درخواست های ارتباط
جستجو
لیست دوستان من
صندوق پیام
همه را دیدم
  • در حال دریافت لیست پیام ها
صندوق پیام
رویدادها
همه را دیدم
  • در حال دریافت لیست رویدادها
همه رویدادهای من
تخفیف های وب سایت
همه تخفیف ها

عضویت در

کانال تلگرام

توسینسو

اطلاعات مطلب
مدرس/نویسنده
علی سفیدموی
امتیاز: 3633
رتبه:118
0
14
6
31
فارغ التحصیل رشته مهندسی سخت افزار دانشگاه شاهد هستم. به حوزه شبکه علاقه مند می باشم و دوره MCSE را در مجتمع فنی تهران شعبه ابن سینا گذرانده ام. به یادگیری و کار تیمی علاقه مند می باشم. در زمینه هایی از قبیل high availability و load balancing سرور های لینوکسی در شرکت ویراتک شریف دارای تجربه می باشم. علاقه مند به انجام پروژه در زمینه شبکه های کامپیوتری هستم. در حوزه برنامه نویسی و توسعه اپلیکیشن های تحت وب فعالیت داشته و دارم. به عنوان کاربر نویسنده نیز چندین مطلب تخصصی در حوزه فناوری اطلاعات در انجمن تخصصی فناوری اطلاعات ایران به ثبت رسانده ام. پروفایل کاربر

نمایش جزئیات Firewall Activities با استفاده از Firewall Log-(قسمت اول)

تاریخ 41 ماه قبل
نظرات 3
بازدیدها 409
نمایش جزئیات Firewall Activities با استفاده از Firewall Log-(قسمت اول)

سلام به همگی دوستان itpro
اغلب firewall روش هایی برای log کردن اتفاقات در شبکه دارند و به این وسیله ترافیک شبکه رو مستند می کنن.امروز می خوایم با این log برداری آشنا بشیم.
این log ها اطلاعات با ارزشی مثل IP مبدا و مقصد،شماره پورت ها و پروتکل های استفاده شده و... در اختیار ما میگذارن.شما می تونین از این log ها برای مانیتور کردن کانکشن های TCP و UDP و حتی packet های بلاک شده توسط firewall استفاده کنید.

سوال: چرا و چه وقت Firewall Logging می تواند مفید باشد؟


موارد زیر میتونه دلایل استفاده از Firewall loging باشه:
1.برای بررسی کردن درستی Rule هایی که اضافه شده و همینطور برای debug کردن Rule هایی که دچار مشکل شده اند.
2.برای بررسی این موضوع که آیا Firewall باعث اختلال در نرم افزاری شده است؟
(با استفاده از ویژگی logging میتونین port های بسته شده و packet های drop شده رو بررسی کنید)
3.کمک کردن برای شناسایی activity های مخرب(البته اطلاعات کمی در مورد منبع این فعالیت ها به ما میده)
4.اگر شما متوجه بشید که درون شبکه،یک IP و یا گروهی از IP ها در تلاش اند که به firewall و یا قسمت های مهم دیگر دسترسی پیدا کنن،قطعا به سمت نوشتن Rule ای برای drop کردن تمام کانکشن های IP مورد نظر میرید(البته اگه IP مدنظر spoof نشده باشه!)
5.connection های بیرونی ای که از سرور های داخلی مانند Web server ناشی میشن،میتونن نشونه ی این باشن که کسی در حال اسفاده از سیستم شما برای حمله به کامپیوتر های موجود در شبکه های دیگه است

چگونه این Log File را ایجاد کنیم؟


به طور پیش فرض این قابلیت غیرفعال است یعنی هیچ اطلاعاتی درون log file نوشته نمیشه.
برای ایجاد بعد از فشار دادن ترکیبی کلیدwin+r عبارت wf.msc رو درون Run تایپ کنید.صفحه Windows Firewall with Advanced Security مقابل شماست.
در سمت راست بر روی properties کلیک کنید
نمایش جزئیات Firewall Activities با استفاده از Firewall Log-(قسمت اول)

