在网络安全防护体系中,防火墙作为抵御外部威胁的第一道防线,其重要性不言而喻。而对防火墙日志进行分析,更是深入了解网络流量、发现潜在安全风险的关键手段。
一、防火墙日志分析应该聚焦哪些内容?
分析防火墙收集的日志有助于更好地了解网络流量。始终建议不要只检查丢弃的数据包。防火墙中发生的每项活动都表明您的网络中正在进入和发生的事情。因此,您必须在防火墙中启用日志记录并定期对其进行分析。
以下是您必须持续监控的一些关键防火墙事件。
丢弃/允许的流量
修改防火墙规则
身份验证事件
防火墙系统事件分析
二、如何分析允许和拒绝的防火墙流量事件?
防火墙日志将提供有关已允许或阻止的流量的见解。分析这些事件至关重要,因为在大多数情况下,这是数据泄露的起点。
图 1:表示传入流量的示例防火墙日志
在上图中,突出显示的部分是允许的流量日志。日志数据显示日期、时间、协议类型、源 IP 和目标 IP 以及端口号。有了这些信息,我们可以确定允许了哪个数据包、何时以及如何允许。在发生数据泄露的情况下,可以轻松识别入口点。同理,对于丢弃的数据包日志,也能从中挖掘出拒绝流量的关键线索。
手动筛选所有允许和拒绝的流量以查找来自特定来源的流量是一项繁琐的任务,EventLog Analyzer是一个全面的日志管理解决方案,提供有关拒绝连接、用户登录、登录失败、单个用户作等的预定义报表。这些报告有助于分析日志并立即发现异常流量行为。
三、如何分析和监控防火墙规则更改
防火墙作为企业网络安全基石,其防护质量取决于防火墙策略(规则或配置)优劣。策略错误会导致合法流量受阻中断业务,或使恶意流量侵入造成数据泄露。企业网络发展、新威胁出现及用户需求,都需调整策略,若不监控更改,易产生无意错误,还可能被恶意内部人员篡改。因此,持续监控策略更改,才能及时发现风险 。
如何使用EventLog Analyzer监控规则更改
EventLog Analyzer,可帮助您通过预定义的更改报表(如策略添加、策略更改等)来监控策略更改。
四、如何分析防火墙身份验证事件?
在任何设备中,监控身份验证失败都是必不可少的,因为它们提供了可能导致潜在顾客篡改资源的未授权访问尝试的信息。这些事件可以帮助您发现未经授权的访问尝试。
不同的防火墙供应商具有不同的格式、消息 ID 和访问身份验证日志的方法。
device=“SFW” date=2017-01-31 time=18:13:40 timezone=“IST” device_name=“CR750iNG-XP” device_id=C44310050024-P29PUA log_id=062910617703 log_type=“事件” log_component=“防火墙身份验证” log_subtype=“身份验证” status=“成功” priority=信息 user_name=“jsmith” usergroupname=“打开组” auth_client=“Web 客户端” auth_mechanism=“N/A” 原因=“” src_ip=10.198.47.71 src_mac= start_time=1485866617 sent_bytes=1233 recv_bytes=1265 message=“用户 jsmith 已被记录超出防火墙“ name=”jsmith“ timestamp=1485866620
在上面的日志中,用户 jsmith 尝试登录防火墙设备,并且登录成功。此事件还表示用户已成功从防火墙注销。此外,此日志还提供详细信息,例如发送的字节数、接收的字节数、用户登录的源 IP 等。通常,IT管理员还希望进行审计跟踪,以找出已登录但从未注销防火墙的用户,以及来自特定 IP 或用户的未经授权的访问尝试总数。要获得此类全面信息,手动分析日志可能非常的繁琐。
在EventLog Analyzer 日志管理系统中,其提供预定义的报表,例如基于源和用户的顶级失败身份验证、身份验证趋势等。很好的解决了这一问题。
五、如何分析防火墙系统事件?
防火墙在网络的入口点起作用。它在网络层和传输层运行,处理网络中的所有传入和传出流量。定期监控防火墙的状态非常重要。可能有多种原因,例如软件错误、硬件故障等,这些原因可能导致防火墙运行异常。在开始故障排除之前,了解原因非常重要。密切监控防火墙日志可以为快速故障排除提供必要的信息。
失败或重启事件的消息 ID 因原因和供应商而异。例如,如果防火墙故障是由于电源故障等硬件问题引起的,
Cisco ASA 防火墙将此报告为 %ASA-1-735004 消息 ID,它对应于电源变量 1:检测到故障
而在 Fortinet 防火墙 (FortiOS 6.0.4) 中,消息 ID 22105 对应于电源故障。
因此,为了有效地进行故障排除,您需要快速确定这些关键问题的原因(例如停止和重新启动)并采取相应的步骤。手动执行此任务非常耗时且乏味。日志管理解决方案可以根据格式自动解析防火墙日志,提取字段并以直观的报告和警报的形式显示原因,可以在很大程度上为您提供帮助。
如何使用EventLog Analyzer分析防火墙日志
在EventLog Analyzer中,可为管理员提供有关防火墙事件(如重启、进程重启、进程重启失败等)的实时报表和告警。
防火墙日志分析是网络安全管理中不可或缺的一环。通过对允许和拒绝的防火墙流量事件进行分析,我们可以及时发现潜在的数据泄露风险;而对防火墙规则更改的监控,则能有效避免因策略错误引发的安全问题。在实际操作中, EventLog Analyzer 作为一款全方位日志管理工具,能够帮助IT管理员大大提升日志分析的效率和准确性。
