Cuando tanto el USG/Eudemon/SRG/EGW (en adelante, el dispositivo) como el LogCenter se implementan en la red, el dispositivo se puede configurar para enviar registros al LogCenter para su administración y auditoría, lo que ayuda a los usuarios a aprender sobre el tiempo y el tráfico histórico, así como el estado de seguridad actual de la red. El siguiente ejemplo muestra la implementación general y las configuraciones básicas del dispositivo y el LogCenter.
Requisitos de red
Una empresa ya ha implementado el dispositivo y el LogCenter.
El dispositivo se utiliza para separar usuarios de la intranet (zona de confianza), clústeres de servidores (DMZ) e Internet (zona de no confianza). Se habilita con las funciones UTM (como AV) y otras funciones de seguridad. Proporciona servicios NAT para el acceso de los usuarios de la intranet a los clústeres de servidores e Internet.
Los registros binarios del dispositivo, los registros del sistema o los registros de flujo de red se pueden recopilar implementando el LogCenter, y estos registros ayudan a los usuarios a rastrear de forma precisa NAT e identificar amenazas de seguridad.
Planificación de redes
La figura 1 muestra la planificación de la red.
La zona Trust se conecta a los usuarios de la red interna mediante un conmutador de agregación.
Todos los servidores de servicio, incluidos el recopilador de registros de LogCenter y el analizador de LogCenter, se implementan en la DMZ.
Un enrutador de puerta de enlace se implementa en la zona Untrust para conectarse a Internet.
A continuación se enumeran las claves de planificación de direcciones. Se omite la planificación de direcciones de los usuarios de la red interna y los clústeres de servidores, así como la división VLAN del conmutador de convergencia.
Figura 1 plan de red
http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/firewall_cfg/cfg_sys/images/sec_vsp_cfg_infocenter_0047_fig1.png
Objeto | Datos | Descripción |
(1) | Número de interfaz: GigabitEthernet 0/0/1 Dirección IP: 172.16.0.1/24 Zona de seguridad: Trust | GigabitEthernet 0/0/1 se conecta al switch de agregación en la red interna. |
(2) | Número de interfaz: GigabitEthernet 0/0/2 Dirección IP: 192.168.0.1/24 Zona de seguridad: DMZ | GigabitEthernet 0/0/2 se conecta al área del servidor. |
(3) | Número de interfaz: GigabitEthernet 0/0/3 Dirección IP: 10.1.1.1/24 Zona de seguridad: Untrust | GigabitEthernet 0/0/3 se conecta al router de la puerta de enlace. |
Recopilador de registro | Dirección IP: 192.168.1.1/24 | El recopilador de registros se utiliza para recibir información de registro enviada desde el dispositivo. Se implementa en la DMZ. |
Analizador LogCenter | Dirección IP: 192.168.2.1/24 | El analizador está desplegado en la DMZ. Realiza la gestión de alarmas, la gestión de informes, la gestión de usuarios, la gestión de NE, la gestión del rendimiento y la gestión del sistema del LogCenter.. |
Consola | Dirección IP: 172.16.4.1/24 | Puede acceder al LogCenter por un navegador. |
Administradores y permisos existentes en el LogCenter | Cuenta de administrador admin, Contraseña Changeme123. Los permisos incluyen: · Descubriendo NEs · Asociando NEs · Manejo del dispositivo
· Consulta de registros de sesión. |
Mapa de configuración
La hoja de ruta para configurar este caso es la siguiente:
Configure la dirección IP de la interfaz y otras funciones básicas de seguridad en el dispositivo.
Configure el dispositivo para enviar varios registros. Para situaciones reales que este ejemplo no cubre, habilite las funciones de registro correspondientes según las necesidades reales.
Habilitar la función de registro de filtrado de paquetes.
Habilitar la función syslog.
Habilitar la función de registro binario.
Habilite la función de registro de flujo de red (solo proporcionada por Eudemon8000E V200R001C01).
