כיצד לעקוב אחר פעילות חומת האש עם חומת האש של Windows

בתהליך של סינון תעבורת אינטרנט, כל חומת האש יש איזה סוג של תכונה רישום המתעד כיצד חומת האש לטפל סוגים שונים של תנועה. יומנים אלה יכולים לספק מידע בעל ערך כמו כתובות IP של מקור ויעד, מספרי יציאה ופרוטוקולים. ניתן גם להשתמש בקובץ יומן חומת האש של Windows כדי לפקח על חיבורי TCP ו- UDP ועל מנות שחסומות חומת האש חסומות.

למה וכאשר חומת האש רישום שימושי

1. כדי לוודא אם כללי חומת האש שנוספו לאחרונה פועלים כהלכה או כדי לנקות אותם אם הם אינם פועלים כצפוי.
2. כדי לקבוע אם חומת האש של Windows היא הסיבה לכשלים ביישום - בעזרת התכונה 'רישום חומת אש' ניתן לבדוק את פתחי היציאה הנכים, את פתחי היציאה הדינמיים, לנתח מנות מנותקות בדגלי דחיפה ודחיפה ולנתח מנות מנותקות בנתיב השליחה.
3. כדי לסייע ולזהות פעילות זדונית - בעזרת התכונה 'רישום חומת האש' תוכל לבדוק אם מתרחשת פעילות זדונית כלשהי ברשת שלך, אם כי עליך לזכור שהיא אינה מספקת את המידע הדרוש כדי לאתר את מקור הפעילות.
4. אם תבחין בניסיונות חוזרים ונשנים של ניסיון לגשת אל חומת האש ו / או למערכות פרופיל גבוהות אחרות מכתובת IP אחת (או קבוצה של כתובות IP), ייתכן שתרצה לכתוב כלל להפיל את כל החיבורים ממרחב ה- IP (ודא כי כתובת ה- IP אינה מזויפת).
5. חיבורים יוצאים שמקורם בשרתים פנימיים, כגון שרתי אינטרנט, עשויים להוות אינדיקציה לכך שמישהו משתמש במערכת שלך כדי להפעיל התקפות על מחשבים הממוקמים ברשתות אחרות.

כיצד ליצור קובץ יומן

כברירת מחדל, קובץ היומן מושבת, כלומר אין מידע שנכתב בקובץ היומן. כדי ליצור קובץ יומן לחץ על "Win + R +" כדי לפתוח את תיבת ההפעלה. הקלד "wf.msc" והקש על Enter. מופיע המסך "חומת האש של Windows עם אבטחה מתקדמת". בצד ימין של המסך, לחץ על "מאפיינים".

תופיע תיבת דו-שיח חדשה. עכשיו לחץ על הכרטיסייה "פרופיל פרטי" ובחר "התאמה אישית" בסעיף "רישום".

נפתח חלון חדש וממסך זה בחר את גודל היומן המרבי, המיקום והאם ברצונך להיכנס רק מנות מנותקות, חיבור מוצלח או שתיהן. מנה מנותקת היא מנה שחומת האש של Windows חסמה. חיבור מוצלח מתייחס הן לחיבורים נכנסים והן לכל חיבור שעשיתם דרך האינטרנט, אך אין זה תמיד אומר שפריד מחובר בהצלחה למחשב שלך.

כברירת מחדל, חומת האש של Windows כותבת רשומות ביומן ל % SystemRoot% \ System32 \ LogFiles \ חומת האש \ Pfirewall.log ואת חנויות רק האחרון 4 MB של נתונים. ברוב סביבות הייצור, יומן זה יכתוב ללא הרף לדיסק הקשיח שלך, ואם תשנה את מגבלת הגודל של קובץ היומן (כדי להיכנס לפעילות במשך תקופה ארוכה), הדבר עלול לגרום להשפעה על הביצועים. מסיבה זו, עליך לאפשר רישום רק כאשר אתה מנסה לפתור בעיות באופן פעיל, ולאחר מכן תסיים באופן מיידי להשבית את הרישום לאחר שתסיים.

לאחר מכן, לחץ על הכרטיסייה "פרופיל ציבורי" וחזור על אותם השלבים שעשית עבור הכרטיסייה "פרופיל פרטי". הפעלת כעת את היומן עבור חיבורי רשת פרטיים וציבוריים. קובץ היומן ייווצר בתבנית יומן מורחבת של W3C (.log) שתוכל לבחון עם עורך טקסט לפי בחירתך או לייבא אותם לגיליון אלקטרוני. קובץ יומן יחיד יכול להכיל אלפי רשומות טקסט, כך שאם אתה קורא אותם באמצעות Notepad ולאחר מכן להשבית גלישת מילים כדי לשמור על עיצוב העמודה. אם אתה מציג את קובץ היומן בגיליון אלקטרוני, כל השדות יוצגו באופן הגיוני בעמודות לצורך ניתוח קל יותר.

