---

當你在云服務器或防火墻后臺查看安全日志時，可能會看到一些讓人不太理解的日志記錄，比如：

[UFW BLOCK] IN=eth0 OUT= MAC=... SRC=203.0.113.10 DST=192.168.1.10 PROTO=TCP SPT=445 DPT=22

或

Dropped packet: IP=8.8.8.8 PORT=443 PROTOCOL=UDP REASON=Port not allowed

這些日志信息到底是什么意思？哪些代表正常攔截，哪些提示可能有安全風險？下面帶你快速理解防火墻系統中常見日志內容及關鍵詞含義。

---

? 一、防火墻日志是做什么的？

服務器防火墻日志記錄了系統對網絡訪問行為的處理結果，例如哪些連接被允許、哪些被拒絕、被攔截的原因是什么。

用途包括：

• 審計網絡訪問行為
• 發現潛在攻擊（如端口掃描、爆破）
• 排查訪問異常問題

---

🛠? 二、常見防火墻日志信息及說明

日志示例	含義	中文解釋
ACCEPT / ALLOW	允許連接	防火墻規則允許這條流量通過
DROP / DENY / REJECT	拒絕訪問	防火墻拒絕了該連接請求
BLOCKED / UFW BLOCK	被阻斷	Linux 的 UFW 攔截了不符合規則的流量
SRC= / DST=	來源 / 目的 IP	分別表示流量來源和目標的 IP 地址
SPT= / DPT=	來源 / 目的端口	SPT: Source Port，DPT: Destination Port
PROTO=	協議類型	TCP、UDP、ICMP 等
REASON=	攔截原因	通常是“端口未開放”“協議不符”等說明
Invalid Packet	無效數據包	可能是攻擊流量、協議構造錯誤或偽造數據包

---

🧪 三、典型日志示例解析

1. 被阻斷的訪問（DROP）

Jun 10 15:12:01 firewall: IN=eth0 OUT= MAC=... SRC=203.0.113.1 DST=10.0.0.5 PROTO=TCP SPT=34567 DPT=22 ACTION=DROP

含義：來自公網 IP 203.0.113.1 想訪問你內網服務器的 22 端口（SSH），但被防火墻阻斷。

🔒 常見于：爆破 SSH 密碼、掃描端口、非法連接嘗試。

---

2. 被允許的訪問（ACCEPT）

Jul 01 08:35:44 iptables: ACCEPT IN=eth0 OUT= MAC=... SRC=10.0.0.100 DST=10.0.0.5 PROTO=TCP SPT=443 DPT=8080

含義：內網某服務訪問你服務器的 8080 端口，防火墻規則允許此連接。

---

3. 被拒絕的端口訪問

Firewall: Dropped UDP packet from 8.8.8.8 to port 12345 - Port not open

含義：Google DNS 8.8.8.8 試圖訪問你的 UDP 端口 12345，但這個端口沒開放。

🔍 常見于：UDP 掃描、DDOS 探測。

---

4. 可疑端口掃描行為

Jun 5 12:11:10 firewall: Detected TCP Port Scan from 198.51.100.12

含義：攻擊者嘗試快速連接多個端口，防火墻識別為端口掃描行為。

🛡? 建議：添加 IP 黑名單或配合 IDS 聯動攔截。

---

📋 四、防火墻日志中高頻關鍵詞對照表

英文關鍵字	中文含義	備注說明
DROP	丟棄	沒有回應
REJECT	拒絕	返回“連接被拒”
ACCEPT	允許	放行連接
SPT/DPT	源/目的端口	常見端口如 22, 80, 443
SRC/DST	源/目的IP	來源和目標主機
PROTO	協議類型	TCP, UDP, ICMP
INVALID	無效連接	多數為異常或攻擊流量
SCAN	掃描行為	通常表示可疑行為
LOG	記錄	表示該條信息被記錄在案
LIMIT	限速	防止過多訪問造成攻擊
NEW	新連接	表示發起的新 TCP 連接

---

🧠 五、如何處理防火墻日志中的告警？

1. 頻繁的 DROP 日志

   • ? 正常：說明防火墻工作正常
   • ?? 異常：如同一 IP 高頻訪問，應封禁或調查來源

2. 頻繁連接敏感端口（如 22、3389）

   • 考慮修改默認端口或添加訪問控制規則

3. 大量不同端口的連接嘗試

   • 可能是掃描行為，可加入 WAF/IDS 聯動防護

---

? 總結一句話：

防火墻日志是你了解服務器是否“被盯上”的第一信號，通過觀察日志中 DROP、SCAN、INVALID 等信息，你可以及時發現攻擊苗頭并加強防護。