Stránka Protokoly brány firewall (Firewall logs) zobrazuje detaily protokolu brány firewall pocházejícího ze Zařízení VMware SD-WAN Edge. Dříve mohl zákazník ukládat a prohlížet protokoly brány firewall pouze tak, že je přeposlal na server Syslog. Od verze 5.2.0 má zákazník možnost ukládat protokoly brány firewall v systému Orchestrator, kde je lze zobrazovat, řadit a vyhledávat v nich v uživatelském rozhraní systému Orchestrator. Ve výchozím nastavení nemohou zařízení Edge odesílat své protokoly bran firewall do nástroje Orchestrator. Aby zařízení Edge mohlo odesílat protokoly brány firewall do nástroje Orchestrator, ujistěte se, že je zákaznická možnost Aktivovat protokolování brány firewall do nástroje Orchestrator (Enable Firewall Logging to Orchestrator) aktivována na úrovni zákazníka na stránce uživatelského rozhraní Globální nastavení (Global Settings). Ve výchozím nastavení systém Orchestrator uchovává protokoly brány firewall, dokud nedosáhne maximální doby uchování 7 dní nebo maximální velikosti protokolu 15 GB na zákazníka na základě rotace.

Protokoly brány firewall jsou vygenerovány:
  • Při vytvoření toku (za podmínky, kdy je tok přijat)
  • Když je tok uzavřen
  • Když je nový tok odmítnut
  • Když je existující tok aktualizován (kvůli změně konfigurace brány firewall)
Výstrahy EFS jsou generovány vždy, když se provoz toku shoduje s kategoriemi URL a/nebo reputací adresy URL, škodlivými IP adresami nebo jakýmikoli podpisy IDS/IPS suricata nakonfigurovanými v modulu souborů EFS:
  • Pokud má pravidlo brány firewall aktivovánu službu filtrování kategorií URL, modul kategorií adres URL vyhledá kategorie cílových adres URL a zjistí, zda se shoduje s nakonfigurovanými kategoriemi Blokované nebo Monitorované. Pokud se adresa URL shoduje s blokovanými kategoriemi, modul kategorií URL vygeneruje výstrahu a zablokuje provoz zařízení Edge. Pokud adresa URL odpovídá kategoriím monitorování, modul povolí provoz zařízení Edge a zachytí protokoly brány firewall.
  • Pokud má pravidlo brány firewall aktivovánu službu filtrování reputace adres URL, modul reputace adres URL vyhledá skóre reputace adresy URL a provede akci (povolení/zablokování) na základě nakonfigurované minimální reputace. Pokud je skóre reputace adresy URL nižší než minimální nakonfigurovaná reputace, zařízení Edge zablokuje provoz a vygeneruje výstrahy a protokoly EFS, jinak povolí provoz. Modul reputace URL vygeneruje protokoly EFS pro povolený provoz na základě konfigurace funkce Protokoly zachycení (Capture Logs).
  • Pokud má pravidlo brány firewall aktivovánu službu filtrování škodlivých IP adres, modul škodlivých IP adres zkontroluje, zda je cílová IP adresa přítomná v databázi škodlivých IP adres (databáze dotazování sítě a místní databáze). Pokud modul detekuje cílovou IP adresu v databázi škodlivých IP adres, modul vygeneruje výstrahy a protokoly EFS a rozhodne o provozu zařízení Edge na základě nakonfigurované akce (zablokování/monitorování).
  • Pokud má pravidlo brány firewall aktivován pouze systém zjišťování neoprávněného vniknutí (IDS), zařízení Edge zjistí, zda je tok dat škodlivý, nebo ne, na základě určitých podpisů nakonfigurovaných v modulu. Pokud je útok rozpoznán, modul EFS vygeneruje výstrahu a odešle zprávu výstrahy do SASE Orchestrator / na server Syslog (pokud je v systému Orchestrator aktivováno protokolování brány firewall) a nezahodí žádné pakety.
