Skip to content

Latest commit

 

History

History
35 lines (21 loc) · 2.77 KB

view_firewall_and_ipsec_events.md

File metadata and controls

35 lines (21 loc) · 2.77 KB

检查Firewall事件

在Windows平台,有时候会有误设置Firewall情况,导致服务无法正常访问。此时可以通过系统的Event Viewer来检查设置日志:

  • 菜单Start => Manager => System Tools,然后点击Event Viewer
  • Event Viewer的导航树中,依次展开Applications and Services => Microsoft => Windows => Windows Firewall and Advanced Security
  • 一共有4个操作事件:
    • ConnectionSecirity: 有关配置IPsec规则的事件,例如在IPsec中添加或删除设置,日志就会记录在这里
    • ConnectionSecurityVerbose: 有关IPsec引擎操作状态的事件。例如,当一个连接安全规则变成活跃或者加密对(crypto sets)被添加或删除则记录事件。
    • Firewall: 有关配置Windows防火墙的事件,例如规则被添加,删除或修改,或者网卡接口更改了profile,就记录事件
    • FirewallVerbose: 防火墙操作状态相关的事件,例如,防火墙规则变成active或者profile设置更改,则记录事件。注意:这个日志默认被禁用,要激活这个日志,需要右击FirewallVerbose,然后点击Enable Log

如果不确定防火墙什么时候被激活或者关闭,可以查看Firewall操作事件

检查Firewall活动

当网络流量被过滤,所有的防火墙处理记录会记录到日志文件,提供了有关源和目的IP地址,端口号,以及协议记录。这个Windows Firewall log文件可以用来监控TCP/UDP连接以及被防火墙阻断的数据包。

不过,默认情况下,这个log文件是禁用的,也就是没有信息记录下来。要创建防火墙过滤日志文件,执行Win key + R打开运行框,然后输入 wf.msc 命令并回车执行。此时会出现Windows Firewall and Andance Security窗口,在窗口的右方,点击Properties

Windows Firewall and Andance Security设置

在对话扩中,点击Private Profile,然后选择Logging部分的Customize...按钮

Windows Firewall private profile设置

在对话窗口中定制日志文件的大小,位置,以及是否记录抛弃的数据包,成功连接的记录。被抛弃的数据包就是防火墙阻断的数据包,而成功连接是外部成功连接到你服务器端口的记录,并不是指入侵者。

Windows Firewall Logging设置

参考