Windows 방화벽 로그로 방화벽 활동을 추적하는 방법

인터넷 트래픽을 필터링하는 과정에서 모든 방화벽에는 방화벽이 다양한 트래픽 유형을 처리하는 방법을 문서화하는 일부 유형의 로깅 기능이 있습니다. 이러한 로그는 원본 및 대상 IP 주소, 포트 번호 및 프로토콜과 같은 중요한 정보를 제공 할 수 있습니다. 또한 Windows 방화벽 로그 파일을 사용하여 방화벽에 의해 차단 된 TCP 및 UDP 연결 및 패킷을 모니터링 할 수 있습니다.

방화벽 로깅이 유용한 이유와시기

1. 새로 추가 된 방화벽 규칙이 제대로 작동하는지 확인하거나 예상대로 작동하지 않으면 디버깅하려면.
2. Windows 방화벽이 응용 프로그램 오류의 원인인지 확인하려면 - 방화벽 로깅 기능을 사용하면 비활성화 된 포트 열기, 동적 포트 열기, 푸시 및 긴급 플래그로 삭제 된 패킷 분석 및 전송 경로에서 삭제 된 패킷 분석.
3. 악의적 인 활동을 돕고 식별하는 방법 - 방화벽 로깅 기능을 사용하면 네트워크 내에서 악의적 인 활동이 발생하고 있는지 여부를 확인할 수 있습니다. 그러나 활동 소스를 추적하는 데 필요한 정보는 제공하지 않습니다..
4. 한 IP 주소 (또는 IP 주소 그룹)에서 방화벽 및 / 또는 다른 주요 시스템에 액세스하려는 시도가 반복해서 발생하면 해당 IP 공간의 모든 연결을 삭제하는 규칙을 작성해야 할 수도 있습니다. IP 주소가 스푸핑되지 않음).
5. 웹 서버와 같은 내부 서버에서 오는 나가는 연결은 사용자가 시스템을 사용하여 다른 네트워크에있는 컴퓨터에 대한 공격을 시작한다는 표시 일 수 있습니다.

로그 파일을 생성하는 방법

기본적으로 로그 파일은 사용할 수 없으므로 로그 파일에 정보가 기록되지 않습니다. 로그 파일을 만들려면 "Win key + R"을 눌러 실행 상자를 엽니 다. "wf.msc"를 입력하고 Enter 키를 누릅니다. "고급 보안이 설정된 Windows 방화벽"화면이 나타납니다. 화면 오른쪽에서 '속성'을 클릭하십시오.

새 대화 상자가 나타납니다. 이제 "개인 프로필"탭을 클릭하고 "로깅 섹션"에서 "사용자 정의"를 선택하십시오.

새 창이 열리고이 화면에서 최대 로그 크기, 위치 및 삭제 된 패킷 만 기록할지, 성공적인 연결인지 또는 둘 다 기록할지 여부를 선택하십시오. 손실 된 패킷은 Windows 방화벽이 차단 한 패킷입니다. 성공적인 연결은 인터넷을 통한 연결뿐만 아니라 들어오는 연결을 가리 킵니다. 그러나 항상 침입자가 컴퓨터에 성공적으로 연결되었다는 것을 의미하지는 않습니다.

기본적으로 Windows 방화벽은 다음에 대한 로그 항목을 기록합니다. % SystemRoot % \ System32 \ LogFiles \ Firewall \ Pfirewall.log 마지막 4MB의 데이터 만 저장합니다. 대부분의 프로덕션 환경에서이 로그는 하드 디스크에 지속적으로 기록하며 로그 파일의 크기 제한을 변경하면 (오랜 시간 동안 활동을 기록하기 위해) 성능에 영향을 줄 수 있습니다. 이러한 이유로 문제를 적극적으로 해결할 때만 로깅을 사용하도록 설정 한 다음 작업이 끝나면 즉시 로깅을 사용 중지해야합니다..

그런 다음 '공개 프로필'탭을 클릭하고 '개인 프로필'탭과 동일한 단계를 반복하십시오. 이제 개인 및 공용 네트워크 연결에 대한 로그를 켰습니다. 로그 파일은 원하는 텍스트 편집기로 검사하거나 스프레드 시트로 가져올 수있는 W3C 확장 로그 형식 (.log)으로 작성됩니다. 단일 로그 파일에는 수천 개의 텍스트 항목이 포함될 수 있으므로 메모장을 통해 읽는 경우 열 서식을 유지하기 위해 단어 줄 바꿈을 사용하지 않도록 설정하십시오. 스프레드 시트에서 로그 파일을 보는 경우 모든 필드가 논리적으로 열에 표시되어보다 쉽게 ​​분석 할 수 있습니다.

