كيفية تعقب نشاط جدار الحماية مع سجل جدار حماية Windows
في عملية تصفية حركة المرور على الإنترنت ، تحتوي جميع جدران الحماية على نوع من ميزة تسجيل الدخول يوثق كيفية تعامل جدار الحماية مع أنواع مختلفة من الزيارات. يمكن أن توفر هذه السجلات معلومات قيمة مثل عناوين IP المصدر والوجهة وأرقام المنافذ والبروتوكولات. يمكنك أيضًا استخدام ملف سجل جدار حماية Windows لمراقبة اتصالات TCP و UDP والرزم المحظورة بواسطة جدار الحماية.
لماذا ومتى يكون تسجيل جدار الحماية مفيدًا - للتحقق مما إذا كانت قواعد جدار الحماية المضافة حديثًا تعمل بشكل صحيح أو لتصحيحها إذا لم تعمل كما هو متوقع.
- لتحديد ما إذا كان جدار حماية Windows هو سبب فشل التطبيق - مع ميزة تسجيل جدار الحماية ، يمكنك التحقق من وجود فتحات منفذ معطلة ، وفتح منافذ ديناميكية ، وتحليل الحزم التي تم إسقاطها باستخدام أعلام الدفع والإصلاح وتحليل الحزم التي تم إسقاطها على مسار الإرسال.
- للمساعدة في تحديد النشاط الضار وتحديده - باستخدام ميزة تسجيل جدار الحماية ، يمكنك التحقق مما إذا كان أي نشاط ضار يحدث داخل شبكتك أم لا ، على الرغم من أنه يجب عليك تذكر أنه لا يوفر المعلومات اللازمة لتعقب مصدر النشاط.
- إذا لاحظت محاولات غير ناجحة متكررة للوصول إلى جدار الحماية و / أو أنظمة أخرى عالية المستوى من عنوان IP (أو مجموعة من عناوين IP) ، فقد ترغب في كتابة قاعدة لإسقاط كافة الاتصالات من مساحة IP (التأكد من أن عنوان IP لا يتم انتحال).
- قد تكون الاتصالات الصادرة من خوادم داخلية مثل خوادم الويب إشارة إلى أن شخص ما يستخدم نظامك لشن هجمات ضد أجهزة الكمبيوتر الموجودة على شبكات أخرى.
كيفية توليد ملف السجل
بشكل افتراضي ، يتم تعطيل ملف السجل ، مما يعني عدم كتابة أي معلومات إلى ملف السجل. لإنشاء ملف سجل ، اضغط على "Win key + R" لفتح مربع التشغيل. اكتب "wf.msc" واضغط على Enter. تظهر شاشة "جدار حماية Windows مع الأمان المتقدم". على الجانب الأيمن من الشاشة ، انقر على "خصائص".
يظهر مربع حوار جديد. انقر الآن على علامة التبويب "الملف الشخصي الخاص" وحدد "تخصيص" في "قسم التسجيل".
يتم فتح نافذة جديدة ، ومن هذه الشاشة ، اختر الحد الأقصى لحجم السجل وموقعه وما إذا كان سيتم تسجيل الحزم المسقطة أو الاتصال الناجح أو كليهما فقط. الحزمة المنسدلة هي حزمة تم حظرها بواسطة جدار حماية Windows. يشير الاتصال الناجح إلى كل من الاتصالات الواردة وأي اتصال قمت به عبر الإنترنت ، ولكنه لا يعني دائمًا أن متطفلًا قد اتصل بجهاز الكمبيوتر الخاص بك بنجاح.
بشكل افتراضي ، يقوم جدار حماية Windows بكتابة إدخالات السجل إلى ٪ SYSTEMROOT٪ \ SYSTEM32 \ ملفات أرشفة \ جدار \ Pfirewall.log
ويخزن آخر 4 ميغابايت من البيانات فقط. في معظم بيئات الإنتاج ، سيكتب هذا السجل باستمرار إلى القرص الثابت الخاص بك ، وإذا قمت بتغيير حد حجم ملف السجل (لتسجيل النشاط على مدى فترة زمنية طويلة) ، فقد يتسبب ذلك في حدوث تأثير على الأداء. لهذا السبب ، يجب عليك تمكين التسجيل فقط عند استكشاف الأخطاء وإصلاحها بشكل نشط ثم تعطيل التسجيل فورًا عند الانتهاء.
بعد ذلك ، انقر على علامة التبويب "الملف الشخصي العام" وكرر الخطوات نفسها التي اتبعتها في علامة التبويب "الملف الشخصي الخاص". لقد قمت الآن بتشغيل السجل لكل من اتصالات الشبكة الخاصة والعامة. سيتم إنشاء ملف السجل بتنسيق سجل موسع لـ W3C (. log) يمكنك فحصه باستخدام محرر نصوص من اختيارك أو استيراده في جدول بيانات. يمكن أن يحتوي ملف السجل المفرد على آلاف من إدخالات النص ، لذلك إذا كنت تقرأها من خلال المفكرة ، فقم بتعطيل التفاف الكلمات للحفاظ على تنسيق العمود. إذا كنت تعرض ملف السجل في جدول بيانات ، فسيتم عرض جميع الحقول بشكل منطقي في الأعمدة لإجراء تحليل أسهل.
