Firewall-Protokoll
Die Registerkarte Protokolle ist eine tabellenmäßige Darstellung der von der Firewall erzeugten Verkehrs-Logs, die in Echtzeit aktualisiert wird. Sie zeigt alle Verbindungen, die auf Ihrem Computer aktiv gewesen sind.
Zeit: Zeitpunkt des Ereignisses
Richtung: Richtung des Datenverkehrs (eingehend oder ausgehend)
Aktion: Aktion der Firewall: Sperren, Zulassen, Fragen oder Verbindung abbrechen.
Protokoll: Das von der Verbindung benutzte Protokoll (UDP, TCP, ICMP, IGMP usw.)
SRC Adresse: Quell-IP-Adresse (die IP-Adresse des Computers, der das jeweilige Paket gesendet hat)
SRC Host: Auflösung des IP-Hosts (es wird nur angezeigt, wenn die Option Netzwerk-Objekte (IP, Ports) auflösen in der Registerkarte Logging der Firewall Einstellungen markiert ist)
SRC Port: Die Port-Nummer, von wo aus das Paket den Remote-Rechner, der das Paket schickte, verließ
DST Adresse: Ziel der IP-Adresse (der lokale Host)
DST Host: Auflösung der IP-Adresse (er wird nur angezeigt, wenn die Option Netzwerk-Objekte (IP, Ports) auflösen in der Registerkarte Logging der Firewall Einstellungen markiert ist)
DST Port: Der Port auf dem lokalen Computer, an den das Paket gesendet wurde
ICMP Typ: Der Pakettyp, wenn das Protokoll ICMP oder IGMP verwendet wurde (falls zutreffend)
ICMP Code: Die Codenummer für die Aktion des Protokolltyps ICMP/IGMP (der Code ist die genaue Codenummer der ICMP Regeln unter den Firewall Einstellungen)
Prozess: Die ausführbare Datei, zu der diese Verbindung / dieses Datenpaket gehört
Regel: Falls die Regel des Firewallprofils einen Namen hat, erscheint er im Log
Regel ID: Die ID der Regel, die die Maßnahme der Firewall gegenüber diesem Datenpaket erzeugt hat (kann im Log der Firewallregeln gefunden werden)
SRC MAC: Die MAC-Adresse des Remote-Computers
DST MAC: Die MAC-Adresse des lokalen Computers
Flag: Wenn mit der Regel eine bestimmte Flag verbunden ist.
Benutzerverhalten hinsichtlich der Log-Daten
Im Falle eines Angriffs können Sie eine bestimmte IP-Adresse manuell sperren, indem Sie die IP-Adresse in der Registerkarte Logs suchen: Rechtsklicken Sie auf die Ereigniszeile, halten Sie den Mauszeiger über Remote Host sperren und wählen Sie die gewünschte Dauer der Sperre (5 Minuten, 30 Minuten, 1 Stunde oder Dauersperre). Bitte beachten Sie, dass durch eine Sperre einer IP-Adresse der gesamte Verkehr von und zu dieser IP-Adresse automatisch von der Firewall gesperrt wird.
Dem Benutzer steht eine Auswahl von Remote Host Tools zur Verfügung: Ping (um zu prüfen, ob der Computer funktioniert – beachten Sie, dass einige Computer nicht auf unaufgeforderte Pings antworten), Traceroute (zeigt die Verbindungsknoten zur gewählten IP-Adresse) und nslookup (Anforderung von Informationen über eine IP-Adresse, wie zum Beispiel den Host-Namen)
Remote Host sperren: Damit können Sie einen Remote Host (IP) vorübergehend oder permanent blocken.
Sperre für Remote Host aufheben: Sie können die Blockierung von IPs, die von der Firewall als Angreifer erfasst wurden, direkt in der Protokoll-Registerkarte aufheben.
Anwendung durchsuchen: Damit können Sie den Ordner für die ausführbare Datei erforschen, mit der ein Firewall-Ereignis verbunden sein kann.
Protokoll löschen: Löscht alle Einträge des Firewall-Verkehrs-Logs
Protokoll Ordner durchsuchen: Öffnet ein Windows Explorer-Fenster, das Sie zum Speicherort der Firewall Traffic Logs führt (jeden Tag wird ein neues Log erzeugt, so dass die Log-Datei nicht zu groß oder schwer zu lesen oder zu verwalten ist).
Interne Firewall-Regeln aufheben: Erzeugt auf dem Schreibtisch eine Datei, die alle Regeln der Firewall enthält.
Protokoll automatisch durchsuchen: Veranlasst, dass die letzten Ereginisse der Firewall angezeigt werden. Um das gesamte Log anzusehen kann es notwendig sein, diese Option zu deaktivieren.