Inicie sesión en LogCenter, descubra el dispositivo de firewall, asocie el dispositivo con el recopilador de registros y configure el método de recopilación de registros para el dispositivo.
http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/public_sys-resources/icon-notice.gif
NOTESE:
La dirección IP del dispositivo que se encuentra en LogCenter debe ser coherente con la dirección IP de origen especificada para enviar registros en el dispositivo.
http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/public_sys-resources/icon-note.gif
NOTA:
Este ejemplo se centra en las configuraciones del interfuncionamiento entre el dispositivo y el LogCenter. Se omiten otras funciones básicas. Configure las rutas correspondientes para garantizar que los dispositivos sean enrutables.
Los pasos 1 a 6 son las configuraciones del dispositivo.
Los pasos 8 a 9 son las configuraciones del LogCenter.
Procedimiento
Sincronice la zona horaria y la hora del dispositivo con las del recolector de registros.
# Sincronice la zona horaria del dispositivo con la del recolector de registros.
http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/public_sys-resources/icon-note.gif
NOTA:
C8 es un nombre de zona horaria definido por el usuario. Pekín se usa como ejemplo aquí. La hora de Beijing es ocho horas antes que la hora universal coordinada (UTC) predeterminada en el dispositivo. Por lo tanto, añadir 08:00:00 es adoptado; sin embargo, si UTC es anterior a la hora de Beijing, se adopta menos.
La configuración de la zona horaria varía con el modelo del dispositivo. Para más detalles, consultar el manual del modelo correspondiente.
<sysname> clock timezone c8 add 08:00:00
# Sincronice la hora del dispositivo con la del recolector de registros. Por ejemplo, si la hora del recopilador de registros es 00:00:00 2010-11-01, realice las siguientes configuraciones en el dispositivo:
<sysname> clock datetime 0:0:0 2010/11/01Configure los parámetros SNMP del NE para que pueda encontrar el NE en el LogCenter.
<sysname> system-view[sysname] snmp-agent[sysname] snmp-agent sys-info version v3[sysname] mib-view included snmp_view iso[sysname] snmp-agent group v3 testgroup privacy read-view snmp_view write-view snmp_view notify-view snmp_view[sysname] snmp-agent usm-user v3 testuser testgroup authentication-mode sha Auth@123 privacy-mode aes128 Priv@123[sysname] quitConfigure la dirección IP de la interfaz en el dispositivo y luego agregue la interfaz a la zona de seguridad.
# Establezca las direcciones IP de las interfaces en el dispositivo. (Aquí hay un ejemplo de GigabitEthernet 0/0/1.)
[sysname] interface GigabitEthernet 0/0/1[sysname-GigabitEthernet0/0/1] ip address 172.16.0.1 24[sysname-GigabitEthernet0/0/1] quit# Agregar las interfaces en el dispositi**** la zona de seguridad. (Aquí hay un ejemplo de GigabitEthernet 0/0/1.)
[sysname] firewall zone trust[sysname-zone-trust] add interface GigabitEthernet 0/0/1[sysname-zone-trust] quitConfigure la función de filtrado de paquetes entre zonas y configure una regla de ACL para registrar paquetes coincidentes.
# Habilite las reglas de filtrado de paquetes entre zonas para garantizar el funcionamiento normal de varios servicios y registrar paquetes coincidentes. (Este es un ejemplo de cómo permitir que la red 172.16.4.0/24 acceda a Internet).
http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/public_sys-resources/icon-note.gif
NOTA:
La configuración varía según el modelo del producto. Para más detalles, consulte la documentación relevante del producto de modelos específicos.
Modelo | Comando |
Comandos de configuración para productos de gama baja, como USG2100 V100R003 | [sysname] acl 2001 [sysname-acl-basic-2001] rule 0 permit source 172.16.4.0 0.0.0.255 logging [sysname-acl-basic-2001] quit [sysname] firewall interzone trust untrust [sysname-interzone-trust-untrust] packet-filter acl 2001 outbound [sysname-interzone-trust-untrust] quit |
Comandos de configuración para productos de gama media, como USG5300 / 5500 V200R001 y USG2110-X/2100/2200/5100/5500 V300R001 | [sysname] policy interzone trust untrust outbound [sysname-policy-interzone-trust-untrust-outbound] policy 1 [sysname-policy-interzone-trust-untrust-outbound-1] policy source 172.16.4.0 0.0.0.255 [sysname-policy-interzone-trust-untrust-outbound-1] policy logging [sysname-policy-interzone-trust-untrust-outbound-1] action permit [sysname-policy-interzone-trust-untrust-outbound-1] quit [sysname-policy-interzone-trust-untrust-outbound] quit |
Comandos de configuración para Eudemon8000E V200R001C01 | [sysname] acl 2000 [sysname-acl-basic-2000] rule permit source 172.16.4.0 0.0.0.255 logging [sysname-acl-basic-2000] quit [sysname] firewall interzone trust untrust [sysname-interzone-trust-untrust] packet-filter 2000 outbound [sysname-interzone-trust-untrust] quit |
Habilitar las funciones de recopilación y envío de syslogs.
