H3C SecBlade防火墙插卡日志管理及与SecCenter配合典型配置举例

发布时间：2024-11-18

SecBlade防火墙插卡日志管理及与SecCenter配

合典型配置举例

关键词：Syslog

摘要：通过对日志内容的分析和归档，能够检查防火墙的安全漏洞。本章介绍了SecBlade防火墙插卡

的日志管理功能，并给出了和管理软件SecCenter配合的例子。

缩略语：

缩略语

英文全名

系统日志

中文解释

Syslog -

1 特性简介..............................................................................................................................................3

1.1 Syslog日志设置....................................................................................................................................3 1.2 Userlog日志设置..................................................................................................................................4

1.2.1 Flow日志设置.............................................................................................................................4 1.3 会话日志..............................................................................................................................................7

1.3.1 会话日志简介............................................................................................................................7 1.3.2 配置日志输出策略.....................................................................................................................8 1.3.3 配置日志输出阈值.....................................................................................................................9 1.4 日志报表..............................................................................................................................................9

1.4.1 查看系统日志..........................................................................................................................10 1.4.2 查看连接数限制日志...............................................................................................................10 1.4.3 查看攻击防范日志...................................................................................................................11 1.4.4 查看黑名单日志.......................................................................................................................12 1.4.5 查看域间策略日志...................................................................................................................12 1.4.6 查看Userlog日志.....................................................................................................................13

2 配置举例............................................................................................................................................15

2.1 组网需求............................................................................................................................................15 2.2 配置思路............................................................................................................................................16 2.3 使用版本............................................................................................................................................16 2.4 配置步骤............................................................................................................................................16

2.4.1 设备上配置将SysLog日志发送到SecCenter上.......................................................................16 2.4.2 设备上配置将会话日志发送到SecCenter上............................................................................17 2.4.3 设备上启用snmp代理，以连接SecCenter中心进行管理........................................................17 2.4.4 在SecCenter上添加设备.........................................................................................................18 2.5 验证配置结果.....................................................................................................................................18

2.5.1 设备上的日志信息...................................................................................................................18 2.5.2 SecCenter上的日志统计..........................................................................................................19

3 相关资料............................................................................................................................................21

3.1 相关协议和标准.................................................................................................................................21 3.2 其它相关资料.....................................................................................................................................21

1 特性简介

日志管理模块能够将系统消息或包过滤的动作产生的日志等存入缓冲区或定向发送到日志主机上。通过对日志内容的分析和归档，管理员能够检查防火墙的安全漏洞，了解什么时候有什么人试图违背安全策略、网络攻击的类型。此外，实时的日志记录还可以用来检测正在进行的入侵。

1.1 Syslog日志设置

Syslog日志设置模块用于设置信息中心日志管理的相关参数。信息中心是系统的信息枢纽，它能够对所有的系统信息进行分类、管理，为网络管理员和开发人员监控网络运行情况和诊断网络故障提供了强有力的支持。信息中心可以将日志信息输出到Web页面，以便用户进行查看。同时，信息中心还可以根据用户的配置，将日志信息输出到指定的Syslog日志主机。在导航栏中选择“日志管理 > Syslog日志”，进入如图1所示的页面。

图1 Syslog日志

Syslog日志的详细配置如表1所示。

表1 Syslog日志的详细配置

配置项

日志缓冲区大小 <清空日志>

说明

设置日志缓冲区可存储的Syslog日志信息条数单击该按钮可以清空日志缓冲区内的信息

配置项

日志主机1 日志主机2 日志主机3 日志主机4

SecBlade防火墙插卡日志管理及与SecCenter配合典型配置举例

说明

设置Syslog日志主机的IP地址和端口号

信息中心可以使用Syslog格式将日志信息上报到指定的远程日志主机最多可以指定4台不同的日Syslog志主机

设置日志报表Web页面的刷新周期，可选择手动或自动刷新：

刷新周期

z z

手动刷新：查看日志报表时需要用户手动刷新

自动刷新：根据需要，可设置在查看日志报表时，每隔10秒、30秒、1分钟、5分钟或10分钟页面自动刷新一次

1.2 Userlog日志设置

Userlog日志有以下两种输出方式，目前防火墙设备只支持Flow日志格式：

z z

以系统信息的格式输出到本设备的信息中心，再由信息中心最终决定日志的输出方向。以二进制格式封装成UDP报文输出到指定的Userlog日志主机。

1.2.1 Flow日志设置

Flow日志目前仅指会话日志。要生成Flow日志，需要配置会话日志功能。

1. Flow日志简介

Flow日志是指用户访问外部网络流信息的相关记录。设备根据报文的5元组（源IP地址、目的IP地址、源端口、目的端口、协议号）对用户访问外部网络的流进行分类统计，并生成用户流（Flow）日志。Flow日志会记录报文的5元组和发送、接收的字节数等信息。网络管理员利用这些信息可以实时跟踪、记录用户访问网络的情况，增强网络的可用性和安全性。

