Почему и когда используется брандмауэр?
- Чтобы проверить, правильно ли установлены новые правила брандмауэра или отладить их, если они не работают должным образом.
- Чтобы определить, является ли брандмауэр Windows причиной сбоев приложения - с помощью функции ведения журнала брандмауэра вы можете проверить наличие отключенных портов, динамические открытия портов, проанализировать упавшие пакеты с помощью push и срочных флагов и проанализировать выпавшие пакеты на пути отправки.
- Чтобы помочь и определить вредоносную активность - с помощью функции ведения журнала брандмауэра вы можете проверить, существует ли какая-либо вредоносная активность в вашей сети или нет, хотя вы должны помнить, что она не предоставляет информацию, необходимую для отслеживания источника активности.
- Если вы заметили неоднократные неудачные попытки доступа к вашему брандмауэру и / или другим системам высокого профиля с одного IP-адреса (или группы IP-адресов), вы можете захотеть написать правило, чтобы удалить все подключения из этого IP-пространства (убедитесь, что IP-адрес не подделывается).
- Исходящие соединения, поступающие с внутренних серверов, таких как веб-серверы, могут свидетельствовать о том, что кто-то использует вашу систему для запуска атак на компьютеры, расположенные в других сетях.
Как создать файл журнала
По умолчанию файл журнала отключен, что означает, что в файл журнала не записывается никакая информация. Чтобы создать файл журнала, нажмите «Win key + R», чтобы открыть окно «Выполнить». Введите «wf.msc» и нажмите «Ввод». Появится экран «Брандмауэр Windows с повышенной безопасностью». В правой части экрана нажмите «Свойства».
%SystemRoot%System32LogFilesFirewallPfirewall.log
и хранит только последние 4 МБ данных. В большинстве производственных средах этот журнал будет постоянно записывать на ваш жесткий диск, и если вы измените ограничение на размер файла журнала (чтобы регистрировать активность в течение длительного периода времени), это может привести к снижению производительности. По этой причине вы должны активировать ведение журнала только при активном устранении неполадок и затем немедленно отключить ведение журнала, когда вы закончите.
Затем перейдите на вкладку «Открытый профиль» и повторите те же действия, что и на вкладке «Частный профиль». Теперь вы включили журнал как для частных, так и для общедоступных сетевых подключений. Файл журнала будет создан в формате расширенного журнала W3C (.log), который вы можете проверить с помощью текстового редактора по вашему выбору или импортировать его в электронную таблицу. Один файл журнала может содержать тысячи текстовых записей, поэтому, если вы читаете их через Блокнот, отключите перенос слов, чтобы сохранить форматирование столбцов. Если вы просматриваете файл журнала в электронной таблице, все поля будут логически отображаться в столбцах для более легкого анализа.
На главном экране «Брандмауэр Windows с повышенной безопасностью» прокрутите страницу вниз до тех пор, пока не увидите ссылку «Мониторинг». В области «Подробности» в разделе «Параметры ведения журнала» щелкните путь к файлу рядом с «Имя файла». Журнал открывается в «Блокноте».
Интерпретация журнала брандмауэра Windows
Журнал безопасности брандмауэра Windows содержит два раздела. Заголовок содержит статическую, описательную информацию о версии журнала и доступных полях. Тело журнала - это скомпилированные данные, которые вводятся в результате трафика, который пытается пересечь брандмауэр. Это динамический список, и новые записи сохраняются в нижней части журнала. Поля записываются слева направо по всей странице. (-) используется, когда для поля нет записи.
Версия - показывает, какая версия журнала безопасности брандмауэра Windows установлена. Программное обеспечение - отображает имя программного обеспечения, создающего журнал. Время - указывает, что вся информация о временной отметке в журнале находится в местном времени. Поля. Отображает список полей, доступных для записей журнала безопасности, если данные доступны.
В то время как тело файла журнала содержит:
date - поле даты определяет дату в формате YYYY-MM-DD. time - местное время отображается в файле журнала с использованием формата HH: MM: SS. Часы указаны в 24-часовом формате. Действие. Когда брандмауэр обрабатывает трафик, регистрируются определенные действия.Зарегистрированными действиями являются DROP для отключения соединения, OPEN для открытия соединения, CLOSE для закрытия соединения, OPEN-INBOUND для входящего сеанса, открытого на локальном компьютере, и INFO-EVENTS-LOST для событий, обрабатываемых брандмауэром Windows, но не были записаны в журнале безопасности. protocol - протокол, используемый как TCP, UDP или ICMP. src-ip - отображает исходный IP-адрес (IP-адрес компьютера, пытающегося установить связь). dst-ip - отображает IP-адрес получателя попытки подключения. src-port - номер порта на отправляющем компьютере, с которого было выполнено соединение. dst-port - порт, на который отправляющий компьютер пытается установить соединение. size - отображает размер пакета в байтах. tcpflags - Информация о флажках управления TCP в заголовках TCP. tcpsyn - отображает номер последовательности TCP в пакете. tcpack - отображает номер подтверждения TCP в пакете. tcpwin - отображает размер окна TCP в байтах в пакете. icmptype - Информация о сообщениях ICMP. icmpcode - Информация о сообщениях ICMP. info - Отображает запись, которая зависит от типа действия, которое произошло. path - Отображает направление связи. Доступны следующие варианты: SEND, RECEIVE, FORWARD и UNKNOWN.
Как вы заметили, запись в журнале действительно большая и может содержать до 17 единиц информации, связанных с каждым событием. Однако для общего анализа важны только первые восемь частей информации. Теперь с деталями в вашей руке вы можете анализировать информацию о вредоносных действиях или отладочных ошибках приложений.
Если вы подозреваете какую-либо вредоносную активность, откройте файл журнала в Блокноте и отфильтруйте все записи журнала с помощью DROP в поле действия и обратите внимание, заканчивается ли целевой IP-адрес с номером, отличным от 255. Если вы найдете много таких записей, примечание о целевых IP-адресах пакетов. По завершении устранения неполадки вы можете отключить ведение журнала брандмауэра.
Устранение неполадок в сети может быть довольно сложным время от времени и рекомендуется рекомендуемая практика, когда устранение неполадок брандмауэра Windows - это включение собственных журналов. Хотя файл журнала брандмауэра Windows не полезен для анализа общей безопасности вашей сети, он по-прежнему остается хорошей практикой, если вы хотите следить за тем, что происходит за кулисами.
