2024 Autor: Peter John Melton | [email protected]. Naposledy změněno: 2023-12-16 04:45
Proč a kdy je protokolování brány firewall užitečné
- Chcete-li ověřit, zda nově přidaná pravidla brány firewall fungují správně, nebo je ladit, pokud nefungují podle očekávání.
- Určení, zda je brána firewall systému Windows příčinou selhání aplikace. Pomocí funkce protokolování brány firewall můžete zkontrolovat, zda jsou zakázané otvory portů, otvory dynamického portu, analyzovat dropped pakety pomocí příznaků push a urgentní a analyzovat vynechané pakety na cestě odesílání.
- Pomáhání a identifikace škodlivých aktivit - Funktem protokolování brány firewall můžete zkontrolovat, zda se v síti vyskytuje nějaká škodlivá aktivita nebo nikoliv, ačkoli musíte pamatovat na to, že neposkytuje informace potřebné ke zjištění zdroje aktivity.
- Pokud zaznamenáte opakované neúspěšné pokusy o přístup k bráně firewall a / nebo jiným vysokorychlostním systémům z jedné adresy IP (nebo skupiny IP adres), pak možná budete chtít napsat pravidlo pro odstranění všech připojení z daného prostoru IP (ujistěte se, že IP adresa není falešná).
- Odchozí připojení pocházející z interních serverů, jako jsou webové servery, mohou znamenat, že někdo používá váš systém k útokům na počítače umístěné v jiných sítích.
Jak vytvořit soubor protokolu
Ve výchozím nastavení je soubor protokolu zakázán, což znamená, že do souboru protokolu nejsou zapsány žádné informace. Chcete-li vytvořit soubor protokolu, stiskněte "Win key + R" pro otevření pole Run. Zadejte "wf.msc" a stiskněte klávesu Enter. Objeví se obrazovka "Brána firewall systému Windows s pokročilým zabezpečením". V pravé části obrazovky klikněte na položku Vlastnosti.
%SystemRoot%System32LogFilesFirewallPfirewall.log
a ukládá pouze poslední 4 MB dat. Ve většině výrobních prostředích bude tento protokol neustále zapisovat na pevný disk a pokud změníte velikost souboru protokolu (k zaznamenání aktivity po dlouhou dobu), může to mít vliv na výkon. Z tohoto důvodu byste měli zapnout protokolování pouze při aktivním řešení problému a poté okamžitě zakázat protokolování po dokončení.
Dále klikněte na kartu "Veřejný profil" a opakujte stejné kroky, jaké jste učinili pro kartu "Soukromý profil". Nyní jste zapnuli protokol pro soukromé i veřejné připojení k síti. Soubor protokolu bude vytvořen ve formátu rozšířeného protokolu W3C (.log), který můžete provést pomocí textového editoru dle vlastního výběru nebo importovat do tabulkového procesoru. Jeden soubor protokolu může obsahovat tisíce textových položek, takže pokud je čtete pomocí programu Poznámkový blok, pak zakázat obtékání slov, aby se zachovalo formátování sloupců. Pokud zobrazujete soubor protokolu v tabulce, všechna pole budou logicky zobrazena ve sloupcích pro snadnější analýzu.
Na hlavní obrazovce "Brána firewall systému Windows s pokročilým zabezpečením" přejděte dolů, dokud se nezobrazí odkaz "Monitorování". V podokně Podrobnosti v části "Nastavení protokolování" klepněte na cestu k souboru vedle položky "Název souboru". Záznam se otevře v programu Poznámkový blok.
Interpretace protokolu brány firewall systému Windows
Záznam zabezpečení brány firewall systému Windows obsahuje dvě části. Záhlaví poskytuje statické popisné informace o verzi protokolu a dostupné pole. Těleso protokolu je zkompilovaná data, která je zadána jako výsledek provozu, který se pokouší překročit bránu firewall. Jedná se o dynamický seznam a nové záznamy se stále zobrazují ve spodní části protokolu. Políčka jsou napsána zleva doprava po stránce. (-) se použije, pokud pro pole není k dispozici žádný záznam.
Verze - Zobrazuje, která verze protokolu zabezpečení brány firewall systému Windows je nainstalována. Software - Zobrazuje název softwaru, který vytváří protokol. Čas - Označuje, že všechny informace o časové značce v protokolu jsou v místním čase. Pole - Zobrazuje seznam polí dostupných pro záznamy protokolu zabezpečení, pokud jsou k dispozici data.
