DCFW-1800ES-UTM配置指南之日志收集.pdf

DCN 网络安全产品技术文档 DCFW-1800E/S-UTM 日志配置指南 需求I ：对trust 访问untrust web 服务分别采用三种方式（本地缓冲区、发送至日志服务器、 发送日志邮件）进行日志记录。 首先用“配置管理员”admin 帐号登陆 在“防火墙”-》“安全策略”-》“域间安全策略” 中点击“新增” 服务：http 审计ID:80 该ID 从1-65535 之间选择，起到标识匹配该条策略的日志之作用 配置完后注销admin 帐号，重新使用“审计管理员”audit 帐号登陆 神州数码网络公司客户服务中心 2007-6 DCN 网络安全产品技术文档 日志收集方案一：将审计ID 80 产生的日志缓存在UTM 本地 在“日志”-》“日志策略”-》“流量日志策略” 中点击“新增” 审计ID:80 记录目标：本地缓冲区 配置完毕后可以在 “日志”-》“系统日志信息”-》“流量日志”中查看缓存在本地的日志 注意其中“ID ”标识为80 的日志 日志收集方案二：将审计ID 80 产生的日志以syslog 格式发往日志服务器 在 “日志”-》“日志目标设置”-》“日志接收主机列表”中点击“新增” 添加接收日志的主机地址：40 神州数码网络公司客户服务中心 2007-6 DCN 网络安全产品技术文档 指定将审计ID 为80 的日志发往日志主机 在 “日志”-》“日志策略”-》“流量日志策略”中点击“新增” 审计ID ：80 记录目标：远程接受主机 240 在日志主机 40 上安装接收 syslog 日志的日志管理软件即可收到来自UTM 的日 志。 日志收集方案三：将审计ID 80 产生的日志以邮件形式发往特定邮箱 首先设定用来发送日志的邮件帐号信息，UTM 将用该帐号向指定的邮箱地址发送日志邮件。 在“日志”-》“日志目标设置”-》“日志邮件发送服务器” 邮件服务器地址：发送邮件服务器的地址 在“日志”-》“日志目标设置”-》“日志接收邮箱列表”中点击“新增” 邮箱地址：填入要将日志信息发往的邮箱地址 神州数码网络公司客户服务中心 2007-6 DCN 网络安全产品技术文档 需求二、 1）对PPPOE 域开启异常流量防护功能，并对检测到的异常流量进行日志记录。 2 ）使用IPS 模块对流经UTM 的BT 和QQ 应用进行封锁，并对违规的流量进行 日志记录。 在 “IPS ”-》“异常流量防护”-》“参数设置”中点击“pppoe ”域后的 “修改” 其中的功能启用及相关攻击阈值的设定可根据网络的实际情况灵活填写。此处将开启针对pppoe 域的异常 流量防护功能。 添加禁止BT 的防护策略 在“IPS ”-》“应用协议防护”-》“防护策略”中点击“新增” Signature:点对点协议 BitTorrent 动作：deny 神州数码网络公司客户服务中心 2007-6 DCN 网络安全产品技术文档 添加禁止QQ 的防护策略 在“IPS ”-》“应用协议防护”-》“防护策略”中点击“新增” Signature:实时通信协议 QQ 动作：deny 将制定完的IPS 策略应用到安全策略中进行检测 在“防火墙”-》“安全策略”-》“域间安全策略”中点击“新增” 在新建的安全策略中勾选“IPS 检测” 添加相应的日志策略 UTM 以审计管理员audit 帐号登陆 神州数码网络公司客户服务中心 2007-6 DCN 网络安全产品技术文档 在“日志策略”-》“事件日志策略”中点击“新增” 模块名称：system 日志级别：debug 记录目标：本地缓冲区 添加完毕后可以在“系统日志信息”-》“事件日志”