实验十-防火墙日志系统管理

实验十、防火墙日志系统实验实验目的学会使用防火墙图形配置界面中的日志策略和日志列表跟踪防火墙数据转发过程学会安装DCFW-1800系列防火墙日志管理系统LogView进行日志管理学会对防火墙日志条目进行分析以帮助调试和网络管理过程。应用环境防火墙作为现代安全网络不可缺少的网络设备，它的所有网络转发动作都有可能影响整个网络的安全和性能，因此，对防火墙的关键任务进行日志记录并及时进行分析可以大大增强防火墙自身及整个网络的安全性能。在防火墙自身的管理配置界面，一般会存在一个简单的日志列表界面，在配置了适当的日志策略之后，日志列表即可显示对应策略的日志条目，供网络安全管理人员进行察看。另外，在神州数码防火墙的使用过程中，神州数码网络公司还为每一个网络安全用户配置了单独的日志管理系统，供用户更加直观和方便的对防火墙的日志进行批量管理和察看。学会使用这些工具将对防火墙的使用和网络安全的管理进行更好的控制。实验设备防火墙设备一台Console线一条交叉网络线三条直通网络线一条PC机两台实验拓扑LANLANDMZWANPC1:0PC3:1If1:7PC2:0if0:0实验要求恢复实验九中的防火墙配置配置关于包过滤的日志策略，并进行察看和分析配置关于NAT的日志策略，并进行察看和分析在PC机安装防火墙日志管理系统logview使用Logview对防火墙进行日志察看和分析。实验步骤恢复实验九中的防火墙配置对防火墙进行初始配置后，将实验九中保存的配置文件恢复到当前的配置中。如下所示：点击“混合模式配置实验”对应的启用项按钮，系统提示操作成功后，点击右上角的应用和保存按钮，即可恢复实验九的配置。注：恢复完成之后可点击当前配置，打开当前配置文件进行察看，以确认已经正确恢复到实验九的配置。配置关于包过滤的日志策略，并进行察看和分析打开系统->日志统计对应的树形标签，并点击打开日志策略界面，如下图所示：点击右侧新增按钮，在如下界面中进行选择，并将获取的日志记录在日志II中，点击确定，系统提示操作成功。此时，在日志策略中又增加一条，如下所示：从PC1发送测试ping数据，并在日志列表II中进行察看，得到如下结果：我们发现，从Pc1发往Pc3的ping数据包均命中规则3，并允许通过，日志项目还列出了相关的协议类型和协议号以及头长度等信息供管理员进行察看。我们从PC1进行ftp登录PC3，登录成功之后，察看日志记录察看和分析，如下：，端口号为21，此包即为ftp登录数据包。同理，我们可以再次测试HTTP连通数据包的包过滤日志，如下：注意，此时的端口号为80，意味着是刚刚从pc1发送给Pc3的http数据包。从PC3发回给PC1的数据，根据我们的分析应该是被防火墙阻断的，我们测试的结果是不能连通，此时打开日志列表，我们察看到如下的条目：最下面的四个条目表示为Icmp的阻断条目，3-5条为端口号为80的TCP数据包，最上面的两个为端口号为21的TCP数据包，表示包过滤已经生效，成功进行了非法数据包的阻断。配置关于NAT的日志策略，并进行察看和分析按照如上方法，我们可以配置有关地址转换的策略，并在日志II中进行察看，配置方法如下：点击修改刚刚的日志策略，勾选地址转换，并将包过滤选掉，点击确定，系统提示成功后，应用并保存即可。此时，我们再次使用PC1向PC3发送ping数据包，得到连通的结果后，打开日志列表，将得到如下列表项：这里5-8项表示从内网主机发往外网的数据包在防火墙中启动了一个地址转换过程，并生成了对应的列表条目，1-4项表示释放防火墙NAT表项的日志记录，这八项构成了刚刚发送的4个Ping数据包经过防火墙时的双向记录日志信息。在PC机安装防火墙日志管理系统logview先安装MSDE2000。这里需要自行设置密码，是数据库用户sa的密码。安装完成后重新启动计算机，注意一定要先重启再安装DCNLogView安装程序。 重启之后，系统提示正在安装对应的控制面板项，表明MSDE正在进行最后的设置，接下来开始安装DCNLogView系统。运行DCNLogView安装程序。过程比较简单，这里不再赘述。删除可能存在的其他ODBC数据源接下来进入：开始－设置－控制面板－管理工具－数据源(ODBC)－用户DSN，将里面的Logtrap删除掉，如下所示。运行DCNLogView这时DCNLogView需要创建数据库请稍微等待几秒钟，即可登录。数据库创建完毕，系统出现如下登录框，用户名admin，初始密码admin。点击登录后，进入系统主界面：启动SYSLOG服务点击启动SNMP，启动SYSLOG，则当前状态变成如下所示：使用Logview对防火墙进行日志察看和分析在使用Logview对防火墙进行日志查看和分析之前需要添加防火墙部件，如下图所示：在弹出的对话框中输入防火墙的IP地址（这个地址是与当前的PC机直接连接的接口地址）点击确定之后，系统将提示成功地添加了一个部件。我们使用前面关于NAT的日志策略并将其策略发送进行更新配置如下：此时如果生成日志记录，将直接发送到syslog和snmp服务器中。在日志/统计->设置中配置syslog和SNMP的主机地址，如上所示为配置syslog主机地址（本例中为LAN口PC机），如下所示为配置SNMP主机地址和相关参数。应用并保存此配置。这里将更加直观地显示有关NAT的日志信息。我们可以使用此系统将日志整理成excel表格保存起来。系统提示：点击确定，即可打开excel进行整理、另存的操作。共同思考在防火墙图形化界面下，如何清空日志列表？在防火墙日志管理系统中，如何清空当前日志列表？课后练习熟练使用防火墙日志管理系统进行各种有关日志的操作和分析。相关配置命令详解logpolicylist描述该命令用于显示所有的日志策略语法logpolicylist例子#logpolicylistID:1ENABLEMODULES:SystemPRIORITIES:EMERGENCYALERTCRITICALERRORWARNINGNOTICEINFORMATIONDEBUGDESTINATION:master.....