Η σελίδα Αρχεία καταγραφής τείχους προστασίας (Firewall Logs) εμφανίζει τις λεπτομέρειες των καταγραφών τείχους προστασίας που προέρχονται από τα VMware SD-WAN Edges. Προηγουμένως, ο μόνος τρόπος με τον οποίο ένας πελάτης μπορούσε να αποθηκεύσει και να προβάλει αρχεία καταγραφής τείχους προστασίας ήταν να τα προωθήσει σε έναν διακομιστή Syslog. Με την έκδοση 5.2.0, ο πελάτης έχει την επιλογή να αποθηκεύει αρχεία καταγραφής τείχους προστασίας στο Orchestrator, όπου μπορούν να προβληθούν, να ταξινομηθούν και να αναζητηθούν στο περιβάλλον εργασίας χρήστη Orchestrator. Από προεπιλογή, τα Edge δεν μπορούν να στείλουν τα αρχεία καταγραφής τείχους προστασίας στο Orchestrator. Για να στείλει ένα Edge τα αρχεία καταγραφής τείχους προστασίας στο Orchestrator, βεβαιωθείτε ότι η δυνατότητα πελάτη «Ενεργοποίηση καταγραφής τείχους προστασίας στο Orchestrator» (Enable Firewall Logging to Orchestrator) είναι ενεργοποιημένη σε επίπεδο πελάτη στη σελίδα περιβάλλοντος εργασίας χρήστη «Καθολικές ρυθμίσεις» (Global Settings). Οι πελάτες πρέπει να επικοινωνήσουν με τον χειριστή τους εάν θέλουν να ενεργοποιήσουν τη δυνατότητα καταγραφής τείχους προστασίας. Από προεπιλογή, το Orchestrator διατηρεί τα αρχεία καταγραφής τείχους προστασίας μέχρι να συμπληρωθεί ο μέγιστος χρόνος διατήρησης των 7 ημερών ή το μέγιστο μέγεθος αρχείου καταγραφής των 15 GB ανά μισθωτή-πελάτη εκ περιτροπής.
- Στην υπηρεσία SD-WAN της πύλης επιχείρησης, μεταβείτε στις επιλογές Παρακολούθηση > Αρχεία καταγραφής τείχους προστασίας (Monitor > Firewall Logs). Εμφανίζεται η σελίδα Αρχεία καταγραφής τείχους προστασίας (Firewall Logs).
Η σελίδα εμφανίζει τις ακόλουθες λεπτομέρειες αρχείου καταγραφής τείχους προστασίας Edge: Ώρα (Time), Τμήμα (Segment), Edge, Ενέργεια (Action), Διασύνδεση (Interface), Πρωτόκολλο (Protocol), IP προέλευσης (Source IP), Θύρα προέλευσης (Source Port), IP προορισμού (Destination IP), Θύρα προορισμού (Destination Port), Κεφαλίδες επέκτασης (Extension Headers), Κανόνας (Rule), Αιτία (Reason), Byte που λήφθηκαν (Bytes Received), Byte που στάλθηκαν (Bytes Sent), Διάρκεια (Duration), Εφαρμογή (Application), Τομέας προορισμού (Destination Domain), Όνομα προορισμού (Destination Name), Αναγνωριστικό περιόδου λειτουργίας (Session ID), Υπογραφή (Signature), Ειδοποίηση IPS (IPS Alert), Ειδοποίηση IDS (IDS Alert), Αναγνωριστικό υπογραφής (Signature ID), Κατηγορία (Category), Προέλευση επίθεσης (Attack Source), Στόχος επίθεσης (Attack Target) και Σοβαρότητα (Severity).
Σημείωση: Δεν συμπληρώνονται όλα τα πεδία για όλα τα αρχεία καταγραφής τείχους προστασίας. Για παράδειγμα, η «Αιτία» (Reason), «Byte που λήφθηκαν/στάλθηκαν» (Bytes Received/Sent) και η «Διάρκεια» (Duration) είναι πεδία που περιλαμβάνονται στα αρχεία καταγραφής όταν οι περίοδοι λειτουργίας είναι κλειστές. Η «Υπογραφή» (Signature), η «Ειδοποίηση IPS» (IPS Alert), η «Εδοποίηση IDS» (IDS Alert), το «Αναγνωριστικό υπογραφής» (Signature ID), η «Κατηγορία» (Category), η «Προέλευση επίθεσης» (Attack Source), ο «Στόχος επίθεσης» (Attack Target) και η «Σοβαρότητα» (Severity ) συμπληρώνονται μόνο για τις ειδοποιήσεις βελτιωμένων υπηρεσιών τείχους προστασίας (EFS), όχι για αρχεία καταγραφής τείχους προστασίας.Δημιουργούνται αρχεία καταγραφής τείχους προστασίας:- Όταν δημιουργείται μια ροή (υπό την προϋπόθεση ότι η ροή γίνεται αποδεκτή)
- Όταν κλείνει η ροή
- Όταν απορρίπτεται μια νέα ροή
- Όταν ενημερώνεται μια υπάρχουσα ροή (λόγω αλλαγής στη διαμόρφωση τείχους προστασίας)
Δημιουργούνται ειδοποιήσεις EFS:- Κάθε φορά που η κυκλοφορία ροής ταιριάζει με οποιεσδήποτε υπογραφές suricata έχουν ρυθμιστεί στη μηχανή EFS.
- Εάν ο κανόνας τείχους προστασίας έχει ενεργοποιημένο μόνο το σύστημα εντοπισμού εισβολής (IDS), τα Edge ανιχνεύουν εάν η ροή κυκλοφορίας είναι κακόβουλη ή όχι με βάση ορισμένες υπογραφές που έχουν διαμορφωθεί στη μηχανή. Εάν εντοπιστεί επίθεση, η μηχανή EFS δημιουργεί μια ειδοποίηση και στέλνει το μήνυμα ειδοποίησης στον διακομιστή SASE Orchestrator/Syslog, εάν η καταγραφή τείχους προστασίας είναι ενεργοποιημένη στο Orchestrator, και δεν θα απορρίψει πακέτα.
- Εάν ο κανόνας τείχους προστασίας έχει ενεργοποιημένο το σύστημα αποτροπής εισβολής (IPS), τα Edge ανιχνεύουν εάν η ροή κυκλοφορίας είναι κακόβουλη ή όχι με βάση ορισμένες υπογραφές που έχουν διαμορφωθεί στη μηχανή. Εάν εντοπιστεί επίθεση, η μηχανή EFS δημιουργεί μια ειδοποίηση και αποκλείει τη ροή κυκλοφορίας προς τον υπολογιστή-πελάτη, μόνο εάν η ενέργεια του κανόνα υπογραφής είναι «Απόρριψη» (Reject), η οποία αντιστοιχίζεται από την κακόβουλη κυκλοφορία. Εάν η ενέργεια στον κανόνα υπογραφής είναι «Ειδοποίηση» (Alert), η κυκλοφορία θα επιτρέπεται χωρίς απόρριψη πακέτων, ακόμα και αν διαμορφώσετε το IPS.
- Μπορείτε να χρησιμοποιήσετε τις επιλογές Φίλτρο (Filter) και να επιλέξετε ένα φίλτρο από το αναπτυσσόμενο μενού για να υποβάλετε ερώτημα για τα αρχεία καταγραφής τείχους προστασίας.
- Κάντε κλικ στην επιλογή CSV για να κάνετε λήψη μιας αναφοράς των αρχεία καταγραφής τείχους προστασίας του Edge σε μορφή CSV.