WatchGuard硬件防火墻特色介紹

1、.WatchGuard硬件防火墻特色介紹(日志報(bào)表篇)       前面我對(duì)WatchGuard硬件防火墻的特色做了初步的介紹，詳情請(qǐng)見(jiàn)WatchGuard硬件防火墻特色介紹（待續(xù)），今天將為大家介紹WatchGuard硬件防火墻強(qiáng)大的日志及其報(bào)表功能。       防火墻的日志功能可以為網(wǎng)絡(luò)管理人員提供豐富的信息資源，包括各種網(wǎng)絡(luò)活動(dòng)的詳細(xì)信息（時(shí)間、來(lái)源IP、目的IP、源和目的端口等）、被攔截或丟棄的數(shù)據(jù)包信息、丟棄原因等，因此日志功能的完善及強(qiáng)大與否決定了網(wǎng)絡(luò)管理人員能否快速的從防火墻日志中查找問(wèn)題，發(fā)現(xiàn)設(shè)置

2、或策略上的錯(cuò)誤并及時(shí)修正。這在日常的安全管理及維護(hù)操作中是非常重要的一個(gè)環(huán)節(jié)。      幾乎所有的硬件防火墻產(chǎn)品均有日志記錄功能，從存儲(chǔ)的位置上來(lái)區(qū)分的話，基本上有下面三種方式：      一、存儲(chǔ)在設(shè)備本身的存儲(chǔ)器或內(nèi)存當(dāng)中      二、將日志記錄發(fā)送至第三方的SYSLOG服務(wù)器      三、與設(shè)備配套專用的日志服務(wù)器系統(tǒng)       SonicWall、FortiGate、Netscre

3、en等防火墻均可以登陸WEB管理界面查看日志信息，或?qū)⑷罩居涗洶l(fā)送至第三方的SYSLOG服務(wù)器。存儲(chǔ)在設(shè)備當(dāng)中的日志記錄，由于受設(shè)備本身容量的限制，日志信息不能保存太長(zhǎng)時(shí)間，并且可供查看的信息相對(duì)較簡(jiǎn)單。有些設(shè)備重啟后日志記錄將被重新初始化，那么用戶將丟失以前的日志記錄。       將日志發(fā)送至外置的SYSLOG服務(wù)器，可以將日志進(jìn)行存檔，并結(jié)合第三方工具進(jìn)行分析。由于常用的SYSLOG服務(wù)器只具備日志的存檔能力，而不具備強(qiáng)大的分析及報(bào)表生成能力，因此容易造成用戶查找信息，分析問(wèn)題上的不便。以SonicWall硬件防火墻為例，雖然可以直接登陸WEB管理

4、界面查看日志記錄，但設(shè)備重啟后日志便丟失。雖然可以將日志信息發(fā)送至SYSLOG服務(wù)器，但由于沒(méi)有免費(fèi)配套的日志分析及報(bào)表工具（ViewPoint雖然提供了日志的分析及報(bào)表生成功能，但并非免費(fèi)提供給用戶，用戶需要另行購(gòu)買(mǎi)該軟件），因此用戶也很難對(duì)過(guò)于龐大的日志記錄進(jìn)行分析。      因此，在這里我給大家介紹一下功能強(qiáng)大并且齊全的WatchGuard硬件防火墻會(huì)給用戶提供了哪些免費(fèi)又實(shí)用的日志及報(bào)表分析工具。日志篇      WatchGuard硬件防火墻給用戶提供了多種方式對(duì)日志進(jìn)行查看：   

