• 文章搜索:
  • IP技术专栏

        • 分享到...

        • 新浪微博
        • 腾讯微博
        • 推荐到豆瓣 豆瓣空间
        • 分享到搜狐微博 搜狐微博
        • 分享到QQ空间 QQ空间
        • 分享到腾讯朋友 腾讯朋友
        • 网易微博分享 网易微博
        • 添加到百度搜藏 百度搜藏
        • 转贴到开心网 开心网
        • 转发好友 告诉聊友
    • 推荐
    • 打印
    • 收藏

    H3C防火墙之会话日志篇

    文/孙茂青

    H3C防火墙具备会话日志记录及发送功能,实际应用中大部分场景由H3C防火墙作为NAT转换设备,并且用户需要在防火墙上查看相关日志记录,或者需要防火墙将NAT会话日志发送到指定的日志存储服务器,作为NAT会话信息的永久备份。

    H3C防火墙支持依据已知条件查看会话的详细信息和实时统计信息:

    并且,H3C防火墙支持将定义的数据流产生的会话日志发送到指定的日志服务器,具体配置需要三步:

    1. 正确配置防火墙设备侧的时区和时间;

    2. 在防火墙上使用ACL定义需要记录日志的数据流,并且在安全域间调用ACL,以内部私网网段192.168.2.0从Trust区域访问Untrust区域的流量为例,在“防火墙→ACL”界面新建ACL 3333:

    在“日志管理→会话日志→日志输出策略”界面新建会话日志输出策略:

    然后在“日志管理→会话日志→全局设置”界面配置日志发送条件,建议选择“发送会话删除日志”。早期H3C防火墙软件版本没有后面两栏选项,此类版本可以不选择“时间、流量阈值”,默认会采用“发送会话创建、删除日志”:

    3. 指定日志主机,以及发送日志的格式及版本,并且选择合适的日志发送时间戳,在“日志管理→Userlog日志”界面配置如下:

    上图中“版本”一栏是选择Userlog日志的二进制格式版本, V3.0版本较V1.0版本最大的区别是在有NAT的场景下,V3.0版本日志内容中包含NAT以后的公网地址以及端口信息,所以建议发送NAT会话日志时使用V3.0版本。日志发送时间栏是指定日志发送内容中的时间以哪种时间戳发送,由于设备通过命令查看显示的时间是本地时间,所以以“UTC”方式发送是在当前显示的本地时间之上减去时区后封装到Userlog中发送的;而“本地时间”则是直接把设备显示的时间封装后发送。

    完成了以上三步的配置之后,可以在H3C防火墙WEB管理页面“日志管理Userlog日志”中查看会话日志是否发送成功:

    【发布时间:2013-12-20】