Logi Firewall

Spis treści:
Reguła filtru
Kontrola aplikacji
Filtr URL
Filtr WCF
Filtr DNS

Zapoznaj się z przykładem Jak zapisać SysLog.

Przejdź do zakładki System Maintenance >> SysLog/MailAlert, aby włączyć logi Firewall.

Przejdź do zakładki Firewall >> Filter Setup, aby w regułach Firewall włączyć interesujące logi.

Reguła filtru

Pakiety TCP
[FILTER][Pass][LAN/RT/VPN->WAN, 0:10:00 ][@S:R=2:2, 192.168.1.10:51616->185.184.8.30:443][TCP][HLen=20, TLen=52, Flag=S, Seq=1161524046, Ack=0, Win=64240]

[FILTER] oznacza, że jest powiązany z regułą filtrowania
[Pass] oznacza, że pakiet został przepuszczony
@S:R=2:2 oznacza akcję podjętą przez Zestaw#2, Reguła#2
192.168.1.10:51616->185.184.8.30:443 oznacza pakiet z 192.168.1.10 z portu źródłowego 51616 do 185.184.8.30 z portem docelowym 443
[TCP] oznacza protokół TCP
HLen oznacza Header Length czyli długość nagłówka
TLen oznacza Total Length czyli długość całkowitą
Flag oznacza flagę: S=Syn, A=Ack, P=Push
Seq oznacza Sequence number czyli numer sekwencyjny
Ack oznacza Acknowledgment number czyli numer potwierdzenia
Win oznacza Window size czyli rozmiar okna

Pakiety UDP
[FILTER][Pass][LAN/RT/VPN->WAN, 0:10:00 ][@S:R=13:1, 192.168.1.10:60306->8.8.8.8:53][UDP][HLen=20, TLen=76]

[FILTER] oznacza, że jest powiązany z regułą filtrowania
[Pass] oznacza, że pakiet został przepuszczony
@S:R=13:1 oznacza akcję podjętą przez Zestaw#13, Reguła#1 czyli domyślną regułę
192.168.1.10:60306->8.8.8.8:53 oznacza pakiet z 192.168.1.10 z portu źródłowego 60306 do 8.8.8.8 z portem docelowym 53
[UDP] oznacza protokół UDP
HLen oznacza Header Length czyli długość nagłówka
TLen oznacza Total Length czyli długość całkowitą

Pakiety ICMP
[FILTER][Block][LAN/RT/VPN->LAN/RT/VPN, 0:10:00 ][@S:R=3:1, 192.168.1.10->192.168.2.10][ICMP][HLen=20, TLen=60, Type=8, Code=0]

[FILTER] oznacza, że log jest powiązany z regułą filtrowania
[Block] oznacza, że pakiet został odrzucony
@S:R=3:1 oznacza akcję podjętą przez Zestaw#3, Reguła#1
192.168.1.10->192.168.2.10 oznacza pakiet z 192.168.1.10 do 192.168.2.10
[ICMP] oznacza protokół ICMP (ping)
HLen oznacza Header Length czyli długość nagłówka
TLen oznacza Total Length czyli długość całkowitą
Type=8, Code=0 oznacza ICMP Request

Kontrola aplikacji

[CSM_AE][Block][Facebook][@S:R=2:2, 192.168.1.10:57338->31.13.92.36:443][TCP][HLen=20, TLen=557, Flag=AP, Seq=3046639714, Ack=3426382831, Win=1026]

[CSM_AE] oznacza, że log jest powiązany z CSM >>  APP Enforcement
[Facebook] oznacza protokół/aplikację

Filtr URL

Przejdź do CSM >> URL Content Profile i wybierz jakie zdarzenia mają być logowane.
[CSM_UF][Block][Type=KW(G:O=1:1)][@S:R=2:3, 192.168.1.11:50345->http://tw.yahoo.com/:80][HTTP][HLen=20, TLen=1465, Flag=AP, Seq=2495239783, Ack=1500601792, Win=260]

[CSM_UF] oznacza, że log jest powiązany z CSM >>  URL Content Filter
[Type=KW(G:O=1:1)] oznacza typ Keyword czyli słowo kluczowe w Grupa#1, Obiekt#1

Filtr WCF

Przejdź do CSM >> Web Content Filter Profile i wybierz jakie zdarzenia mają być logowane.[CSM_WF][Block][Service_Provider=CYREN][Category=News][@S:R=2:3, 192.168.1.11:50426->http://www.bbc.co.uk:80/news][HTTP][HLen=20, TLen=1492, Flag=A, Seq=1965422587, Ack=29701415, Win=65340]

[CSM_AF] oznacza, że log jest powiązany z CSM >>  Web Content Filter
[Category=News] oznacza kategorię

Filtr DNS

Przejdź do CSM >> DNS Filter i wybierz jakie zdarzenia mają być logowane.[CSM_DNSF][Block][Type=KW(G:O=0:1)][@S:R=2:3, 192.168.1.10:49316->http://www.facebook.com:53][DNS][HLen=20, TLen=62]

[CSM_DNSF] oznacza, że log jest powiązany z CSM >>  DNS Filter
[DNS] oznacza zapytanie DNS

W tej witrynie stosujemy pliki cookies. Standardowe ustawienia przeglądarki internetowej zezwalają na zapisywanie ich na urządzeniu końcowym Użytkownika. Kontynuowanie przeglądania serwisu bez zmiany ustawień traktujemy jako zgodę na użycie plików cookies. Więcej informacji w Polityce Cookies.

Akceptuję