相关命令logpolicyenable,logpolicydisable,logpolicyadd,logpolicymodify,logpolicydellogpolicyenable|disable描述该命令用于激活指定序号的日志策略语法logpolicyenable|disable<id>例子#logpolicylistID:1ENABLEMODULES:SystemPRIORITIES:EMERGENCYALERTCRITICALERRORWARNINGNOTICEINFORMATIONDEBUGDESTINATION:master#logpolicydisable1相关命令logpolicylist,logpolicyadd,logpolicymodify,logpolicydellogpolicyadd描述该命令用于增加一条日志策略语法logpolicyadd<flags:anfcHTSORhPIi><priority:0..7><dst:mbyse>参数flags:指定要显示的日志应包括那些类型，可以是anfcHTSORhPIi的任意组合,若不指定则缺省显示所有日志。a系统日志nfNAT日志包过滤的日志c连接状态日志HHttp代理日志TTelnet代理日志SSmtp代理日志OPop3代理日志R事前认证日志hha日志P选用PPP协议VPN日志Ii选用Ipsec协议VPN日志流探测日志<priority:0..7>：指日志级别，级别分为8种（0--7）,0的级别最高，7的级别最低。级别的含义分别是：0：EMERGENCY1：ALERT2：CRITICAL3：ERROR4：WARNING5：NOTICE6：INFORMATION7：DEBUG<dst:mbyse>：指日志处理方式，mbyse分别指发送本地一、发送本地二日志、外发syslog主机、外发snmptrap主机、email告警等，用户可根据需要选择。例子#logpolicyaddT1m相关命令logpolicylist,logpolicyenable,logpolicydisable,logpolicymodify,logpolicydellogpolicymodify描述该命令用于修改指定序号的日志策略语法logpolicymodify<id><flags:anfcHTSORhPIi><priority:0..7><dst:mbyse>参数flags:指定要显示的日志应包括那些类型，可以是anfcHTSORhPIi的任意组合,若不指定则缺省显示所有日志。（flags、priority、dst中的各项具体含义参见上面logpolicyadd所述）例子#logpolicymodify1S2b相关命令logpolicylist,logpolicyenable,logpolicydisable,logpolicyadd,logpolicydellogpolicydel描述该命令用于删除指定序号的日志策略语法logpolicydel<id>参数id指日志策略的序号例子#logpolicydel1相关命令logpolicylist,logpolicyenable,logpolicydisable,logpolicyadd,logpolicymodifylogsyslogfacility描述该命令用于设置syslog日志的设备类型（FACILITY）和级别（LEVEL）语法logsyslogfacility<facility>参数facility设备类型,可以是local0到local7中的一个例子#logsyslogfacilitylocal1相关命令无logwebtrendsenable|disable描述该命令用于是否启用WebTrends输出syslog日志功能语法logwebtrends<enable/disable>参数enable|disable启用或关闭WebTrends输出syslog日志功能例子#logwebtrendsenable相关命令无logtrapcommunityname描述该命令用于设置SNMP的communityname语法logtrapcommunityname<communityname>参数communityname要设置的SNMPCommnunityName例子#logtrapcommunitynamepublic相关命令logtrapsyscontact，logtraplocationlogtrapsyscontact描述该命令用于设置SNMP的syscontact(联系人)语法logtrapsyscontact<syscontact>参数syscontact要设置的SNMP联系人例子#logtrapsyscontactsong相关命令logtrapcommunityname，logtraplocationlogtraplocation描述该命令用于设置SNMP的location(联系地址)语法logtraplocation<location>参数locatioin要设置的SNMP联系地址例子#logtraplocation“BeijingChina”相关命令logtrapsyscontact，logtrapcommnunitynamemailalarmlist描述该命令用于显示发送EMAIL日志告警的有关配置，包括外发邮件服务器的设置、发送者接收者地址及发送统计图的设置列表。