في الشاشة الرئيسية "جدار حماية Windows مع الأمان المتقدم" ، قم بالتمرير لأسفل حتى ترى ارتباط "المراقبة". في جزء "التفاصيل" ، ضمن "إعدادات التسجيل" ، انقر فوق مسار الملف الموجود بجوار "اسم الملف". يتم فتح السجل في "المفكرة".
تفسير سجل جدار حماية Windows
يحتوي سجل أمان Windows Firewall على قسمين. يوفر الرأس معلومات ثابتة وصفية حول إصدار السجل والحقول المتوفرة. نص السجل هو البيانات المجمعة التي يتم إدخالها كنتيجة لحركة المرور التي تحاول عبور جدار الحماية. إنها قائمة ديناميكية ، وتظل الإدخالات الجديدة تظهر في أسفل السجل. تتم كتابة الحقول من اليسار إلى اليمين عبر الصفحة. يتم استخدام (-) عند عدم وجود إدخال للحقل.
وفقًا لوثائق Microsoft Technet ، يحتوي رأس ملف السجل على:
الإصدار - يعرض أي إصدار من سجل أمان جدار حماية Windows مثبتًا.
Software - يعرض اسم البرنامج الذي يقوم بإنشاء السجل.
Time - تشير إلى أن كافة معلومات الطابع الزمني في السجل في الوقت المحلي.
الحقول - يعرض قائمة من الحقول المتاحة لإدخالات سجل الأمان ، إذا كانت البيانات متاحة.
بينما يحتوي نص ملف السجل على:
date - يحدد حقل التاريخ التاريخ بالتنسيق YYYY-MM-DD.
time - يتم عرض التوقيت المحلي في ملف السجل باستخدام التنسيق HH: MM: SS. تتم الإشارة إلى الساعات بتنسيق 24 ساعة.
action - عندما يعالج جدار الحماية حركة المرور ، يتم تسجيل إجراءات معينة. الإجراءات المسجلة هي DROP لإسقاط اتصال ، OPEN لفتح اتصال ، إغلاق لإغلاق اتصال ، فتح OPEN-INBOUND لجلسة عمل مفتوحة إلى الكمبيوتر المحلي ، INFO-EVENTS-LOST للأحداث التي تتم معالجتها بواسطة جدار حماية Windows ، ولكن لم يتم تسجيلها في سجل الأمان.
البروتوكول - البروتوكول المستخدم مثل TCP أو UDP أو ICMP.
src-ip - يعرض عنوان IP المصدر (عنوان IP الخاص بالكمبيوتر الذي يحاول إنشاء اتصال).
dst-ip - يعرض عنوان IP الوجهة لمحاولة الاتصال.
src-port - رقم المنفذ على الكمبيوتر المرسل الذي تمت محاولة الاتصال منه.
منفذ dst - المنفذ الذي يحاول الكمبيوتر المرسل إجراء اتصال به.
size - يعرض حجم الحزمة بالبايت.
tcpflags - معلومات حول إشارات التحكم TCP في رؤوس TCP.
tcpsyn - يعرض رقم تسلسل TCP في الرزمة.
tcpack - يعرض رقم إشعار TCP في الحزمة.
tcpwin - يعرض حجم نافذة TCP ، بالبايت ، في الحزمة.
icmptype - معلومات حول رسائل ICMP.
icmpcode - معلومات حول رسائل ICMP.
info - يعرض إدخالًا يعتمد على نوع الإجراء الذي حدث.
path - يعرض اتجاه الاتصال. الخيارات المتاحة هي إرسال وتلقى وإلى الأمام وغير معروف.
وكما تلاحظ ، فإن إدخال السجل كبير بالفعل وقد يحتوي على 17 قطعة من المعلومات المرتبطة بكل حدث. ومع ذلك ، فقط الثمانية الأولى من المعلومات مهمة للتحليل العام. مع التفاصيل في متناول يديك الآن ، يمكنك تحليل المعلومات المتعلقة بالأنشطة الضارة أو فشل تعطل التطبيق.
إذا كنت تشك في أي نشاط ضار ، قم بفتح ملف السجل في Notepad وقم بتصفية كل إدخالات السجل باستخدام DROP في حقل الإجراء ولاحظ ما إذا كان عنوان IP الوجهة ينتهي بعدد غير 255. إذا وجدت العديد من هذه الإدخالات ، فخذ ملاحظة لعناوين IP الوجهة للحزم. بمجرد الانتهاء من استكشاف الأخطاء وإصلاحها ، يمكنك تعطيل تسجيل جدار الحماية.
يمكن أن تكون مشاكل استكشاف الأخطاء وإصلاحها في الشبكة صعبة جدًا في بعض الأحيان ، كما أن الممارسة الجيدة الموصى بها عند استكشاف أخطاء جدار حماية Windows هي تمكين السجلات الأصلية. على الرغم من أن ملف سجل جدار حماية Windows ليس مفيدًا لتحليل الأمان الكلي لشبكتك ، إلا أنه لا يزال من الممارسات الجيدة إذا كنت ترغب في مراقبة ما يحدث خلف الكواليس.