防火墻日志并不復雜，但要看懂它還是需要了解一些基礎概念（如端口、協議等）。盡管每種防火墻日志不一樣，但在記錄方式上大同小異，主要包括：時間、允許或攔截（Accept或Block）、通訊類型、源IP地址、源端口、目標地址和目標端口等。本文將以《天網防火墻》日志為例，讓大家了解如何分析防火墻日志，進而找出系統漏洞和可能存在的攻擊行為。

　　《天網防火墻》會把所有不合規則的數據包攔截并記錄到日志中，如果你選擇了監視所有TCP和UDP數據包，那你發送和接收的每個數據包都將被記錄。

　　1.139端口攻擊

　　如圖1所示的日志表明：來自于局域網內的一臺電腦正試圖訪問你電腦的139端口，但該操作未能成功執行。

圖1

　　139端口是NetBIOS協議所使用的端口，在安裝了TCP/IP 協議的同時，NetBIOS 也會被作為默認設置安裝到系統中。139端口的開放意味著硬盤可能會在網絡中共享；網上黑客也可通過NetBIOS知道你的電腦中的一切!

　　小提示：“NetBIOS”是網絡的輸入輸出系統，盡管現在TCP/IP 協議成為廣泛使用的傳輸協議，但是NetBIOS提供的NetBEUI 協議在局域網中還在被廣泛使用。

　　盡管在《天網防火墻》的監控下，此隱患并沒有被利用。但我們不能無動于衷，應想辦法把這個漏洞補上。對于連接到互聯網上的機器，NetBIOS完全沒有用處，可以將它去掉。

　　那么如何知曉這個來源地址的行為呢?如果是一個遠程地址，有可能是對方在用軟件進行掃描或者是病毒作怪，但圖1中的192.168.30.15X等地址和本機是在同一局域網中，且上機人員未用軟件攻擊，經檢查發現這些電腦原來是中了“尼姆達病毒”。

　　在《天網防火墻》中，假定你收到類似這樣的信息，它的意思是：在18:29:20這個時刻，來自于IP地址為61.128.89.××的用戶試圖連接你的電腦，并掃描你的電腦是否開放了80端口（這是Web服務要開放的端口）。

　　如果經常收到來自外部IP高端口（大于1024）發起的類似TCP的連接請求，你得小心對方電腦是否中了“紅色代碼”，并試圖攻擊你（也有可能是人為使用軟件攻擊）。由于此病毒只傳染裝有IIS服務的系統，所以普通用戶不需擔心。

　　如果擔心自己的Web服務器被“紅色代碼”病毒入侵，可以在服務器上安裝防火墻，并設置應用程序規則進行攔截。若發現本機試圖訪問其他主機的80端口，則應檢查自己系統中是否有此病毒了。

　　3.ping探測攻擊

　　在《天網防火墻》的日志中還會記錄某些用戶持續對本機進行ping的log，有時也表現為來自多個地址對本機進行ping攻擊（圖2）。在排除了人為進行的ping之外，要注意可能是來自于源地址機器中有類似于“沖擊波”等病毒在作怪。因此，對于本機來講，刻不容緩的事情就是要安裝微軟的“沖擊波”補丁。

圖2

　　4.IGMP攻擊

　　IGMP對于Windows普通用戶沒什么用途，但由于Win9X操作系統的內核缺陷，其自身存在一個IGMP漏洞，因此有人會利用這個漏洞向指定主機發送大量的IGMP數據包，使Windows 操作系統的網絡層受到破壞，導致死機，這在防火墻日志中也會有記載（圖3）。對付這類情況最好安裝上IGMP數據包的補丁。

圖3

　　不過，有時收到這樣的提示信息也并不表示一定就是黑客或者病毒在攻擊，在一個局域網中也會經常收到來自于網關的類似數據包；再有一些有視頻廣播服務的機器也會對用戶發送這樣的數據包，因此不用過于驚慌。

　　要特別說明的是，不是所有被攔截的數據包都意味著有人在攻擊你，有些正常的數據包會由于你設置的安全級別過高而不符合安全規則，也會被攔截并報警。