# Firewall Log Analysis Tường lửa là thiết bị vật lý hoặc ảo kiểm soát các gói đến và đi trên mạng theo các quy tắc được tạo tùy thuộc vào chính sách mạng của mạng. Mỗi hệ thống/máy chủ có thể có ứng dụng tường lửa riêng hoặc thiết bị tường lửa công cộng có thể được đặt để quản lý mạng trung tâm trong các tổ chức lớn. Bằng cách này, giao tiếp mạng chủ yếu đi qua tường lửa và đến đích theo các quy tắc được xác định khi thiết lập tường lửa. Tường lửa nhận ra ứng dụng nào (http, https, ssh, dns, v.v.) thực hiện giao tiếp trong lớp ứng dụng được định nghĩa là NGFW (Next-Generation Firewall). Tên ứng dụng được đề cập trong nhật ký tường lửa, ứng dụng và dịch vụ, v.v. mô tả tường lửa này là NGFW. Việc nó nhận dạng một ứng dụng cho phép viết các quy tắc dựa trên ứng dụng trong khi viết các quy tắc trên tường lửa. Điều đó thực sự có nghĩa là việc chỉ chặn các gói có dst port 22 để cấm truy cập **ssh** ra ngoài không có nghĩa là lưu lượng ssh bị chặn hoàn toàn. Khi ứng dụng đích được xác định là SSH thay vì cổng đích 22, tường lửa sẽ nhận ra nó ở lớp ứng dụng và chặn quyền truy cập ssh bất kể cổng mà giao tiếp ssh thực hiện. ## Ví dụ `date=2022-05-21 time=14:06:38 devname="FG500" devid="FG5HSTF109K" eventtime=1653131198230012501 tz="+0300" logid="0000000013" type="traffic" subtype="forward" level="notice" vd="root" srcip=172.14.14.26 srcname="CNL" srcport=50495 srcintf="ACC-LAN" srcintfrole="lan" dstip=142.250.186.142 dstport=443 dstintf="Wan" dstintfrole="wan" srccountry="Reserved" dstcountry="United States" sessionid=445180938 proto=6 action="accept" policyid=284 policytype="policy" poluuid="8ec32778-a70a-51ec-9265-8fdf896d07f1" service="HTTPS" trandisp="snat" transip=89.145.185.195 transport=50495 duration=72 sentbyte=2518 rcvdbyte=49503 sentpkt=13 rcvdpkt=42` ## Mô tả các thuộc tính `date= Date` `time= Time` `devname= Hostname` `devid= Device ID` `eventtime= 1653131198230012501` `tz= time zone` `logid= Log ID` `type= Log Type (traffic, utm, event, etc.)` `subtype=Sub Log Type (Forward, vpn, webfilter, virus, ips, system, etc.)` `level= log level` `srcip= Source IP Address` `srcname= Source Hostname` `srcport= Source Port` `srcintf= Name of the Source Interface` `srcintfrole= Role of the Source Interface` `dstip= Destination IP Address` `dstport= Destination Port` `dstintf= Name of the Destination Interface` `dstintfrole= Role of the Destination Interface` `srccountry= Source IP information (Country)` `dstcountry= Destination IP information (Country)` `action= info on the action taken (drop, deny, accept, etc.)` `service= service information` `transip= NAT IP info (internal output of the private source address)` `transport= NAT port info` `duration= time elapsed` `sentbyte= size of the packets sent (byte)` `rcvdbyte= size of the packets received (byte)` `sentpkt= number of the packets sent` `rcvdpkt= number of the packets received` Khi thực hiện phân tích nhật ký, điều đầu tiên chúng ta cần kiểm tra là thông tin **IP** và **port**. Sau khi có thông tin IP và port, chúng ta nên kiểm tra xem lưu lượng truy cập này có đến được mục tiêu hay không trong phần "**action**". Nói cách khác, nhật ký tường lửa sẽ cung cấp cho chúng ta thông tin về nguồn và đích của lưu lượng cũng như port được thực hiện. As action: * **Accept**: cho biết gói tin đã được truyền thành công. * **deny**: việc truyền gói tin bị chặn, thông tin được trả về địa chỉ IP bị chặn. * **drop**: việc truyền gói tin bị chặn. Không có thông tin nào được trả về địa chỉ IP bị chặn. * **close**: chỉ ra rằng giao tiếp được chấm dứt lẫn nhau. * **client-rst**: cho biết rằng giao tiếp đã bị khách hàng chấm dứt. * **server-rst**: cho biết rằng liên lạc đã bị máy chủ chấm dứt. Nhật ký tường lửa là một trong những tài nguyên quan trọng nhất để Nhà phân tích SOC tham khảo khi điều tra các sự cố, vụ án, hoạt động đáng ngờ. Ví dụ: sẽ rất quan trọng để tìm các chi tiết như dưới đây: * Có yêu cầu chấp nhận tại các thời điểm khác với địa chỉ IP được IPS phát hiện là tấn công và từ chối trên nhật ký tường lửa không? * Kiểm tra nhật ký tường lửa, bạn sẽ có thể biết liệu có quyền truy cập vào/từ các IP/Miền đáng ngờ thu được nhờ phân tích nội dung độc hại trong nhật ký chống vi-rút hay không. * Nhật ký lưu lượng tường lửa cũng là nguồn tài nguyên tốt để phát hiện các hệ thống khác nhau mà hệ thống bị nhiễm đang liên lạc trong mạng. Thông qua nhật ký tường lửa, các hoạt động đáng ngờ như: * Hoạt động quét port * Phát hiện giao tiếp với IoC * Có thể phát hiện truy cập trái phép theo chiều dọc (lan-lan) hoặc chiều dọc (lan-wan, wan-lan) --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://viettaliii.gitbook.io/home/soc-and-dfir/network/network-log-analysis/firewall-log-analysis.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.