基于Windows防火墻規(guī)則的計算機(jī)安全分析

◆李均濤

基于Windows防火墻規(guī)則的計算機(jī)安全分析

◆李均濤

（貴州財經(jīng)大學(xué)信息學(xué)院 貴州 550025）

Windows防火墻規(guī)則和日志中包含有多種安全相關(guān)信息，它們可以用來分析系統(tǒng)安全。基于防火墻規(guī)則和日志，結(jié)合注冊表，給出一種分析計算機(jī)系統(tǒng)安全的方便可行的方法。

防火墻；規(guī)則；日志；安全分析

計算機(jī)系統(tǒng)進(jìn)行安全檢測時，確定計算機(jī)與誰以及以何種方式進(jìn)行交流很重要。換句話說，通信流量可以是分析計算機(jī)是否以及如何被遠(yuǎn)程控制或與誰共享信息的重要部分，對流量的分析是確定計算機(jī)是否被惡意軟件入侵或感染的一個很好的方法[1]。

如果一臺計算機(jī)被一個惡意用戶入侵并遠(yuǎn)程控制，該用戶必然要與這臺計算機(jī)建立連接。此外，許多類型的惡意軟件被用來竊取和發(fā)送信息給某人，只需要連接一個所謂的命令和控制服務(wù)器，就可以控制它們的行為。所有需要通信的東西都有一個共同點(diǎn)，那就是它們必須通過防火墻。對于那些不是網(wǎng)絡(luò)專家的人來說，防火墻是一種軟件或設(shè)備，它充當(dāng)一個看門人，決定允許哪些流量進(jìn)入和離開計算機(jī)或網(wǎng)絡(luò)。此外，它通常會記錄歷史連接。基于Windows的計算機(jī)通常使用內(nèi)置的Windows防火墻，它可以向安全分析和取證人員提供重要信息。

1 Windows防火墻簡介

從本質(zhì)上講，Windows防火墻將檢查基于IP的網(wǎng)絡(luò)流量中的IP地址和端口號，以決定允許哪些流量進(jìn)入和離開計算機(jī)。確定為良好的流量允許通過，而被視為壞的流量將被阻止[2]。IP地址是計算機(jī)用于通過Internet進(jìn)行通信的地址，端口號用于解決到特定服務(wù)的流量。許多服務(wù)被分配了用于通信的特定端口號。因此，如果分配給特定服務(wù)的端口號（例如遠(yuǎn)程控制軟件TeamViewer）允許通過防火墻，則該軟件很有可能已安裝在計算機(jī)上。同樣，已知某些惡意軟件使用特定的端口號，那么，如果識別出與該惡意軟件關(guān)聯(lián)的端口號，則很可能意味著計算機(jī)已被該惡意軟件感染。我們還可以分析防火墻日志，以查看計算機(jī)一直在與哪些IP地址通信。這些信息可以告訴我們計算機(jī)是否與它不應(yīng)該與之通信的主機(jī)保持了聯(lián)系，這有可能幫助我們識別有無入侵。

2 Windows防火墻規(guī)則分析

在分析Windows防火墻時，基本上需要關(guān)注兩個主要信息。第一個是當(dāng)前的流量規(guī)則，它們規(guī)定了當(dāng)前允許或阻止哪些端口、IP地址和應(yīng)用程序。另一個是防火墻日志文件，它提供有關(guān)以前連接的歷史數(shù)據(jù)[3]。遺憾的是，默認(rèn)情況下日志記錄并未啟用。但查找日志文件是值得的，因為它將提供大量信息（如果存在）。它們位于SYSTEM配置單元中，注冊表項名稱如下：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyFirewallRules

表項數(shù)據(jù)如圖1所示。

如前所述，防火墻規(guī)則決定允許哪些流量進(jìn)入或離開計算機(jī)。每個注冊表值都是一個規(guī)則，一般結(jié)構(gòu)是屬性1|屬性2|...屬性。讓我們放大第一個帶下劃線的規(guī)則，看看規(guī)則的結(jié)構(gòu)。規(guī)則以v2.xx|Action=Block|Active=TRUE|Dir=In開始，第一個屬性是版本號，第二個屬性描述規(guī)則的操作是否允許或阻塞流量。第三個屬性決定規(guī)則是否處于活動狀態(tài)，第四個屬性描述規(guī)則所關(guān)注的流量方向。如果它in，則規(guī)則應(yīng)用于傳入的流量;如果它是out，則規(guī)則應(yīng)用于離開計算機(jī)的流量。其余部分顯示了實際的匹配規(guī)則。匹配規(guī)則決定規(guī)則匹配哪些流量，指定的操作應(yīng)用于所有對應(yīng)匹配規(guī)則的流量。匹配規(guī)則可以包括許多不同的屬性，其中最重要的是：

Protocol，它決定規(guī)則應(yīng)該匹配什么協(xié)議。作者進(jìn)行了一個小實驗，結(jié)果表明，防火墻規(guī)則注冊表項中，TCP協(xié)議的值為6，UPD協(xié)議的值為17，ICMP協(xié)議的值為1；