  • Pokud má pravidlo brány firewall aktivován systém prevence před neoprávněným vniknutím (IPS), zařízení Edge zjistí, zda je tok dat škodlivý, nebo ne, na základě určitých podpisů nakonfigurovaných v modulu. Pokud je detekován útok, modul EFS vygeneruje výstrahu a zablokuje tok dat ke klientovi pouze v případě, že má pravidlo podpisu akci Odmítnout (Reject), která se shoduje se škodlivým provozem. Pokud je akce v pravidlu podpisu Výstraha (Alert), provoz bude povolen modulem bez odstranění paketů, i když nakonfigurujete IPS.
Zobrazení protokolů brány firewall zařízení Edge v nástroji Orchestrator:
  1. Ve službě SD-WAN podnikového portálu přejděte na možnost Monitorování (Monitor) > Protokoly brány firewall (Firewall logs). Otevře se stránka Protokoly brány firewall (Firewall Logs).

    S aktivovanými funkcemi Stavová brána firewall a Vylepšené služby brány firewall (EFS) lze v protokolech brány firewall reportovat více informací. V následující tabulce jsou popsány všechny parametry hlášené v protokolech brány firewall.

    Pole Popis
    Čas (Time) Časové razítko relace toku provozu, na které byla výstraha spuštěna.
    Segment Název segmentu, do kterého relace patří.
    Edge Název Edge, do kterého relace patří.
    Akce (Action) Kterákoli z následujících akcí, které byly spuštěny v souvislosti s událostí/výstrahou:
    • Povolit
    • Zavřít
    • Odmítnout
    • Otevřené (Open)
    • Aktualizovat
    Rozhraní (Interface) Název rozhraní, ve kterém byl přijat první paket relace. V případě paketů přijatých v overlay bude v tomto poli uveden výraz VPN. U všech ostatních paketů (přijatých prostřednictvím underlay) se v tomto poli zobrazí název rozhraní v Edge.
    Protokol (Protocol) Typ protokolu IP adresy, který relace používá. Možné hodnoty jsou TCP, UDP, GRE, ESP a ICMP.
    Zdrojová IP adresa (Source IP) Zdrojová IP adresa relace toku dat, na které byla výstraha spuštěna.
    Zdrojový port Číslo zdrojového portu relace toku dat, na které byla výstraha spuštěna.
    Cílová IP Cílová IP adresa relace toku dat, na které byla výstraha spuštěna.
    Cílový port Cílový port relace toku provozu, na které byla výstraha spuštěna.
    Záhlaví přípon Záhlaví rozšíření paketu toku provozu.
    Pravidlo Pravidlo, ke kterému podpis patří.
    Důvod Důvod ukončení nebo zamítnutí relace. Toto pole je dostupné pro zprávy z protokolu „Zavřít“ a „Odmítnout“.
    Odeslané bajty (Bytes Sent) Objem odeslaných dat (v bajtech) v rámci relace. Toto pole je dostupné pouze pro zprávy z protokolu „Zavřít“.
    Přijaté bajty (Bytes Received) Objem přijatých dat (v bajtech) v rámci relace. Toto pole je dostupné pouze pro zprávy z protokolu „Zavřít“.
    Doba trvání (Duration) Doba, po kterou byla relace aktivní. Toto pole je dostupné pouze pro zprávy z protokolu „Zavřít“.
    Aplikace (Application) Název aplikace, do které byla relace zařazena v rámci filtrování DPI Engine. Toto pole je dostupné pouze pro zprávy z protokolu „Zavřít“.
    Cílová doména Cílová doména relace toku dat.
    Název cíle (Destination Name) Název cílového zařízení relace toku provozu.
    ID relace (Session ID) ID relace toku provozu, ve kterém byla výstraha spuštěna.
    ID podpisu Jedinečné ID pravidla podpisu.
    Podpis Podpis nainstalovaný na zařízení Edge.
