日志功能是防火墙很重要的功能之一，但是很多人却并不重视，也从未仔细研究过日志的内容。日志记录看似枯燥的数据（如图），其实提供了大量宝贵的第一手资料，可以帮助我们更好地管理和维护网络。

　　 近日经实践发现，利用天网同样可以知道哪台计算机中了“尼姆达病毒”。下面就以两个典型的天网日志为例，加以分析，供大家参考。

范例一

　　 天网日志如下：

　　 [11:58:08] 10.100.2.68试图连接本机的NetBios-SSN[139]端口，

　　 TCP标志：S，

　　 该操作被拒绝。

　　 [11:58:11] 10.100.2.68试图连接本机的NetBios-SSN[139]端口，

　　 TCP标志：S，

　　 该操作被拒绝。

　　 [11:58:17] 10.100.2.68试图连接本机的NetBios-SSN[139]端口，

　　 TCP标志：S，

　　 该操作被拒绝。

　　 [11:58:18] 10.100.2.74试图连接本机的NetBios-SSN[139]端口，

　　 TCP标志：S，

　　 该操作被拒绝。

　　 特征：某一IP连续多次连接本机的NetBios-SSN[139]端口，表现为时间间隔短，连接频繁。

　　 日志解读 日志中所列计算机感染了“尼姆达病毒”。感染了“尼姆达病毒”的计算机有一个特点，它们会搜寻局域网内一切可用的共享资源，并会将病毒复制到取得完全控制权限的共享文件夹内，以达到病毒传播之目的。

范例二

　　 天网日志如下：

　　 [14:00:24] 10.100.2.246 尝试用Ping来探测本机，

　　 该操作被拒绝。

　　 [14:01:09] 10.100.10.72 尝试用Ping来探测本机，
该操作被拒绝。

　　 [14:01:20] 10.100.2.101 尝试用Ping 来探测本机，

　　 该操作被拒绝。

　　 特征：多台不同IP的计算机试图利用Ping的方式来探测本机。

　　 日志解读 日志中所列机器感染了冲击波类病毒。感染了“冲击波杀手”的机器会通过Ping网内其他机器的方式来寻找RPC漏洞，一旦发现，即把病毒传播到这些机器上。

　　 安装建议：

　　 天网防火墙最好安装在普通机器上，并且IP是不公开的。尤其注意不要安装在服务器上，因为服务器是大家经常要访问的，日志中所出现的情况很可能是人为造成的，所以可能会大大影响我们判断的准确性。

　　 网络中的蠕虫病毒之所以能够流行，其特点就是它们会采用某种方式自动在网络上探测，寻找传播途径，而这一点恰恰会让它们安全软件的“照妖镜”中暴露无遗。当然，这还需要我们根据病毒的特点合理配置好安全软件。

天网防火墙日志