Skip to main content

如何使用Windows防火牆日誌跟踪防火牆活動

如何使用Windows防火牆日誌跟踪防火牆活動

Geoffrey Carr

在過濾互聯網流量的過程中,所有防火牆都具有某種類型的日誌記錄功能,可記錄防火牆如何處理各種類型的流量。這些日誌可以提供有價值的信息,如源和目標IP地址,端口號和協議。您還可以使用Windows防火牆日誌文件來監視防火牆阻止的TCP和UDP連接以及數據包。

防火牆日誌記錄為何以及何時有用
  1. 驗證新添加的防火牆規則是否正常工作,或者如果它們無法按預期工作則調試它們。
  2. 確定Windows防火牆是否是應用程序故障的原因 - 使用防火牆日誌記錄功能,您可以檢查已禁用的端口開放,動態端口打開,使用推送和緊急標記分析丟棄的數據包以及分析發送路徑上丟棄的數據包。
  3. 幫助和識別惡意活動 - 使用防火牆日誌記錄功能,您可以檢查網絡中是否發生任何惡意活動,但您必須記住,它不提供跟踪活動來源所需的信息。
  4. 如果您發現從一個IP地址(或一組IP地址)訪問防火牆和/或其他高配置系統的重複嘗試不成功,那麼您可能希望編寫規則以從該IP空間中刪除所有連接(確保IP地址沒有被欺騙)。
  5. 來自內部服務器(如Web服務器)的傳出連接可能表示有人正在使用您的系統對位於其他網絡上的計算機發起攻擊。

如何生成日誌文件

默認情況下,日誌文件被禁用,這意味著沒有信息寫入日誌文件。要創建日誌文件,請按“Win鍵+ R”以打開“運行”框。輸入“wf.msc”並按Enter鍵。出現“具有高級安全性的Windows防火牆”屏幕。在屏幕右側,單擊“屬性”。

將出現一個新對話框。現在單擊“Private Profile”選項卡,然後在“Logging Section”中選擇“Customize”。

將打開一個新窗口,從該屏幕中選擇最大日誌大小,位置以及是僅記錄丟棄的數據包,成功連接還是兩者都記錄。丟棄的數據包是Windows防火牆已阻止的數據包。成功連接既指傳入連接,也指通過Internet建立的任何連接,但並不總是意味著入侵者已成功連接到您的計算機。

默認情況下,Windows防火牆將日誌條目寫入 %SystemRoot%System32LogFilesFirewallPfirewall.log 並僅存儲最後4 MB的數據。在大多數生產環境中,此日誌將不斷寫入您的硬盤,如果您更改日誌文件的大小限制(以記錄長時間的活動),則可能會對性能產生影響。因此,您應該僅在主動解決問題時啟用日誌記錄,然後在完成後立即禁用日誌記錄。

接下來,單擊“公共配置文件”選項卡,然後重複與“私有配置文件”選項卡相同的步驟。您現在已打開私有和公共網絡連接的日誌。日誌文件將以W3C擴展日誌格式(.log)創建,您可以使用所選的文本編輯器進行檢查,或將其導入電子表格。單個日誌文件可以包含數千個文本條目,因此如果您通過記事本讀取它們,則禁用自動換行以保留列格式。如果您正在電子表格中查看日誌文件,則所有字段將以邏輯方式顯示在列中以便於分析。

在主“高級安全Windows防火牆”屏幕上,向下滾動,直到看到“監控”鏈接。在“詳細信息”窗格的“日誌記錄設置”下,單擊“文件名”旁邊的文件路徑。日誌將在記事本中打開。

解釋Windows防火牆日誌

Windows防火牆安全日誌包含兩個部分。標頭提供有關日誌版本和可用字段的靜態描述性信息。日誌正文是由於嘗試通過防火牆的流量而輸入的已編譯數據。它是一個動態列表,新條目不斷出現在日誌的底部。這些字段在頁面上從左到右書寫。當沒有可用於該字段的條目時使用( - )。

根據Microsoft Technet文檔,日誌文件的標頭包含:

版本 - 顯示安裝了哪個版本的Windows防火牆安全日誌。 軟件 - 顯示創建日誌的軟件的名稱。 時間 - 表示日誌中的所有時間戳信息都是本地時間。 字段 - 如果數據可用,則顯示可用於安全日誌條目的字段列表。

而日誌文件的正文包含:

date - 日期字段以YYYY-MM-DD格式標識日期。 time - 本地時間使用格式HH:MM:SS顯示在日誌文件中。小時以24小時格式引用。 action - 當防火牆處理流量時,會記錄某些操作。記錄的操作是用於刪除連接的DROP,用於打開連接的OPEN,用於關閉連接的CLOSE,用於打開到本地計算機的入站會話的OPEN-INBOUND,以及用於Windows防火牆處理的事件的INFO-EVENTS-LOST,但是沒有記錄在安全日誌中。 protocol - 使用的協議,如TCP,UDP或ICMP。 src-ip - 顯示源IP地址(嘗試建立通信的計算機的IP地址)。 dst-ip - 顯示連接嘗試的目標IP地址。 src-port - 嘗試連接的發送計算機上的端口號。 dst-port - 發送計算機嘗試建立連接的端口。 size - 以字節為單位顯示數據包大小。 tcpflags - 有關TCP標頭中TCP控制標誌的信息。 tcpsyn - 顯示數據包中的TCP序列號。 tcpack - 顯示數據包中的TCP確認號。 tcpwin - 顯示數據包中的TCP窗口大小(以字節為單位)。 icmptype - 有關ICMP消息的信息。 icmpcode - 有關ICMP消息的信息。 info - 顯示取決於發生的操作類型的條目。 path - 顯示通信的方向。可用選項包括SEND,RECEIVE,FORWARD和UNKNOWN。

正如您所注意到的,日誌條目確實很大,每個事件最多可包含17條信息。但是,只有前八個信息對於一般分析很重要。現在,您可以通過手中的詳細信息分析惡意活動信息或調試應用程序故障。

如果您懷疑有任何惡意活動,請在記事本中打開日誌文件,並在操作字段中使用DROP過濾所有日誌條目,並註意目標IP地址是否以255以外的數字結尾。如果您發現許多此類條目,則請記錄數據包的目標IP地址。完成問題疑難解答後,可以禁用防火牆日誌記錄。

對網絡問題進行故障排除有時可能非常令人生畏,在對Windows防火牆進行故障排除時,建議的良好做法是啟用本機日誌。雖然Windows防火牆日誌文件對於分析網絡的整體安全性沒有用,但如果要監視幕後發生的情況,仍然是一個很好的做法。

Link
Plus
Send
Send
Pin