华为防火墙与日志存储服务器系统配置(对异常流量做记录存储与核查提供依据)

这篇具有很好参考价值的文章主要介绍了华为防火墙与日志存储服务器系统配置(对异常流量做记录存储与核查提供依据)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一、适用场合

1、网络终端量大,成百上千(本例实测5000左右终端正常,上万的并发量未经测试是否合适)。
2、当有异常的访问时,排查具体的网段、ip地址、物理设备。
3、在现运行网络的基础上完成配置过程,不增加硬件投资。

二、准备工作

1、虚拟化服务器server2008 R2,用于日志的存储。
2、3CDEAMON工具运行在server2008上,用于开启syslog服务。
3、win10客户端下载nc/nc64工具测试udp端口的连通性。
4、华为防火墙、核心交换机、虚拟化DHCP服务器、虚拟化日志存储服务器的配置。(虚拟化配置与打通网络的配置本文不赘述,可参考前面写过的博文,本文主要以日志的配置与存储为主。)
5、虚拟化DHCP服务器server 2016用于对终端分配动态的ip地址。
6、拓扑图
华为防火墙日志服务器搭建,服务器,运维,网络,华为,ssh

三、配置过程

(一)虚拟化服务器server2008 R2基本配置,用于日志的存储

1、从server 2016的DHCP服务器上对日志存储服务器进行动态获取ip地址的绑定,相当于手动给日志服务器配置一个固定的ip地址,此处使用DHCP服务器绑定的原因在于,环境内使用的服务器数量较多,对日常业务服务器的网段已经开始了DHCP服务,为避免手动配置的ip地址与动态获取ip地址的冲突,所以进行了保留地址的配置,以确保该ip地址不会再分配给其他新增加的服务器。
华为防火墙日志服务器搭建,服务器,运维,网络,华为,ssh
2、开启server 2008 R2上的UDP 514端口与UDP 1617端口
华为防火墙日志服务器搭建,服务器,运维,网络,华为,ssh
华为防火墙日志服务器搭建,服务器,运维,网络,华为,ssh
华为防火墙日志服务器搭建,服务器,运维,网络,华为,ssh
华为防火墙日志服务器搭建,服务器,运维,网络,华为,ssh
下一步,取名称,完成,防火墙的访问规则列表中出现了新建的规则后,即OK,如下图:
华为防火墙日志服务器搭建,服务器,运维,网络,华为,ssh
3、在server 2008 R2上配置3CDaemon工具,开启syslog日志服务,并将日志保存路径指定,如下图:
华为防火墙日志服务器搭建,服务器,运维,网络,华为,ssh
4、在server 2008 R2上查看本机已经开启的端口,使用命令netstat –ano,可以很清晰看到UDP的514端口已经开启好
华为防火墙日志服务器搭建,服务器,运维,网络,华为,ssh
(二)华为防火墙上的日志接口配置(前提:防火墙与虚拟化服务器的网络已经打通)
1、从核心交换机到防火墙上的千兆光口流量达到了85%左右,所以本例中配置了2个光口为eth-trunk的逻辑捆绑模式,防止内网到防火墙之间的主链路故障或出现带宽瓶颈
(1)防火墙端配置指令如下:
interface Eth-Trunk1 #创建逻辑接口eth-trunk 1
ip address 192.168.X.X 255.255.255.0 #配置逻辑接口的ip地址,与核心交换机网络接通
pim sm #因经常有直播业务,开启三层上的直播稀疏模式
alias Eth-Trunk1 #给逻辑接口取别名
service-manage ssh permit #仅允许内网ssh模式远程连接到防火墙
firewall defend ipcar source session-rate-limit enable #开启新建会话数量的限制,防止DDOS攻击,具体的值视情况配置参数
interface GigabitEthernet1/0/8 #进入G1/0/8端口,将它加入到逻辑捆绑的链路当中
description neiwang1 #对该接口进行描述,便于以后维护
undo shutdown #开启该物理接口
eth-trunk 1 #把物理接口添加到逻辑捆绑的链路

