Tại sao và khi tường lửa đăng nhập là hữu ích
- Để xác minh xem các quy tắc tường lửa mới được thêm có hoạt động đúng hay để gỡ lỗi chúng nếu chúng không hoạt động như mong đợi.
- Để xác định xem tường lửa của Windows có phải là nguyên nhân gây ra lỗi ứng dụng hay không - Với tính năng Tường lửa, bạn có thể kiểm tra các cổng mở bị vô hiệu hóa, mở cổng động, phân tích các gói tin bị đẩy và cờ khẩn cấp và phân tích các gói bị bỏ trên đường dẫn gửi.
- Để giúp và xác định hoạt động độc hại - Với tính năng Tường lửa, bạn có thể kiểm tra xem có hoạt động độc hại nào đang xảy ra trong mạng hay không, mặc dù bạn phải nhớ nó không cung cấp thông tin cần thiết để theo dõi nguồn của hoạt động.
- Nếu bạn nhận thấy nhiều lần truy cập tường lửa và / hoặc các hệ thống cấu hình cao khác từ một địa chỉ IP (hoặc nhóm địa chỉ IP), bạn có thể muốn viết một quy tắc để xóa tất cả các kết nối từ không gian IP đó (đảm bảo rằng Địa chỉ IP không bị giả mạo).
- Các kết nối gửi đi từ các máy chủ nội bộ như máy chủ Web có thể là dấu hiệu cho thấy ai đó đang sử dụng hệ thống của bạn để khởi chạy các cuộc tấn công chống lại các máy tính nằm trên các mạng khác.
Cách tạo tệp nhật ký
Theo mặc định, tệp nhật ký bị tắt, có nghĩa là không có thông tin nào được ghi vào tệp nhật ký. Để tạo một tệp nhật ký, nhấn “Win key + R” để mở hộp Run. Nhập “wf.msc” và nhấn Enter. Màn hình “Windows Firewall with Advanced Security” xuất hiện. Ở bên phải màn hình, nhấp vào “Thuộc tính”.
Một cửa sổ mới mở ra và từ màn hình đó chọn kích thước nhật ký tối đa, vị trí của bạn, và liệu chỉ ghi nhật ký các gói đã bị xóa, kết nối thành công hay cả hai. Gói bị bỏ là gói mà Windows Firewall đã chặn. Kết nối thành công đề cập đến cả kết nối đến cũng như mọi kết nối bạn đã thực hiện qua Internet, nhưng không phải lúc nào cũng có nghĩa là một kẻ xâm nhập đã kết nối thành công với máy tính của bạn.
%SystemRoot%System32LogFilesFirewallPfirewall.log
và chỉ lưu trữ 4 MB dữ liệu cuối cùng. Trong hầu hết các môi trường sản xuất, nhật ký này sẽ liên tục ghi vào đĩa cứng của bạn và nếu bạn thay đổi giới hạn kích thước của tệp nhật ký (để ghi nhật ký hoạt động trong một khoảng thời gian dài) thì có thể ảnh hưởng đến hiệu suất. Vì lý do này, bạn chỉ nên bật ghi nhật ký khi chủ động khắc phục sự cố một vấn đề và sau đó ngay lập tức tắt ghi nhật ký khi bạn hoàn tất.
Tiếp theo, nhấp vào tab "Hồ sơ công khai" và lặp lại các bước tương tự bạn đã làm cho tab "Hồ sơ riêng tư". Bây giờ bạn đã bật nhật ký cho cả kết nối mạng riêng và mạng công khai. Tệp nhật ký sẽ được tạo ở định dạng nhật ký mở rộng W3C (.log) mà bạn có thể kiểm tra bằng trình soạn thảo văn bản mà bạn chọn hoặc nhập chúng vào bảng tính. Một tệp nhật ký duy nhất có thể chứa hàng nghìn mục nhập văn bản, vì vậy nếu bạn đang đọc chúng thông qua Notepad thì hãy tắt gói từ để giữ nguyên định dạng cột. Nếu bạn đang xem tệp nhật ký trong bảng tính thì tất cả các trường sẽ được hiển thị một cách hợp lý trong các cột để phân tích dễ dàng hơn.
Trên màn hình chính "Windows Firewall with Advanced Security", cuộn xuống cho đến khi bạn thấy liên kết "Giám sát". Trong ngăn chi tiết, bên dưới “Cài đặt ghi nhật ký”, nhấp vào đường dẫn tệp bên cạnh “Tên tệp”. Nhật ký mở ra trong Notepad.
