怎样使用防火墙的日志功能?

我是个菜鸟,麻烦说仔细点,谢谢!!

防火墙日志可以说是一盘大杂烩，其中会保存系统收到的各种不安全信息的时间、类型等等。通过分析这些日志，可以发现曾经发生过或正在进行的系统入侵行为。

防火墙日志并不复杂，但要看懂它还是需要了解一些基础概念（如端口、协议等）。尽管每种防火墙日志不一样，但在记录方式上大同小异，主要包括：时间、允许或拦截（Accept或Block）、通讯类型、源IP地址、源端口、目标地址和目标端口等。这里将以《天网防火墙》日志为例，了解如何分析防火墙日志，进而找出系统漏洞和可能存在的攻击行为。

《天网防火墙》会把所有不合规则的数据包拦截并记录到日志中，如果你选择了监视所有TCP和UDP数据包，那你发送和接收的每个数据包都将被记录。

1.139端口攻击

139端口是NetBIOS协议所使用的端口，在安装了TCP/IP 协议的同时，NetBIOS 也会被作为默认设置安装到系统中。139端口的开放意味着硬盘可能会在网络中共享；网上黑客也可通过NetBIOS知道你的电脑中的一切!

小提示：“NetBIOS”是网络的输入输出系统，尽管现在TCP/IP 协议成为广泛使用的传输协议，但是NetBIOS提供的NetBEUI 协议在局域网中还在被广泛使用。

尽管在《天网防火墙》的监控下，此隐患并没有被利用。但我们不能无动于衷，应想办法把这个漏洞补上。对于连接到互联网上的机器，NetBIOS完全没有用处，可以将它去掉。

那么如何知晓这个来源地址的行为呢?如果是一个远程地址，有可能是对方在用软件进行扫描或者是病毒作怪，但图1中的192.168.30.15X等地址和本机是在同一局域网中，且上机人员未用软件攻击，经检查发现这些电脑原来是中了“尼姆达病毒”。

2.80端口攻击

在《天网防火墙》中，假定你收到类似这样的信息，它的意思是：在18:29:20这个时刻，来自于IP地址为61.128.89.××的用户试图连接你的电脑，并扫描你的电脑是否开放了80端口（这是Web服务要开放的端口）。

如果经常收到来自外部IP高端口（大于1024）发起的类似TCP的连接请求，你得小心对方电脑是否中了“红色代码”，并试图攻击你（也有可能是人为使用软件攻击）。由于此病毒只传染装有IIS服务的系统，所以普通用户不需担心。

如果担心自己的Web服务器被“红色代码”病毒入侵，可以在服务器上安装防火墙，并设置应用程序规则进行拦截。若发现本机试图访问其他主机的80端口，则应检查自己系统中是否有此病毒了。

3.ping探测攻击

在《天网防火墙》的日志中还会记录某些用户持续对本机进行ping的log，有时也表现为来自多个地址对本机进行ping攻击。在排除了人为进行的ping之外，要注意可能是来自于源地址机器中有类似于“冲击波”等病毒在作怪。因此，对于本机来讲，刻不容缓的事情就是要安装微软的“冲击波”补丁。

4.IGMP攻击

IGMP对于Windows普通用户没什么用途，但由于Win9X操作系统的内核缺陷，其自身存在一个IGMP漏洞，因此有人会利用这个漏洞向指定主机发送大量的IGMP数据包，使Windows 操作系统的网络层受到破坏，导致死机，这在防火墙日志中也会有记载。对付这类情况最好安装上IGMP数据包的补丁。

不过，有时收到这样的提示信息也并不表示一定就是黑客或者病毒在攻击，在一个局域网中也会经常收到来自于网关的类似数据包；再有一些有视频广播服务的机器也会对用户发送这样的数据包，因此不用过于惊慌。

要特别说明的是，不是所有被拦截的数据包都意味着有人在攻击你，有些正常的数据包会由于你设置的安全级别过高而不符合安全规则，也会被拦截并报警。

参考资料：http://www.newasp.net/tech/security/13441_2.html

温馨提示：内容为网友见解，仅供参考

当前网址：https://aolonic.com/aa/n14awnn5.html