interface GigabitEthernet1/0/9 #将G1/0/9端口加入到逻辑捆绑的链路当中
description neiwang2
undo shutdown
eth-trunk 1
(2)配置前的防火墙查看端口流量如下图:display interface brief
华为防火墙日志服务器搭建,服务器,运维,网络,华为,ssh
(3)防火墙配置之后的端口及流量情况如下,很明显eth-trunk 1的2条物理链路分别承担了网络的流量,平均为40%左右,起到了负载均衡的作用,而且能实现冗余,当其中一条出现故障,另一条仍然能正常工作,不会影响用户的体验:
华为防火墙日志服务器搭建,服务器,运维,网络,华为,ssh
2、核心交换机端的配置
(1)配置指令:
interface Eth-Trunk1 #创建逻辑捆绑接口eth-trunk 1
undo portswitch #开启接口的三层模式
description neiwang1_g1/1/14and g 1/1/15 #描述,用于日常维护
ip address 192.168.X.X 255.255.255.0 #给eth-trunk 1配置ip地址,与防火墙接通
ip verify source-address #检查数据包的源地址是否正常,防攻击
interface GigabitEthernet1/1/14 #将物理接口g1/1/14加入到逻辑捆绑接口
eth-trunk 1

interface GigabitEthernet1/1/15 #将物理接口g1/1/14加入到逻辑捆绑接口
eth-trunk 1
security-policy #配置防火墙安全策略
rule name 501教室 #策略命名
session logging #开启会话日志
source-zone trust #指定源安全区域为trust
destination-zone untrust #指定目标安全区域为untrust
source-address address-set 501教室 #配置目的地址池
action permit #允许以上配置应用
rule name 502教室 #策略命名
session logging #开启会话日志
source-zone trust #指定源安全区域为trust
destination-zone untrust #指定目标安全区域为untrust
source-address address-set 502教室 #配置目的地址池
action permit #允许以上配置应用
ip address-set 501教室 type object #配置对应名称的地址池
address 0 192.168.70.0 mask 24 #指定地址池对应的网段
ip address-set 502教室 type object #配置对应名称的地址池
address 0 192.168.71.0 mask 24 #指定地址池对应的网段

(2)核心交换机配置后的结果如下图,逻辑捆绑链路中的2条物理链路各负载分担40%左右,既实现了负载均衡也能实现冗余备用。

华为防火墙日志服务器搭建,服务器,运维,网络,华为,ssh
3、华为防火墙上的日志配置如下图:
(1)配置指令
log type traffic enable #开启流量策略,所有命中安全策略的流量日志都会被记录到存储介质中。
log type syslog enable #记录日志功能已开启
log type policy enable #策略命中日志全局开关开启
firewall log source 192.168.X.X 1617 #配置防火墙日志的源ip与端口
firewall log host 1 192.168.X.X 514 #配置存储日志的server 2008 R2的ip地址与端口号
firewall log session multi-host-mode concurrent #配置会话日志的工作模式
firewall log session log-type syslog #配置会话日志类型
华为防火墙日志服务器搭建,服务器,运维,网络,华为,ssh
(三)、在win10客户端电脑的操作
1、下载nc/nc64用于对已经开启的UDP端口进行连通性测试
华为防火墙日志服务器搭建,服务器,运维,网络,华为,ssh
2、在win10客户端电脑(192.168.172.5)上使用命令,测试server 2008 R2服务器(192.168.0.21)的UDP 514端口如下,显示为open状态说明网络到日志存储服务器端是连通的:
电脑上使用的命令为:nc –vuz 192.168.0.21 514
华为防火墙日志服务器搭建,服务器,运维,网络,华为,ssh
3、在win10客户端电脑(192.168.172.5)上使用命令,测试防火墙(192.168.x.x)的UDP 514端口与1617端口如下,显示为open状态说明网络到日志存储服务器端是连通的:
电脑上使用的命令为:nc –vuz 192.168.x.x 514

华为防火墙日志服务器搭建,服务器,运维,网络,华为,ssh
4、在win10客户端电脑(192.168.172.5)上,进入到虚拟化服务器系统192.168.0.21上查看网络上存储的日志文件是否生成。
(1)可以看到3CDaemon软件中设置的路径下已经生成了syslog.txt文件。
华为防火墙日志服务器搭建,服务器,运维,网络,华为,ssh
(2)随着网络的使用,日志文件的内容会逐步增加,过几秒后刷新再看文件大小明显有变化,如下图:
华为防火墙日志服务器搭建,服务器,运维,网络,华为,ssh
四、日志分析
1、日志文件内容(包含访问协议、源地址、源端口、目的地址、目的端口、网段区域名称)
华为防火墙日志服务器搭建,服务器,运维,网络,华为,ssh
2、结合DHCP服务器核查异常设备访问的端口、目的地址,以上图中日志文件的第1个ip地址192.168.70.13为例,我们通过DHCP服务器查看它的MAC地址如下图:
可知的信息有:(1)网段(确定所在的地理位置,加上服务器中做的描述标识)。
(2)根据名称可确定该设备的计算机名或手机型号。
(3)根据唯一ID,即物理网卡的MAC地址确定对应的设备。

