防火墙xx服务器配置说明
通过Eudemon日志服务器可以收集Eudeon防火墙的日志信息,方便日志查询、分析、告警;这里对Eudemon防火墙的相关配置做一简要说明。对Eudemon日志服务器安装操作说明请参考相关文档。
1.1几点说明
1. Eudemon防火墙目前支持两种日志格式Syslog、Binary;
2. Syslog(UDP:514)日志为文本日志,如在防火墙上执行的各种命令操作记录;
3.Binary(UDP:9002)流日志是在防火墙上建立会话表项的日志,其又分为Binary NAT Log和Binary ASPF Log;其中Binary NAT Log指会话表项进行地址转换的流日志;而Binary ASPF Log指会话表项没有进行地址转换的流日志;
4.
Binary日志在防火墙会话表项老化之后会生成:
E200:在ssion完全老化(display firewall ssion table verbo
查看不到)或清空会话表时会触发流xx;
E1000:在ssion老化(display firewall ssion table查看不到)
后会触发流xx;
5.
对于哪些会话表项能够产生Binary日志,E200与E1000有所不同:
E200:对TCP(处于ready状态,State:0x53的会话)、UDP会话会产生
Binaryxx;
E1000:对TCP(处于ready状态的会话)、UDP、ICMP会话会产生Binary
xx;
6.两种日志Syslog/Binary的记录时间取防火墙系统的当前时间;
7.
由于Syslog日志数量相对Binary要少,建立会话对系统影响较小,而且Syslog日志是由cpu发的,与cpu发的其他报文处理流程一样,所以Syslog会在E200/E1000防火墙上都会建立ssion;
8.
Binary日志流量大,数量多,建立ssion可能对系统有所影响;E1000其Binary日志由NP直接发送,E200则由CPU发送;目前E200对Binary会在防火墙上建立ssion;E1000对Binary在防火墙上没有建立ssion;
9.
目前E200与E1000对于Syslog日志的配置命令完全相同;而对于Binary日志的配置命令则有所区别;
Quidway Eudemon防火墙日志配置指导文档密级内部公开
2006-02-25华为机密,未经许可不得扩散
第5页,共8页
E200:域间使能流日志功能时可以不指定ACL,如果指定ACL不需要指定inbound、outbound方向;
E1000:域间使能流日志功能时必须指定ACL,并且要指定inbound、
outbound方向;
1.2验证组网
1.3 Eudemon 200参考配置
1.3.1 Syslog配置:
1.配置接口IP地址:#ip address 192.168.1.2 255.255.255.0 #
2.将接口加入域:#1 #
3.配置日志服务器主机,默认语言为english:#info-center loghost 192.168.1.3 #
Quidway Eudemon防火墙日志配置指导文档密级内部公开
2006-02-25华为机密,未经许可不得扩散
第6页,共8页
4.配置ACL过滤规则:#acl number 3000
rule 5 permit udp destination-port eq syslog #
5.应用ACL规则到相应域间:#firewall interzone local trust packet-filter 3000 outbound #
1.3.2 Binary配置:
1.配置接口IP地址:#ip address 192.168.1.2 255.255.255.0 #
2.将接口加入域:#1 #
3.配置二进制日志服务器主机及端口号:#firewall ssion log-type binary host 192.168.1.3 9002 #
4.配置ACL过滤规则:#acl number 3000
rule 5 permit udp destination-port eq 9002 #
acl number 33 rule 5 permit ip #
5.应用ACL规则到相应域间:# firewall interzone local trust packet-filter 33 inbound packet-filter 3000 outbound #
6.域间使能流日志功能:#Quidway Eudemon防火墙日志配置指导文档密级内部公开
2006-02-25华为机密,未经许可不得扩散
第7页,共8页
firewall interzone local trust
ssion log enable ----------------此处可以不指定ACL #
1.4 Eudemon 1000参考配置
1.4.1 Syslog配置:
1.配置接口IP地址:#ip address 192.168.1.1 255.255.255.0 #
2.将接口加入域:#7 #
3.配置日志服务器主机,默认语言为english:#info-center loghost 192.168.1.3 #
4.配置ACL过滤规则:#acl number 3000
rule 5 permit udp destination-port eq syslog #
5.应用ACL规则到相应域间:#firewall interzone local trust packet-filter 3000 outbound #
1.4.2 Binary配置:
1.配置接口IP地址:#ip address 192.168.1.1 255.255.255.0 #
2.将接口加入域:#Quidway Eudemon防火墙日志配置指导文档密级内部公开
2006-02-25华为机密,未经许可不得扩散第8页,共8页
7 #
3.配置二进制日志服务器主机及端口号:#firewall ssion log-type binary host 192.168.1.3 9002 #
4.配置ACL过滤规则:
# acl number 3000
rule 5 permit udp destination-port eq 9002 acl number 3001
rule 0 permit ip source 192.168.1.3 0 acl number 33
rule 5 permit icmp source 192.168.1.3 0 #
5.应用ACL规则到相应域间:# firewall interzone local trust packet-filter 33 inbound packet-filter 3000 outbound #
6.域间使能流日志功能:# firewall interzone local trust
ssion log enable acl-number 3001 inbound --此处必须指定ACL及方向