5、   一、實(shí)時(shí)日志記錄在WatchGuard的Firebox System Manager管理工具中，“流量監(jiān)視器”就提供了設(shè)備的“流量日志”、“警報(bào)日志”、“事件日志”、“調(diào)試日志”及“信能統(tǒng)計(jì)信息日志”等日志信息記錄。用戶可以根據(jù)需要查看不同類型的日志記錄，并且可以根據(jù)條件設(shè)置過(guò)濾參數(shù)，實(shí)時(shí)分析防火墻日志信息。如下圖所示：LOG1.jpg在上圖的流量日志中顯示的是所有被防火墻允許或拒絕的數(shù)據(jù)包的詳細(xì)信息（用戶可以定義某種類型的日志記錄與否），包括是被哪條防火墻規(guī)則給允許或拒絕的，這樣當(dāng)網(wǎng)絡(luò)中出現(xiàn)問(wèn)題時(shí)，管理人員可以很容易根據(jù)該信息判斷是正常還是誤設(shè)置導(dǎo)致數(shù)據(jù)包被攔截，以

6、決定下一步的處置方式。在WatchGuard的管理工具中還提供了HostWatch功能，嚴(yán)格來(lái)講該功能不屬于日志部分，但靈活運(yùn)用，亦可以查看到有用的實(shí)時(shí)信息。包括當(dāng)前活動(dòng)的主機(jī)交互狀態(tài)，同時(shí)可以設(shè)置不同的過(guò)濾條件，對(duì)某一臺(tái)主機(jī)IP或數(shù)據(jù)端口進(jìn)行實(shí)時(shí)的跟蹤查看。如下圖：hostwatch.jpg        二、專用LogViewer查看日志記錄Watchguard硬件防火墻提供了專用的日志查看工具LogViewer，利用該工具可以從WatchGuard專用的日志服務(wù)器中獲取日志信息進(jìn)行查看。logviewer1.jpglogview

7、er2.jpg上面圖片可以看到，遠(yuǎn)程聯(lián)接到WatchGuard的日志服務(wù)器后，從中獲取了防火墻一天前的日志記錄。同時(shí)可以對(duì)日志記錄進(jìn)行打印，導(dǎo)入、導(dǎo)出，生成PDF格式文件等一系列功能，如下圖所示：op.jpg利用該功能，我們可以方便地對(duì)任何WatchGuard硬件防火墻的日志記錄進(jìn)行導(dǎo)入后分析，這對(duì)于專業(yè)從事客戶技術(shù)支持或集團(tuán)內(nèi)部對(duì)所有設(shè)備進(jìn)行集中管理和技術(shù)分析的人員是很有幫助的。三、將日志發(fā)送至第三方服務(wù)器WatchGuard硬件防火墻同樣支持將日志記錄發(fā)送至第三方的日志服務(wù)器，如：SYSLOGsyslog.JPG        由

8、上面的介紹我們可以了解到，WatchGuard硬件防火墻不僅提供了設(shè)備內(nèi)置的日志記錄，同時(shí)也提供了免費(fèi)但非常強(qiáng)大的日志分析工具。也可以根據(jù)用戶的需求將日志發(fā)送到第三方服務(wù)器，實(shí)現(xiàn)日志的集中存檔與管理。報(bào)表篇WatchGuard硬件防火墻為用戶提供了極其強(qiáng)大的報(bào)表生成與分析系統(tǒng)，利用隨機(jī)自帶的WatchGuard Report Manager工具，我們可以生成非常漂亮的報(bào)表。rp1.jpg接口帶寬rp2.jpg入侵防御統(tǒng)計(jì)rp3.jpg外出阻止數(shù)據(jù)包統(tǒng)計(jì)rp4.jpg網(wǎng)關(guān)反病毒統(tǒng)計(jì)rp5.jpg代理主機(jī)摘要        以上截圖只是報(bào)表工具生成的部分畫(huà)面截圖，從左邊的分類中可以看出來(lái)，WatchGuard的報(bào)表分類非常詳細(xì)，用戶想了解的信息幾乎全部可以生成非常直觀的圖形化報(bào)表。反觀同類產(chǎn)品的報(bào)表及日志功能，我想不難看出之間的差距。        結(jié)合我前面寫(xiě)的