Eudemon特性-日志特性介绍.doc

Edumon特性-日志特性介绍l 机密Eudemon特性日志特性介绍Huawei Technologies Co., Ltd. 华为技术有限公司Revision record 修订记录Date日期Revision Version修订版本CR ID / Defect IDCR号Section Number修改章节Change Description修改描述Author作者2004-05-091.00initial 初稿完成Catalog 目 录1简介51.1概述51.2范围52日志实现的规格52.1NATASPF流日志信息52.2攻击防范日志62.3流量监控的日志62.4黑名单日志72.5绑定日志73日志的具体格式73.1加入绑定日志73.2删除绑定日志73.3加入黑名单日志73.4删除黑名单日志83.5流量监控日志83.6ASPF日志83.7NAT日志83.8攻击防范日志93.9其他的一些日志94日志服务器104.1概述104.2日志服务器的工作原理105业务优势115.1支持二进制日志115.2支持基于流的日志125.3支持详细的NAT日志12Keywords 关键词：Abstract 摘 要：List of abbreviations 缩略语清单： Abbreviations缩略语Full spelling 英文全名Chinese explanation 中文解释1 简介1.1 概述eudemon防火墙的日志格式有SYSLOG和二进制两种输出格式。其中，二进制日志具有容量大、效率高的优点。其中还支持ASPF流日志、NAT日志等基于数据流访问的日志内容。ASPF流日志可以作为事后跟踪审计的重要依据，NAT日志可以方便的根据日志追查到NAT私有网络用户的地址。另外，对攻击告警也有详细的日志，配套华为日志服务器，可以对日志结果进行分析、备份、保存、过滤等，这对于企业有重要的意义。对于NAT设备，网管侧软件可以通过源IP地址、目的IP地址、用户上网时间等信息进行索引，查找并追踪NAT设备的访问记录。例如，网吧的PC机通过NAT设备访问Internet，从事非法活动，如果没有用户日志特性的支持，最终只能追踪查找到NAT设备，而通过用户日志特性提供的NAT日志，就可以定位具体是哪台PC机进行了非法活动，从而定位到人。华为日志能充分帮助企事业单位和相关安全机构对网络实现有效的管理，提高网络的安全性和可用性。1.2 范围本文档描述了eudemon防火墙的日志实现方式，和日志输出格式等相关内容。2 日志实现的规格2.1 NATASPF流日志信息对于防火墙而言，所有通过防火墙的流都进行了保存，创建一个基于流状态的状态信息表，这些状态信息表记录了一个完整的流的信息，储存在内存当中。可以通过命令对这些流状态信息表进行日志功能，通过二进制或者SYSLOG（文本）的方式输出日志。NAT日志记录了详细的NAT流信息，包括源IP地址、转换后的源IP地址、目的IP地址、源端口、转换后的源端口、目的端口、协议号等，利用分析工具提取相关的日志信息，可以方便地分析NAT设备的流量记录，查找追踪私网用户访问外部网络的情况，有效地发现违法违规行为。流日志则记录了用户流的详细信息，包括源IP地址、目的IP地址、源端口、目的端口、协议号等，通过这些用户信息以及用户的流信息，可以分析BAS设备的用户上网情况。2.2 攻击防范日志对防火墙支持的攻击防范特性提供日志告警信息，通过SYSLOG的方式输出告警信息。攻击类型（文本方式）；接收接口；攻击来源（可能有多个）；攻击目的地址（可能有多个）；发起攻击的开始时间； 发起攻击的结束时间； 攻击报文的总个数；攻击种类包含如下种：IP Spoofing攻击Land攻击Smurf攻击Fraggle攻击WinNuke攻击SYN Flood攻击ICMP Flood攻击UDP Flood攻击ICMP重定向报文ICMP不可达报文地址扫描端口扫描IP源站选路选项的控制IP路由记录选项的控制Tracert报文的控制Ping of Death攻击的防范Tear Drop攻击的防范TCP报文标志合法性的检测IP分片报文的控制超大ICMP报文的控制通过攻击防范的日志信息，很容易可以查到内部网络何时受到过一些什么样的攻击行为，通过日志可以有效的了解一些网络状况，同时也可以通过攻击日志，发现一些异常主机，例如感染了病毒的主机。2.3 流量监控的日志如果使能了流量监控功能，会按照域、IP地址等参数进行流量监控。可以按照如下几个类型构造出日志报文：对同一目的IP地址发起的TCP或UDP连接过快，发出告警信息。同一源IP地址发起的TCP或UDP连接过快，发出告警信息。