# Recopile todos los registros de los módulos funcionales en el dispositivo (incluida la información y los registros de nivel superior).
[sysname] info-center source default channel 2 log level informational# Redirigir los registros del sistema en el centro de información al recolector de registros (en 192.168.1.1).
[sysname] info-center loghost 192.168.1.1http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/public_sys-resources/icon-note.gif NOTA:
Los registros del dispositivo pueden ser resueltos correctamente por el recolector de registros solo si la propiedad de idioma está establecida en inglés. Por lo tanto, configure el idioma en inglés o no establezca la propiedad de idioma cuando ejecute el comando info-center loghost.
# Configure la interfaz de origen para enviar syslogs en el centro de información como GigabitEthernet0/0/2 que se conecta a la DMZ.
[sysname] info-center loghost source GigabitEthernet 0/0/2
http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/public_sys-resources/icon-note.gif
NOTA:
No configure la interfaz de administración del dispositivo como la interfaz de origen para enviar registros. De lo contrario, el rendimiento del dispositivo se deteriora y cierto servidor de seguridad no puede enviar registros a través de la interfaz de administración.
# Habilite la función de recolección de tráfico y la función de medición de tráfico. Debido a que la función de monitoreo de tráfico monitorea y recolecta todo el tráfico que pasa a través del sistema, realice esta operación según sea necesario.
[sysname] firewall log stream enablehttp://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/public_sys-resources/icon-note.gif NOTA:
Los productos USG2100 V100R003, E200E-B V100R002 no admiten este comando.
[sysname] firewall statistic system enablehttp://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/public_sys-resources/icon-note.gif
NOTA:
El Eudemon8000E V200R001C01 no admite este comando.
Habilitar las funciones de recopilación y envío de registros binarios.
# # Habilite la función de grabación de los registros de sesión para la interzona según la situación real. Los flujos de datos en la interzona Trust-Untrust se utilizan como ejemplo aquí.
[sysname] acl 2000[sysname-acl-basic-2000] rule permit[sysname-acl-basic-2000] quit[sysname] firewall interzone trust untrust[sysname-interzone-trust-untrust] session log enable acl-number 2000 inbound[sysname-interzone-trust-untrust] session log enable acl-number 2000 outbound[sysname-interzone-trust-untrust] quit# Redirigir los registros binarios al recolector de registros (en 192.168.1.1). Configure la dirección IP de origen para enviar registros binarios como la dirección IP del GigabitEthernet0/0/2 que se conecta a la DMZ.
http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/public_sys-resources/icon-note.gif
NOTA:
La configuración puede variar según el modelo del producto. Para obtener más información, consulte la documentación relevante del producto de modelos específicos. A continuación se utilizan los modelos de los firewall de uso común para demostrar las configuraciones.
Modelo | Comando |
USG2200/5100/5300 V100R003 and Eudemon 200B V100R002 | [sysname] firewall session log-type binary host 192.168.1.1 9002 NOTA: El producto de esta versión no admite la configuración de la dirección IP para enviar registros binarios. |
USG2110-X/2100/2200/5100 V100R005 and Eudemon 200E-B/C/F/X V100R005 | [sysname] firewall session log-type binary host 192.168.1.1 9002 source 192.168.0.1 1616 |
USG5300/5500 V200R001, Eudemon 1000 V200R001 and USG2110-X/2100/2200/5100/5500 V300R001 | [sysname] firewall session log-type binary host 1 192.168.1.1 9002 [sysname] firewall session log-type binary source 192.168.0.1 1616 |
Eudemon8000E V200R001C01 | [sysname] firewall log host 1 192.168.1.1 9002 [sysname] firewall log source 192.168.0.1 1616 |
http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/public_sys-resources/icon-note.gif
NOTA:
192.168.1.1 es la dirección IP del recopilador de registros de LogCenter y 9002 es la interfaz predeterminada en el LogCenter que recopila registros binarios.