Giải thích nhật ký Tường lửa của Windows
Nhật ký bảo mật Tường lửa của Windows chứa hai phần. Tiêu đề cung cấp thông tin mô tả tĩnh về phiên bản nhật ký và các trường có sẵn. Phần thân của nhật ký là dữ liệu được biên dịch được nhập vào do lưu lượng truy cập cố gắng vượt qua tường lửa. Đây là một danh sách động và các mục nhập mới tiếp tục xuất hiện ở cuối nhật ký. Các trường được viết từ trái sang phải trên trang. Dấu (-) được sử dụng khi không có mục nhập nào cho trường.
Phiên bản - Hiển thị phiên bản nhật ký bảo mật Tường lửa của Windows được cài đặt. Phần mềm - Hiển thị tên của phần mềm tạo nhật ký. Thời gian - Chỉ ra rằng tất cả thông tin dấu thời gian trong nhật ký là theo giờ địa phương. Trường - Hiển thị danh sách các trường có sẵn cho mục nhập nhật ký bảo mật, nếu dữ liệu có sẵn.
Trong khi nội dung của tệp nhật ký chứa:
date - Trường ngày xác định ngày theo định dạng YYYY-MM-DD. time - Giờ địa phương được hiển thị trong tệp nhật ký bằng định dạng HH: MM: SS. Giờ được tham chiếu ở định dạng 24 giờ. hành động - Khi tường lửa xử lý lưu lượng, một số hành động nhất định được ghi lại.Các hành động đã đăng nhập là DROP để xóa kết nối, MỞ để mở kết nối, ĐÓNG để đóng kết nối, MỞ-INBOUND cho phiên đến được mở cho máy tính cục bộ và INFO-EVENTS-LOST cho các sự kiện được tường lửa Windows xử lý, nhưng không được ghi vào nhật ký bảo mật. giao thức - Giao thức được sử dụng như TCP, UDP hoặc ICMP. src-ip - Hiển thị địa chỉ IP nguồn (địa chỉ IP của máy tính cố gắng thiết lập liên lạc). dst-ip - Hiển thị địa chỉ IP đích của một nỗ lực kết nối. src-port - Số cổng trên máy tính gửi mà từ đó kết nối đã được thử. dst-port - Cổng mà máy tính gửi đang cố tạo kết nối. size - Hiển thị kích thước gói theo byte. tcpflags - Thông tin về cờ kiểm soát TCP trong tiêu đề TCP. tcpsyn - Hiển thị số thứ tự TCP trong gói. tcpack - Hiển thị số xác nhận TCP trong gói. tcpwin - Hiển thị kích thước cửa sổ TCP, tính bằng byte, trong gói. icmptype - Thông tin về các tin nhắn ICMP. icmpcode - Thông tin về các tin nhắn ICMP. info - Hiển thị một mục phụ thuộc vào loại hành động đã xảy ra. đường dẫn - Hiển thị hướng truyền thông. Các tùy chọn có sẵn là SEND, RECEIVE, FORWARD và UNKNOWN.
Như bạn thấy, mục nhập nhật ký thực sự lớn và có thể có tối đa 17 thông tin liên quan đến mỗi sự kiện. Tuy nhiên, chỉ có tám mẩu thông tin đầu tiên quan trọng cho phân tích chung. Với các chi tiết trong tay của bạn bây giờ bạn có thể phân tích thông tin cho hoạt động độc hại hoặc lỗi ứng dụng gỡ lỗi.
Nếu bạn nghi ngờ bất kỳ hoạt động độc hại nào, hãy mở tệp nhật ký trong Notepad và lọc tất cả các mục nhập nhật ký với DROP trong trường hành động và lưu ý xem địa chỉ IP đích có kết thúc bằng số không 255. Nếu bạn tìm thấy nhiều mục nhập như vậy, hãy lưu ý địa chỉ IP đích của gói. Khi bạn đã khắc phục xong sự cố, bạn có thể tắt tính năng ghi nhật ký tường lửa.
Xử lý sự cố các vấn đề về mạng có thể khá khó khăn vào những thời điểm và thực hành tốt được đề nghị khi khắc phục sự cố Windows Firewall là bật nhật ký gốc. Mặc dù tệp nhật ký Tường lửa của Windows không hữu ích cho việc phân tích bảo mật tổng thể của mạng của bạn, nhưng nó vẫn là một thực hành tốt nếu bạn muốn theo dõi những gì đang diễn ra đằng sau hậu trường.