    Zdroj útoku Zdroj útoku.
    Cíl útoku (Attack Target) Cíl útoku.
    Závažnost (Severity) Závažnost vniknutí.
    Kategorie (Category) Typ kategorie, do které vniknutí patří.
    Výstraha IDS Při obdržení upozornění na výstrahu z modulu IDS zobrazuje hodnotu „Ano“ (Yes). Jinak zobrazuje hodnotu „Ne“ (No).
    Výstraha IPS Při obdržení upozornění na výstrahu z modulu IPS zobrazuje hodnotu „Ano“ (Yes). Jinak zobrazuje hodnotu „Ne“ (No).
    Adresa URL (URL) Adresa URL cíle, do kterého byl tok dat nasměrován.
    Typy jádra Celkový počet typů modulu, které odpovídají toku. Kliknutím na odkaz ve sloupci zobrazíte typy modulu, které odpovídají danému toku.
    Kategorie URL Celkový počet typů kategorií adres URL, které odpovídají toku. Kliknutím na odkaz ve sloupci zobrazíte kategorie URL, které odpovídají danému toku.
    Akce filtru pro kategorie adres URL Filtrovací akce specifická pro moduly URL dané kategorie:
    • Blokovat
    • Monitorování
    Reputace adresy URL Typ reputace adresy URL definovaný v pravidle zásad.
    Akce reputace adresy URL Filtrovací akce specifická pro moduly URL dané reputace:
    • Blokovat
    • Monitorování
    Kategorie IP Celkový počet typů hrozeb, které odpovídají toku. Kliknutím na odkaz ve sloupci zobrazíte kategorie IP, které odpovídají danému toku.
    Akce škodlivé IP adresy Akce filtrování specifická pro modul škodlivých IP adres:
    • Blokovat
    • Monitorování
    Poznámka: Ne všechna pole budou vyplněna pro všechny protokoly brány firewall. Například pole Důvod (Reason), Přijaté/odeslané bajty (Bytes Received/Sent) a Doba trvání (Duration) jsou zahrnuta do protokolu, je-li relace uzavřena. ID podpisu (Signature ID), Podpis (Signature), Zdroj útoku (Attack Source), Cíl útoku (Attack Target), Závažnost (Severity), Výstraha IDS (IDS Alert), Výstrahy IPS (IPS Alert), Adresa URL (URL), Typy jádra (Engine types), Kategorie adres URL (URL Categories), Akce filtru pro kategorie adres URL (URL Category Filter Action), Reputace adresy URL (URL Reputation), Akce reputace adresy URL (URL Reputation Action), Kategorie IP adres (IP Categories) a Akce škodlivé IP adresy (Malicious IP Action) jsou vyplněny pouze pro výstrahy EFS, nikoli pro protokoly brány firewall.
  2. Můžete použít možnosti Filtr (Filter) a z rozevírací nabídky vybrat filtr za účelem dotazování na protokoly brány firewall.
  3. Chcete-li zobrazit podrobnější informace o konkrétním protokolu brány firewall, vyberte položku Protokol brány firewall (Firewall log). V části Podrobnosti brány firewall (Firewall Details) si můžete prohlédnout podrobné informace Přehled protokolu (Log Overview)Modul (Engine) pro vybranou položku protokolu.
    Poznámka: Pokud je vybraná položka protokolu brány firewall vygenerována jinými moduly než Enhanced Security Services, nebude karta Modul (Engine) k dispozici.
  4. Na kartě Přehled protokolu (Log Overview) klikněte na odkaz vedle možnosti Modul (Engine) a zobrazíte podrobné informace o konkrétním modulu, který odpovídal toku, společně s akcí filtrování specifickou pro daný modul.
  5. Chcete-li vytvořit vlastní zprávy exportem dat protokolů brány firewall Edge ve formátu CVS, klikněte na stránce Protokoly brány firewall (Firewall Logs) na možnost CSV.