معرفی جزئیات فعالیت های فایروال ویندوز با Firewall Log قسمت 1

اغلب firewall روش هایی برای log کردن اتفاقات در شبکه دارند و به این وسیله ترافیک شبکه رو مستند می کنن.امروز می خوایم با این log برداری آشنا بشیم.این log ها اطلاعات با ارزشی مثل IP مبدا و مقصد،شماره پورت ها و پروتکل های استفاده شده و... در اختیار ما میگذارن.شما می تونین از این log ها برای مانیتور کردن کانکشن های TCP و UDP و حتی packet های بلاک شده توسط firewall استفاده کنید.

نمایش جزئیات Firewall Activities با استفاده از Firewall Log-(قسمت اول)


سوال: چرا و چه وقت Firewall Logging می تواند مفید باشد؟


موارد زیر میتونه دلایل استفاده از Firewall loging باشه:
1.برای بررسی کردن درستی Rule هایی که اضافه شده و همینطور برای debug کردن Rule هایی که دچار مشکل شده اند.
2.برای بررسی این موضوع که آیا Firewall باعث اختلال در نرم افزاری شده است؟
(با استفاده از ویژگی logging میتونین port های بسته شده و packet های drop شده رو بررسی کنید)
3.کمک کردن برای شناسایی activity های مخرب(البته اطلاعات کمی در مورد منبع این فعالیت ها به ما میده)
4.اگر شما متوجه بشید که درون شبکه،یک IP و یا گروهی از IP ها در تلاش اند که به firewall و یا قسمت های مهم دیگر دسترسی پیدا کنن،قطعا به سمت نوشتن Rule ای برای drop کردن تمام کانکشن های IP مورد نظر میرید(البته اگه IP مدنظر spoof نشده باشه!)
5.connection های بیرونی ای که از سرور های داخلی مانند Web server ناشی میشن،میتونن نشونه ی این باشن که کسی در حال اسفاده از سیستم شما برای حمله به کامپیوتر های موجود در شبکه های دیگه است

چگونه این Log File را ایجاد کنیم؟


به طور پیش فرض این قابلیت غیرفعال است یعنی هیچ اطلاعاتی درون log file نوشته نمیشه.
برای ایجاد بعد از فشار دادن ترکیبی کلیدwin+r عبارت wf.msc رو درون Run تایپ کنید.صفحه Windows Firewall with Advanced Security مقابل شماست.
در سمت راست بر روی properties کلیک کنید
نمایش جزئیات Firewall Activities با استفاده از Firewall Log-(قسمت اول)

در صفحه جدید بر روی Private Profile کلیک کنید و Customize را از قسمت Logging انتخاب کنید.
نمایش جزئیات Firewall Activities با استفاده از Firewall Log-(قسمت اول)

در صفحه ی جدید، ماکزیمم size لاگ فایل،مکان ذخیره سازی و نوع لاگ برداری را انتخاب کنید
نمایش جزئیات Firewall Activities با استفاده از Firewall Log-(قسمت اول)

به طور پیش فرض Windows Firewall جزئیات log file رو در این مسیر می نویسه: SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log%
و نکته قابل توجه اینه که فقط 4MB دیتای آخر رو ذخیره می کنه.در بیشتر ابزار های فایروال، دیتا بر روی هارددیسک ذخیره میشه و اگه میزان size مورد استفاده زیاد بشه بر روی performance سیستم اثر میذاره که معمولا به خاطر ذخیره سازی در مدت زمان طولانی این مشکل پیش میاد.بنابراین موقعی که واقعا نیازی به log برداری پیدا کردین از این ویژگی استفاده کنید و زمانی هم که کارتون انجام شد اون رو disable کنید.
مراحل قبل رو برای تب public profile هم تکرار کنین.خروجی فایل با فرمت log. کانکشن های public و private شما را log می کند.
در صفحه اصلی Windows Firewall with Advanced Security اگر در قسمت Monitoring اسکرول کنید در قسمت Logging Settings می تونید فایل مورد نظرتون رو ببینید.
نمایش جزئیات Firewall Activities با استفاده از Firewall Log-(قسمت اول)


تفسیر Windows Firewall Log


این log از دو قسمت تشکیل شده است.یک قسمت،قسمت header می باشد که field های موجود در آن نوشته شده--قسمت body هم نتیجه ترافیک عبوری از firewall را به صورت کامپایل شده نشان می دهد.این لیست داینامیک می باشد و در انتهای لیست سطر های جدید در حال اضافه شدن هستند
علامت "-" هم نشان دهنده آن است که جزئیاتی برای field موردنظر وجود ندارد.
نمایش جزئیات Firewall Activities با استفاده از Firewall Log-(قسمت اول)

برای توضیحات بیشتر header و body می توانید به قسمت بعدی آموزش مراجعه کنید.

نویسنده:علی سفیدموی
منبع: انجمن تخصصی فناوری اطلاعات ایران
هرگونه کپی برداری صرفاً با نام نویسنده و منبع مجاز خواهد بود
#کنترل_ترافیک_های_فایروال #log_file_در_firewall #مشاهده_اکتیویتی_در_فایروال #آنالیز_و_لاگ_برداری_از_firewall #گزارش_و_آنالیز_ترافیک_فایروال #نمایش_جزئیات_firewall_activities #لاگ_برداری_از_ترافیک_های_فایروال
عنوان
1 معرفی جزئیات فعالیت های فایروال ویندوز با Firewall Log قسمت 1 رایگان
2 معرفی جزئیات فعالیت های فایروال ویندوز با Firewall Log قسمت 2 رایگان
زمان و قیمت کل 0″ 0
3 نظر
amir1867

سلام با تشکر از اموزش خوبتون

سوالی داشتم اگر مقدور هست راهنمایی بفرمایید:

چطور میشه از طریق فایروال ویندوز ده

نام برنامه های درخولست کننده برای اینترنت رو بررسی کرد؟

آیا چیزی شبیه به پروکسی فایر که قادر به نمایش نام سرویس ها و برنامه های درخواست کننده هست

وجود دارد؟

در این روش که فرمودید صرفا مقصد نمایش داده میشه

علی سفیدموی

سلام خدمت شما دوست عزیز،ممنون از سوالی که مطرح فرمودید

درقسمت Windows Firewall بر روی Allow a program through Windows Firewall کلیک کنید تا لیست برنامه هایی که از Resourse های شبکه استفاده می کنند را مشاهده کنید.

وب سایت توسینسو

اگر هم می خواهید برنامه ای از منابع شبکه استفاده نکند آن را disallow کنید

وب سایت توسینسو

روش دیگر اینکه از طریق Resourse Monitor می توانید service ها و برنامه هایی که به شبکه دسترسی دارند را مشاهده کنید.

(با وارد کردن resmon در Run)

وب سایت توسینسو

امید غلامی

دوست عزیز مرسی عالی بود

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....