防火墙日志可以说是一盘大杂烩，其中会保存系统收到的各种不安全信息的时间、类型等等。通过分析这些日志，可以发现曾经发生过或正在进行的系统入侵行为。

　　防火墙日志并不复杂，但要看懂它还是需要了解一些基础概念（如端口、协议等）。尽管每种防火墙日志不一样，但在记录方式上大同小异，主要包括：时间、允许或拦截（Accept或Block）、通讯类型、源IP地址、源端口、目标地址和目标端口等。本文将以《天网防火墙》日志为例，让大家了解如何分析防火墙日志，进而找出系统漏洞和可能存在的攻击行为。

　　《天网防火墙》会把所有不合规则的数据包拦截并记录到日志中，如果你选择了监视所有TCP和UDP数据包，那你发送和接收的每个数据包都将被记录。

　　1.139端口攻击

　　如图1所示的日志表明：来自于局域网内的一台电脑正试图访问你电脑的139端口，但该操作未能成功执行。

图1

　　139端口是NetBIOS协议所使用的端口，在安装了TCP/IP 协议的同时，NetBIOS 也会被作为默认设置安装到系统中。139端口的开放意味着硬盘可能会在网络中共享；网上黑客也可通过NetBIOS知道你的电脑中的一切!

　　小提示：“NetBIOS”是网络的输入输出系统，尽管现在TCP/IP 协议成为广泛使用的传输协议，但是NetBIOS提供的NetBEUI 协议在局域网中还在被广泛使用。

　　尽管在《天网防火墙》的监控下，此隐患并没有被利用。但我们不能无动于衷，应想办法把这个漏洞补上。对于连接到互联网上的机器，NetBIOS完全没有用处，可以将它去掉。

　　那么如何知晓这个来源地址的行为呢?如果是一个远程地址，有可能是对方在用软件进行扫描或者是病毒作怪，但图1中的192.168.30.15X等地址和本机是在同一局域网中，且上机人员未用软件攻击，经检查发现这些电脑原来是中了“尼姆达病毒”。