域间出和入方向上发起的TCP或者UDP连接过快，发出告警信息。同一目的IP地址发起的TCP或者UDP连接数目过多，发出告警信息同一源地址发起的TCP或者UDP连接数目过多，发出告警信息。域间出和入方向上发起的TCP或者UDP连接数目过多，发出告警信息。2.4 黑名单日志黑名单是一种主动防御功能，对于在检测中发现的非法用户，将会自动的加入到黑名单里面。黑名单日志功能则是对加入黑名单的事件发送日志消息，提醒用户一个地址被加入到了黑名单中。通过检查黑名单日志以及黑名单状况，可以了解哪些主机有过一些非法的活动。2.5 绑定日志MAC和IP地址绑定，指防火墙可以根据用户的配置，在特定的IP地址和MAC地址之间形成关联关系。对于声称从这个IP发送的的报文，如果其MAC地址不是指定关系对中的地址，防火墙将予以丢弃，发送给这个IP地址的报文，在通过防火墙时将被强制发送给这个MAC地址。从而形成有效的保护，是避免IP地址假冒攻击的一种方式。3 日志的具体格式3.1 加入绑定日志Eudemonfire mac-binding 2.2.2.2 5-5-5%May 12 17:44:19 2004 Eudemon SEC/5/BIND:Mac Address 0005-0005-0005 is binded to Ip Address 2.2.2.23.2 删除绑定日志Eudemonundo fire mac-binding 2.2.2.2%May 12 17:47:54 2004 Eudemon SEC/5/BIND:Mac Address 0005-0005-0005 is unbinded to Ip Address 2.2.2.23.3 加入黑名单日志Eudemonfire blacklist item 5.5.5.5%May 12 17:44:45 2004 Eudemon SEC/5/BLACKLIST:5.5.5.5 is added to blacklist, reason Manual Insert, time:permanent3.4 删除黑名单日志Eudemonundo fire blacklist item 5.5.5.5%May 12 17:46:34 2004 Eudemon SEC/5/BLACKLIST:5.5.5.5 is removed from blacklist3.5 流量监控日志%5/24/2004 10:4:40-SEC/5/STREAM:TCP packet ratio 0%5/24/2004 10:4:40-SEC/5/STREAM:UDP packet ratio 99%5/24/2004 10:4:40-SEC/5/STREAM:ICMP packet ratio 0%5/24/2004 15:24:40-SEC/5/STREAM:System number of session is too much: 500%5/24/2004 15:42:10-SEC/5/STREAM:System number of session is normal: 03.6 ASPF日志syslog格式的：%5/24/2004 11:11:9-SEC/5/SESSION:Protocol:udp; 33.230.119.53:7970; -192.168.20.2:50; 2004/5/24 10:37:21 - 2004/5/24 10:40:2 status:2binary格式的：协议类型: UDP协议操作字: 2版本号: 4服务等级: 0源IP地址: 127.70.60.108目的IP地址: 192.168.20.2源端口号: 25617目的端口号: 50流起始时间: 2004-5-24 15:24:16流结束时间: 2004-5-24 15:26:213.7 NAT日志syslog格式的：%5/24/2004 16:2:10-SEC/5/SESSION:Protocol:tcp; 192.168.20.2:1493; 2.2.2.12:18292 -2.2.2.3:21; 2004/5/24 15:53:21 - 2004/5/24 15:53:52 status:1binary格式的：协议类型: TCP协议操作字: 3版本号: 4服务等级: 0源IP地址: 192.168.20.2源NAT转换IP地址: 2.2.2.12 目的IP地址: 2.2.2.3 目的NAT转换IP地址: 0.0.0.0 源端口号: 1481源NAT转换端口号: 18290目的端口号: 21目的NAT转换端口号: NA流起始时间: 2004-5-24 15:39:07流结束时间: 2004-5-24 