天融信防火墙审计与监控功能的应用1、审计功能1.1概述天融信防火墙对于日志的记录可以记录在防火墙内也可以记录在专门的日志服务器中,由于防火墙系统硬盘、内存的限制,她难于作到对日志的详细记录。因此,在FW4000防火墙系统中,我们添加一个审计系统,来对防火墙过滤系统提供日志的详细备份。同时也方便管理员分析网络当前状态。图1-1如图1-1所示为审计管理器中对日志记录的备份历史记录表,审计管理器会据据用户的设定,到一定的文件大小后自动备份日志,方便日后审计。FW4000审计系统的功能是对防火墙的日志信息进行收集、分析,并提供相应的报表。图1-2所示即为天融信网络技术有限公司审计管理器的管理界面。天融信安全技术高品质的保证第1页,共18页图1-2Fw4000日志审计系统的功能:1.备份多台FW4000防火墙产生的各种日志信息2.日志查询、日志统计,并提供相关的日志报表3.记录用户对防火墙的各种操作日志信息4.还原过去一段时间里,用户对防火墙配置的修改操作5.记录详细的网络日志信息。6.管理日志服务器1)启动、关闭日志服务器2)配置日志服务器3)备份、删除日志数据4)用户管理(包括日志服务器用户管理和数据库管理员管理)天融信安全技术高品质的保证第2页,共18页5)监视日志服务器状态。7.方便的Gui远程管理。1.2访问服务器列表:图1-3如图1-3所示,可以根据防火墙的日志对访问服务器的列表进行排序,具体可以根据服务器地址、流入总量、流出总量、访问次数进行分类排序。如果发现审计管理器显示出某台服务器(也可能是普通用户的PC)的流入或流出的数据异常的大时,就要对某台服务器进行进一步的访问端口或网络访问详细信息来分析是否为正常的访问。从而实际及时发现问题与解决问题。天融信安全技术高品质的保证第3页,共18页1.3用户访问列表:图1-4如果防火墙有采用基于用户的应用,如OTP用户认证,VPN用户认证,日志会记录类似基于访问服务器列表的记录,可以根据用户名、流入总量、流出总量、访问次数等进行日志分析。天融信安全技术高品质的保证第4页,共18页1.4服务器端口列表:图1-5如图1-5、图1-6所示,审计管理器可以根据日志对服务器端口列表进行分类分析从而来及时的发现网络环境中常的用的正常端口或不正常的端口的应用,进而采取相关的措施进行补救。图1-6天融信安全技术高品质的保证第5页,共18页1.5日志状态与统计如图1-7所示为日志服务器状态:显示日志服务器的CPU、磁盘、内存使用状态;用户可以设置刷新时间,显示服务器的状态。图1-7天融信安全技术高品质的保证第6页,共18页如下图1-9、1-10所示,可以根据时间对日志进行统计。审计管理器会根据调度的统计生成包含服务器访问报表、用户报表、攻击者报表、被攻击者报表、客户访问服务器报表等,报表形式有饼状图、柱状图。图1-9图1-10天融信安全技术高品质的保证第7页,共18页1.6自定义查询:图1-11除了对访问服务器列表、用户访问列表、服务器端口列表、客户机访问列表外,审计管理器还能对日防火墙日志进行实时的网络连接详细列表。这个详细列表主要包含有访问的源地址、源端口、目的地址、目的端口、连接建立的时间、连接结束的时间、采用的协议、流入的数据量、流出的数据量、所在防火墙的接口等。在包含有如此多的内容的日志让人眼花,所以审计管理器可以灵活地根据某一项内容进行查询。如上图1-11所示,可以根据时间段、用户名、源地址IP、目的地址IP、源网络接口、目的网络接口、应用层协议、终止源因等进行分析。图1-12-1、图1-12-2为进行自定义查询日志的显示示例。天融信安全技术高品质的保证第8页,共18页图1-12-1图1-12-2天融信安全技术高品质的保证第9页,共18页2、实时监控2.1监控通过对连接信息的查看,用户可以了解当前通过、未通过、已建立或已断开连接的源地址、目的地址、发送流量、接收流量等信息,同时用户还可以设定不需要进行查看的连接的过滤条件。下图是防火墙过条件设置界面。图2-1在过滤条件中选择源目标和目的目标的所属区域,并输入源、目的IP(起始IP地址为0.0.0.0,结束IP地址为:255.255.255.255表示该区域的所有设备),端口(为0表示所有端口);在高...
