14.neteyefirewall5200_系统监控要点.ppt

系统监控 演讲人： 唐作夫 tangzf@ 网络安全产品营销中心 东软集团股份有限公司 系统监控 NetEye FW5200防火墙提供了对接口信息，HA信息，路由信息，ARP表信息，CAM表信息，会话表信息，DHCP IP地址绑定状态信息，DNS缓存信息，系统利用率信息，系统健康度信息，多播信息，硬件信息，系统日志信息，VPN隧道等信息的监控。 课程目标 了解监控 了解HA监控 了解路由监控 了解ARP表 了解CAM表 了解会话表 了解DHCP IP地址绑定状态 课程目标（续） 了解DNS缓存信息 了解系统利用率 了解系统健康度 了解多播监控 了解硬件监控 了解系统日志 了解VPN隧道信息 接口监控 NetEye FW5200的接口用于接收和发送数据包。数据包可以通过接口在同一安全域内或不同安全域间进行传输。从工作模式上，防火墙接口分为二层接口和三层接口。 二层接口是基于数据链路层的数据转发接口，只识别MAC地址。 三层接口是基于网络层的接口，能够识别IP地址和MAC地址。 二层接口信息的查看 以管理员身份登录NetEye FW5200，选择 “系统” “监控” “接口监控”，进入“接口监控”界面。在“二层接口”区域，用户可以查看到NetEye FW5200的二层接口信息。如下图所示： 三层接口信息的查看 在“接口监控”界面。在“三层接口”区域，用户可以查看到NetEye FW5200三层接口信息。如下图所示： HA监控 高可用性（High Availability）提供了一种最小化网络中由于单点故障而带来的风险的方法。例如对于部署NetEye FW5200的企业，从网络安全方面考虑，所有进出信息流都必须经过NetEye FW5200。这时NetEye FW5200就是一个单点故障。另一方面对于很多企业来说，长时间的服务中断（或许就几分钟）是不可容忍的。这就引入了高可用性的需求。 NetEye FW5200提供对HA信息的监控。 HA状态基本信息的查看 以管理员身份登录NetEye FW5200，选择“系统” “监控”“高可用性监控”。在“基本信息”区域，用户可以查看到HA基本状态信息。如下图所示： HA事件跟踪信息 事件跟踪状态中所指的事件是NetEye FW5200设备自身发生的故障。当用户跟踪的事件发生时，选举协议即认为NetEye FW5200发生了一个故障。 HA IP地址跟踪状态 VFRP通过指定接口跟踪某个目的IP地址是否可达，从而完成IP跟踪功能。选举协议每隔一段时间（间隔时间由用户设置）向目的IP地址发送ARP、ICMP或TCP请求数据包，随后监听目的地址是否有响应，通过监听结果来确定目的IP是否可达。NetEye FW5200允许用户对IP跟踪信息进行监控。 路由监控 路由器的主要工作是为经过它的每个数据包寻找下一跳路由器或目的主机，并把这些数据包转发过去。为了完成这项工作，NetEye FW5200维护着数据包转发所需的相关信息，这些信息组成的表被称为路由表。在NetEye FW5200中，每个Vsys所能支持的路由表最大个数为255。 路由监控信息的查看 以管理员身份登录NetEye FW5200，选择 “系统” “监控” “路由”，进入“路由”界面，用户可以查看到路由监控信息。如下图所示： ARP表 地址解析协议（ARP）是一种用于将网络层IP地址解析成数据链路层MAC地址的协议。NetEye FW5200的ARP表是一个用来进行三层转发的缓存表。表中的IP地址与VLAN接口（或虚拟系统的共享接口）的MAC地址是一一对应的。 ARP表信息的查看 以管理员身份登录NetEye FW5200，选择 “系统” “监控” ARP表，进入ARP界面，用户可以查看到ARP表信息。如下图所示： CAM表 NetEye FW5200的CAM表是MAC地址和端口（二层接口）的对应表。 CAM统计信息的查看 以管理员身份登录NetEye FW5200，选择 “系统” “监控” CAM，进入CAM界面。在“数量统计信息”区域，用户可以查看到CAM表统计信息。如下图所示： CAM表信息的查看 在CAM界面的“非静态地址表”区域，用户可以查看到CAM表信息。如下图所示： 会话表 NetEye FW5200不但支持包过滤技术，还在其基础上引入了会话的概念，从而实现更为高效的状态检测包过滤技术。会话可以被简单地理解为某两台主机间的一次交谈。对于基于连接的TCP协议来说，一个会话就是一个TCP连接。在同一个TCP会话上的数据包，其基本信息（源IP、目的IP、源端口、目的端口、协议和所属Vsys）的六元组应相互匹配。 会话表信息查看 在命令行下输入show session可以看到会话表信息。 DHCP IP地址绑定状态 DHCP