天融信防火墙审计和监控功能使用.doc

  1. 1、本文档共18页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
天融信防火墙审计与监控功能的应用 1 、审计功能 1.1 概述 天融信防火墙对于日志的记录可以记录在防火墙内也可以记录在专门的日志服务器中,由于防火墙系统硬盘、内存的限制,她难于作到对日志的详细记录。因此,在FW4000防火墙系统中,我们添加一个审计系统,来对防火墙过滤系统提供日志的详细备份。同时也方便管理员分析网络当前状态。 图1-1 如图1-1所示为审计管理器中对日志记录的备份历史记录表,审计管理器会据据用户的设定,到一定的文件大小后自动备份日志,方便日后审计。 ??? FW4000审计系统的功能是对防火墙的日志信息进行收集、分析,并提供相应的报表。图1-2所示即为天融信网络技术有限公司审计管理器的管理界面。 图1-2 Fw4000日志审计系统的功能: 1.? FW4000防火墙产生的各种日志信息 2.? 3.? 4.? 5.? 6.? 1)? 2)? 3)? 4)? 5)? ??? 7. 方便的Gui远程管理。 1.2访问服务器列表: 图1-3 如图1-3所示,可以根据防火墙的日志对访问服务器的列表进行排序,具体可以根据服务器地址、流入总量、流出总量、访问次数进行分类排序。 如果发现审计管理器显示出某台服务器(也可能是普通用户的PC)的流入或流出的数据异常的大时,就要对某台服务器进行进一步的访问端口或网络访问详细信息来分析是否为正常的访问。从而实际及时发现问题与解决问题。 1.3用户访问列表: 图1-4 如果防火墙有采用基于用户的应用,如OTP用户认证,VPN用户认证,日志会记录类似基于访问服务器列表的记录,可以根据用户名、流入总量、流出总量、访问次数等进行日志分析。 1.4服务器端口列表: 图1-5 如图1-5、图1-6所示,审计管理器可以根据日志对服务器端口列表进行分类分析从而来及时的发现网络环境中常的用的正常端口或不正常的端口的应用,进而采取相关的措施进行补救。 图1-6 1.5日志状态与统计 如图1-7所示为日志服务器状态:显示日志服务器的CPU、磁盘、内存使用状态; 用户可以设置刷新时间,显示服务器的状态。 图1-7 如下图1-9、1-10所示,可以根据时间对日志进行统计。审计管理器会根据调度的统计生成包含服务器访问报表、用户报表、攻击者报表、被攻击者报表、客户访问服务器报表等,报表形式有饼状图、柱状图。 图1-9 图1-10 1.6自定义查询: 图1-11 除了对访问服务器列表、用户访问列表、服务器端口列表、客户机访问列表外,审计管理器还能对日防火墙日志进行实时的网络连接详细列表。这个详细列表主要包含有访问的源地址、源端口、目的地址、目的端口、连接建立的时间、连接结束的时间、采用的协议、流入的数据量、流出的数据量、所在防火墙的接口等。 在包含有如此多的内容的日志让人眼花,所以审计管理器可以灵活地根据某一项内容进行查询。如上图1-11所示,可以根据时间段、用户名、源地址IP、目的地址IP、源网络接口、目的网络接口、应用层协议、终止源因等进行分析。 图1-12-1、图1-12-2为进行自定义查询日志的显示示例。 图1-12-1 图1-12-2 2、实时监控 2.1 监控 通过对连接信息的查看,用户可以了解当前通过、未通过、已建立或已断开连接的源地址、目的地址、发送流量、接收流量等信息,同时用户还可以设定不需要进行查看的连接的过滤条件。在过滤条件中选择源目标和目的目标的所属区域,并输入源、目的IP(起始IP地址为0.0.0.0,结束IP地址为:255.255.255.255表示该区域的所有设备),端口(为0表示所有端口);在高级控制中,包括监控类型(被拒绝的连接)和协议类型,如果选择“不监控此条件连接”表示不对满足此条件的连接进行监控,如果选择“停用该过滤条件”表示,监控除此条件外的所有连接。过滤器可以设置多个过滤条件,条件有先后顺序,需要将范围大的过滤条件放在后面,先设置过滤范围小的过滤条件。比如:对网络中除了源IP地址为192.168.8.186外的所有连接进行监控,就需要配置两条过滤条件——条件1:设置192.168.8.186为源IP地址(起始和结束IP地址都为它,端口可设为0),将“不监控此条件连接”选项打勾,表示不监控192.168.8.186对外访问的连接;条件2:设置一条监控所有连接的过滤条件,即将源目标和目的目标设为所有区域,IP地址范围从0.0.0.0到255.255.255.255,端口为0;这两个条件设置完后,监控器将监控除源IP地址为192.168.8.186以外的所有连接。-阻断配置。弹出防火墙阻

文档评论(0)

xiaofei2001128 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档