Zatímco tělo souboru protokolu obsahuje:
datum - pole Datum určuje datum ve formátu YYYY-MM-DD. čas - Místní čas je zobrazen v souboru protokolu pomocí formátu HH: MM: SS. Hodiny jsou uváděny v 24hodinovém formátu. akce - Jak brána firewall zpracovává provoz, zaznamenávají se určité akce.Přihlášená akce jsou DROP pro zrušení připojení, OTEVŘENO pro otevření připojení, ZAVŘÍT pro uzavření spojení, OPEN-INBOUND pro příchozí relaci otevřené pro místní počítač a INFO-UDÁLOSTI-LOST pro události zpracované bránou Windows Firewall, ale nebyly zaznamenány do protokolu zabezpečení. protokol - Protokol, jako jsou protokoly TCP, UDP nebo ICMP. src-ip - Zobrazí zdrojovou adresu IP (adresa IP počítače, která se pokouší o komunikaci). dst-ip - Zobrazí cílovou adresu IP pokusu o připojení. src-port - Číslo portu na odesílajícím počítači, ze kterého bylo připojení provedeno. dst-port - port, ke kterému se odesílající počítač pokoušel připojit. velikost - Zobrazuje velikost paketu v bajtech. tcpflags - Informace o příkazech TCP control v hlavičkách TCP. tcpsyn - Zobrazuje pořadové číslo TCP v paketu. tcpack - Zobrazí číslo potvrzení TCP v paketu. tcpwin - Zobrazuje velikost paketu TCP v bajtech v paketu. icmptype - informace o ICMP zprávách. icmpcode - Informace o ICMP zprávách. info - Zobrazuje záznam, který závisí na typu akce, která se objevila. cesta - Zobrazuje směr komunikace. Dostupné možnosti jsou SEND, RECEIVE, FORWARD a NEZNÁME.
Jak zjistíte, záznam protokolu je skutečně velký a může obsahovat až 17 kusů informací spojených s každou událostí. Pro obecnou analýzu jsou však důležité pouze prvé osm informací. S podrobnostmi v ruce můžete nyní analyzovat informace o škodlivých aktivitách nebo selhání aplikace ladění.
Pokud máte podezření na jakoukoli škodlivou aktivitu, otevřete soubor protokolu v programu Poznámkový blok a filtrujte všechny položky protokolu pomocí příkazu DROP v poli akce a zkontrolujte, zda cílová adresa IP končí jiným číslem než 255. Pokud najdete mnoho takových položek, poznámka cílové adresy IP paketů. Jakmile dokončíte řešení problému, můžete zakázat protokolování firewallu.
Řešení potíží se sítí může být občas obtížné a doporučenou správnou praxí při odstraňování problémů se systémem Windows Firewall je povolit přirozené protokoly. Přestože soubor protokolu brány firewall systému Windows není užitečný pro analýzu celkové bezpečnosti vaší sítě, stále je dobré, pokud chcete sledovat, co se děje za zákulisí.
Doporučuje:
Jak blokovat aplikaci z přístupu k Internetu pomocí brány firewall systému Windows
Většinou chceme, aby naše aplikace byly online a připojeny k naší místní síti i k většímu internetu. Existují však případy, kdy chceme zabránit aplikaci připojit se k internetu. Přečtěte si, jak vám ukážeme, jak zablokovat aplikaci prostřednictvím brány firewall systému Windows.
Jak sledovat aktivitu uživatele v režimu WorkGroup v systému Windows 10/8/7
Tento článek vám ukáže, jak sledovat a sledovat uživatelskou aktivitu v systému Windows 10 / 8.1 / 8/7 v režimu Workgroup pomocí zásady Audit Policy & Viewer.
Formátování protokolu protokolu Windows Update se zlepšilo v systému Windows 10 v1709
Společnost Microsoft zlepšila přístup k souboru protokolu Windows Update v systému Windows 10, což umožňuje vývojářům snadno provádět ladění. Přečtěte si více zde.
Poradce při potížích s bránou Windows Firewall: Opravte a opravte problémy brány firewall systému Windows automaticky
Stažení nástroje pro odstraňování potíží se systémem Windows Firewall. Brána Windows Firewall vám dává problémy? Získáváte upozornění na zabezpečení Brána Windows Firewall je vypnuta nebo možná nemáte přístup ke sdíleným souborům nebo tiskárnám.
Ovládání brány firewall systému Windows: Konfigurace a správa nastavení brány firewall systému Windows
Ovládání brány firewall systému Windows je bezplatný software, který poskytuje rychlý přístup k nejčastějším možnostem a funkcím brány firewall systému Windows. Použijte jej ke správě připojení.