东软防火墙日志审计系统培训资料

东软防火墙日志审计系统

培训资料

杭州亿普科技有限公司咨询服务部

2008-08-15

目录

一、概述 (3)

二、防火墙日志审计功能设置 (4)

1、防火墙管理方式的利弊分析 (4)

2、B/S管理方式的防火墙日志审计设置 (5)

3、C/S管理方式的防火墙日志审计设置 (9)

四、常见问题 (10)

1、日志客户端无法登陆 (10)

2、忘记了ROOT用户密码 (10)

3、可以登陆日志客户端但无审计结果显示 (10)

一、概述

随着国家信息系统安全等级保护工作的逐步开展，会逐步要求我们把信息安全作为日常化的一些工作来开展，信息系统存在、应用着就会有信息安全的工作内容需要做，要求我们在网络技术及运维管理方面都要具备更高的层次。这就要求我们日后的工作重点不在是如何高效率的搭建、维护一个网络平台和应用环境了，而是能清楚的了解网络里的访问流量是否正常、是否有威胁到我们信息完全的不当配置和漏洞，怎么样保证信息系统的安全运行成了体现我们价值的一个重要途径。

那么针对整个浙江火电的信息系统，对中心机房以及各项目的物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、信息安全管理要求方面都有一系列的工作需要开展，为了使这些工作能够顺利、有效的进行，第一步是提高我们管理人员的专业技术管理能力，所以从这次培训开始我们将会进行后续的信息安全相关的一些培训工作，如：信息安全等级保护的培训、信息安全等级保护的实施方法、网络安全、主机安全、数据安全、备份恢复等相关技术培训。

同时也希望大家能够引起足够的重视，通过本次的防火墙日志审计系统的培训工作来为我们日后逐步开展的信息安全工作来开一个好头。我想通过我们做的这些工作对公司或对我们自己都是一个很好的锻炼机会，最后祝大家能够迅速的成长起来，来体现自己的能力和价值。

二、防火墙日志审计功能设置

1、防火墙管理方式的利弊分析

首先我们来了解一下我们使用的东软防火墙，平常我们在管理防火墙的时（如设置NAT、包过滤规则、MAC地址绑定规则等）是用厂家提供的GUI管理工具，然后我们使用的这种人性化管理工具又分为C/S结构和B/S结构的，那么两者之间有什么区别呢？

大家都知道东软早期的防火墙是基于X86架构的，如早期的使用4016和4032的一些型号，其中使用B/S结构管理界面的这些是在内部运行有apache服务，这就占用了防火墙大量的资源，有时候因为apache服务的缘故会导致重新启动防火墙需要半个多小时或更长的时间，给我们制造设备故障的假象。后来2000年后才开始研发NP 架构的防火墙，这种架构的优点是能满足处理网络分组数据的性能要求,有在成本上达到了一个平衡,所以也逐渐成为了主流，我们现在用的大多数防火墙都是这种架构，使用C/S结构的GUI。关于防火墙三种架构（X86、ASIC、NP）的详细情况请找相关资料参考。

另外，当我们的GUI工具无法跟防火墙正常通信后，我们该怎么办呢？通过利用防火墙的com口以及终端工具，我们可以通过命令行的方式进行管理，这种管理方式就打破了GUI方式的限制，可以执行厂商允许的所有指令，包括用户密码恢复、防火墙初始设置等操作。

2、B/S管理方式的防火墙日志审计设置

1) 日志服务端和客户端安装

bs日志审计客户端和服务端安装.pdf

2) 日志数据库架设

bs日志审计数据库架设.pdf

注意事项：数据库可架设在性能较高的网管机上(具体参见说明文档)，安装sql server 2000数据库(SP4补丁)，日志系统通过管理口与数据库服务器通信，会占用数据库服务器的大量性能、带宽资源，而对防火墙本身性能影响不大。

3）防火墙配置

如下图，通过B/S结构的GUI打开防火墙的审计功能（勾选【启用审计】复选框），然后选种【网络日志】框并填如日志服务器的地址（该地址为数据库服务器能与防火墙管理口通信的同一网段的地址）

4）开启包过滤的日志审计

点包过滤规则右边的编辑按钮，在弹出的编辑对话框里选【满足连接的规则产生日志】来开启日志审计功能。

5）日志服务端软件配置

如下图，设置DNS登陆的用户和密码，这里可以填写数据库的SA及密码。

然后，设置认证服务器地址，既防火墙管理口地址。

最后，配置防火墙地址。

所有配置完成后，点确认，提示要重新手动启动日志服务器端；点下图的确认后服务器端关闭，重新启动即可。

5）日志客户端配置

运行日志客户端，添加服务器信息，其中IP地址是日志数据库服务器及客户端能与防火墙管理口通信的地址。

使用有审计权限的用户登陆客户端。

客户端软件具体操作说明见bs日志审计客户端使用说明.pdf。

3、C/S管理方式的防火墙日志审计设置

C/S管理方式的防火墙日志审计设置和B/S的相差不大，相关配置可参考“B/S管理方式的防火墙日志审计设置”如下图，点“文件—系统配置—服务配置”

弹出的“服务配置—审计”界面里，设置审计位置，该处选【网络】日志复选框，地址为日志系统数据库服务器的地址。

四、常见问题

1、日志客户端无法登陆

问题：日志客户端无法登陆，提示不具备审计权限。

分析：查看日志服务端是否设置正确，如果设置正常说明

确实是该用户不具备审计的权限。应使用ROOT用

户登陆用户管理客户端进行审计用户的设置。

2、忘记了ROOT用户密码

问题：忘记了ROOT用户密码无法设置审计用户。

分析：使用串口线连接防火墙，在终端工具里使用root用

户，密码为neteye登陆。登陆后使用以下命令重设

root用户密码：

a、串口登陆防火墙，用root 密码neteye登陆

b、进入以下目录cd / fwsys /service/bin然后执行以

下命令恢复root用户密码./authuser -n root ,回

车输入新密码

3、可以登陆日志客户端但无审计结果显示

问题：可以登陆日志客户端但无审计结果显示

分析：a、检查防火墙审计位置是否设置正常，应该选择

网络位置，并填入日志数据库的IP地址。

b、检查审计条件设置是否设置正确，是否勾选了