当前位置: 首页 > 图文教程 > 网络安全 > 安全产品 > 透过防火墙日志看系统安全

安全产品
网络防火墙与防范溢出策略
企业如何选择合适的防火墙
据说是世界上最优秀的20款防火墙
如何突破各种防火墙的防护
端口碰撞技术让开放端口更安全
Web安全技术与防火墙
软件防火墙
防火墙知识普及
Cisco PIX防火墙配置
防火墙功能指标详解
华为路由器防火墙配置命令
黑客眼中的防火墙与路由器
六大主流防火墙正确设置技巧
让诺顿防火墙与文件共享不再冲突
普通用户选用网络防火墙的方方面面
世界顶级防火墙Look n Stop中文版
网络防火墙的设置技巧
原生防火墙 网络安全防御新趋势
全网布防 用组策略部署Windows防火墙
使用Windows防火墙十大经典问题荟萃

安全产品 中的 透过防火墙日志看系统安全


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 45 ::
收藏到网摘: n/a

防火墙日志可以说是一盘大杂烩,其中会保存系统收到的各种不安全信息的时间、类型等等。通过分析这些日志,可以发现曾经发生过或正在进行的系统入侵行为。

  防火墙日志并不复杂,但要看懂它还是需要了解一些基础概念(如端口、协议等)。尽管每种防火墙日志不一样,但在记录方式上大同小异,主要包括:时间、允许或拦截(Accept或Block)、通讯类型、源IP地址、源端口、目标地址和目标端口等。本文将以《天网防火墙》日志为例,让大家了解如何分析防火墙日志,进而找出系统漏洞和可能存在的攻击行为。

  《天网防火墙》会把所有不合规则的数据包拦截并记录到日志中,如果你选择了监视所有TCP和UDP数据包,那你发送和接收的每个数据包都将被记录。

  1.139端口攻击

  如图1所示的日志表明:来自于局域网内的一台电脑正试图访问你电脑的139端口,但该操作未能成功执行。


图1

  139端口是NetBIOS协议所使用的端口,在安装了TCP/IP 协议的同时,NetBIOS 也会被作为默认设置安装到系统中。139端口的开放意味着硬盘可能会在网络中共享;网上黑客也可通过NetBIOS知道你的电脑中的一切!

  小提示:“NetBIOS”是网络的输入输出系统,尽管现在TCP/IP 协议成为广泛使用的传输协议,但是NetBIOS提供的NetBEUI 协议在局域网中还在被广泛使用。

  尽管在《天网防火墙》的监控下,此隐患并没有被利用。但我们不能无动于衷,应想办法把这个漏洞补上。对于连接到互联网上的机器,NetBIOS完全没有用处,可以将它去掉。

  那么如何知晓这个来源地址的行为呢?如果是一个远程地址,有可能是对方在用软件进行扫描或者是病毒作怪,但图1中的192.168.30.15X等地址和本机是在同一局域网中,且上机人员未用软件攻击,经检查发现这些电脑原来是中了“尼姆达病毒”。