天融信防火墙审计与监控功能使用.doc

1、 天融信防火墙审计与监控功能的应用 1 、审计功能 1.1 概述 天融信防火墙对于日志的记录可以记录在防火墙内也可以记录在专门的日志服务器中，由于防火墙系统硬盘、内存的限制，她难于作到对日志的详细记录。因此，在FW4000防火墙系统中，我们添加一个审计系统，来对防火墙过滤系统提供日志的详细备份。同时也方便管理员分析网络当前状态。 图1-1 如图1-1所示为审计管理器中对日志记录的备份历史记录表，审计管理器会据据用户的设定，到一定的文件大小后自动备份日志，方便日后审计。     FW4000审计系统的功能是对防火墙的日志信息进行收集、分析，并提供相应的报表。图1-2所示即为天

2、融信网络技术有限公司审计管理器的管理界面。 图1-2 Fw4000日志审计系统的功能： 1．  备份多台FW4000防火墙产生的各种日志信息 2．  日志查询、日志统计，并提供相关的日志报表 3．  记录用户对防火墙的各种操作日志信息 4．  还原过去一段时间里，用户对防火墙配置的修改操作 5．  记录详细的网络日志信息。 6．  管理日志服务器 1）  启动、关闭日志服务器 2）  配置日志服务器 3）  备份、删除日志数据 4）  用户管理（包括日志服务器用户管理和数据库管理员管理） 5）  监视日志服务器状态。    

3、 7. 方便的Gui远程管理。 1.2访问服务器列表： 图1-3 如图1-3所示，可以根据防火墙的日志对访问服务器的列表进行排序，具体可以根据服务器地址、流入总量、流出总量、访问次数进行分类排序。 如果发现审计管理器显示出某台服务器（也可能是普通用户的PC）的流入或流出的数据异常的大时，就要对某台服务器进行进一步的访问端口或网络访问详细信息来分析是否为正常的访问。从而实际及时发现问题与解决问题。 1.3用户访问列表： 图1-4 如果防火墙有采用基于用户的应用，如OTP用户认证，VPN用户认证，日志会记录

4、类似基于访问服务器列表的记录，可以根据用户名、流入总量、流出总量、访问次数等进行日志分析。 1.4服务器端口列表: 图1-5 如图1-5、图1-6所示，审计管理器可以根据日志对服务器端口列表进行分类分析从而来及时的发现网络环境中常的用的正常端口或不正常的端口的应用，进而采取相关的措施进行补救。 图1-6 1.5日志状态与统计 如图1-7所示为日志服务器状态：显示日志服务器的CPU、磁盘、内存使用状态； 用户可以设置刷新时间，显示服务器的状态。 图1-7 如下图1-9、1-10所示，可以根据时间对日志进行统计。审计管理

5、器会根据调度的统计生成包含服务器访问报表、用户报表、攻击者报表、被攻击者报表、客户访问服务器报表等，报表形式有饼状图、柱状图。 图1-9 图1-10 1.6自定义查询： 图1-11 除了对访问服务器列表、用户访问列表、服务器端口列表、客户机访问列表外，审计管理器还能对日防火墙日志进行实时的网络连接详细列表。这个详细列表主要包含有访问的源地址、源端口、目的地址、目的端口、连接建立的时间、连接结束的时间、采用的协议、流入的数据量、流出的数据量、所在防火墙的接口等。 在包含有如此多的内容的日志让人眼花，所以审计管理器可以灵活地根据某一项内容进行查询

6、如上图1-11所示，可以根据时间段、用户名、源地址IP、目的地址IP、源网络接口、目的网络接口、应用层协议、终止源因等进行分析。 图1-12-1、图1-12-2为进行自定义查询日志的显示示例。 图1-12-1 图1-12-2 2、实时监控 2.1 监控 通过对连接信息的查看，用户可以了解当前通过、未通过、已建立或已断开连接的源地址、目的地址、发送流量、接收流量等信息，同时用户还可以设定不需要进行查看的连接的过滤条件。 下图是防火墙过条件设置界面。 图2-1 在过滤条件中选择源目标和目的目标的所

7、属区域，并输入源、目的IP（起始IP地址为0.0.0.0，结束IP地址为：255.255.255.255表示该区域的所有设备），端口（为0表示所有端口）；在高级控制中，包括监控类型（被拒绝的连接）和协议类型，如果选择“不监控此条件连接”表示不对满足此条件的连接进行监控，如果选择“停用该过滤条件”表示，监控除此条件外的所有连接。过滤器可以设置多个过滤条件，条件有先后顺序，需要将范围大的过滤条件放在后面，先设置过滤范围小的过滤条件。比如：对网络中除了源IP地址为192.168.8.186外的所有连接进行监控，就需要配置两条过滤条件——条件1：设置192.168.8.186为源IP地址（起始和结束I

