Компьютерные сети и технологии
Привет
Пользователь:

Пароль:



[ ]
[ ]

В сети
Гостей: 13
Участников: 0
На странице: 1
Участников: 3912, Новичок: Lelandabisp

Разное


Занятие 12. Общий доступ к Интернету.
Курс "Системный администратор компьютерной сети".
на Wednesday 17 May 2006
от список авторов отправить по email статья печатать статья
в Сетевые Операционные Системы ОС > ОС Windows


Журнал безопасности брандмауэра.

Брандмауэр подключения к Интернету (Internet Connection Firewall, ICF) ведет свой журнал безопасности. Журнал безопасности ICF поддерживает следующие возможности:

  • Записывать пропущенные пакеты. Этот параметр создает записи в журнале, содержащие сведения о всех потерянных пакетах, исходящих из локальной сети или из Интернета.
  • Записывать успешные подключения. Этот параметр создает записи в журнале, содержащие сведения о всех успешных подключениях, инициированных из локальной сети или из Интернета.




Если установить флажок Записывать пропущенные пакеты, будут собираться сведения о каждом пакете, который пытался пройти через ICF, но был обнаружен и отвергнут брандмауэром. Анализируя эти записи, можно выявить все попытки несанкционированного доступа в локальную сеть из Интернета. Так же можно отследить какие службы компьютеров локальной сети пытаются передать данные в Интернет. Последнее может быть вызвано наличием вируса типа "троянский конь" на компьютере в вашей сети. По IP-адресу, сохраненному в журнале, легко определить, какой именно компьютер пытается отправить несанкционированный пакет.

Если установить флажок Записывать успешные подключения, будут собираться сведения о всех успешных подключениях, проходящих через брандмауэр. Например, если пользователь, работающий в сети, успешно войдет на какой-либо веб-узел с помощью обозревателя Internet Explorer, об этом будет записано в журнал.

Журнал безопасности создается в формате Extended Log File Format (расширенный формат файла журнала) и состоит из двух разделов:

  • В заголовке содержатся сведения о версии журнала и полях, в которые можно записывать данные. Содержимое заголовка имеет вид статического списка.
  • Тело журнала безопасности представляет собой динамический список; новые данные записываются в конец журнала.


По умолчанию ведение журнала безопасности ICF отключено.

В следующих таблицах описываются сведения, хранящиеся в журнале безопасности.

Заголовок Журнала
Элемент Описание Пример

#Version:

Номер установленной версии журнала безопасности брандмауэра подключения к Интернету

1.0

#Software:

Имя журнала безопасности

Брандмауэр подключения к Интернету Microsoft (ICF)

#Time:

Задает использование местного времени при записи в журнал отметок времени

Местное

#Fields:

Статический список полей, доступных для записей журнала безопасности при наличии данных

date, time, action, protocol, src-ip, dst-ip, src-port, dst-port, size, tcpflags, tcpsyn, tcpack, tcpwin, icmptype, icmpcode, and info



Тело журнала
Поле Описание Пример

date

Год, месяц и день регистрации события. Дата представляется в следующем формате:

ГГ-ММ-ДД,где ГГ обозначает год, ММ — месяц, а ДД — число

2001-01-27

time

Время регистрации события с точностью до секунды. Время записывается в следующем формате:

ЧЧ:ММ:СС,где ЧЧ обозначает часы в 24-часовом цикле, ММ — минуты, а СС — секунды

21:36:59

action

Операция, зарегистрированная брандмауэром. Могут записываться следующие действия: OPEN (открытие), CLOSE (закрытие), DROP (отклонение) и INFO-EVENTS-LOST (потерянные события). Для действия INFO-EVENTS-LOST указывается число событий, которые имели место, но не были занесены в журнал.

OPEN, CLOSE, DROP, INFO-EVENTS-LOST

protocol

Протокол, использовавшийся для передачи данных. Если протокол отличен от TCP, UDP и ICMP, в этом поле указывается число пакетов

TCP, UDP, ICMP

src-ip

Исходный IP-адрес (адрес компьютера, пытавшегося установить связь). Записывается в следующем формате:

(число).(число).(число).(число)

192.168.0.1

dst-ip

IP-адрес назначения (адрес пункта назначения, с которым исходный компьютер пытался установить связь). Записывается в следующем формате:

(число).(число).(число).(число)

192.168.0.1

src-port

Номер исходного порта на компьютере-отправителе. Номер порта задается целым числом в диапазоне от 1 до 65 535. Действительное значение порта возвращают только протоколы TCP и UDP. Все остальные протоколы не поддерживают параметр src-port, для них в этом поле записывается  - (дефис)

4039

dst-port

Порт компьютера назначения. Номер порта задается целым числом в диапазоне от 1 до 65 535. Действительное значение порта возвращают только протоколы TCP и UDP. Все остальные протоколы не поддерживают параметр dst-port, для них в этом поле записывается  - (дефис)

53

size

Размер пакета в байтах

60

tcpflags

Флаги управления TCP, содержащиеся в заголовке TCP пакета IP:

маркированный список

A ck Acknowledgment field significant (Включение поля подтверждения)

маркированный список

F in No more data from sender (Конец массива данных отправителя)

маркированный список

P sh Push Function (Функция принудительной доставки)

маркированный список

R st Reset the connection (Сброс подключения)

маркированный список

S yn Synchronize sequence numbers (Синхронизация порядковых номеров)

маркированный список

U rg Urgent Pointer field significant (Включение поля указателя срочных данных)

Флаги записываются прописными буквами. Содержимое полей флагов TCP предназначено для пользователей, обладающих углубленными знаниями о протоколе TCP. Дополнительные сведения о протоколе TCP можно найти в спецификации RFC 793

AFP

tcpsyn

Порядковый номер TCP в пакете. Содержимое поля tcpsyn предназначено для пользователей, обладающих углубленными знаниями о протоколе TCP

1315819770

tcpack

Номер подтверждения TCP в пакете. Содержимое поля tcpack предназначено для пользователей, обладающих углубленными знаниями о протоколе TCP

0

tcpwin

Размер окна TCP в байтах, указанный в пакете. Содержимое поля tcpwin предназначено для пользователей, обладающих углубленными знаниями о протоколе TCP

64240

icmptype

Число, представляющее значение поля Type (Тип) в сообщении ICMP

8

icmpcode

Число, представляющее значение поля Code (Код) в сообщении ICMP

0

info

Сведения, зависящие от типа действия. Например, для действия INFO-EVENTS-LOST записывается число событий, которые произошли с момента последней регистрации события этого типа, но не были занесены в журнал

23



В поля, для которых сведения отсутствуют, записывается символ (-).


Поиск Компьютерные сети и технологии

Copyright © 2006 - 2020
При использовании материалов сайта ссылка на xnets.ru обязательна!