文档介绍:Eudemon特性-日志特性介绍
Huawei Technologies Co., Ltd.
华为技术有限公司
Revision record
修订记录
Date
日期
Revision Version
修订
版本
CR ID / Defect ID
CR号
Section Number
修改
章节
Change Description
修改描述
Author
作者
2004-05-09
initial 初稿完成
Catalog 目录
1 简介 5
概述 5
范围 5
2 日志实现的规格 5
NAT&ASPF流日志信息 5
攻击防范日志 6
流量监控的日志 6
黑名单日志 7
绑定日志 7
3 日志的具体格式 7
加入绑定日志 7
删除绑定日志 7
加入黑名单日志 7
删除黑名单日志 8
流量监控日志 8
ASPF日志 8
NAT日志 8
攻击防范日志 9
其他的一些日志 9
4 日志服务器 10
概述 10
日志服务器的工作原理 10
5 业务优势 11
支持二进制日志 11
支持基于流的日志 12
支持详细的NAT日志 12
Keywords 关键词:
Abstract 摘要:
List of abbreviations 缩略语清单:
Abbreviations缩略语
Full spelling 英文全名
Chinese explanation 中文解释
简介
概述
eudemon防火墙的日志格式有SYSLOG和二进制两种输出格式。其中,二进制日志具有容量大、效率高的优点。其中还支持ASPF流日志、NAT日志等基于数据流访问的日志内容。
ASPF流日志可以作为事后跟踪审计的重要依据,NAT日志可以方便的根据日志追查到NAT私有网络用户的地址。另外,对攻击告警也有详细的日志,配套华为日志服务器,可以对日志结果进行分析、备份、保存、过滤等,这对于企业有重要的意义。
对于NAT设备,网管侧软件可以通过源IP地址、目的IP地址、用户上网时间等信息进行索引,查找并追踪NAT设备的访问记录。例如,,从事非法活动,如果没有用户日志特性的支持,最终只能追踪查找到NAT设备,而通过用户日志特性提供的NAT日志,就可以定位具体是哪台PC机进行了非法活动,从而定位到人。华为日志能充分帮助企事业单位和相关安全机构对网络实现有效的管理,提高网络的安全性和可用性。
范围
本文档描述了eudemon防火墙的日志实现方式,和日志输出格式等相关内容。
日志实现的规格
NAT&ASPF流日志信息
对于防火墙而言,所有通过防火墙的流都进行了保存,创建一个基于流状态的状态信息表,这些状态信息表记录了一个完整的流的信息,储存在内存当中。可以通过命令对这些流状态信息表进行日志功能,通过二进制或者SYSLOG(文本)的方式输出日志。
NAT日志记录了详细的NAT流信息,包括源IP地址、转换后的源IP地址、目的IP地址、源端口、转换后的源端口、目的端口、协议号等,利用分析工具提取相关的日志信息,可以方便地分析NAT设备的流量记录,查找追踪私网用户访问外部网络的情况,有效地发现违法违规行为。流日志则记录了用户流的详细信息,包括源IP地址、目的IP地址、源端口、目的端口、协议号等,通过这些用户信息以及用户的流信息,可以分析BAS设备的用户上网情况。
攻击防范日志
对防火墙支持的攻击防范特性提供日志告警信息,通过SYSLOG的方式输出告警信息。攻击类型(文本方式);接收接口;攻击来源(可能有多个);攻击目的地址(可能有多个);发起攻击的开始时间; 发起攻击的结束时间; 攻击报文的总个数;
攻击种类包含如下种:
IP Spoofing攻击
Land攻击
Smurf攻击
Fraggle攻击
WinNuke攻击
SYN Flood攻击
ICMP Flood攻击
UDP Flood攻击
ICMP重定向报文
ICMP不可达报文
地址扫描
端口扫描
IP源站选路选项的控制
IP路由记录选项的控制
Tracert报文的控制
Ping of Death攻击的防范
Tear Drop攻击的防范
TCP报文标志合法性的检测
IP分片报文的控制
超大ICMP报文的控制
通过攻击防范的日志信息,很容易可以查到内部网络何时受到过一些什么样的攻击行为,通过日志可以有效的了解一些网络状况,同时也可以通过攻击日志,发现一些异常主机,例如感染了病毒的主机