Lport，表示本地端口；

Rport，表示遠(yuǎn)程計算機(jī)的端口；

LA4或LA6，表示本地IPv4或IPv6地址；

RA4或RA6，表示遠(yuǎn)程IPv4或IPv6地址；

App，表示規(guī)則應(yīng)該匹配的應(yīng)用程序，例如，F(xiàn)irefox可能能夠使用端口80進(jìn)行通信（用于web流量），而Skype則不能；

Profile，確定規(guī)則應(yīng)用于哪個防火墻配置文件。Windows防火墻有三個不同的配置文件（域、私有和公共），網(wǎng)絡(luò)連接將分配到一個配置文件。通常，當(dāng)一臺計算機(jī)連接到一個新的網(wǎng)絡(luò)時，會詢問用戶要將哪個配置文件應(yīng)用于連接。

圖1 Windows防火墻規(guī)則注冊表項數(shù)據(jù)

防火墻規(guī)則的工作方式是把指定的操作應(yīng)用于對應(yīng)的所有匹配規(guī)則的流量。對于示例規(guī)則，使用TCP并發(fā)送到本地端口9000的所有傳入流量都將是匹配的，并且操作說明它將被阻止。此外，如果不設(shè)置匹配屬性，將意味著該屬性的所有可能值都將被視為匹配。例如，如果在規(guī)則中不包含配置文件和LA4屬性，這意味著它匹配所有配置文件和IPv4地址。這些規(guī)則對于入侵取證的價值在于，它們可以揭示哪些程序和服務(wù)可以通過防火墻進(jìn)行通信，而服務(wù)或應(yīng)用程序規(guī)則可以充分表明這些服務(wù)或應(yīng)用已經(jīng)安裝在計算機(jī)上。防火墻規(guī)則可以揭示惡意軟件或入侵，因為這些規(guī)則有時會自己添加防火墻規(guī)則，以啟用與外部世界的惡意通信。

3 防火墻日志文件分析

在分析Windows防火墻時，第二個重要的工具是流量日志。如果啟用了日志記錄，它可以提供關(guān)于歷史連接的數(shù)據(jù)。日志文件跟蹤規(guī)則是如何應(yīng)用的，并描述允許哪些流量通過或被防火墻阻止[4]。日志文件名為pfirewall.log，位于[systemroot] WindowsSystem32LogFilesFirewall中，還可以有一個名為pfirewall.log.old的文件，包含舊的歷史數(shù)據(jù)。下面的代碼片段是防火墻日志文件的一部分，每一行都是流量的一部分。

圖2 防火墻日志文件片段

查看第一個以日期開頭的行，日期后面跟著一個操作，在本例中是“ALLOW”，意思是允許通信量。接下來是協(xié)議，通常是TCP或UDP，然后是源IP和目標(biāo)IP。在此文件中，源IP是本地計算機(jī)的IP地址，遠(yuǎn)程IP地址是遠(yuǎn)程方，即本地計算機(jī)正在與其通信的計算機(jī)。下一個值是源端口號和目標(biāo)端口號。

行中的最后一個單詞“SEND（發(fā)送）”或“RECEIVE（接收）”，它顯示通信是從本地計算機(jī)發(fā)送的還是由本地計算機(jī)接收的。在這種情況下，整行解釋如下：允許使用端口443從本地計算機(jī)發(fā)送到IP地址172.217.22.174的UDP通信量。此日志文件可以顯示與本地計算機(jī)通信的遠(yuǎn)程IP地址，并且端口號可以提供有關(guān)通信期間使用的服務(wù)的信息。因此，它可以用于查找遠(yuǎn)程連接、惡意軟件和入侵行為。

4 結(jié)束語

本文介紹了一種基于Windows防火墻規(guī)則和防火墻日志的計算機(jī)安全分析與入侵取證方法，這種方法利用注冊表中防火墻規(guī)則表項及其鍵值，以及防火墻日志記錄的數(shù)據(jù)信息，分析計算機(jī)允許和阻止的網(wǎng)絡(luò)流量，從中識別可疑的網(wǎng)絡(luò)連接、惡意軟件和入侵行為，進(jìn)而幫助我們提升計算機(jī)的安全防范能力以及在破壞行為已經(jīng)發(fā)生后的取證調(diào)查工作的順利進(jìn)行。

[1]Richard Hay.Windows 7/8.1 Defender Gains ATP Support for Windows 10 Migrations[J]. SQL Server Pro，2018.

[2]李剛，陳怡瀟，黃沛爍，李洋，閻立，薛泓林.基于日志分析的信息通信網(wǎng)絡(luò)安全預(yù)警研究[J].電力信息與通信技術(shù)，2018，16（12）：1-8.

[3]林金山.基于防火墻網(wǎng)絡(luò)安全技術(shù)的思考與實踐[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（08）：25-26.

[4]陳思思，楊進(jìn)，李濤.一種防火墻規(guī)則沖突檢測方法研究[J].信息網(wǎng)絡(luò)安全，2018（10）：78-84.

[5]韓國龍，王偉，盛紅雷.防火墻策略梳理與優(yōu)化方法研究[J].電力信息與通信技術(shù)，2018，16（06）：31-35.

2017年度貴州財經(jīng)大學(xué)校級項目（WLJX[2017]001號）。