新浪微博
腾讯微博
豆瓣空间
搜狐微博
QQ空间
腾讯朋友
网易微博
百度搜藏
开心网
告诉聊友V5防火墙NAT日志排错之少林三节棍
1. 第一棍:防火墙输出NAT日志至本地存储之故障处理
1.1 故障描述
某日,少林寺达摩院首座张大师在前往武当山参加武林大会途中,正值7月三伏天正盛,酷暑难耐,忽见道旁有一茶馆,大喜之。进店后求得清茶一碗,一饮而尽,忽听得老板娘正对店小二破口大骂,原来是一台Comware V5平台防火墙部署NAT日志后,无法在本防火墙管理界面中查看NAT日志。张大师近身道:“店家莫急,让张某试上一试”。
1.2 故障处理步骤
(1) 检查NAT日志输出配置:“日志管理>Userlog日志”,建议选择Userlog版本为3.0,并勾选“日志输出到信息中心”。特别要注意“日志发送时间”参数的选择,若配置为“UTC”,则表示防火墙发送日志时,将以UTC时间(系统时间扣除时区)作为时间戳加入日志报文;若配置为“本地时间”,则表示防火墙发送日志时,将直接以系统时间(不考虑时区)作为时间戳加入日志报文。
(2) 检查“日志管理 > 会话日志 > 日志输出策略”中是否已经配置了日志输出策略。以下图为例,当需要输出全部从Trust区域主动访问Untrust区域的会话日志,需配置源域为Trust、目的域为 Untrust的策略。
(3) 检查会话日志全局配置,在“日志管理 > 会话日志 > 全局设置”中,如下图所示,可勾选“发送会话创建”和“发送会话删除日志”,此时每条会话流将产生两条日志;亦可仅勾选“发送会议删除日志”,以节省设备性能。
(4) 配置检查完成后,可以在“日志管理 > 日志报表 > Userlog日志”界面查看NAT日志输出报表。
2 第二棍:防火墙无法输出NAT日志至Syslog服务器之故障处理
1
2
2.1 故障描述
又一日,张大师参加完武林大会返回少室山,途中又见前方正是来是那家茶馆,不假思索地进店歇脚,哪知老板娘又在对着店小二破口大骂,张大师心头一紧,“莫非是防火墙又出问题了”,忙上前询问,原来自上回张大师施展神工调理好以后,老板娘眼见本地存储日志条数太少,于是新购得日志服务器一台,可店小二哪里会半点功夫,新买的服务器几成废铁,是以急得老板娘奈何不了他。张大师见小二投来期盼的目光,也不推辞,再次施展棍法,不出半个时辰便搞定。
2.2 故障处理步骤
(1) 检查NAT日志输出配置:“日志管理>Userlog日志”,选择Userlog版本为3.0,勾选“日志输出到信息中心”。特别要注意“日志发送时间”参数的选择,若配置为“UTC”,则表示防火墙发送日志时,将以UTC时间(系统时间扣除时区)作为时间戳加入日志报文;若配置为“本地时间”,则表示防火墙发送日志时,将直接以系统时间(不考虑时区)作为时间戳加入日志报文。
(2) 检查“日志管理 > 会话日志 > 日志输出策略”中是否已经配置了日志输出策略。以下图为例,当需要输出全部从Trust区域主动访问Untrust区域的会话日志,需配置源域为Trust、目的域为 Untrust的策略。
(3) 检查会话日志全局配置,在“日志管理 > 会话日志 > 全局设置”中,如下图所示,可勾选“发送会话创建”和“发送会话删除日志”,此时每条会话流将产生两条日志;亦可仅勾选“发送会议删除日志”,以节省设备性能。
(4) 检查Syslog日志服务器配置,在“日志管理 > Syslog日志”中,指定syslog日志服务器的IP地址及端口号,端口号缺省值 为514,若服务器启用其他端口接收(例如H3C SecCenter FWM缺省为30514),需在此处与服务器设备修改一致。
(5) 在Syslog日志主机上完成必要的设备添加及日志接收设备后,即可实时查看NAT日志情况,下图以iMC接收防火墙Syslog格式NAT日志为例:“告警 > Syslog管理 > 浏览Syslog”,若服务器未能成功接收到日志,除了检查上述配置外,还应注意检查网络及服务器自身是否存在防火墙,阻断了日志数据报文的发送与接收。
(6) Syslog详细信息举例:
3 第三棍:防火墙无法输出NAT日志到Userlog服务器之故障处理
3
3.1 故障描述
转眼又是三年,张大师受方丈委托,再次前往武当参加武林大会,途中果然又见那家茶馆。刚一进店便被小二认出,忙上好茶伺候,老板娘见大师来了,忙出来寒暄,不一会儿却又兀自抽噎起来。原来,前日官府四下缉拿要犯,查至小店,发现NAT日志输出不合法例,要求修改为输出至Userlog日志服务器。明里是性能更好,有利于察觉犯人行踪,实则趁更换服务器再敲一笔,几位官老爷私下分了去,哪知店小二仍是不会,一周过去,Userlog服务器上没有半点日志的影子。官老爷训斥事小,威胁门面关张事大,放言明日后再来检查,老板娘说完“今日便是小店最后一天”便大哭不起。张大师愤然起身,说道“店家请宽心,此事包在张某身上”。
3.2 故障处理步骤
(1) 检查NAT日志输出配置:“日志管理>Userlog日志”,选择Userlog版本为3.0。特别要注意“日志发送时间”参数的选择,若配置为“UTC”,则表示防火墙发送日志时,将以UTC时间(系统时间扣除时区)作为时间戳加入日志报文;若配置为“本地时间”,则表示防火墙发送日志时,将直接以系统时间(不考虑时区)作为时间戳加入日志报文。
注意:若希望输出至iMC平台UBA组件,缺省端口号为9020(若UBA采用分布式部署,则日志主机IP地址需输入UBA实际部署的服务器IP地址);若希望输出至SecCenter,缺省端口号为30017。
(2) 检查“日志管理 > 会话日志 > 日志输出策略”中是否已经配置了日志输出策略。以下图为例,当需要输出全部从Trust区域主动访问Untrust区域的会话日志,需配置源域为Trust、目的域为 Untrust的策略。
(3) 检查会话日志全局配置,在“日志管理 > 会话日志 > 全局设置”中,如下图所示,可勾选“发送会话创建”和“发送会话删除日志”,此时每条会话流将产生两条日志;亦可仅勾选“发送会议删除日志”,以节省设备性能。
(4) 以iMC UBA组件为例配置Userlog日志服务器,在“业务 >> 流量分析与审计 >> 设备管理 ”,添加防火墙设备的IP地址。
(5) 在“业务 >> 流量分析与审计 >> 服务器管理 >> 服务器配置”,在用户行为审计的“设备信息”勾选要NAT审计的防火墙,在“内网监控信息”中添加NAT源地址的网段,单击“下发”按钮使配置生效。
(6) 在“业务 >> 用户行为审计管理 >> 地址转换条件 >> F(创建地址转换审计F的步骤略)”界面查看接收到的日志情况。若服务器未能成功接收到日志,除了检查上述配置外,还应注意检查网络及服务器自身是否存在防火墙,阻断了日志数据报文的发送与接收。