华为防火墙日志服务器搭建,服务器,运维,网络,华为,ssh
本文结束,不足之处敬请批评指正。文章来源地址https://www.toymoban.com/news/detail-603601.html

到了这里,关于华为防火墙与日志存储服务器系统配置(对异常流量做记录存储与核查提供依据)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 服务器防火墙设置教程

    1. 第一步,点击桌面右下角打开开始菜单,在搜索栏输入搜索“控制面板”,如果直接能看到控制面板图标也可以直接点击 打开。 2. 第二步,打开控制面板页面之后,点击右上角把查看方式设置为“小图标”,找到并点击打开windows防火墙。 3. 第三步,打开Windows防火墙页面

    2024年02月19日
    浏览(39)
  • 防火墙之服务器负载均衡

    防火墙(英语:Firewall)技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。 防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安

    2024年02月07日
    浏览(91)
  • 服务器防火墙状态怎么查看

    在现代网络环境中,服务器的安全运行至关重要。其中,防火墙作为第一道防线,是保障服务器安全的关键一环。在服务器管理中,我们经常需要查看防火墙的状态,以便及时发现问题并快速解决。小编将介绍如何在不同操作系统下查看服务器防火墙的状态。 首先我们以Wi

    2024年02月10日
    浏览(39)
  • 服务器防火墙有哪些用处

    服务器防火墙是一个用于在两个网络之间实施访问控制策略的系统,它通常由软件和硬件构成。服务器防火墙可以监控进出网络的通信量,仅让安全、核准了的信息进入,同时又抵制对企业构成威胁的数据。 防火墙的主要功能包括阻止某些类型的流量通过(双向)防火墙,允

    2024年01月20日
    浏览(41)
  • 服务器防火墙和安全组放开

    我的项目上传后安全组也放开了但是访问项目地址404,最后发现是服务器防火墙没放行。 下面介绍一下如何排查防火墙问题。 查看防火墙状态:systemctl status firewalld 禁用防火墙:systemctl stop firewalld 启动防火墙:systemctl start firewalld 设置开机启动:systemctl enable firewalld 重启防

    2024年03月11日
    浏览(43)
  • 防火墙之部署服务器NAT

    NAT(Network Address Translation),是指网络地址转换,1994年提出的。 当在 专用网 内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法。 这种方法需要在专用网(私网IP)连接到因

    2024年02月08日
    浏览(44)
  • 服务器防火墙的应用技术有哪些?

           随着互联网的发展,网络安全问题更加严峻。服务器防火墙技术作为一种基础的网络安全技术,对于保障我们的网络安全至关重要。本文将介绍服务器防火墙的概念和作用,以及主要的服务器防火墙技术,包括数据包过滤、状态检测、代理服务、应用层网关等,帮助

    2024年02月21日
    浏览(40)
  • 常用UOS服务器防火墙设置常用命令

    目录 1.UOS支持的防火墙 2. 防火墙设置 3. 防火墙脚本 4. 关闭防火墙(清空所有规则,删除脚本,关闭重启) 5. 配置黑白名单 iptables ufw firewalld Netfilter区别?         iptables ufw firewall 都是前端管理,Netfilter是内核。         统信的UOS服务器操作系统是基于Debian开发的,因

    2024年02月05日
    浏览(92)
  • 服务器防火墙开放端口(解决服务器端口无法访问问题)

    目录 一、解决思路 1. 判断服务器使用的是firewall还是iptable 2. 判断firewall当前开启的服务和端口,查看当前firewall的所有信息 3. 添加http服务 4. 重新执行 5. 添加开放端口 6.查看端口是否开放成功 补充 1、查看firewall服务状态 2、查看firewall的状态 3、开启、重启、关闭、firewall

    2024年02月15日
    浏览(48)
  • 阿里云国际版云服务器防火墙设置

    阿里云国际版云服务器防火墙设置 入侵防御页面为您实时展示云防火墙拦截流量的源IP、目的IP、阻断应用、阻断来源和阻断事件详情等信息。本文介绍了入侵防御页面展示的信息和相关操作,下面和012一起来了解阿里云国际版云服务器防火墙设置: 前提条件 您需要先在防护

    2024年02月15日
    浏览(50)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包