Logi Firewall

Spis treści:
Numer zestawu i reguÅ‚y
Reguła filtru
Kontrola aplikacji
Filtr URL
Filtr WCF
Filtr DNS
Ochrona DoS
Ochrona Spoofing

Zapoznaj siÄ™ z przykÅ‚adem Jak zapisać SysLog.

Przejdź do zakładki System Maintenance >> SysLog/MailAlert, aby włączyć logi Firewall.

Przejdź do zakÅ‚adki Firewall >> Filter Setup, aby w reguÅ‚ach Firewall wÅ‚Ä…czyć interesujÄ…ce logi.

Numer zestawu i reguÅ‚y

@S:R=X:Y oznacza Set(Zestaw) X oraz Rule(Regułę) Y.

W routerach z 12 zestawami @S:R=13:1 oznacza domyÅ›lnÄ… reguÅ‚Ä™.
W routerach z 50 zestawami @S:R=51:1 oznacza domyÅ›lnÄ… reguÅ‚Ä™.
Ustawienia domyÅ›lnej reguÅ‚y znajdujÄ… siÄ™ w Firewall >> General Setup -> Default Rule.

Reguła filtru

Pakiety TCP
[FILTER][Pass][LAN/RT/VPN->WAN, 0:10:00 ][@S:R=2:2, 192.168.1.10:51616->185.184.8.30:443][TCP][HLen=20, TLen=52, Flag=S, Seq=1161524046, Ack=0, Win=64240]

[FILTER] oznacza, że jest powiÄ…zany z reguÅ‚Ä… filtrowania
[Pass] oznacza, że pakiet został przepuszczony
@S:R=2:2 oznacza akcję podjętą przez Zestaw#2, Reguła#2
192.168.1.10:51616->185.184.8.30:443 oznacza pakiet z 192.168.1.10 z portu źródÅ‚owego 51616 do 185.184.8.30 z portem docelowym 443
[TCP] oznacza protokół TCP
HLen oznacza Header Length czyli długość nagłówka
TLen oznacza Total Length czyli długość całkowitą
Flag oznacza flagÄ™: S=Syn, A=Ack, P=Push
Seq oznacza Sequence number czyli numer sekwencyjny
Ack oznacza Acknowledgment number czyli numer potwierdzenia
Win oznacza Window size czyli rozmiar okna

Pakiety UDP
[FILTER][Pass][LAN/RT/VPN->WAN, 0:10:00 ][@S:R=13:1, 192.168.1.10:60306->8.8.8.8:53][UDP][HLen=20, TLen=76]

[FILTER] oznacza, że jest powiÄ…zany z reguÅ‚Ä… filtrowania
[Pass] oznacza, że pakiet został przepuszczony
@S:R=13:1 oznacza akcję podjętą przez Zestaw#13, Reguła#1 czyli domyślną regułę
192.168.1.10:60306->8.8.8.8:53 oznacza pakiet z 192.168.1.10 z portu źródÅ‚owego 60306 do 8.8.8.8 z portem docelowym 53
[UDP] oznacza protokół UDP
HLen oznacza Header Length czyli długość nagłówka
TLen oznacza Total Length czyli długość całkowitą

Pakiety ICMP
[FILTER][Block][LAN/RT/VPN->LAN/RT/VPN, 0:10:00 ][@S:R=3:1, 192.168.1.10->192.168.2.10][ICMP][HLen=20, TLen=60, Type=8, Code=0]

[FILTER] oznacza, że log jest powiÄ…zany z reguÅ‚Ä… filtrowania
[Block] oznacza, że pakiet został odrzucony
@S:R=3:1 oznacza akcję podjętą przez Zestaw#3, Reguła#1
192.168.1.10->192.168.2.10 oznacza pakiet z 192.168.1.10 do 192.168.2.10
[ICMP] oznacza protokół ICMP (ping)
HLen oznacza Header Length czyli długość nagłówka
TLen oznacza Total Length czyli długość całkowitą
Type=8, Code=0 oznacza ICMP Request, objaÅ›nienie typów i kodów ICMP

Kontrola aplikacji

[CSM_AE][Block][Facebook][@S:R=2:2, 192.168.1.10:57338->31.13.92.36:443][TCP][HLen=20, TLen=557, Flag=AP, Seq=3046639714, Ack=3426382831, Win=1026]

[CSM_AE] oznacza, że log jest powiÄ…zany z CSM >>  APP Enforcement
[Facebook] oznacza protokół/aplikację

Filtr URL

Przejdź do CSM >> URL Content Profile i wybierz jakie zdarzenia majÄ… być logowane.
[CSM_UF][Block][Type=KW(G:O=1:1)][@S:R=2:3, 192.168.1.11:50345->http://tw.yahoo.com/:80][HTTP][HLen=20, TLen=1465, Flag=AP, Seq=2495239783, Ack=1500601792, Win=260]

[CSM_UF] oznacza, że log jest powiÄ…zany z CSM >>  URL Content Filter
[Type=KW(G:O=1:1)] oznacza typ Keyword czyli sÅ‚owo kluczowe w Grupa#1, Obiekt#1

Filtr WCF

Przejdź do CSM >> Web Content Filter Profile i wybierz jakie zdarzenia majÄ… być logowane.[CSM_WF][Block][Service_Provider=xxx][Category=News][@S:R=2:3, 192.168.1.11:50426->http://www.bbc.co.uk:80/news][HTTP][HLen=20, TLen=1492, Flag=A, Seq=1965422587, Ack=29701415, Win=65340]

[CSM_AF] oznacza, że log jest powiÄ…zany z CSM >>  Web Content Filter
[Category=News] oznacza kategoriÄ™

Filtr DNS

Przejdź do CSM >> DNS Filter i wybierz jakie zdarzenia majÄ… być logowane.[CSM_DNSF][Block][Type=KW(G:O=0:1)][@S:R=2:3, 192.168.1.10:49316->http://www.facebook.com:53][DNS][HLen=20, TLen=62]

[CSM_DNSF] oznacza, że log jest powiÄ…zany z CSM >>  DNS Filter
[DNS] oznacza zapytanie DNS

Ochrona DoS

Przejdź do Firewall >> Defense Setup – DoS Defense i wÅ‚Ä…cz syslog.

[DOS][Block][syn_flood, timeout=10, state:1][192.168.1.10:80->1.2.3.4:80][TCP][HLen=20, TLan=59, Flag=S, Seq=0, Ack=0, Win=0]

[DOS] oznacza, że log jest powiÄ…zany z Firewall >> Defense Setup – DoS Defense
syn_flood oznacza atak TCP SYN flood

Ochrona Spoofing

Przejdź do Firewall >> Defense Setup – Spoofing Defense i wÅ‚Ä…cz syslog.

[IP Spoofing Defense]Block packet from WAN with source IP: 192.168.1.10

[IP Spoofing Defense] oznacza, że log jest powiÄ…zany z Firewall >> Defense Setup – IP Spoofing

W tej witrynie stosujemy pliki cookies. Standardowe ustawienia przeglądarki internetowej zezwalają na zapisywanie ich na urządzeniu końcowym Użytkownika. Kontynuowanie przeglądania serwisu bez zmiany ustawień traktujemy jako zgodę na użycie plików cookies. Więcej informacji w Polityce Cookies.

AkceptujÄ™