기본 "고급 보안이 설정된 Windows 방화벽"화면에서 "모니터링"링크가 보일 때까지 아래로 스크롤하십시오. 세부 정보 창의 "로깅 설정"에서 "파일 이름"옆에있는 파일 경로를 클릭하십시오. 메모장에서 로그가 열립니다..

Windows 방화벽 로그 해석

Windows 방화벽 보안 로그에는 두 개의 섹션이 있습니다. 헤더는 로그 버전 및 사용 가능한 필드에 대한 정적 인 설명 정보를 제공합니다. 로그의 본문은 방화벽을 통과하는 트래픽의 결과로 입력 된 컴파일 된 데이터입니다. 동적 목록이고 새 항목이 로그 맨 아래에 계속 표시됩니다. 필드는 페이지에서 왼쪽에서 오른쪽으로 씁니다. 필드에 사용할 수있는 항목이 없을 때 (-)가 사용됩니다..

Microsoft Technet 설명서에 따르면 로그 파일의 헤더에는 다음 내용이 포함되어 있습니다.

버전 - 설치된 Windows 방화벽 보안 로그 버전을 표시합니다..
소프트웨어 - 로그를 작성하는 소프트웨어의 이름을 표시합니다..
시간 - 로그의 모든 타임 스탬프 정보가 현지 시간에 있음을 나타냅니다..
필드 - 데이터가있는 경우 보안 로그 항목에 사용할 수있는 필드 목록을 표시합니다..

로그 파일의 본문에는 다음이 포함됩니다.

date - 날짜 필드는 YYYY-MM-DD 형식으로 날짜를 식별합니다..
시간 - 현지 시간은 HH : MM : SS 형식을 사용하여 로그 파일에 표시됩니다. 시간은 24 시간 형식으로 참조됩니다..
동작 - 방화벽이 트래픽을 처리 할 때 특정 동작이 기록됩니다. 기록 된 작업은 연결 삭제를위한 DROP, 연결 열기를위한 OPEN, 연결 닫기를위한 CLOSE, 로컬 컴퓨터에 열린 인바운드 세션에 대한 OPEN-INBOUND 및 Windows 방화벽에 의해 처리되는 이벤트에 대한 INFO-EVENTS-LOST입니다. 보안 로그에 기록되지 않았습니다..
프로토콜 - TCP, UDP 또는 ICMP와 같이 사용되는 프로토콜.
src-ip - 원본 IP 주소 (통신을 설정하려는 컴퓨터의 IP 주소)를 표시합니다..
dst-ip - 연결 시도의 대상 IP 주소를 표시합니다..
src-port - 연결을 시도한 송신 컴퓨터의 포트 번호.
dst-port - 보내는 컴퓨터가 연결을 시도한 포트.
size - 패킷 크기를 바이트 단위로 표시합니다..
tcpflags - TCP 헤더의 TCP 제어 플래그에 대한 정보.
tcpsyn - 패킷에 TCP 시퀀스 번호를 표시합니다..
tcpack - 패킷에 TCP 승인 번호를 표시합니다..
tcpwin - 패킷의 TCP 창 크기를 바이트 단위로 표시합니다..
icmptype - ICMP 메시지에 대한 정보.
icmpcode - ICMP 메시지에 대한 정보.
info - 발생한 작업 유형에 따라 항목을 표시합니다..
경로 - 통신 방향을 표시합니다. 사용할 수있는 옵션은 SEND, RECEIVE, FORWARD 및 UNKNOWN입니다..

로그 항목은 실제로 크며 각 이벤트와 관련된 정보는 최대 17 개까지있을 수 있습니다. 그러나 처음 8 개 정보 만 일반 분석에 중요합니다. 세부 정보를 통해 악성 활동에 대한 정보를 분석하거나 응용 프로그램 오류를 디버그 할 수 있습니다..

악의적 인 활동이 의심되는 경우 메모장에서 로그 파일을 열고 작업 필드에 DROP로 모든 로그 항목을 필터링하고 대상 IP 주소가 255가 아닌 번호로 끝나는 지 확인합니다. 그런 항목이 많이있는 경우 패킷의 목적지 IP 주소의 노트. 문제 해결이 끝나면 방화벽 로깅을 사용하지 않도록 설정할 수 있습니다.

네트워크 문제를 해결하는 것은 때로는 매우 어려울 수 있으므로 Windows 방화벽 문제를 해결할 때 기본 로그를 사용하는 것이 좋습니다. Windows 방화벽 로그 파일은 네트워크의 전체 보안을 분석하는 데 유용하지 않지만 뒷 배경에서 어떤 일이 일어나는지 모니터링하려는 경우 여전히 좋은 방법입니다.