Windows防火墻日志一般分為三行，第一行反映了數(shù)據(jù)包的發(fā)送、接受時(shí)間、發(fā)送者IP地址、對(duì)方通訊端口、數(shù)據(jù)包類型、本機(jī)通訊端口等等情況；第二行為TCP數(shù)據(jù)包的標(biāo)志位，共有六位標(biāo)志位，分別是：URG、ACK、PSH、RST、SYN、FIN，在日志上顯示時(shí)只標(biāo)出第一個(gè)字母。那么如何記錄防火墻日志呢？以下就是分析過程：

記錄被丟棄的連接就可以，不然1T的硬盤估計(jì)都裝不下這防火墻日志。

打開防火墻日志會(huì)看到這樣的：

#Version: 1.5  
#Software: Microsoft Windows Firewall  
#Time Format: Local  
#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path  
 
2011-05-14 14:45:44 DROP TCP 121.14.11.62 192.168.1.100 80 35106 40 A 3456172238 1370391300 27 – - – RECEIVE  
2011-05-14 14:45:52 DROP TCP 219.133.60.173 192.168.1.100 443 65124 169 AP 2086682883 794527494 24480 – - – RECEIVE 

前面的2011-05-14 14:45:44就不用說了，當(dāng)然是日期

DROP 就是丟棄數(shù)據(jù)包

TCP 以TCP方式連接

121.14.11.62 192.168.1.100 80

這個(gè)121.14.11.62是連接者IP 192.168.1.100是本機(jī)IP 80是端口

35106 40 A 3456172238 1370391300 27

這些就是對(duì)方端口之類的，不用管RECEIVE指入站包，如果是SEND則是你發(fā)出去包。

通過分析這些防火墻日志，就可以找出潛在威脅，比如誰嘗試連接你的終端端口連接終端是有目的的：

1.無聊分子瞎弄

2.已經(jīng)成功提權(quán)了（或社工）了你的密碼，想通過終端進(jìn)入服務(wù)器

Windows防火墻日志分析過程就為大家介紹完了，希望讀者已經(jīng)掌握和理解了，我們還會(huì)繼續(xù)為大家提供相關(guān)文章，敬請(qǐng)關(guān)注。

【編輯推薦】

1. Windows組策略保障共享目錄安全
2. Windows 7惡意軟件感染率增長(zhǎng)30%
3. 安全設(shè)置Windows組策略有效阻止黑客
4. 用默認(rèn)設(shè)置下的IPv6漏洞攻擊Windows系統(tǒng)
5. 微軟發(fā)布關(guān)鍵Windows公告　改變可利用系數(shù)