L'USG9500 V500R001 est utilisé comme exemple pour décrire comment utiliser le LogCenter pour visualiser les conditions de service de sécurité sur le pare-feu, y compris la défense d'attaque et le contrôle de comportement en ligne.
Exigences de mise en réseau
La protection de la sécurité de l'entreprise A repose principalement sur l'USG9500 (exécutant la version V500R001) déployée à la sortie du réseau de l'entreprise. Les fonctions UTM telles que la prévention des intrusions et l'antivirus sont activées sur le pare-feu pour empêcher les attaques provenant d'Internet. En outre, la fonction de stratégie d'audit permet de surveiller le comportement en ligne des employés. Cependant, les administrateurs réseau ne peuvent pas visualiser intuitivement les conditions de défense contre les attaques, l'utilisation du trafic réseau ou le comportement en ligne des employés.
Pour résoudre ce problème, l'entreprise A déploie le LogCenter, qui peut efficacement collecter les journaux du pare-feu, afficher les conditions de service du pare-feu et tracer et analyser le comportement en ligne des employés en termes de services P2P, messagerie, HTTP, MSN et QQ.
Figure 1 Schéma de réseau
http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/vsm_cfg/analyze/image/vsm_cfg_analyze_0615_fig017.png
Planification des données
Le tableau 1 montre la planification des données.
Tableau 1 Planification des données
Article | Les données | La description |
---|---|---|
(1) | Numéro d'interface: GigabitEthernet 0/0/1 Adresse IP: 172.16.0.1/24 Zone de sécurité: Trust | GigabitEthernet 0/0/1 se connecte au commutateur d'agrégation sur le réseau interne. |
(2) | Numéro d'interface: GigabitEthernet 0/0/2 Adresse IP: 192.168.0.1/24 Zone de sécurité: DMZ | GigabitEthernet 0/0/2 se connecte à la zone du serveur. |
(3) | Numéro d'interface: GigabitEthernet 0/0/3 Adresse IP: 10.1.1.1/24 Zone de sécurité: Untrust | GigabitEthernet 0/0/3 se connecte au routeur de passerelle. |
collecteur de journaux | Adresse IP: 192.168.1.1/24 | Le collecteur de journaux reçoit les informations de journal d'un périphérique spécifié et est déployé dans la zone démilitarisée. |
Analyseur LogCenter | Adresse IP: 192.168.2.1/24 | Cet analyseur est déployé dans la zone démilitarisée. Il gère les alarmes, les rapports, les utilisateurs, les NE et les performances du LogCenter . |
Console | Adresse IP: 172.16.4.1/24 | Vous pouvez accéder au LogCenterpar un navigateur. |
Paramètres SNMP |
| - |
Analyse des exigences
Le pare-feu utilise des stratégies de sécurité pour contrôler le transfert de paquets intrazone ou interzone. Il détecte et filtre le contenu des paquets en référençant les fonctions U****ans les stratégies de sécurité. La plupart des entreprises ont la prévention des intrusions et les fonctions antivirus UTM activées pour se défendre contre les attaques lancées depuis Internet. Si aucune carte de traitement du service de sécurité des applications n'est installée sur le pare-feu, vous pouvez exécuter la commande firewall log im enable pour activer la fonction de journalisation de messagerie instantanée. Si une carte de traitement de service de sécurité d'application a été installée, appliquez la stratégie d'audit pour surveiller de manière plus précise le comportement en ligne des employés de l'entreprise. Cet exemple suppose que la carte de traitement du service de sécurité des applications a été installée.
Pour permettre au LogCenter d'afficher les conditions de service du pare-feu et de suivre le comportement en ligne de l'utilisateur, effectuez les configurations suivantes sur le pare-feu:
Définissez les paramètres SNMP afin que LogCenter puisse détecter le pare-feu.
Activez les fonctions d'enregistrement du journal et de statistiques de trafic lors de la configuration des stratégies de sécurité et d'audit sur le pare-feu.
Définissez les paramètres d'envoi de journaux binaires et de flux de données sur le pare-feu, car les journaux de défense contre les attaques, les journaux de prévention des intrusions, les journaux antivirus et les journaux IM sont exportés vers le collecteur de journaux en tant que journaux de flux de données et les journaux de session exportés en tant que journaux binaires.
Configuration Roadmap
- Ajoutez le collecteur de journaux au LogCenter .
- Configurez le pare-feu pour envoyer les journaux au collecteur de journaux .
- Définissez les paramètres SNMP sur le pare-feu pour les communications avec LogCenter , afin que l'analyseur LogCenter puisse détecter le pare-feu.
- Réglez l'heure et le fuseau horaire du pare-feu sur les mêmes valeurs que l'analyseur et le collecteurLogCenter . Si l'heure est différente, les données de journal interrogées sur le LogCenter sont inexactes.
- Activez les fonctions UTM sur le pare-feu, configurez les stratégies antivirus et de prévention des intrusions, référencez les stratégies UTM lors de la configuration des stratégies de sécurité et activez l'enregistrement des journaux et les statistiques de trafic. Activer la stratégie d'audit sur le pare-feu et enregistrer les journaux.
- Configurez le pare-feu pour envoyer les journaux de session et de service à l'hôte du journal.
- Découvrez le pare-feu sur le LogCenter , associez le collecteur de journaux au pare-feu et définissez le mode de collecte des journaux sur DATAFLOW et SESSION sur le pare-feu.
http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/public_sys-resources/icon-note.gif
REMARQUE:
Cet exemple concerne uniquement la configuration de la mise en réseau entre le pare-feu et le LogCenter . Configurez les itinéraires appropriés pour assurer la connectivité IP entre le LogCenter et le pare-feu.
Procédure
Vérification des résultats
Pour vérifier la configuration, procédez comme suit:
- Connectez-vous à LogCenter en tant qu'utilisateur admin .
- Interrogez les rapports sur les classements d'événements de prévention d'intrusion.
- Choisissez .
Cliquez sur l'onglet Classement des événements , définissez les critères de recherche, puis cliquez sur Rechercher .
http: // localhost: 7890 / pages / DEE0603J / 02 / DEE0603J / 02 / resources / vsm_cfg / analyse / image / vsm_cfg_analyze_0615_fig011.png
Cliquez sur l'onglet Tendance des événements , définissez les critères de recherche, puis cliquez sur Rechercher .
http: // localhost: 7890 / pages / DEE0603J / 02 / DEE0603J / 02 / resources / vsm_cfg / analyse / image / vsm_cfg_analyze_0615_fig012.png
- Interrogez les rapports sur le classement des événements antivirus.
- Choisissez .
Cliquez sur l'onglet Classement des événements de virus , définissez les critères de recherche, puis cliquez sur Rechercher .
http: // localhost: 7890 / pages / DEE0603J / 02 / DEE0603J / 02 / resources / vsm_cfg / analyse / image / vsm_cfg_analyze_0615_fig013.png
Cliquez sur l'onglet Tendance des événements , définissez les critères de recherche, puis cliquez sur Rechercher .
http: // localhost: 7890 / pages / DEE0603J / 02 / DEE0603J / 02 / resources / vsm_cfg / analyse / image / vsm_cfg_analyze_0615_fig014.png
- Interrogez le classement des utilisateurs par volume de trafic.
- Choisissez .
Cliquez sur l'onglet Classements utilisateur / adresse IP par volume de trafic , définissez les critères de recherche, puis cliquez sur Rechercher .
http: // localhost: 7890 / pages / DEE0603J / 02 / DEE0603J / 02 / resources / vsm_cfg / analyse / image / vsm_cfg_analyze_0508_fig001.png