天融信防火墙审计与监控功能使用

天融信防火墙审计与监控功能的应用

1 、审计功能

1.1 概述

天融信防火墙对于日志的记录可以记录在防火墙内也可以记录在专门的日志服务器中，由于防火墙系统硬盘、内存的限制，她难于作到对日志的详细记录。因此，在FW4000防火墙系统中，我们添加一个审计系统，来对防火墙过滤系统提供日志的详细备份。同时也方便管理员分析网络当前状态。

图1-1

如图1-1所示为审计管理器中对日志记录的备份历史记录表，审计管理器会据据用户的设定，到一定的文件大小后自动备份日志，方便日后审计。

FW4000审计系统的功能是对防火墙的日志信息进行收集、分析，并提供相应的报表。图1-2所示即为天融信网络技术有限公司审计管理器的管理界面。

图1-2

Fw4000日志审计系统的功能：

1．备份多台FW4000防火墙产生的各种日志信息

2．日志查询、日志统计，并提供相关的日志报表

3．记录用户对防火墙的各种操作日志信息

4．还原过去一段时间里，用户对防火墙配置的修改操作

5．记录详细的网络日志信息。

6．管理日志服务器

1）启动、关闭日志服务器

2）配置日志服务器

3）备份、删除日志数据

4）用户管理（包括日志服务器用户管理和数据库管理员管理）

5）监视日志服务器状态。

7. 方便的Gui远程管理。

1.2访问服务器列表：

图1-3

如图1-3所示，可以根据防火墙的日志对访问服务器的列表进行排序，具体可以根据服务器地址、流入总量、流出总量、访问次数进行分类排序。

如果发现审计管理器显示出某台服务器（也可能是普通用户的PC）的流入或流出的数据异常的大时，就要对某台服务器进行进一步的访问端口或网络访问详细信息来分析是否为正常的访问。从而实际及时发现问题与解决问题。

1.3用户访问列表：

图1-4

如果防火墙有采用基于用户的应用，如OTP用户认证，VPN用户认证，日志会记录类似基于访问服务器列表的记录，可以根据用户名、流入总量、流出总量、访问次数等进行日志分析。

1.4服务器端口列表:

图1-5

如图1-5、图1-6所示，审计管理器可以根据日志对服务器端口列表进行分类分析从而来及时的发现网络环境中常的用的正常端口或不正常的端口的应用，进而采取相关的措施进行补救。

图1-6

1.5日志状态与统计

如图1-7所示为日志服务器状态：显示日志服务器的CPU、磁盘、内存使用状态；

用户可以设置刷新时间，显示服务器的状态。

图1-7

如下图1-9、1-10所示，可以根据时间对日志进行统计。审计管理器会根据调度的统计生成包含服务器访问报表、用户报表、攻击者报表、被攻击者报表、客户访问服务器报表等，报表形式有饼状图、柱状图。

图1-9

图1-10

1.6自定义查询：

图1-11

除了对访问服务器列表、用户访问列表、服务器端口列表、客户机访问列表外，审计管理器还能对日防火墙日志进行实时的网络连接详细列表。这个详细列表主要包含有访问的源地址、源端口、目的地址、目的端口、连接建立的时间、连接结束的时间、采用的协议、流入的数据量、流出的数据量、所在防火墙的接口等。

在包含有如此多的内容的日志让人眼花，所以审计管理器可以灵活地根据某一项内容进行查询。如上图1-11所示，可以根据时间段、用户名、源地址IP、目的地址IP、源网络接口、目的网络接口、应用层协议、终止源因等进行分析。

图1-12-1、图1-12-2为进行自定义查询日志的显示示例。

图1-12-1图1-12-2

2、实时监控

2.1 监控

通过对连接信息的查看，用户可以了解当前通过、未通过、已建立或已断开连接的源地址、目的地址、发送流量、接收流量等信息，同时用户还可以设定不需要进行查看的连接的过滤条件。

下图是防火墙过条件设置界面。

图2-1

在过滤条件中选择源目标和目的目标的所属区域，并输入源、目的IP （起始IP地址为0.0.0.0，结束IP地址为：255.255.255.255表示该区域的所有设备），端口（为0表示所有端口）；在高级控制中，包括监控类型（被拒绝的连接）和协议类型，如果选择“不监控此条件连接”表示不对满足此条件的连接进行监控，如果选择“停用该过滤条件”表示，监控除此条件外的所有连接。过滤器可以设置多个过滤条件，条件有先后顺序，需要将范围大的过滤条件放在后面，先设

置过滤范围小的过滤条件。比如：对网络中除了源IP地址为192.168.8.186外的所有连接进行监控，就需要配置两条过滤条件——条件1：设置192.168.8.186为源IP地址（起始和结束IP地址都为它，端口可设为0），将“不监控此条件连接”选项打勾，表示不监控192.168.8.186对外访问的连接；条件2：设置一条监控所有连接的过滤条件，即将源目标和目的目标设为所有区域，IP地址范围从0.0.0.0到255.255.255.255，端口为0；这两个条件设置完后，监控器将监控除源IP地址为192.168.8.186以外的所有连接。

下图就是按默认过滤条件后显示的实时连接信息。

图2-2

2.2 分析

如图2-2所示，可以明了的显示出来，当前的连的信息（包含状态、源地址、目的地址、发送流量、接收流量、源端口、目的端口、建立时间、所用通信协议、等等）。分析上图所示，可以看出源地址为10.73.36.209的机器在向其他机器发起目的端口为TCP: 445的连接，并且目的地址为10.73.2.0的整个网段，而且10.73.36.209这台机器没有回应对方的ACK包。显然，这一现象是不正常的表现，很像是机器中了振荡波病毒。

网络蠕虫病毒的特点：

1、一般一台机器中毒后，就会主动发起向随机的IP网段的机器（有可能

这些 IP是不存在的）并使用特征性端口的访问，如振荡波采用TCP:445、9996、5554；冲击波采用TCP:135、137、139、ICMP。

2、向随机网段机器发起访问请求后，并不回应对方回的数据包，从而造成

对方机器不断的重发回应包，耗尽对方机器的系统资源。

3、当病毒要访问的一些随机网段在实际的网络环境中并不存在的时，中

毒的机器就把这些数据包丢给网络中的网关设备进行转发，在每秒巨大的流量丢给网关后，网关设置就成了网络的瓶径，从而使网络瘫痪。

2.3 处理

对于病毒的防范，最根本和有效的方法是参考“木桶原理”理论提高整体的安全性。可以采用通过安装系统的安全补丁建全系统的安性，安装网络版防病毒软件统一管理防病毒的策略。

对于一些病毒突发事件或网络中的异常的事件，可以通过防火墙达到临时的抑制。下面将使用天融信防火墙的一些实际功能来防止病毒的进一步传播和对网络性能的影响。

常用的方法有：增加禁止的访问策略、增加阻断规则、增长率加IDS规则。