192.168.0.1 es la dirección IP de la interfaz para enviar registros binarios. Si la dirección IP de la interfaz que envía registros binarios y la dirección IP de LogCenter están en diferentes segmentos de red, asegúrese de que las dos direcciones IP sean enrutables. El puerto 1616 es para enviar registros binarios y puede ser definido por los usuarios (en el caso de que no exista uno).
(Opcional) Habilite las funciones de recopilación y envío de los registros de flujo de red (solo provisto por Eudemon8000E V200R001C01).
http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/public_sys-resources/icon-note.gif
NOTA:
Puede configurar la función de envío de los registros de netflow o la de los registros binarios.
# Habilite la función de grabación de los registros de netflow para la interzona según la situación real. Los flujos de datos en la interzona Trust-Untrust se utilizan como ejemplo aquí.
[sysname] acl 2000[sysname-acl-basic-2000] rule permit[sysname-acl-basic-2000] quit[sysname] firewall interzone trust untrust[sysname-interzone-trust-untrust] session log enable acl-number 2000 inbound[sysname-interzone-trust-untrust] session log enable acl-number 2000 outbound[sysname-interzone-trust-untrust] quit# Habilite el firewall para enviar registros de sesión de Netflow.
[sysname] firewall log session log-type netflow# Redirigir los registros de flujo de red al recolector de registros (en 192.168.1.1). Establezca la dirección IP de origen para enviar los registros de Netflow como la dirección IP de GigabitEthernet0/0/2 que se conecta a la DMZ.
[sysname] firewall log host 1 192.168.1.1 9996
[sysname] firewall log source 192.168.0.1 1617
http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/public_sys-resources/icon-note.gif
NOTA:
192.168.1.1 es la dirección IP del recopilador de registros de LogCenter y 9996 es la interfaz predeterminada en el LogCenter que recopila los registros de netflow.
192.168.0.1 es la dirección IP de la interfaz para enviar registros de flujo de red. Si la dirección IP de la interfaz que envía los registros de Netflow y la dirección IP de LogCenter están en diferentes segmentos de red, asegúrese de que las dos direcciones IP sean enrutables. El puerto 1617 es para enviar registros de flujo de red y puede ser definido por los usuarios (en el caso de que no exista uno).
Descubre dispositivos en el LogCenter.
Inicie sesión en LogCenter con la cuenta de administrador user01.
Seleccione Resources> Resource Management> NEs.
Compruebe si el dispositivo de firewall se muestra en los NEs.
Si es así, realiza 9
Si no, realice 8.d.
Establezca la plantilla de parámetros SNMP en el lado de LogCenter.
Seleccione Resources> Template Management> SNMP Templates.
Haga clic en
http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/firewall_cfg/cfg_sys/images_common/create.png para crear la plantilla de parámetros SNMP. La figura 2 muestra la página.
Figura 2 Crear la plantilla de parámetros SNMP
http://localhost:7890pages/DEE0603J/02/DEE0603J/02/resources/firewall_cfg/cfg_sys/images_common/vsm_cfg_analyze_fire_fig001.png
http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/public_sys-resources/icon-note.gif
NOTA:
El protocolo de autenticación y la contraseña, el protocolo de cifrado de datos y la contraseña deben especificarse de la misma manera que los del dispositivo.
Haga clic en OK.
Configure los parámetros de descubrimiento para descubrir NE.
Seleccione Resources > Resources Management> NEs.
Haga clic en Automatic Discovery para configurar los parámetros de descubrimiento. La figura 3 muestra la página.
