on kohaliku aja järgi. Väljad - kuvab turvamenüü kirjadele kättesaadavaid välju, kui andmed on kättesaadavad.
Kuigi logifail sisaldab järgmist:
date - kuupäevavaade tähistab kuupäeva kujul YYYY-MM-DD. aeg - kohalik aeg kuvatakse logifaili kasutades vormi HH: MM: SS. Tunnid on viidatud 24-tunnise formaadis. toiming - kui tulemüür töötleb liiklust, salvestatakse teatavad toimingud.Logitud toimingud on DROP ühenduse katkestamiseks, OPEN ühenduse avamiseks, CLOSE ühenduse sulgemiseks, OPEN-INBOUND kohaliku arvuti jaoks avatud sisselogimisseansil ja INFO-EVENTS-LOST sündmuste puhul, mida Windowsi tulemüür töödeldakse, kuid ei olnud turvalisuse logi salvestatud. protokoll - kasutatakse protokolli nagu TCP, UDP või ICMP. src-ip - kuvab allika IP-aadressi (arvuti IP-aadress, mis püüab luua suhtlust). dst-ip - näitab ühenduse katse sihtkoha IP-aadressi. src-port - pordi number saatvas arvutis, millel ühendus katse sai. dst-port - port, kuhu saatja arvuti proovis ühenduse luua. Suurus - kuvab pakettide suuruse baitides. tcpflags - teave TCP-juhtelementide kohta TCP-päisetes. tcpsyn - kuvab pakettaknad TCP jadanumbri. tcpack - kuvab pakettaknad TCP kinnitusnumbri. tcpwin - kuvab pakettaknad TCP akna suuruse baitides. icmptype - teave ICMP sõnumite kohta. icmpcode - teave ICMP-teadete kohta. info - kuvatakse kirje, mis sõltub toimunud toimingu tüübist. tee - kuvab side suuna. Saadaval on SEND, VASTUVÕTT, VÕIMALIK ja UNKNOWN.
Nagu märkate, on sisselogimisnumber tõepoolest suur ja võib iga sündmusega seostada kuni 17 teavet. Üldanalüüsiks on siiski vaid kaheksa esimest informatsiooni. Teie käsutuses olevates üksikasjades saate nüüd analüüsida teavet pahatahtliku tegevuse või tõrketeadete tõrketeadete kohta.
Kui kahtlustate pahatahtlikku tegevust, avage logifail Notepadis ja filtreerige kõik logi kirjed DROP-iga tegevusväljal ja märkige, kas sihtkoha IP-aadress lõpeb muu numbiga kui 255. Kui leiate palju selliseid kirjeid, siis võtke pakettide sihtkoha IP-aadresside märkus. Kui probleem on lahendatud, võite tulemüüri logimise keelata.
Võrguprobleemide tõrkeotsing võib aeg-ajalt üsna hirmutav ning soovitatav häid tavasid Windowsi tulemüüri tõrkeotsinguks on sisselogimise lubamine. Kuigi Windowsi tulemüüri logifail ei ole teie võrgu üldise turvalisuse analüüsimisel kasulik, on see ikkagi hea tava, kui soovite jälgida, mis toimub stseenide taga.
