深入防火牆記錄

　　本文將向你解釋你在防火牆的記錄（Log）中看到了什嗎？尤其是那些連接埠是什麼意思？你將能利用這些資訊做出判斷：我是否受到了Hacker的攻擊？他/她到底想要幹什嗎？本文既適用於維護企業級防火牆的安全專家，又適用於使用個人防火牆的家庭使用者。

　　一、目標連接埠ZZZZ是什麼意思

　　所有穿過防火牆的通訊都是串連的一個部分。一個串連包含一對相互“交談”的IP地址以及一對與IP地址對應的連接埠。目標連接埠通常意味著正被串連的某種服務。當防火牆阻擋（block）某個串連時，它會將目標連接埠“記錄在案”（logfile）。這節將描述這些連接埠的意義。

　　連接埠可分為3大類：

　　1） 公認連接埠（Well Known Ports）：從0到1023，它們緊密綁定於一些服務。通常這些連接埠的通訊明確表明了某種服務的協議。例如：80連接埠實際上總是HTTP通訊。

　　2） 註冊連接埠（Registered Ports）：從1024到49151。它們鬆散地綁定於一些服務。也就是說有許多服務綁定於這些連接埠，這些連接埠同樣用於許多其它目的。例如：許多系統處理動態連接埠從1024左右開始。

　　3） 動態和/或私人連接埠（Dynamic and/or Private Ports）：從49152到65535。理論上，不應為服務分配這些連接埠。實際上，機器通常從1024起分配動態連接埠。但也有例外：SUN的RPC連接埠從32768開始。

　　 從哪裡獲得更全面的連接埠資訊：

　　1．ftp://ftp.isi.edu/in-notes/iana/assignments/port-numbers

　　"Assigned Numbers" RFC，連接埠分配的官方來源。

　　2．http://advice.networkice.com/advice/Exploits/Ports/

　　連接埠資料庫，包含許多系統弱點的連接埠。

　　3．/etc/services

　　UNIX 系統中檔案/etc/services包含通常使用的UNIX連接埠分配列表。Windows NT中該檔案位於%systemroot%/system32/drivers/etc/services。