从中可以看出，通过分析日志可以搜集某项应用软件服务端（如QQ服务器）的IP地址，检查是否有木马悄悄开放了后门，确定某个软件建立连接时所需要的端口号，还可以查询攻击者的来源地址。下面附录详细解释了日志表头信息。

字段	说明	示例
Date	显示记录的事务发生时的年、月和日。日期的记录格式为 YYYY-MM-DD，其中 YYYY 表示年，MM 表示月，DD 表示天。	2001-01-27
Time	显示记录的事务发生时的小时、分钟和秒。时间的记录格式为：HH:MM:SS，其中 HH 是以 24 小时格式表示的小时，MM 表示分钟数，SS 表示秒数。	21:36:59
Action	指示防火墙观察到的操作。防火墙的可用选项有 OPEN、CLOSE、DROP 和 INFO-EVENTS-LOST。INFO-EVENTS-LOST 操作指示已发生但未记录在日志中的事件数。	OPEN
Protocol	显示通信时所使用的协议。协议条目也可以是一个数字，用来表示不使用 TCP、UDP 或 ICMP 的数据包。	TCP
src-ip	显示源 IP 地址，即尝试建立通信的计算机的 IP 地址。	192.168.0.1
dst-ip	显示通信尝试的目标 IP 地址。	192.168.0.1
src-port	显示发送计算机的源端口号。src-port 条目以 1 到 65,535 之间的整数形式记录。只有 TCP 和 UDP 会显示有效的 src-port 条目。所有其他协议的 src-port 条目均显示为“-”。	4039
dst-port	显示目标计算机的端口号。dst-port 条目以 1 到 65,535 之间的整数形式记录。只有 TCP 和 UDP 会显示有效的 dst-port 条目。所有其他协议的 dst-port 条目均显示为“-”。	53
size	显示以字节表示的数据包大小。	60
tcpflags	显示 IP 数据包 TCP 报头中的 TCP 控制标志： Ack：确认字段有效 Fin：没有来自发送方的其他数据 PSH：推入功能 Rst：重置连接 Syn：同步序列号 Urg：紧急指针字段有效 标志均采用大写字母形式。	AFP
tcpsyn	显示数据包中的 TCP 序列号。	1315819770
tcpack	显示数据包中的 TCP 确认号。	0
tcpwin	显示数据包中用字节表示的 TCP 窗口大小。	64240
icmptype	显示一个数字，表示 ICMP 消息的“类型”字段。	8
icmpcode	显示一个数字，表示 ICMP 消息的“代码”字段。	0
info	显示一个信息条目，具体取决于执行的操作类型。例如，INFO-EVENTS-LOST 操作为以下事件个数创建一个条目：从该事件类型最后一次发生后发生但未记录到日志中的事件。	23

　　注意：连字符 (-) 用于其中没有条目信息的字段。

　　十、谁关闭了防火墙

　　大多数第三方防火墙软件提供商如Zone Labs、McAfee和Symantec公司都将在近期提供和SP2兼容的新版本防火墙软件。这些新版软件在安装的时候会自动禁用Windows防火墙，而在卸载时又会自动启用Windows防火墙。第三方厂商通过调用Windows Firewall API来实现这一功能。然而，既然防火墙软件可以这么做，其他病毒或木马等恶意代码就同样也可以。病毒或木马可以修改Windows防火墙程序，甚至干脆关闭它。而Zone Labs公司声明，他们采取了一些锁定技术来保证他们的防火墙软件不会被其他第三方软件关闭，除非你将整个防火墙卸载掉。

　　以下命令显示防火墙状态和配置信息

　　Netsh firewall show state
　　Netsh firewall show config

　　另外，如果防火墙被关闭，安全中心会显示安全警告！

　　总结

　　总的来看，相对于以前的Windows自带的防火墙SP2的防火墙拥有更高的防范性能，几乎拥有了其它个人防火墙的优点，所以Win XP SP2的防火墙是值得一试的，特别是针对个人用户而言。