语法mailalarmlist例子#mailalarmlistState:enabledMailserversetting:serverport:25loginmethod:AuthLoginMethodloginname:DCFW-1800loginpassword:***Sendandreceivesetting:sendername:DCFW-1800subject(dufault):DCFW-1800系列防火墙告警!!!interval:5(mins)mailcharset(default):ChineseSimplified(GB2312)Countsetting:sendcountstate:enabledsendcountpicstime:07:00相关命令mailalarmenable,mailalarmdisable,mailalarmserver,mailalarmsendreceive,mailalarmcounterenable,mailalarmcounterdisablemailalarmenable|disable描述该命令用于启用或不启用EMAIL日志告警功能语法mailalarmenable|disable例子#mailalarmdisable#mailalarmlistState:disabled……相关命令mailalarmlist,mailalarmserver,mailalarmsendreceive,mailalarmcounterenable,mailalarmcounterdisable,logenable,logsyslogenable,logtrapenablemailalarmserver描述该命令用于配置外发邮件服务器，包括域名、端口、登录方式及用户名等语法mailalarmserver<name><port><loginmethod><username>参数name外发服务器域名port外发服务器端口loginmethod登录方式（0:不需要认证；1:需要认证密码；2:明文认证）username用户名（当登录方式为0时，此选项禁用）例子Password:***Retype:***Lookingupealarmmailserver...OK#mailalarmlistState:enabledMailserversetting:serverport:25loginmethod:Authloginname:DCFW-1800loginpassword:***……相关命令mailalarmlist,mailalarmenable,mailalarmdisable,mailalarmsendreceive,mailalarmcounterenable,mailalarmcounterdisablemailalarmsendreceive描述该命令用于配置邮件发送及接收者的相关信息语法mailalarmsendreceive<sendername><senderaddr><receiveraddrs><interval(mins)>参数sendername发送者名称senderaddr发送者邮件地址receiveraddrs接收者邮件地址interval(mins)发送间隔时间(单位:分钟，规定在1-90分钟)例子#mailalarmsendreceiveDCFW-18005#mailalarmlist……Sendandreceivesetting:sendername:DCFW-1800subject(dufault):DCFW-1800系列防火墙告警!!!interval:5(mins)……相关命令mailalarmlist,mailalarmenable,mailalarmdisable,mailalarmserver,mailalarmcounterenable,mailalarmcounterdisablemailalarmcounterenable描述该命令用于启用定时发送在统计规则中指定发送的统计图语法mailalarmcounterenable<sendtime(hh:mm)>参数sendtime(hh:mm)定时发送时间(格式为hh:mm)例子#mailalarmcounterenable08:00#mailalarmlist……Countsetting:sendcountstate:enabledsendcountpicstime:08:00……相关命令mailalarmlist,mailalarmenable,mailalarmdisable,mailalarmserver,mailalarmsendreceive,mailalarmcounterdisablemailalarmcounterdisable描述该命令用于取消启用定时发送统计图功能语法mailalarmcounterdisable例子#mailalarmcounterdisable相关命令mailalarmlist,mailalarmenable,mailalarmdisable,mailalarmserver,mailalarmsendreceive,mailalarmcounterenablelogdump1描述该命令用于查看存放在本地一中日志信息,日志按时间的新旧排序，每满一屏显示暂停，按q键退出，按其他任意键继续显示下一屏。语法logdump1[flags:anfcHTSORhPIi]参数flags:指定要显示的日志应包括那些类型，可以是anfcHTSORhPIi的任意组合,若不指定则缺省显示所有日志。a系统日志nfNAT日志包过滤的日志c连接状态日志Hhttp代理日志TTelnet代理日志SSmtp代理日志OPop3代理日志R事前认证日志hha日志P选用PPP协议VPN日志Ii选用Ipsec协议VPN日志流探测日志例子#logdump1＊＊module(System),priority(INFO),time(2002-08-0914:31:15),command:logdump1,fromconsolemodule(System),priority(INFO),time(2002-08-0914:27:38),command:logmon*,fromconsolemodule(System),priority(INFO),time(2002-08-0914:27:29),command:logmona,fromconsole…相关命令logdump2,logmonlogdump2描述该命令用于查看存放在本地二中的日志信息,日志按时间的新旧排序，每满一屏显示暂停，按q键退出，按其他任意键继续显示下一屏。语法logdump2[flags:anfcHTSORhPIi]参数flag:指定要显示的日志应包括那些类型，可以是anfcHTSORhPIi(略,具体含义同前logdump1所述)的任意组合,若不指定则缺省显示所有日志。例子#