Flow日志有Flow1.0和Flow3.0两个版本。两种Flow日志的格式稍有不同，具体差别请参见表2和表3。

表2 Flow1.0日志信息

字段

SourceIP DestIP

源IP地址目的IP地址

描述

SrcPort TCP/UDP源端口号 DestPort TCP/UDP目的端口号 StartTime EndTime

流起始时间，以秒为单位，从1970/1/1 0:0开始计算流结束时间，以秒为单位，从1970/1/1 0:0开始计算

Prot IP承载的协议类型 Operator

操作字，主要指流结束原因

字段

Reserved

保留

描述

表3 Flow3.0日志信息

字段

Prot IP承载的协议类型 Operator

操作字，主要指流结束原因

描述

IpVersion IP报文版本

TosIPv4 IPv4报文的Tos字段 SourceIP

源IP地址

SrcNatIP NAT转换后的源IP地址 DestIP

目的IP地址

DestNatIP NAT转换后的目的IP地址 SrcPort TCP/UDP源端口号

SrcNatPort NAT转换后的TCP/UDP源端口号 DestPort TCP/UDP目的端口号

DestNatPort NAT转换后的TCP/UDP目的端口号 StartTime EndTime InTotalPkg InTotalByte OutTotalPkg OutTotalByte Reserved1 Reserved2 Reserved3

流起始时间，以秒为单位，从1970/01/01 00:00开始计算流结束时间，以秒为单位，从1970/01/01 00:00开始计算接收的报文包数接收的报文字节数发出的报文包数发出的报文字节数

z z

对于0x02版本（FirewallV200R001）保留

对于0x03版本（FirewallV200R005）第一个字节为源VPN ID，第二个字节为目的VPN ID，第三、四个字节保留

保留保留

2. 配置Flow日志

在导航栏中选择“日志管理 > Userlog日志”，进入如图2所示的页面。

图2 Flow日志

Flow日志的详细配置如所示。

表4 Flow日志的详细配置

SecBlade防火墙插卡日志管理及与SecCenter配合典型配置举例

3. 查看Flow日志统计信息

当设置了将Flow日志封装成UDP报文发送给指定的Userlog日志主机时，可以查看相关的统计信息，包括设备向指定日志主机发送的Flow日志总数和包含Flow日志的UDP报文总数，以及设备缓存中的Flow日志总数。

在“Flow日志”的页面单击下方的“查看统计信息”扩展按钮，可以展开如图3所示的内容进行查看。

集中式设备：单击<清空>按钮，可以清除设备上的所有Flow日志统计信息和缓存中的Flow日志。

分布式或堆叠设备：单击<清空>按钮，可以清除相应单板上的所有Flow日志统计信息和缓存中的Flow日志。

图3 查看Flow日志统计信息

1.3 会话日志

1.3.1 会话日志简介

会话日志是为满足网络管理员做安全审计的需要，对用户的访问信息、用户IP地址的转换信息、用户的网络流量信息等进行记录的一种日志类型，可以通过一定的格式发给日志主机。会话在满足一定的阈值条件时，即会以日志的形式进行记录并输出，阈值包括以下两种类型：

z z

时间阈值：当一个会话存在的时间达到设定的时间阈值时，输出会话日志。

流量阈值：分为报文数阈值和字节数阈值两种。当一个会话收发的报文数或字节数达到设定的流量阈值时，输出会话日志。

会话管理的详细介绍请参见“Web配置手册会话管理”。

会话日志以Flow日志的格式输出。要查看会话日志，需要同时配置Flow日志。

z z

会话日志配置的推荐步骤如表5所示。

表5 会话日志配置步骤

1.3.2 配置日志输出策略

在导航栏中选择“日志管理 > 会话日志 > 日志输出策略”，进入会话日志输出策略的显示页面，如图4所示。单击<新建>按钮，进入新建会话日志输出策略的配置页面，如图5所示。