15:39:293.8 攻击防范日志%5/24/2004 13:17:10-SEC/5/ATCKDF:AttckType:Udp flood attack; Receive IfIndex: Ethernet0/0/1 ; from 118.42.68.252 25.47.87.251 226.111.208.154 191.195.155.207 147.89.146.225 138.33.239.88 9.159.38.73 220.140.231.179 157.46.30.239 82.215.171.70 42.57.100.219 195.233.100.93 ; to 192.168.20.2 ; begin time :2004/5/24 13:16:50; end time: 2004/5/24 13:16:58; total packets: 5482; max speed: 1150(packet/s); 3.9 其他的一些日志%5/24/2004 11:21:9-HWCM/5/EXIT: exit from configure mode%5/24/2004 13:23:55-SHELL/5/LOGOUT: Console logout from con0%5/24/2004 13:41:57-SHELL/5/CMD:task:co0 ip:* user:* command:dis cur4 日志服务器4.1 概述华为日志服务器系统是专门为华为公司Eudemon系列防火墙设备量身定制的软件，适用于Eudemon系列防火墙的所有机型。日志服务器通过接收Eudemon防火墙等网络安全设备的日志，为用户提供便捷的日志浏览和查询功能，并对日志进行分析。华为日志服务器系统按照功能分为前台管理、后台进程两部分。前台管理提供数据库配置、日志相关配置、日志分类查询等操作。同时，若安装华为日志服务器软件的主机就是接收日志的主机，则此前台为Server端，否则此前台为Client端。后台进程包括日志收集进程、监视进程两种。日志收集进程通过监视指定的UDP端口（和Eudemon防火墙上的日志主机端口配置一致），接收防火墙发送到日志服务器的SYSLOG日志和二进制日志信息，并将接收到的日志分类存储到数据库。同时，后台进程的监视进程负责后台日志收集进程不停顿的运行。4.2 日志服务器的工作原理华为日志服务器系统按照功能分为前台管理、后台进程两部分。前台管理提供数据库配置、日志相关配置、日志分类查询等操作。同时，若安装华为日志服务器软件的主机就是接收日志的主机，则此前台为Server端，否则此前台为Client端。后台进程包括日志收集进程、监视进程两种。日志收集进程通过监视指定的UDP端口（和Eudemon防火墙上的日志主机端口配置一致），接收防火墙发送到日志服务器的SYSLOG日志和二进制日志信息，并将接收到的日志分类存储到数据库。同时，后台进程的监视进程负责后台日志收集进程不停顿的运行。通常情况下，日志服务器布放在内部网络，为了日常管理方便和安全性考虑，用户可以通过多台Client端查询某些日志服务器Server端（主机）的日志信息。同时，Client端通过切换连接的日志服务器主机和数据库，可以实现一台Client端查询多台Server端日志信息的目的。也就是说，承载日志服务器软件的主机既可以作为本日志数据库的Server端，也可以作为其它日志数据库的Client端。整体框架如下图所示：图1 日志服务器系统框架和上图中的流程序号对应，华为日志服务器（Server/Client端）和Eudemon防火墙之间的交互信息如下：Eudemon防火墙向日志服务器主机发送各种日志信息。在日志服务器的Server端，用户可以进行：用户管理数据库管理日志服务器的配置后台进程的管理 、配置UDP端口；配置日志过滤器Eudemon防火墙信息中心按信息的Severity（称严重/紧急程度或称优先级）划分为八个等级。按等级来进行日志信息过滤时所采用的规则是：越紧急的日志信息，其严重等级越小；禁止严重等级大于所设置阈值的日志信息输出，只有小于或等于此阀值的日志信息才会被输出。一般日志默认的级别为5级。可以在日志服务器上查询如下各种日志信息：NAT/ASPF日志、攻击防范日志、流量监控日志、黑名单日志、地址绑定日志、其它日志中的一种或全部SYSLOG日志；二进制NAT/ASPF日志。在日志服务器的Client端，只允许用户查询并浏览各种日志信息。5 业务优势5.1 支持二进制日志eudemon防火墙支持使用二进制编码的方式发送日志信息，通过日志服务器作为载体接收这些日志信息。普通日志都使用syslog的方式向日志服务器