华为防火墙日志配置.docx

1、防火墙日志服务器配置说明 通过 Eudemon 日志服务器可以收集 Eudeon 防火墙的日志信息，方便日志查询、分析、告警；这里对 Eudemon 防火墙的相关配置做一简要说明。对 Eudemon 日志服务器安装操作说明请参考相关文档。 1.1 几点说明 1 Eudemon 防火墙目前支持两种日志格式 Syslog、Binary； 2 Syslog(UDP：514)日志为文本日志，如在防火墙上执行的各种命令操作记录； 3 Binary(UDP：9002)流日志是在防火墙上建立会话表项的日志 ,其又分为 Binary NAT Log 和Binary ASPF Log；其中 Binary NAT

2、 Log 指会话表项进行地址转换的流日志；而Binary ASPF Log 指会话表项没有进行地址转换的流日志； 4 Binary 日志在防火墙会话表项老化之后会生成： E200： 在 session 完全老化(display firewall session table verbose查看不到)或清空会话表时会触发流日志； E1000：在 session 老化(display firewall session table 查看不到)后会触发流日志； 5 对于哪些会话表项能够产生 Binary 日志，E200 与 E1000 有所不同： E200: 对 TCP(处于 ready 状态,Stat

3、e：0x53 的会话)、UDP 会话会产生Binary 日志； E1000: 对 TCP(处于 ready 状态的会话)、UDP、ICMP 会话会产生 Binary日志； 6 两种日志 Syslog/Binary 的记录时间取防火墙系统的当前时间； 7 由于 Syslog 日志数量相对 Binary 要少，建立会话对系统影响较小，而且 Syslog 日志是由cpu 发的，与 cpu 发的其他报文处理流程一样，所以 Syslog 会在 E200/E1000 防火墙上都会建立 session； 8 Binary 日志流量大，数量多，建立 session 可能对系统有所影响；E1000 其 Bina

4、ry 日志由 NP直接发送，E200 则由 CPU 发送；目前 E200 对 Binary 会在防火墙上建立 session；E1000 对Binary 在防火墙上没有建立 session； 9 目前 E200 与 E1000 对于 Syslog 日志的配置命令完全相同；而对于 Binary 日志的配置命令则有所区别； Quidway Eudemon 防火墙日志配置指导 文档密级 内部公开 2006-02-25 华为机密，未经许可不得扩散 第 5 页, 共 8 页 E200： 域间使能流日志功能时可以不指定 ACL，如果指定 ACL 不需要指定inbound、outbound 方向； E100

5、0：域间使能流日志功能时必须指定 ACL，并且要指定 inbound、outbound 方向； 1.2 验证组网 1.3 Eudemon 200 参考配置 1.3.1 Syslog 配置： 1. 配置接口 IP 地址： # interface Ethernet0/0/1 ip address 192.168.1.2 255.255.255.0 # 2. 将接口加入域： # firewall zone trust add interface Ethernet0/0/1 # 3. 配置日志服务器主机，默认语言为 english： # info-center loghost 192.168.1.3

6、# Quidway Eudemon 防火墙日志配置指导 文档密级 内部公开 2006-02-25 华为机密，未经许可不得扩散 第 6 页, 共 8 页 4. 配置 ACL 过滤规则： # acl number 3000 rule 5 permit udp destination-port eq syslog # 5. 应用 ACL 规则到相应域间： # firewall interzone local trust packet-filter 3000 outbound # 1.3.2 Binary 配置： 1. 配置接口 IP 地址： # interface Ethernet0/0/1 ip

7、address 192.168.1.2 255.255.255.0 # 2. 将接口加入域： # firewall zone trust add interface Ethernet0/0/1 # 3. 配置二进制日志服务器主机及端口号： # firewall session log-type binary host 192.168.1.3 9002 # 4. 配置 ACL 过滤规则： # acl number 3000 rule 5 permit udp destination-port eq 9002 # acl number 3333 rule 5 permit ip # 5. 应用 A

8、CL 规则到相应域间： # firewall interzone local trust packet-filter 3333 inbound packet-filter 3000 outbound # 6. 域间使能流日志功能： # Quidway Eudemon 防火墙日志配置指导 文档密级 内部公开 2006-02-25 华为机密，未经许可不得扩散 第 7 页, 共 8 页 firewall interzone local trust session log enable -此处可以不指定 ACL # 1.4 Eudemon 1000 参考配置 1.4.1 Syslog 配置： 1. 配

9、置接口 IP 地址： # interface Ethernet4/0/7 ip address 192.168.1.1 255.255.255.0 # 2. 将接口加入域： # firewall zone trust add interface Ethernet4/0/7 # 3. 配置日志服务器主机，默认语言为 english： # info-center loghost 192.168.1.3 # 4. 配置 ACL 过滤规则： # acl number 3000 rule 5 permit udp destination-port eq syslog # 5. 应用 ACL 规则到相应域

10、间： # firewall interzone local trust packet-filter 3000 outbound # 1.4.2 Binary 配置： 1. 配置接口 IP 地址： # interface Ethernet4/0/7 ip address 192.168.1.1 255.255.255.0 # 2. 将接口加入域： # Quidway Eudemon 防火墙日志配置指导 文档密级 内部公开 2006-02-25 华为机密，未经许可不得扩散 第 8 页, 共 8 页 firewall zone trust add interface Ethernet4/0/7 #

11、3. 配置二进制日志服务器主机及端口号： # firewall session log-type binary host 192.168.1.3 9002 # 4. 配置 ACL 过滤规则： # acl number 3000 rule 5 permit udp destination-port eq 9002 acl number 3001 rule 0 permit ip source 192.168.1.3 0 acl number 3333 rule 5 permit icmp source 192.168.1.3 0 # 5. 应用 ACL 规则到相应域间： # firewall interzone local trust packet-filter 3333 inbound packet-filter 3000 outbound # 6. 域间使能流日志功能： # firewall interzone local trust session log enable acl-number 3001 inbound -此处必须指定 ACL 及方向