一、適用場合

1、網(wǎng)絡(luò)終端量大，成百上千（本例實(shí)測5000左右終端正常，上萬的并發(fā)量未經(jīng)測試是否合適）。
2、當(dāng)有異常的訪問時(shí)，排查具體的網(wǎng)段、ip地址、物理設(shè)備。
3、在現(xiàn)運(yùn)行網(wǎng)絡(luò)的基礎(chǔ)上完成配置過程，不增加硬件投資。

二、準(zhǔn)備工作

1、虛擬化服務(wù)器server2008 R2，用于日志的存儲。
2、3CDEAMON工具運(yùn)行在server2008上，用于開啟syslog服務(wù)。
3、win10客戶端下載nc/nc64工具測試udp端口的連通性。
4、華為防火墻、核心交換機(jī)、虛擬化DHCP服務(wù)器、虛擬化日志存儲服務(wù)器的配置。（虛擬化配置與打通網(wǎng)絡(luò)的配置本文不贅述，可參考前面寫過的博文，本文主要以日志的配置與存儲為主。）
5、虛擬化DHCP服務(wù)器server 2016用于對終端分配動(dòng)態(tài)的ip地址。
6、拓?fù)鋱D

三、配置過程

（一）虛擬化服務(wù)器server2008 R2基本配置，用于日志的存儲

1、從server 2016的DHCP服務(wù)器上對日志存儲服務(wù)器進(jìn)行動(dòng)態(tài)獲取ip地址的綁定，相當(dāng)于手動(dòng)給日志服務(wù)器配置一個(gè)固定的ip地址，此處使用DHCP服務(wù)器綁定的原因在于，環(huán)境內(nèi)使用的服務(wù)器數(shù)量較多，對日常業(yè)務(wù)服務(wù)器的網(wǎng)段已經(jīng)開始了DHCP服務(wù)，為避免手動(dòng)配置的ip地址與動(dòng)態(tài)獲取ip地址的沖突，所以進(jìn)行了保留地址的配置，以確保該ip地址不會再分配給其他新增加的服務(wù)器。

2、開啟server 2008 R2上的UDP 514端口與UDP 1617端口




下一步，取名稱，完成，防火墻的訪問規(guī)則列表中出現(xiàn)了新建的規(guī)則后，即OK，如下圖：

3、在server 2008 R2上配置3CDaemon工具，開啟syslog日志服務(wù)，并將日志保存路徑指定，如下圖：

4、在server 2008 R2上查看本機(jī)已經(jīng)開啟的端口，使用命令netstat –ano，可以很清晰看到UDP的514端口已經(jīng)開啟好

（二）華為防火墻上的日志接口配置（前提：防火墻與虛擬化服務(wù)器的網(wǎng)絡(luò)已經(jīng)打通）
1、從核心交換機(jī)到防火墻上的千兆光口流量達(dá)到了85%左右，所以本例中配置了2個(gè)光口為eth-trunk的邏輯捆綁模式，防止內(nèi)網(wǎng)到防火墻之間的主鏈路故障或出現(xiàn)帶寬瓶頸
（1）防火墻端配置指令如下：
interface Eth-Trunk1 #創(chuàng)建邏輯接口eth-trunk 1
ip address 192.168.X.X 255.255.255.0 #配置邏輯接口的ip地址，與核心交換機(jī)網(wǎng)絡(luò)接通
pim sm #因經(jīng)常有直播業(yè)務(wù)，開啟三層上的直播稀疏模式
alias Eth-Trunk1 #給邏輯接口取別名
service-manage ssh permit #僅允許內(nèi)網(wǎng)ssh模式遠(yuǎn)程連接到防火墻
firewall defend ipcar source session-rate-limit enable #開啟新建會話數(shù)量的限制，防止DDOS攻擊，具體的值視情況配置參數(shù)
interface GigabitEthernet1/0/8 #進(jìn)入G1/0/8端口，將它加入到邏輯捆綁的鏈路當(dāng)中
description neiwang1 #對該接口進(jìn)行描述，便于以后維護(hù)
undo shutdown #開啟該物理接口
eth-trunk 1 #把物理接口添加到邏輯捆綁的鏈路

interface GigabitEthernet1/0/9 #將G1/0/9端口加入到邏輯捆綁的鏈路當(dāng)中
description neiwang2
undo shutdown
eth-trunk 1
（2）配置前的防火墻查看端口流量如下圖：display interface brief

（3）防火墻配置之后的端口及流量情況如下，很明顯eth-trunk 1的2條物理鏈路分別承擔(dān)了網(wǎng)絡(luò)的流量，平均為40%左右，起到了負(fù)載均衡的作用，而且能實(shí)現(xiàn)冗余，當(dāng)其中一條出現(xiàn)故障，另一條仍然能正常工作，不會影響用戶的體驗(yàn)：

