win7防火墙的日志
常见的操作很多网站都有介绍,这里介绍一个容易忽略的地方。
1 开启日志:
可以在防火墙界面设置,但是是以组策略中标准的,也就是说,如果在组策略中设置后,在防火墙界面是不能修改的。方法是右键找属性。【打开组策略方法:cmd下输入:Gpedit.msc】在windows配置的安全配置下找到windows防火墙对应设置项,然后右键,选择属性:
可以分三个域来设置:最放松的应该是域(企业网),其次是专用,然后是公用网(应该是最严格)。
每个选项卡中都可以设置日志记录选项等内容(大小、对应目标、位置等)。
日志记录可以选择:不成功连接和成功连接。大家可以根据自己的用途来开启。当然,成功连接如果都记录的话,硬盘空间可要好好考虑。 位置:C:\Windows\System32\LogFiles\Firewall\pfirewall.log
2 简单测试:开启和关闭ping
在入站规则(需要进入高级windows防火墙中找)中找到:文件和打印机共享。 启用即可。(也是分为:1专用公用,2域两种),开启之后,对方就可以ping了。当然NAT下的内网ip,外网是不能企及的。自出之言限于lan内。
如果不手动开通日志,在win7旗舰版下也是没有自动开通的。这是用ping测试,不论通否,都没有日志,如果开通日志。再禁止对方ping。这时lan内的其它ip来ping,得到日志,此次抹去ip,只提供格式:
————————————————————————————————————————
#Version: 1.5
#Software: Microsoft Windows Firewall
#Time Format: Local
#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path
2012-02-21 21:34:41 DROP ICMP 自己ip 对方ip - - 60 - - - - 8 0 - RECEIVE
2012-02-21 21:34:46 DROP ICMP .... .... - - 60 - - - - 8 0 - RECEIVE
2012-02-21 21:34:51 DROP ICMP .... .... - - 60 - - - - 8 0 - RECEIVE
2012-02-21 21:34:56 DROP ICMP .... .... - - 60 - - - - 8 0 - RECEIVE
可以看到,收到了4条信息,内容对应于上文的#fields,很容易理解。
转载请注明来自WebShell'S Blog,本文地址:https://www.webshell.cc/3211.html