防火墙怎么做到对每次的配置都有日志

目前已经发布的windows xp service pack 2(sp2)包括了windows防火墙，即以前所称的internet连接防火墙(icf)。windows防火墙是一个基于主机的状态防火墙，它丢弃所有未请求的传入流量，即那些既没有对应于为响应计算机的某个请求而发送的流量(请求的流量)，也没有对应于已指定为允许的未请求的流量(异常流量)。windows防火墙提供某种程度的保护，避免那些依赖未请求的传入流量来攻击网络上的计算机的恶意用户和程序。

在windows xp sp2中，windows防火墙有了许多新增特性，其中包括:

默认对计算机的所有连接启用、应用于所有连接的全新的全局配置选项、用于全局配置的新增对话框集、全新的操作模式、启动安全性、本地网络限制、异常流量可以通过应用程序文件名指定对internet协议第6版(ipv6)的内建支持

采用netsh和组策略的新增配置选项

本文将详细描述用于手动配置全新的windows防火墙的对话框集。与windows xp(sp2之前的版本)中的icf不同，这些配置对话框可同时配置ipv4和ipv6流量。

windows xp(sp2之前的版本)中的icf设置包含单个复选框(在连接属性的“高级”选项卡上“通过限制或阻止来自internet对此计算机的访问来保护我的计算机和网络”复选框)和一个“设置”按钮，您可以使用该按钮来配置流量、日志设置和允许的icmp流量。

在windows xp sp2中，连接属性的“高级”选项卡上的复选框被替换成了一个“设置”按钮，您可以使用该按钮来配置常规设置、程序和服务的权限、指定于连接的设置、日志设置和允许的icmp流量。

“设置”按钮将运行全新的windows防火墙控制面板程序(可在“网络和internet连接与安全中心”类别中找到)。

就是恶意程序修改你电脑上DNS缓存中的内容，一是让你不能正常上网，比如把wwwsinacomcn的IP地址修改为127001，这样无论如何也不能找到新浪网了，二是将某些恶意IP地址放进DNS缓存，比如把wwwsinacomcn对应的IP地址修改为恶意网站地址，当你在地址栏输入wwwsinacomcn的时候，访问的却是恶意网站。由于操作系统在进行DNS解析的时候首先查询DNS缓存，如果在缓存中能查到，就不会再找DNS服务器了。这样一旦dns缓存被修改，你去修改DNS服务器之类的网络参数也是无效的。

用IPCONFIG/displaydns命令栏查看当前dns缓存里的内容。

用ipconfig /flushdns命令刷新dns缓存中的内容。

若要防止dns缓存攻击，应禁用dns缓存，方法：

禁用客户端 DNS 缓存

1 启动注册表编辑器 (Regeditexe)。

2 在以下注册表项中找到 MaxCacheEntryTtlLimit 值：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters

3 在编辑菜单上，单击修改。键入 1，然后单击确定。

4 退出注册表编辑器

日志服务器是专门供一些服务器，设备在运行过程中产生的使用记录及硬件状态的一个集中反应的数据存储的地方就是日志服务器，用户可以根据需要做数据的查询统计等工作，及时了解各部分设备的运行状态。可以是通用的，也可以是专用的。

首先我们知道日志是什么,日志毫无疑问就跟我们写日记一样记录我们每天做的一些事情,那么日志对于一台服务器而言是至关重要的,比如说我们搭建服务的时候,服务起不来也没提示错误信息,那么这个时候就可以查看日志来排错了,还记录了服务器的运行情况已经入侵记录等等 ,那么我们知道一台服务器的日志默认是存放在本地的对于linux而言日志一般存放于/var/log/目录下,比如说某系统管理员管理着几十甚至上百台服务器的时候,默认日志放在每台服务器的本地,当我们每天要去看日志的时候一台一台的看日志是不是要郁闷死了 没关系在linux系统上提供了一个syslogd这样的一个服务为我们提供日志服务器,他可以将多台主机和网络设备等等的日志存到日志服务器上,这样就大大减少了管理员的工作量,下面将在一台默认装有rhel5x的系统上搭建一台日志服务器

～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～

系统环境：默认安装有rhel58的系统

主机 角色 IP地址

server1 日志服务器 10001

server2 10002

～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～

实际上日志服务器的配置非常之简单几条命令就搞定了

一配置日志服务器为网络中其他主机及其网络设备等等提供日志存储服务,也就是配置server1

1 在server1上编辑/etc/sysconfig/syslog文件修改如下

#vim /etc/sysconfig/syslog ## 只修改SYSLOGD_OPTINOS这项,如下

SYSLOGD_OPTIONS="-m 0 -r"

2 重新启动syslog

#service syslog restart

3配置防火墙,syslog传送日志的端口是UDP的514端口防火墙在默认的情况下是阻止所有的,这里就 直接把防火墙关闭了,防火墙的配置就不介绍了

#service iptables stop

#chkconfig iptables off

ok！到这里服务器的配置基本就结束了

二配置server2让其将日志发送到日志服务器上去,我们知道windows跟交换机路由器都是有日志产 生的,它们的日志也是可以存储到日志服务器上去的,这里就只介绍linux主机的

1配置server2上的/etc/syslogconf定义日志的类型以及日志的级别和日志存放的位置,这里就只简 单的介绍下大体的配置思路,

#vim /etc/syslogconf

@10001

上面的配置表示所有的日志类型所有的日志的级别的日志都将存放在10001这台日志服务器上

2,重启syslog

#service syslog restart

三验证

1在server2上建一个redhat的用户,然后到server1上的/var/log/secure文件或者/var/log/messages文件 查看日志

#cat /var/log/secure

Jun 8 00:58:05 10002 useradd[15463]: new group: name=redhat, GID=500

Jun 8 00:58:05 10002 useradd[15463]: new user: name=redhat, UID=500, GID=500, home=/home/redhat, shell=/bin/bash

可以看到10002这台主机new了一个redhat的用户

云帮手日志审计提供查看探针端所有执行命令的日志查看功能。

通过日志审计用户可以一目了然的掌握所有操作命令的执行结果及错误原因，帮助用户快速定位系统存在的问题。

一、进入日志审计界面

1 打开服务器面板

方式一：双击服务器

方式二：选中服务器，右键显示选项菜单，点击“服务器面板”

2 日志审计

二、功能简介

1 日志搜索

① 根据日志类型搜索

② 根据时间范围搜索

③ 根据关键字搜索

2 日志删除

点击“删除”，弹框确认删除操作

提示：每一步的操作都会记录日志，用户可以通过日志查看操作记录，以便更好的管理和维护云服务器！