2、核心交換機(jī)端的配置
（1）配置指令：
interface Eth-Trunk1 #創(chuàng)建邏輯捆綁接口eth-trunk 1
undo portswitch #開啟接口的三層模式
description neiwang1_g1/1/14and g 1/1/15 #描述，用于日常維護(hù)
ip address 192.168.X.X 255.255.255.0 #給eth-trunk 1配置ip地址，與防火墻接通
ip verify source-address #檢查數(shù)據(jù)包的源地址是否正常，防攻擊
interface GigabitEthernet1/1/14 #將物理接口g1/1/14加入到邏輯捆綁接口
eth-trunk 1

interface GigabitEthernet1/1/15 #將物理接口g1/1/14加入到邏輯捆綁接口
eth-trunk 1
security-policy #配置防火墻安全策略
rule name 501教室 #策略命名
session logging #開啟會話日志
source-zone trust #指定源安全區(qū)域?yàn)閠rust
destination-zone untrust #指定目標(biāo)安全區(qū)域?yàn)閡ntrust
source-address address-set 501教室 #配置目的地址池
action permit #允許以上配置應(yīng)用
rule name 502教室 #策略命名
session logging #開啟會話日志
source-zone trust #指定源安全區(qū)域?yàn)閠rust
destination-zone untrust #指定目標(biāo)安全區(qū)域?yàn)閡ntrust
source-address address-set 502教室 #配置目的地址池
action permit #允許以上配置應(yīng)用
ip address-set 501教室 type object #配置對應(yīng)名稱的地址池
address 0 192.168.70.0 mask 24 #指定地址池對應(yīng)的網(wǎng)段
ip address-set 502教室 type object #配置對應(yīng)名稱的地址池
address 0 192.168.71.0 mask 24 #指定地址池對應(yīng)的網(wǎng)段

（2）核心交換機(jī)配置后的結(jié)果如下圖，邏輯捆綁鏈路中的2條物理鏈路各負(fù)載分擔(dān)40%左右，既實(shí)現(xiàn)了負(fù)載均衡也能實(shí)現(xiàn)冗余備用。

3、華為防火墻上的日志配置如下圖：
（1）配置指令
log type traffic enable #開啟流量策略，所有命中安全策略的流量日志都會被記錄到存儲介質(zhì)中。
log type syslog enable #記錄日志功能已開啟
log type policy enable #策略命中日志全局開關(guān)開啟
firewall log source 192.168.X.X 1617 #配置防火墻日志的源ip與端口
firewall log host 1 192.168.X.X 514 #配置存儲日志的server 2008 R2的ip地址與端口號
firewall log session multi-host-mode concurrent #配置會話日志的工作模式
firewall log session log-type syslog #配置會話日志類型

（三）、在win10客戶端電腦的操作
1、下載nc/nc64用于對已經(jīng)開啟的UDP端口進(jìn)行連通性測試

2、在win10客戶端電腦（192.168.172.5）上使用命令，測試server 2008 R2服務(wù)器（192.168.0.21）的UDP 514端口如下，顯示為open狀態(tài)說明網(wǎng)絡(luò)到日志存儲服務(wù)器端是連通的：
電腦上使用的命令為：nc –vuz 192.168.0.21 514

3、在win10客戶端電腦（192.168.172.5）上使用命令，測試防火墻（192.168.x.x）的UDP 514端口與1617端口如下，顯示為open狀態(tài)說明網(wǎng)絡(luò)到日志存儲服務(wù)器端是連通的：
電腦上使用的命令為：nc –vuz 192.168.x.x 514

4、在win10客戶端電腦（192.168.172.5）上，進(jìn)入到虛擬化服務(wù)器系統(tǒng)192.168.0.21上查看網(wǎng)絡(luò)上存儲的日志文件是否生成。
（1）可以看到3CDaemon軟件中設(shè)置的路徑下已經(jīng)生成了syslog.txt文件。

（2）隨著網(wǎng)絡(luò)的使用，日志文件的內(nèi)容會逐步增加，過幾秒后刷新再看文件大小明顯有變化，如下圖：

四、日志分析
1、日志文件內(nèi)容（包含訪問協(xié)議、源地址、源端口、目的地址、目的端口、網(wǎng)段區(qū)域名稱）

2、結(jié)合DHCP服務(wù)器核查異常設(shè)備訪問的端口、目的地址，以上圖中日志文件的第1個(gè)ip地址192.168.70.13為例，我們通過DHCP服務(wù)器查看它的MAC地址如下圖：
可知的信息有：（1）網(wǎng)段（確定所在的地理位置，加上服務(wù)器中做的描述標(biāo)識）。
（2）根據(jù)名稱可確定該設(shè)備的計(jì)算機(jī)名或手機(jī)型號。
（3）根據(jù)唯一ID，即物理網(wǎng)卡的MAC地址確定對應(yīng)的設(shè)備。

本文結(jié)束，不足之處敬請批評指正。文章來源地址http://www.zghlxwxcb.cn/news/detail-603601.html

到了這里，關(guān)于華為防火墻與日志存儲服務(wù)器系統(tǒng)配置（對異常流量做記錄存儲與核查提供依據(jù)）的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！