8、P地址都为它，端口可设为0），将“不监控此条件连接”选项打勾，表示不监控192.168.8.186对外访问的连接；条件2：设置一条监控所有连接的过滤条件，即将源目标和目的目标设为所有区域，IP地址范围从0.0.0.0到255.255.255.255，端口为0；这两个条件设置完后，监控器将监控除源IP地址为192.168.8.186以外的所有连接。 下图就是按默认过滤条件后显示的实时连接信息。 图2-2 2.2 分析 如图2-2所示，可以明了的显示出来，当前的连的信息（包含状态、源地址、目的地址、发送流量、接收流量、源端口、目的端口、建立时间、所用

9、通信协议、等等）。分析上图所示，可以看出源地址为10.73.36.209的机器在向其他机器发起目的端口为TCP: 445的连接，并且目的地址为10.73.2.0的整个网段，而且10.73.36.209这台机器没有回应对方的ACK包。显然，这一现象是不正常的表现，很像是机器中了振荡波病毒。 网络蠕虫病毒的特点： 1、一般一台机器中毒后，就会主动发起向随机的IP网段的机器（有可能这些 IP是不存在的）并使用特征性端口的访问，如振荡波采用TCP:445、9996、5554；冲击波采用TCP:135、137、139、ICMP。 2、向随机网段机器发起

10、访问请求后，并不回应对方回的数据包，从而造成对方机器不断的重发回应包，耗尽对方机器的系统资源。 3、当病毒要访问的一些随机网段在实际的网络环境中并不存在的时，中毒的机器就把这些数据包丢给网络中的网关设备进行转发，在每秒巨大的流量丢给网关后，网关设置就成了网络的瓶径，从而使网络瘫痪。 2.3 处理 对于病毒的防范，最根本和有效的方法是参考“木桶原理”理论提高整体的安全性。可以采用通过安装系统的安全补丁建全系统的安性，安装网络版防病毒软件统一管理防病毒的策略。 对于一些病毒突发事件或网络中的异常的事件，可以通过防火墙达到临

11、时的抑制。下面将使用天融信防火墙的一些实际功能来防止病毒的进一步传播和对网络性能的影响。 常用的方法有：增加禁止的访问策略、增加阻断规则、增长率加IDS规则。 Ø 用访问策略来控制 第一步：定义节点。 图2-3 图2-4 如图2-4所示，定义节点时，可以把多个节点捆绑在一起，即这个有病毒机器实际代表的机器可以是N多台机器，并且可很方便根据实际情况再添加、删除节点。 第二步：增加访问策略。 图2-5 如2.2分析所述，当病毒发起的随机数据包的目的IP地址是在实际环境中不存的IP时，所有的流量就由网关来承担了，如果中毒

12、机器和网关的通信要经过防火墙则就会对防火墙产生巨大的流量压力从而使正常的访问被拒绝，造成拒绝服务。所以需在防火墙上增加一条禁止的访问策略来保护网络免受网络拥塞和抑制病毒的进一步扩大。 图2-6 图2-6所示为访问策略中对常见病毒使用端口的定义。 第三步：实时监控，观察效果。 为更加直观的显示效果，细化实时监控的过滤条件。如图2-7所示，只监控中毒的机器即节点10.73.36.209。 图2-7 图2-8 图2-8所示为在增加禁止常见病毒使用的端口后的实时监控，可以看到中毒的机器10.73.36.209所发的数据被防火墙阻

13、断。 图2-9 图2-9所示为，当禁用的规则生效后的防火墙性能实时显示，很明显在策略生效的瞬间防火墙的连接数直线下降。 Ø 用阻断规则来控制 网络上存在大量的攻击行为，时刻威胁着网络的安全，为了有效地对这些行为进行识别和防范，需要防火墙特别配置一些规则针对不同地攻击进行阻断。虽然可以通过在防火墙上设置访问规则进行控制，但阻断规则可以根据数据包的来源和数据包的特征进行设置，对非法入侵进行更细粒度的分析和过滤，更好地保证了网络的安全性。 设置阻断规则方法如下：选择管理器中的选项设置->阻断配置。弹出防火墙阻断规则设置窗口： 图2-1

14、0 选择添加，通过设置数据包来源区域和数据包特征来增加一条阻断规则。 图2-11 Ø 用IDS来控制 防火墙可以有效的防御当前常见的DOS和DDOS攻击，可以细致的根据网络需求配置防火墙的IDS防攻击功能，可以有效的过滤以下几种攻击类型：Land、Smurf、Tear Drop、Ping of Death、Ping Flood、Targa3、Ip Spoof、Ping Sweep等攻击，可以制定细致的需要保护的网络对象及其需要防御的攻击类型； 在集中管理器选项设置项目中，选择“IDS配置”，双击打开IDS配置窗口： 图2-12 对于一些冲击波病毒,可以在IN区域中设置IDS模块中的Ping Sweep来防止病毒向其他区域扩大。 天融信安全技术 高品质的保证 第18页，共18页