在过滤互联网流量的过程中,所有防火墙都具有某种类型的日志记录功能,记录防火墙如何处理各种类型的流量。这些日志可以提供有价值的信息,如源和目标IP地址、端口号和协议。您还可以使用Windows防火墙日志文件监视TCP和UDP连接以及被防火墙阻止的数据包。
默认情况下,日志文件被禁用,这意味着没有信息写入日志文件。要创建日志文件,请按“Win key+R”打开“运行”框。“类型”wf.msc公司”然后按Enter。出现“Windows防火墙高级安全”屏幕。在屏幕右侧,单击“属性”
将出现一个新对话框。现在单击“Private Profile”选项卡并在“Logging部分”中选择“Customize”
将打开一个新窗口,从该屏幕中选择最大日志大小、位置,以及是否只记录丢弃的数据包、成功连接或两者。丢弃的数据包是Windows防火墙已阻止的数据包。成功的连接既指传入的连接,也指您通过Internet建立的任何连接,但并不总是意味着入侵者已成功连接到您的计算机。
默认情况下,Windows防火墙将日志条目写入%SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log文件只存储最后4MB的数据。在大多数生产环境中,此日志会不断写入硬盘,如果更改日志文件的大小限制(以便长时间记录活动),则可能会影响性能。因此,应该仅在主动排除问题时启用日志记录,然后在完成后立即禁用日志记录。
接下来,单击“公共配置文件”选项卡,重复您为“私有配置文件”选项卡所做的相同步骤。您现在已打开了专用网络连接和公用网络连接的日志。日志文件将以W3C扩展日志格式(.log)创建,您可以使用您选择的文本编辑器检查该文件,或将其导入电子表格。单个日志文件可以包含数千个文本条目,因此如果您正在通过记事本读取它们,则禁用word包装以保留列格式。如果您正在电子表格中查看日志文件,则所有字段将逻辑地显示在列中,以便于分析。
在主“Windows Firewall with Advanced Security”屏幕上,向下滚动,直到看到“Monitoring”链接。在“详细信息”窗格中的“日志记录设置”下,单击“文件名”旁边的文件路径。日志将在记事本中打开。
Windows防火墙安全日志包含两个部分。标头提供有关日志版本和可用字段的静态描述性信息。日志主体是由于试图穿越防火墙的流量而输入的已编译数据。它是一个动态列表,新条目不断出现在日志的底部。字段是从左到右写在页面上的。如果字段没有可用条目,则使用(-)。
根据Microsoft Technet文档,日志文件的头包含:
版本-显示所使用的Windows防火墙安全日志的版本已安装。软件-显示创建日志时间-指示日志中的所有时间戳信息都是本地的时间。领域-显示可用于安全日志项的字段列表(如果数据可用)。
而日志文件的正文包含:
日期-日期字段以YYYY-MM格式标识日期-DD.时间-本地时间以HH:MM:SS格式显示在日志文件中。小时以24小时为单位格式.动作-当防火墙处理流量时,会记录某些操作。记录的操作包括:删除连接的DROP、打开连接的OPEN、关闭连接的CLOSE、打开本地计算机的入站会话的OPEN-INBOUND和Windows防火墙处理的事件的INFO-EVENTS-LOST,但这些操作未记录在安全日志中日志协议-使用的协议,如TCP,UDP,或者ICMP.src文件-ip—显示源ip地址(尝试建立通信的计算机的ip地址)。dst ip—显示连接的目标ip地址尝试.src-端口—连接所来自的发送计算机上的端口号尝试.dst-端口-发送计算机正在尝试的端口**连接.尺寸-显示数据包大小字节.tcpflags-有关TCP中的TCP控制标志的信息标题.tcpsyn-在中显示TCP序列号包.tcpack-在中显示TCP确认号包.tcpwin-以字节为单位显示TCP窗口大小,在数据包.icmptype-有关ICMP的信息消息.icmpcode-有关ICMP的信息消息.info-显示一个条目,该条目取决于所执行操作的类型发生。路径-显示通信方向。可用的选项有SEND、RECEIVE、FORWARD和UNKNOWN。
正如您所注意到的,日志条目确实很大,可能有多达17条与每个事件相关的信息。然而,只有前八条信息对一般分析很重要。有了这些细节,现在您可以分析恶意活动或调试应用程序失败的信息。
如果怀疑有任何恶意活动,请在记事本中打开日志文件,并在操作字段中使用DROP筛选所有日志条目,并注意目标IP地址是否以255以外的数字结尾。如果您发现许多这样的条目,那么请记下数据包的目标IP地址。完成故障排除后,可以禁用防火墙日志记录。
对网络问题进行故障排除有时会让人望而生畏,在对Windows防火墙进行故障排除时,一个推荐的好做法是启用本机日志。虽然Windows防火墙日志文件对于分析网络的整体安全性没有用处,但是如果您想监视幕后发生的事情,它仍然是一种很好的做法。
... 谷歌硬盘出现问题并不少见。从检查网络连接、禁用防火墙或重新连接帐户,希望下面的一个提示可以解决您的问题。 ...
... VPN Unlimited与KeepSolid DNS防火墙捆绑在一起,允许四种不同级别的保护。默认情况下,您的VPN流量是加密的,但将防火墙打开到最低设置可启用反恶意软件保护。 ...
...角度来看,它提供了一些很好的附加工具。他们包括一个防火墙,以防止暴露您的IP地址,以防您失去连接,广告和跟踪器阻止,和一个安全的链接生成器,所有这些都包括在免费软件包。 ...
... 跳转前进:杀毒软件|反恶意软件|反勒索软件|防火墙|备份工具|浏览器安全|磁盘加密|密码管理器|安全实用程序| VPN ...
...程序即可阻止应用程序的联机活动。内置的Windows Defender防火墙足以让您限制某些应用程序使用internet连接。 ...
... 防火墙可以帮助你在这个窥探统治,最好的安卓防火墙应用程序是AFWall+。下面是如何设置它。 ...
... 该蠕虫可以禁用AppArmor、SELinux、防火墙和其他防御,以及安装加密货币矿工。 ...
...样的情况。请继续阅读,我们将向您展示如何通过Windows防火墙锁定应用程序。 我为什么要这么做? 你们中的一些人可能会立即被标题所吸引,因为阻止一个应用程序正是你们一直想要做的。其他人打开本教程可能会好奇,为...
当使用默认设置启用Windows防火墙时,您不能从其他设备使用ping命令查看您的电脑是否处于活动状态。下面是如何改变的。 ping命令的工作原理是向目标设备发送称为Internet控制消息协议(ICMP)Echo请求的特殊数据包,然后等待该...