当前位置：首页 -> 网络安全 -> 防火墙 -> 透过防火墙日志看系统安全

透过防火墙日志看系统安全

时间： 2021-07-31 作者：daque

风火墙日记不妨说是一盘杂烩，个中会生存体例收到的百般不安定消息的功夫、典型之类。经过领会那些日记，不妨创造已经爆发过或正在举行的体例侵犯动作。　　风火墙日记并不搀杂，但要看懂它仍旧须要领会少许普通观念（如端口、和议等）。纵然每种风火墙日记不一律，但在记载办法上并行不悖，重要囊括：功夫、承诺或阻挡（accept或block）、通信典型、源ip地方、源端口、目的地方和目的端口等。正文将以《天网风火墙》日记为例，让大师领会怎样领会风火墙日记，从而找到体例缺点和大概生存的报复动作。

　　《天网风火墙》会把一切不对准则的数据包阻挡并记载到日记中，即使你采用了监督一切tcp和udp数据包，那你发送和接受的每个数据包都将被记载。

　　1.139端口报复

　　如图1所示的日记表白：来自于局域网内的一台电脑正试图考察你电脑的139端口，但该操纵未能胜利实行。

图1

　　139端口是netbios和议所运用的端口，在安置了tcp/ip 和议的同声，netbios 也会被动作默许树立安置到体例中。139端口的盛开表示着硬盘大概会在搜集中国共产党享；网上黑客也可经过netbios领会你的电脑中的十足!

　　小提醒：“netbios”是搜集的输出输入体例，纵然此刻tcp/ip 和议变成普遍运用的传输和议，然而netbios供给的netbeui 和议在局域网中还在被普遍运用。

透过防火墙日志看系统安全图1

　　纵然在《天网风火墙》的监察和控制下，此心腹之患并没有被运用。但咱们不许不动声色，应想方法把这个缺点补上。对于贯穿到互联网络上的呆板，netbios实足没有用途，不妨将它去掉。

　　那么怎样清楚这个根源地方的动作呢?即使是一个长途地方，有大概是对方在用软硬件举行扫描大概是宏病毒破坏，但图第11中学的192.168.30.15x等地方和本机是在同一局域网中，且上机职员未用软硬件报复，经查看创造那些电脑从来是中了“尼姆达宏病毒”。

[page_break]2.80端口报复　　在《天网风火墙》中，假设你收到一致如许的消息，它的道理是：在18:29:20这个功夫，来自于ip地方为61.128.89.××的用户试图贯穿你的电脑，并扫描你的电脑能否盛开了80端口（这是web效劳要盛开的端口）。

　　即使常常收到来自外部ip高端口（大于1024）倡导的一致tcp的贯穿乞求，你得提防对方电脑能否中了“赤色代码”，并试图报复你（也有大概是报酬运用软硬件报复）。因为此宏病毒只污染装有iis效劳的体例，以是普遍用户不需担忧。

　　即使担忧本人的web效劳器被“赤色代码”宏病毒侵犯，不妨在效劳器上安置风火墙，并树立运用步调准则举行阻挡。若创造本机试图考察其余长机的80端口，则应查看本人体例中能否有此宏病毒了。

　　3.ping探测报复

　　在《天网风火墙》的日记中还会记载某些用户连接对本机举行ping的log，偶尔也展现为来自多个地方对本机举行ping报复（图2）。在废除了报酬举行的ping除外，要提防大概是来自于源地方呆板中有一致于“报复波”等宏病毒在破坏。所以，对于本机来讲，当务之急的工作即是要安置微软的“报复波”补丁。

图2

　　4.igmp报复

透过防火墙日志看系统安全图2

　　igmp对于windows普遍用户没什么用处，但因为win9x操纵体例的内核缺点，其自己生存一个igmp缺点，所以有人会运用这个缺点向指定长机发送洪量的igmp数据包，使windows 操纵体例的搜集层遭到妨害，引导死机，这在风火墙日记中也会有记录（图3）。周旋这类情景最佳安置上igmp数据包的补丁。

图3

　　然而，偶尔收到如许的提醒消息也并不表白确定即是黑客大概宏病毒在报复，在一个局域网中也会常常收到来自于网关的一致数据包；再有少许有视频播送效劳的呆板也会对用户发送如许的数据包，所以不必过于慌乱。

　　要更加证明的是，不是一切被阻挡的数据包都表示着有人在报复你，有些平常的数据包会因为你树立的安定级别过高而不适合安定准则，也会被阻挡并报告警方。

透过防火墙日志看系统安全图3