解读Windows XP SP2防火墙
新客网 XKER.COM 2007-01-13 来源: 收藏本文
从中可以看出,通过分析日志可以搜集某项应用软件服务端(如QQ服务器)的IP地址,检查是否有木马悄悄开放了后门,确定某个软件建立连接时所需要的端口号,还可以查询攻击者的来源地址。下面附录详细解释了日志表头信息。
注意:连字符 (-) 用于其中没有条目信息的字段。
| 字段 | 说明 | 示例 |
| Date | 显示记录的事务发生时的年、月和日。日期的记录格式为 YYYY-MM-DD,其中 YYYY 表示年,MM 表示月,DD 表示天。 | 2001-01-27 |
| Time | 显示记录的事务发生时的小时、分钟和秒。时间的记录格式为:HH:MM:SS,其中 HH 是以 24 小时格式表示的小时,MM 表示分钟数,SS 表示秒数。 | 21:36:59 |
| Action | 指示防火墙观察到的操作。防火墙的可用选项有 OPEN、CLOSE、DROP 和 INFO-EVENTS-LOST。INFO-EVENTS-LOST 操作指示已发生但未记录在日志中的事件数。 |
OPEN |
| Protocol | 显示通信时所使用的协议。协议条目也可以是一个数字,用来表示不使用 TCP、UDP 或 ICMP 的数据包。 | TCP |
| src-ip | 显示源 IP 地址,即尝试建立通信的计算机的 IP 地址。 | 192.168.0.1 |
| dst-ip | 显示通信尝试的目标 IP 地址。 | 192.168.0.1 |
| src-port | 显示发送计算机的源端口号。src-port 条目以 1 到 65,535 之间的整数形式记录。只有 TCP 和 UDP 会显示有效的 src-port 条目。所有其他协议的 src-port 条目均显示为“-”。 | 4039 |
| dst-port | 显示目标计算机的端口号。dst-port 条目以 1 到 65,535 之间的整数形式记录。只有 TCP 和 UDP 会显示有效的 dst-port 条目。所有其他协议的 dst-port 条目均显示为“-”。 | 53 |
| size | 显示以字节表示的数据包大小。 | 60 |
| tcpflags | 显示 IP 数据包 TCP 报头中的 TCP 控制标志:
|
AFP |
| tcpsyn | 显示数据包中的 TCP 序列号。 | 1315819770 |
| tcpack | 显示数据包中的 TCP 确认号。 | 0 |
| tcpwin | 显示数据包中用字节表示的 TCP 窗口大小。 | 64240 |
| icmptype | 显示一个数字,表示 ICMP 消息的“类型”字段。 | 8 |
| icmpcode | 显示一个数字,表示 ICMP 消息的“代码”字段。 | 0 |
| info | 显示一个信息条目,具体取决于执行的操作类型。例如,INFO-EVENTS-LOST 操作为以下事件个数创建一个条目:从该事件类型最后一次发生后发生但未记录到日志中的事件。 | 23 |
注意:连字符 (-) 用于其中没有条目信息的字段。
大多数第三方防火墙软件提供商如Zone Labs、McAfee和Symantec公司都将在近期提供和SP2兼容的新版本防火墙软件。这些新版软件在安装的时候会自动禁用Windows防火墙,而在卸载时又会自动启用Windows防火墙。第三方厂商通过调用Windows Firewall API来实现这一功能。然而,既然防火墙软件可以这么做,其他病毒或木马等恶意代码就同样也可以。病毒或木马可以修改Windows防火墙程序,甚至干脆关闭它。而Zone Labs公司声明,他们采取了一些锁定技术来保证他们的防火墙软件不会被其他第三方软件关闭,除非你将整个防火墙卸载掉。
以下命令显示防火墙状态和配置信息
Netsh firewall show state
Netsh firewall show config
另外,如果防火墙被关闭,安全中心会显示安全警告!
总结
总的来看,相对于以前的Windows自带的防火墙SP2的防火墙拥有更高的防范性能,几乎拥有了其它个人防火墙的优点,所以Win XP SP2的防火墙是值得一试的,特别是针对个人用户而言。
最新相关文章发表评论
评论内容:不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
阅读排行
随机推荐
实用信息推荐