日志监控是整个防火墙的大致描述,其内容包括发生时间,事件类别,威胁级别,对事件到描述,源目的ip以及传输协议等。红色字体为需要用户额外注意到事件。界面上方可以自定义过滤内容及时间。
搭建外部log服务器
安装SyslogD软件,安装完成之后打开软件,如图:
确保系统防火墙放开514端口,或者直接关闭系统防火墙。
登录防火墙,配置syslog,将syslog配置为电脑IP:
网络正常的情况下即可接受到日志,如图:
收集的日志可以汇总成txt文件,默认会汇总到安装目录下,例如:
文件属于纯文本,可以使用文本文档、记事本等打开:
由于可读性较差,可以使用RnR_ReportGenS一类的。
安装完成之后打开软件,选择日志文件,然后点击GO
之后软件就会跟进你设置的过滤条件归总出相关信息,例如图中设置为统计一些常规服务的带宽使用。
防火墙的日志分为Emergency(紧急)、Alert(警戒)、Critical(危急)、Error(错误)、Warning(警告)、Notice(通知)、Inform(信息)、Debug(调试)这8个级别。默认情况防火墙的警戒级别属于Alert,也就是当出现相关类型的日志的时候,防火墙面板上Alert灯会闪烁,并且防火墙log monitor中会标红该条日志。
一般来说看防火墙日志主要是看警告级别的日志,主要是UTM相关的日志以及SynFlood的日志,以判断网络是否存在威胁。
首先,我们可以过滤Alert的日志,点击左上角“+”添加过滤条件,将级别配置为Alert,如果怀疑某个IP或者有明确方向的,可以配置更加详细的信息(例如类型、源IP或者目的IP等)
配置完成之后点击确认即可看到相关日志。
Synflood相关日志如下:
如图,这种标有TCP Flood ……XX/sec的属于泛洪,一般来说可能内网多多少少会存在一些泛洪,该类日志数量较少,且每秒发起连接数少于300的情况下可以不管,如果防火墙中存在大量类似的日志,并且每秒的连接数超过300次,达到上千甚至上万,那肯定是网络出现问题。
当确认网络中有泛洪的时候,查看source,如果source IP是一个内网地址,代表可能是内网该电脑中毒(注意,可能不止一台)。此时应该找出相关电脑,断网之后进行杀毒等处理。
如果是来自外网,可能是外网有人在攻击你(常见于使用固定IP的用户),此时可以打开防火墙洪流防护,如图:
开启洪流防护之后有一定的防护作用,但是治标不治本,如果要治本还需要找到原因再进行根治。
UTM相关日志
UTM指的是防火墙统一威胁管理功能,其中包括了网关防毒,入侵防御,反间谍软件以及应用程序控制。
UTM相关功能模块需要购买才能使用,如果没有购买,则该模块不生效,log中也无法查看到相关日志。
应用程序控制日志:
如上图为应用程序控制日志,一般开启应用程序控制之后可以看到该类型的日志,当应用程序控制策略匹配到应用相关流量的时候即出现该日志。该日志一般用于判断应用程序控制策略方面的问题,如果配置过拦截,可以通过该类型日志看是否有被应用程序控制的签名被匹配和拦截。一般配合过滤源IP使用。
网关防毒日志:
如图,类似带有“Gateway Anti-Virus Alert”字样的就属于网关防毒日志。后面的“MalAgent.J_182 (Trojan)”代表病毒名。
出现该类型的日志代表防火墙拦截到病毒,此时需要观察源IP是内网IP还是外网IP。如果是外网IP,意味着可能内网有电脑访问了一个带毒的网站或者下载了带毒的文件,被防火墙拦截,这种情况基本可以不管。如果源IP是内网IP,代表可能是内网电脑中毒,正在往传播,此时过滤查看该IP的相关日志,看是否有很多网关防毒的日志,如果有,代表这台电脑肯定存在问题,建议断网查杀。
IPS日志:
如图,带有“IPS Prevention Alert”字样的即为IPS日志,后面的 “ WEB-ATTACKS masscan Scanner”是具体IPS的类型及漏洞名。IPS即入侵检测防御,主要是防火墙对各种软件、系统的漏洞防护过程中产生的日志。该类型的日志一般源IP都是外网,例如图中日志就代表外网37.187.134.139这个IP企图利用WEB-ATTACKS masscan Scanner这个漏洞来入侵192.168.6.66这个服务器,但是已经被防火墙拦截。
反间谍软件日志:
由于间谍软件一般较为少见,故此处没有截图。但是与网关防毒、IPS类似,防火墙反间谍软件功能在拦截到间谍软件的时候也出现带有“Anti-Spyware Prevention Alert”字样的日志信息。
与IPS相反,一般间谍软件源IP是内网,因为间谍软件主要作用就是电脑中窃取信息,然后发送给黑客,防火墙就在发送这过程中检测并且拦截相关数据包。如果发现有反间谍软件的相关日志,并且源地址是内网,请尽快对该电脑进行排查。