במסך הראשי של "חומת האש של Windows עם אבטחה מתקדמת", גלול למטה עד שתראה את הקישור "מעקב". בחלונית הפרטים, תחת "הגדרות רישום", לחץ על נתיב הקובץ ליד "שם קובץ". היומן נפתח ב- Notepad.

פירוש יומן חומת האש של Windows

יומן האבטחה של חומת האש של Windows מכיל שני מקטעים. הכותרת מספקת מידע סטטי, תיאורי, לגבי גירסת היומן והשדות הזמינים. גוף היומן הוא הנתונים המורכבים שהוזנו כתוצאה מהתנועה המנסה לחצות את חומת האש. זוהי רשימה דינמית, וערכים חדשים ממשיכים להופיע בתחתית היומן. השדות נכתבים משמאל לימין על פני הדף. ה - (-) משמש כאשר אין כניסה לזמין עבור השדה.

על פי התיעוד של Microsoft Technet, הכותרת של קובץ היומן מכילה:

Version - מציג איזו גירסה של יומן האבטחה של חומת האש של Windows מותקנת.
תוכנה - מציג את שם התוכנה שיוצרת את היומן.
Time - מציין שכל פרטי חותמת היומן נמצאים בזמן המקומי.
- שדה - הצגת רשימת שדות הזמינים עבור רשומות יומן אבטחה, אם הנתונים זמינים.

בעוד שהגוף של קובץ היומן מכיל:

תאריך - שדה התאריך מזהה את התאריך בפורמט YYYY-MM-DD.
שעה - השעה המקומית מוצגת בקובץ היומן באמצעות הפורמט HH: MM: SS. את השעות הם הפניה בפורמט 24 שעות.
פעולה - כאשר חומת האש מעבדת תנועה, פעולות מסוימות נרשמות. הפעולות הרשומות הן DROP להפסקת חיבור, פתיחה לפתיחת חיבור, סגור עבור סגירת חיבור, OPEN-INBOUND עבור הפעלה נכנסת שנפתחה למחשב המקומי ו- INFO-EVENTS-LOST עבור אירועים שעובדו על-ידי חומת האש של Windows, אך לא נרשמו ביומן האבטחה.
Protocol - פרוטוקול המשמש כגון TCP, UDP או ICMP.
src-ip - מציג את כתובת ה- IP של המקור (כתובת ה- IP של המחשב המנסה ליצור תקשורת).
dst-ip - מציג את כתובת ה- IP של היעד של ניסיון התחברות.
src-port - מספר היציאה במחשב השולח שממנו ננסה החיבור.
dst-port - היציאה שאליה המחשב השולח מנסה ליצור חיבור.
גודל - מציג את גודל המנה בבתים.
tcpflags - מידע על דגלי בקרת TCP בכותרות TCP.
tcpsyn - מציג את מספר הרצף של TCP בחבילה.
tcpack - מציג את מספר אישור ה- TCP בחבילה.
tcpwin - מציג את גודל חלון TCP, בבתים, בחבילה.
icmptype - מידע על הודעות ICMP.
icmpcode - מידע על הודעות ICMP.
- הצגת רשומה שתלויה בסוג הפעולה שהתרחשה.
path - מציג את כיוון התקשורת. האפשרויות הזמינות הן SEND, RECEIVE, FORWARD ו- UNKNOWN.

כפי שאתה שם לב, הערך ביומן הוא אכן גדול ויכול להיות עד 17 חתיכות של מידע המשויך לכל אירוע. עם זאת, רק הראשון שמונה חתיכות של מידע חשובים עבור ניתוח כללי. עם הפרטים בידיים שלך עכשיו אתה יכול לנתח את המידע עבור פעילות זדונית או כשלים יישום באגים.

אם אתה חושד בפעילות זדונית כלשהי, פתח את קובץ היומן ב- Notepad וסנן את כל רשומות היומן באמצעות DROP בשדה הפעולה וציין אם כתובת ה- IP של היעד מסתיימת במספר שאינו 255. אם אתה מוצא רשומות רבות כאלה, הערה של כתובות IP היעד של מנות. לאחר שסיימת לפתור את הבעיה, באפשרותך להשבית את רישום חומת האש.

פתרון בעיות ברשת עלול להיות מרתיע למדי בזמנים והנוהג המומלץ בעת פתרון בעיות של חומת האש של Windows הוא לאפשר את היומנים המקוריים. למרות שקובץ יומן הרישום של Windows אינו שימושי לניתוח האבטחה הכוללת של הרשת שלך, עדיין נותרה שיטה טובה אם ברצונך לעקוב אחר מה שקורה מאחורי הקלעים.