Figura 3 Configurar los parámetros de descubrimiento
http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/firewall_cfg/cfg_sys/images_common / vsm_cfg_analyze_fire_fig006.png
Haga clic en Start Discovery.
La información sobre los NE descubiertos se muestra después de que se completa el descubrimiento de NE. Haga clic en Close en el cuadro de diálogo Discovery Result.
Asocie el dispositi****l recopilador de registros y configure el método de recopilación de registros para el dispositivo.
Seleccione Resources > Resources Management> Collector Manager.
Haga clic en
http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/firewall_cfg/cfg_sys/images_common/associated_NE.png a la derecha del recopilador de registros para que el dispositivo sea administrado.
Haga clic en
http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/firewall_cfg/cfg_sys/images_common/add.png.
Seleccione el dispositivo.
La figura 4 muestra la página.
Figura 4 Seleccionando un NE
http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/firewall_cfg/cfg_sys/images_common/vsm_cfg_analyze_fire_fig002.png
Haga clic en Next para configurar el método de recopilación de registros para el dispositivo. (Como ejemplo se utiliza la recopilación de registros del sistema y registros binarios).
Seleccione SYSLOG y SESSION para permitir que el dispositivo envíe syslogs y registros binarios al recopilador de registros, y seleccione Enable the UTM feature. La figura 5 muestra la página.
Figura 5 Configuración del método de recopilación de registros para el dispositivo
http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/firewall_cfg/cfg_sys/images_common/vsm_cfg_analyze_fire_fig003_logcenter.png
Haga clic en Finish.
Verificación de resultados
Una vez completadas todas las configuraciones (incluida la implementación y la configuración de LogCenter), puede abrir el navegador IE en la consola (172.16.4.1) e ingresar la dirección de inicio de sesión https://192.168.2.1/, es decir, la dirección IP de El analizador LogCenter, para acceder a la página de inicio de sesión.
Si inicia sesión como administrador admin, puede consultar los registros del sistema y las sesiones en el dispositivo.
Verifique si se puede recibir el syslog en el LogCenter.
Seleccione Log Analysis> Network Security> Event Query. Se puede consultar el syslog del dispositivo. La figura 6 muestra la página.
Figura 6 Resultado de consultas de syslogs
http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/firewall_cfg/cfg_sys/images_common/vsm_cfg_analyze_fire_fig004.png
Verifique si las sesiones se pueden recibir en el LogCenter.
Seleccione Log Analysis > Session Analysis > IPv4 Session Query. Se pueden consultar las sesiones del dispositivo. La figura 7 muestra la página.
Figura 7 Resultado de la consulta de registros de sesión
http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/firewall_cfg/cfg_sys/images_common/vsm_cfg_analyze_fire_fig005.png
Scripts de configuración
Este ejemplo proporciona solo los scripts de configuración del interfuncionamiento entre el dispositivo y el LogCenter.
http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/public_sys-resources/icon-note.gif
NOTA:
Los scripts de configuración utilizan el USG5300 / 5500 V200R001 como ejemplo, y existen ciertas diferencias debido a las diferentes versiones.
# sysname USG/Eudemon/SRG/EGW # info-center loghost source GigabitEthernet0/0/2 info-center source default channel 2 log level informational info-center loghost 192.168.1.1 # firewall session log-type binary host 1 192.168.1.1 9002 firewall session log-type binary source 192.168.0.1 1616 # firewall statistic system enable firewall log stream enable # acl number 2000 rule 5 permit # interface GigabitEthernet0/0/1 ip address 172.16.0.1 255.255.255.0 # interface GigabitEthernet0/0/2 ip address 192.168.0.1 255.255.255.0 # interface GigabitEthernet0/0/3 ip address 10.1.1.1 255.255.255.0 # firewall zone local set priority 100 # firewall zone trust set priority 85 add interface GigabitEthernet0/0/1 # firewall zone untrust set priority 5 add interface GigabitEthernet0/0/3 # firewall zone dmz set priority 50 add interface GigabitEthernet0/0/2 # firewall interzone trust untrust session log enable acl-number 2000 inbound session log enable acl-number 2000 outbound # policy interzone trust untrust outbound policy 1 action permit policy logging policy source 172.16.4.0 0.0.0.255 #