图4 日志输出策略

图5 新建会话日志输出策略

会话日志输出策略的详细配置如表6所示。

表6 会话日志输出策略的详细配置

配置项源域目的域

使能指定源域到目的域的会话日志功能

可选的安全域可在“设备管理 > 安全域”中配置

说明

配置项 ACL

说明

设置日志输出的过滤规则

设置过滤规则后，仅对符合该规则的会话进行日志输出

可点击返回“表5 会话日志配置步骤”。

1.3.3 配置日志输出阈值

在导航栏中选择“日志管理> 会话日志 > 全局设置”，进入会话日志输出阈值的配置页面，如图所示。

图6 全局设置

会话日志输出阈值的详细配置如表7所示。

表7 会话日志输出阈值的详细配置

可点击返回“表5 会话日志配置步骤”。

1.4 日志报表

日志报表模块用于查看设备上的日志报表信息，可以查看的日志种类包括以下几种：

z z z z z z

系统日志连接数限制日志攻击防范日志黑名单日志域间策略日志 Userlog日志

1.4.1 查看系统日志

在导航栏中选择“日志管理 > 日志报表 > 系统日志”，进入如图7

所示的页面。

图7 系统日志

系统日志列表中各项的详细说明如表8所示。

表8 系统日志列表的详细说明

标题项

时间/日期信息来源信息级别信息描述

显示系统日志产生的时间和日期显示产生系统日志的模块名

显示系统日志的严重程度，具体说明如表9所示显示系统日志的具体内容

说明

表9 系统日志严重程度

严重程度

Emergency Alert Critical Error Warning Notification Informational Debugging

含义

严重等级数值

系统不可用信息 0 需要立刻做出反应的信息

严重信息 2 错误信息 3 警告信息 4 正常出现但是重要的信息 5 需要记录的通知信息 6 调试过程产生的信息 7

注：严重等级数值越小表示严重程度越高。

1.4.2 查看连接数限制日志

在导航栏中选择“日志管理 > 日志报表 > 连接数限制日志”，进入如图8所示的页面。

图8 连接数限制日志

连接数限制日志列表中各项的详细说明如表10所示。

表10 连接数限制日志列表的详细说明

标题项时间/日期流量告警类型源域源IP地址目的域目的IP地址当前速率当前连接数 TCP报文百分率 UDP报文百分率 ICMP报文百分率

显示连接数限制日志产生的时间和日期

显示流量告警的类型为基于源IP

的连接数超过最大值或基于目的IP的连接数超过最大值显示连接的源域显示连接的源IP地址显示连接的目的域显示连接的目的IP地址显示当前的连接速率显示当前的连接总数

显示TCP报文数占所有报文总数的百分比显示UDP报文数占所有报文总数的百分比显示ICMP报文数占所有报文总数的百分比

说明

1.4.3 查看攻击防范日志

在导航栏中选择“日志管理 > 日志报表 > 攻击防范日志”，进入如图9所示的页面。

图9 攻击防范日志

攻击防范日志列表中各项的详细说明如表11所示。

表11 攻击防范日志列表的详细说明

标题项

攻击时间攻击类型接收接口攻击源IP地址攻击源MAC地址攻击目的IP地址攻击目的MAC地址攻击速率

显示检测到攻击的时间显示攻击的类型

显示接收到攻击报文的接口显示攻击报文的源IP地址显示攻击报文的源MAC地址显示攻击报文的目的IP地址显示攻击报文的目的MAC地址显示攻击的连接速率

说明

1.4.4 查看黑名单日志

在导航栏中选择“日志管理 > 日志报表 > 黑名单日志”，进入如图10

所示的页面。

图10 黑名单日志

黑名单日志列表中各项的详细说明如表12所示。

表12 黑名单日志列表的详细说明

标题项

时间/日期操作方式源IP地址

显示黑名单项产生的时间和日期显示该黑名单项是新加的还是删除的显示黑名单项的源IP地址

显示加入黑名单的原因，包括自动添加和手动添加两种：

加入原因

z z

说明

自动添加为发现攻击后自动将源IP添加到黑名单手动添加为用户通过Web界面手动创建黑名单

保留时间显示黑名单项的保留时间

1.4.5 查看域间策略日志

域间策略日志是指对匹配域间策略的流所记录的日志。要记录域间策略日志，需在配置域间策略时开启Syslog日志功能，详细配置请参见“Web配置手册域间策略”。

在导航栏中选择“日志管理 > 日志报表 > 域间策略日志”，进入如图11所示的页面。

图11 域间策略日志

域间策略日志列表中各项的详细说明如表13所示。

表13 域间策略日志列表的详细说明

标题项

开始时间结束时间源域目的域策略ID

