WatchGuard硬件防火墙特色介绍.doc

WatchGuard硬件防火墙特色介绍(日志报表篇)? ?? ? 前面我对WatchGuard硬件防火墙的特色做了初步的介绍，详情请见WatchGuard硬件防火墙特色介绍（待续），今天将为大家介绍WatchGuard硬件防火墙强大的日志及其报表功能。? ?? ? 防火墙的日志功能可以为网络管理人员提供丰富的信息资源，包括各种网络活动的详细信息（时间、来源IP、目的IP、源和目的端口等）、被拦截或丢弃的数据包信息、丢弃原因等，因此日志功能的完善及强大与否决定了网络管理人员能否快速的从防火墙日志中查找问题，发现设置或策略上的错误并及时修正。这在日常的安全管理及维护操作中是非常重要的一个环节。? ?? ?几乎所有的硬件防火墙产品均有日志记录功能，从存储的位置上来区分的话，基本上有下面三种方式：? ?? ?一、存储在设备本身的存储器或内存当中? ?? ?二、将日志记录发送至第三方的SYSLOG服务器? ?? ?三、与设备配套专用的日志服务器系统? ?? ? SonicWall、FortiGate、Netscreen等防火墙均可以登陆WEB管理界面查看日志信息，或将日志记录发送至第三方的SYSLOG服务器。存储在设备当中的日志记录，由于受设备本身容量的限制，日志信息不能保存太长时间，并且可供查看的信息相对较简单。有些设备重启后日志记录将被重新初始化，那么用户将丢失以前的日志记录。? ?? ? 将日志发送至外置的SYSLOG服务器，可以将日志进行存档，并结合第三方工具进行分析。由于常用的SYSLOG服务器只具备日志的存档能力，而不具备强大的分析及报表生成能力，因此容易造成用户查找信息，分析问题上的不便。以SonicWall硬件防火墙为例，虽然可以直接登陆WEB管理界面查看日志记录，但设备重启后日志便丢失。虽然可以将日志信息发送至SYSLOG服务器，但由于没有免费配套的日志分析及报表工具（ViewPoint虽然提供了日志的分析及报表生成功能，但并非免费提供给用户，用户需要另行购买该软件），因此用户也很难对过于庞大的日志记录进行分析。? ?? ?因此，在这里我给大家介绍一下功能强大并且齐全的WatchGuard硬件防火墙会给用户提供了哪些免费又实用的日志及报表分析工具。日志篇? ?? ?WatchGuard硬件防火墙给用户提供了多种方式对日志进行查看：? ??? 一、实时日志记录在WatchGuard的Firebox System Manager管理工具中，“流量监视器”就提供了设备的“流量日志”、“警报日志”、“事件日志”、“调试日志”及“信能统计信息日志”等日志信息记录。用户可以根据需要查看不同类型的日志记录，并且可以根据条件设置过滤参数，实时分析防火墙日志信息。如下图所示： LOG1.jpg 在上图的流量日志中显示的是所有被防火墙允许或拒绝的数据包的详细信息（用户可以定义某种类型的日志记录与否），包括是被哪条防火墙规则给允许或拒绝的，这样当网络中出现问题时，管理人员可以很容易根据该信息判断是正常还是误设置导致数据包被拦截，以决定下一步的处置方式。在WatchGuard的管理工具中还提供了HostWatch功能，严格来讲该功能不属于日志部分，但灵活运用，亦可以查看到有用的实时信息。包括当前活动的主机交互状态，同时可以设置不同的过滤条件，对某一台主机IP或数据端口进行实时的跟踪查看。如下图： hostwatch.jpg ? ?? ???二、专用LogViewer查看日志记录Watchguard硬件防火墙提供了专用的日志查看工具LogViewer，利用该工具可以从WatchGuard专用的日志服务器中获取日志信息进行查看。 logviewer1.jpg logviewer2.jpg 上面图片可以看到，远程联接到WatchGuard的日志服务器后，从中获取了防火墙一天前的日志记录。同时可以对日志记录进行打印，导入、导出，生成PDF格式文件等一系列功能，如下图所示： op.jpg 利用该功能，我们可以方便地对任何WatchGuard硬件防火墙的日志记录进行导入后分析，这对于专业从事客户技术支持或集团内部对所有设备进行集中管理和技术分析的人员是很有帮助的。三、将日志发送至第三方服务器WatchGuard硬件防火墙同样支持将日志记录发送至第三方的日志服务器，如：SYSLOG syslog.JPG ? ?? ???由上面的介绍我们可以了解到，WatchGuard硬件防火墙不仅提供了设备内置的日志记录，同时也提供了免费但非常强大的日志分析工具。也可以根据用户的需求将日志发送到第三方服务器，实现日志的集中存档与管理。报表篇WatchGuard硬件防火墙