測(cè)試設(shè)備:Huawei USG6507
軟件版本: V500R001C30SPC100

前言

單位外網(wǎng)邊界部署了一臺(tái)華為防火墻，一是作為安全邊界，二是充當(dāng)NAT路由器功能。時(shí)近百年黨慶，上級(jí)部門(mén)對(duì)網(wǎng)絡(luò)安全的要求越來(lái)越嚴(yán)。其中上網(wǎng)nat日志記錄是重點(diǎn)要求之一。比如上級(jí)給一個(gè)時(shí)間點(diǎn)，IP地址及訪(fǎng)問(wèn)的端口，讓我們查是那臺(tái)設(shè)備發(fā)出的請(qǐng)求。要滿(mǎn)足上述任務(wù)，必須開(kāi)啟防火墻的日志功能并將其保存在遠(yuǎn)程日志服務(wù)器上。（上級(jí)給的時(shí)間點(diǎn)可能是幾個(gè)月前，一般要求日志至少保留3個(gè)月）
要做這件事，需要分兩個(gè)步驟，一是配置防火墻日志相關(guān)功能，二是配置日志服務(wù)器接收防火墻發(fā)送過(guò)來(lái)的日志。

配置防火墻

#開(kāi)啟消息中心服務(wù)
info-center enable
#指定傳送日志源端口
info-center loghost source GigabitEthernet1/0/0
#指定日志主機(jī)IP，不指定端口默認(rèn)為514(TCP)
info-center loghost 192.168.200.14

#接下來(lái)是配置nat會(huì)話(huà)表日志
#指定日志類(lèi)型為syslog
 firewall log session log-type syslog
#允許并發(fā)發(fā)送
 firewall log session multi-host-mode concurrent
#指定發(fā)送源IP地址和端口(端口任意找個(gè)未用的即可) 
firewall log source 192.168.128.199 30026
#指定日志服務(wù)器IP及端口（syslog默認(rèn)端口為514）
 firewall log host 1 192.168.200.14 514

接下來(lái)需要配置安全策略，開(kāi)啟會(huì)話(huà)日志記錄功能

#進(jìn)入安全策略配置
security-policy
#設(shè)置名為trust_untrust的安全策略
 rule name trust_untrust
#這是最關(guān)鍵的一點(diǎn)，開(kāi)啟會(huì)話(huà)日志功能
  session logging
  source-zone trust
  destination-zone untrust
  action permit

到這兒，防火墻的配置暫告一段落，接著配置日志服務(wù)器。
日志服務(wù)器環(huán)境
OS:centos 7.6
日志軟件:rsyslog

$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imjournal # provides access to the systemd journal
#加載tcp模塊
$ModLoad imtcp
#模塊端口514
$InputTCPServerRun 514
#自建模板，模板名稱(chēng)RemoteLogs，日志存儲(chǔ)到/data/fwlog目錄下，HOSTNAME和PROGRAMNAME為內(nèi)建變量，用于建立對(duì)應(yīng)目錄和對(duì)應(yīng)文件
$template RemoteLogs,"/data/fwlog/%HOSTNAME%/%PROGRAMNAME%.log" *
#記錄所有日志
*.*  ?RemoteLogs
$WorkDirectory /var/lib/rsyslog
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$IncludeConfig /etc/rsyslog.d/*.conf
$OmitLocalLogging on
$IMJournalStateFile imjournal.state
#將以下信息寫(xiě)入到自定義模板中
*.info,mail.none,authpriv.none,cron.none ?RemoteLogs
mail.none;authpriv.none;cron.none                /var/log/messages
authpriv.*                                              /var/log/secure
mail.*                                                  -/var/log/maillog
cron.*                                                  /var/log/cron
*.emerg                                                 :omusrmsg:*
uucp,news.crit                                          /var/log/spooler
local7.*                                                /var/log/boot.log

配置完成后重啟rsyslog服務(wù)

systemctl restart rsyslog

進(jìn)入/data/fwlog查看日志是否發(fā)送過(guò)來(lái)

image.png

相應(yīng)日志已經(jīng)自動(dòng)生成，我最關(guān)心的nat會(huì)話(huà)日志以日期命名的方式來(lái)存儲(chǔ)。

image.png

屏幕截圖 2021-06-27 100636.png

可以看到，日志按天建立目錄，按小時(shí)寫(xiě)入不同文件，nat會(huì)話(huà)記錄已經(jīng)寫(xiě)入到文件中，任務(wù)完成。