در صفحه جدید بر روی Private Profile کلیک کنید و Customize را از قسمت Logging انتخاب کنید.
نمایش جزئیات Firewall Activities با استفاده از Firewall Log-(قسمت اول)

در صفحه ی جدید، ماکزیمم size لاگ فایل،مکان ذخیره سازی و نوع لاگ برداری را انتخاب کنید
نمایش جزئیات Firewall Activities با استفاده از Firewall Log-(قسمت اول)

به طور پیش فرض Windows Firewall جزئیات log file رو در این مسیر می نویسه: SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log%
و نکته قابل توجه اینه که فقط 4MB دیتای آخر رو ذخیره می کنه.در بیشتر ابزار های فایروال، دیتا بر روی هارددیسک ذخیره میشه و اگه میزان size مورد استفاده زیاد بشه بر روی performance سیستم اثر میذاره که معمولا به خاطر ذخیره سازی در مدت زمان طولانی این مشکل پیش میاد.بنابراین موقعی که واقعا نیازی به log برداری پیدا کردین از این ویژگی استفاده کنید و زمانی هم که کارتون انجام شد اون رو disable کنید.
مراحل قبل رو برای تب public profile هم تکرار کنین.خروجی فایل با فرمت log. کانکشن های public و private شما را log می کند.
در صفحه اصلی Windows Firewall with Advanced Security اگر در قسمت Monitoring اسکرول کنید در قسمت Logging Settings می تونید فایل مورد نظرتون رو ببینید.
نمایش جزئیات Firewall Activities با استفاده از Firewall Log-(قسمت اول)


تفسیر Windows Firewall Log


این log از دو قسمت تشکیل شده است.یک قسمت،قسمت header می باشد که field های موجود در آن نوشته شده--قسمت body هم نتیجه ترافیک عبوری از firewall را به صورت کامپایل شده نشان می دهد.این لیست داینامیک می باشد و در انتهای لیست سطر های جدید در حال اضافه شدن هستند
علامت "-" هم نشان دهنده آن است که جزئیاتی برای field موردنظر وجود ندارد.
نمایش جزئیات Firewall Activities با استفاده از Firewall Log-(قسمت اول)

برای توضیحات بیشتر header و body می توانید به قسمت بعدی آموزش مراجعه کنید.

نویسنده:علی سفیدموی
منبع: انجمن تخصصی فناوری اطلاعات ایران
هرگونه کپی برداری صرفاً با نام نویسنده و منبع مجاز خواهد بود
برچسب ها
مطالب مرتبط

در حال دریافت اطلاعات

نظرات
  • سلام با تشکر از اموزش خوبتون

    سوالی داشتم اگر مقدور هست راهنمایی بفرمایید:

    چطور میشه از طریق فایروال ویندوز ده
    نام برنامه های درخولست کننده برای اینترنت رو بررسی کرد؟

    آیا چیزی شبیه به پروکسی فایر که قادر به نمایش نام سرویس ها و برنامه های درخواست کننده هست
    وجود دارد؟


    در این روش که فرمودید صرفا مقصد نمایش داده میشه
  • سلام خدمت شما دوست عزیز،ممنون از سوالی که مطرح فرمودید
    درقسمت Windows Firewall بر روی Allow a program through Windows Firewall کلیک کنید تا لیست برنامه هایی که از Resourse های شبکه استفاده می کنند را مشاهده کنید.
    نمایش جزئیات Firewall Activities با استفاده از Firewall Log-(قسمت اول)

    اگر هم می خواهید برنامه ای از منابع شبکه استفاده نکند آن را disallow کنید
    نمایش جزئیات Firewall Activities با استفاده از Firewall Log-(قسمت اول)


    روش دیگر اینکه از طریق Resourse Monitor می توانید service ها و برنامه هایی که به شبکه دسترسی دارند را مشاهده کنید.
    (با وارد کردن resmon در Run)
    نمایش جزئیات Firewall Activities با استفاده از Firewall Log-(قسمت اول)


  • دوست عزیز مرسی عالی بود

برای ارسال نظر ابتدا به سایت وارد شوید