显示流的创建时间显示流的删除时间显示流的源域显示流的目的域

显示流匹配的域间策略的ID

说明

标题项

动作协议类型

说明

显示对流采取的动作类型，包括permitted和denied 显示流的协议类型

显示流的信息

当协议类型为TCP或UDP时，显示的流信息为“源IP地址:源端口-->目的IP地址:目的端口”，例如“1.1.1.2:1026-->1.1.2.10:69”

当协议类型为ICMP时，显示的流信息为“源IP地址-->目的IP地址, ICMP类型(ICMP码)”，例如“1.1.1.2-->1.1.2.10, echo(8)”

当协议类型为其他协议时，显示的流信息为“源IP地址-->目的IP地址”，例如“1.1.1.2-->1.1.2.10”

流信息

1.4.6 查看Userlog日志

要通过Web查看Userlog日志，需要先配置将Userlog日志输出到信息中心。

1. 查看Flow日志

在导航栏中选择“日志管理 > 日志报表 > Userlog日志”，进入Flow日志的显示页面。选中版本“1.0”前的单选按钮，则显示的是Flow1.0的日志信息，如图12所示；选中版本“3.0”前的单选按钮，则显示的是Flow3.0的日志信息，如图13所示。

图12 Flow1.0日志报表

图13 Flow3.0日志报表

Flow1.0日志信息的详细说明如所示；Flow3.0日志信息的详细说明如所示。

表14 Flow1.0日志信息的详细说明

标题项

时间/日期协议类型

显示Flow日志产生的时间和日期显示流的协议类型显示流的信息

说明

流信息

当协议类型为TCP或UDP时，显示的流信息为“源IP地址:源端口-->目的IP地址:目的端口”，例如“1.1.1.2:1026-->1.1.2.10:69”

当协议类型为其他协议时，显示的流信息为“源IP地址-->目的IP地址”，例如“1.1.1.2-->1.1.2.10”

开始时间结束时间

显示流的创建时间显示流的删除时间

显示流的操作字，主要指流结束原因

z z z z

(1)Normal over：正常流结束 (2)Aged for timeout：定时器超时老化

(3)Aged for reset or config-change：配置变动引起的流老化 (4)Aged for no enough resource：资源不足带来的流老化

(5)Aged for no-pat of NAT：一对一的NAT映射，此时记录中只有源IP地址和转换后IP以及时间字段有效

(6)Active data flow timeout：标志长时间存在流的中间发送记录 (7)Data flow deleted：替换引起的流删除 (8)Data flow created：流创建时的记录 (254)Other：其他原因

流行为

z z z z

表15 Flow3.0日志信息的详细说明

标题项

时间/日期协议类型

说明

显示Flow日志产生的时间和日期显示流的协议类型显示流的信息

流信息

当协议类型为TCP或UDP时，显示的流信息为“源IP地址(NAT转换后源IP地址):源端口(NAT转换后源端口)-->目的IP地址(NAT转换后目的IP地址):目的端口(NAT转换后目的端口)”，例如“1.1.1.2:1026(2.2.2.1:1026)-->2.2.2.10:69”当协议类型为其他协议时，显示的流信息为“源IP地址(NAT转换后源IP地址)-->目的IP地址(NAT转换后目的IP地址)”，例如“1.1.1.2-->1.1.2.10”

接收报文包数/字节数发送报文包数/字节数源VPN 目的VPN 开始时间结束时间

显示接收包数/字节数显示发送包数/字节数显示报文源VPN 显示报文目的VPN 显示流的创建时间显示流的删除时间显示流的操作字

z z z

(1)Normal over：正常流结束 (2)Aged for timeout：定时器超时老化

(3)Aged for reset or config-change：配置变动引起的流老化 (4)Aged for no enough resource：资源不足带来的流老化

(5)Aged for no-pat of NAT：一对一的NAT映射，此时记录中只有源IP地址和转换后IP以及时间字段有效

(6)Active data flow timeout：流的存在时间达到阈值时的记录 (8)Data flow created：流创建时的记录 (254)Other：其他原因

流行为

z z

z z z

2 配置举例

2.1 组网需求