1、Firemon系统实施方案Firemon产品实施方案2016年12月 一、实施计划1.项目进度2.FireMon设备安装步骤安装过程大致分三个部分:1)安装FireMon Security Manager服务器端系统;2)在PC上安装管理用GUI客户端;3)加入被管理设备,开始分析。2.1 安装所需硬件平台规格及需要的参数Security Manager服务器平台物理要求内存16GB或以上硬盘200GB或以上CPU双核CPU(支持64位操作系统)需要参数Root用户口令FireMon用户口令Domain nameIP AddressGateway IPDNSNTP可先不配置中国标准NTP地址:
2、210.72.145.44,上海交大202.120.2.101Security Manager GUI客户端物理规格要求标准PC或笔记本均可。需要操作系统内安装有微软.NET4.0。2.2 Security Manager安装过程第一步:安装Security Manager服务器安装过程:1.修改服务器启动配置,确认服务器可从光驱启动;2.将Security Manager安装光盘装入服务器光驱,重启服务器;3.根据提示配置服务器参数,包括root用户口令、FireMon用户口令、domain name(任意指定该台服务的domain name,可任意配置)、IP地址、网关、DNS服务器地址、
3、NTP服务器地址等;4.配置完后,系统会进行安装,安装结束后会自动重启。第二步:安装Security Manager GUI客户端安装过程:1.在需要安装GUI客户端的PC上,打开浏览器,在地址栏输入:http:/xx.xx.xx.xx/client/,其中xx.xx.xx.xx为Security Manager服务器的IP地址。2.根据提示,完成安装GUI客户端第三步:操作GUI界面,将被管理防火墙设备加入Security Manager过程1.打开Security Manager GUI客户端;2.出现登陆窗口,Username:输入在第一步配置的用户名; Password:输入输入在第一
4、步配置的口令; Host/IP:输入Security Manager服务器的IP地址;3.通过“new device”,并根据提示操作将防火墙加入。这样,就完成了所有安装相关的操作,可以在GUI界面中查看管理防火墙设备的配置、策略使用率等等报告。安装Security Manager具体步骤1.设置BIOS为光盘启动2.插入光盘,机器启动3.见到下面界面后,输入install开始安装FireMon4.系统会自动安装5.安装需重启一次初始化配置step1.见到下面界面后,按回车键后,开始初始化配置step2.见到下面界面,按回车键并继续step3.同意并继续step4.设置域形式的hostname
5、、eth0口的ip地址、网关地址、以及DNSstep5.设置发送系统警告通知的接收方email地址(建议选择no,先不设)step6.开启相关服务,全部选择y:step9.设置root及FireMon user密码step10.设置NTP服务器 (建议不设,直接敲回车跳过)step11.设置时区 step11.配置确认2.3 Security Manager上加入被管理防火墙(部分)在Security Manager上加入被管理防火墙,一般分为两步,首先在防火墙设备的命令行或管理界面下配置策略启用Log记录、Syslog Server设置和Security Manager登录被管理防火墙所使用
6、的账号等,然后在Security Manager GUI中添加被管理防火墙。下面是此次项目涉及到的几种防火墙设备类型的添加过程:2.3.1Juniper NetScreen防火墙配置A在NetScreen设备端1)在NetScreen设备上配置策略时打开Log2)在Netscreen设备上Enable SyslogA. 在NetScreen 管理界面上, 去到 ConfigurationReport SettingsSyslog.B. 选中 Enable Syslog Messages.C. 选择要和Security Manager DC通讯的源接口。在界面中,这个接口被命名为“MGT”或其他
7、业务接口名称。D. 在 IP/Hostname, 输入Security Manager的IP地址E. 在 Port , 输入 514.F. In the Security Facility and Facility drop-down lists, select the option that enables the Security Manager Data Collector to collect all Syslog messages.在“Security Facility” and “Facility”下拉列表中,选择LOCAL0级别,允许DC收集所有的Syslog。G. 选中 Eve
8、nt Log 和Traffic Log ,以及后面的 Enable选项 ,并点击Apply应用配置。3)在NetScreen设备上生成一个只读的管理员用户名/口令A. 在 NetScreen Web UI,点开ConfigurationAdminAdministratorsNew界面.B. 输入:name, password,设置为read-only 权限,然后点击 OK.C. 记录下该信息,稍后会用到。B在Security Manager端在Security Manager上进行配置1)在Security Manager的New Device 窗口,选择 ScreenOS 然后click O
9、K,ScreenOS 配置窗口会打开;.2)输入下面的信息 GeneralName: 设备名。任意名称。IP Address: NetScreen设备的IP地址DNS Name: 如果不使用IP地址方式,请在此输入DNS名称;Data Collector: Data Collector的IP地址。Licensed: 选中。 CredentialsUsername: 在Netscreen设备上的只读管理员用户名Password: 口令RetrievalProtocol: 缺省即可Port: 缺省即可Store Compressed: 选择是否以压缩方式存储配置信息。推荐压缩方式。Store En
10、crypted: 选择是否加密方式3)点开 Log Monitoring,选择 “Monitor Log Data“。 如不希望在这台设备上启动策略使用状况分析,则不选该项4)点开Change Monitoring,点击OK 来保持配置.5)该台设备就会出现在GUI界面内。在这台设备上点击右键,选择Retrieval configuration,按照向导提示点击Next,即可完成首次配置抓取的操作,点击Finish完成。2.3.2Juniper SRX防火墙配置(SRX)A.在SRX设备端1)在SRX上配置策略时,务必在LOG上至少选中session-close2)在SRX设备上配置syslo
11、ga. 登入Juniper Web管理界面;b. 点击 Configure 按钮;c. 点击 CLI Tools - Point and Click CLI ,进入配置界面;d. 在Configuration界面中,进入system - syslog 配置界面;e. 点开Host 界面, 点击 Add new entry,添加一个新的Syslog Server条目;f. 在 Host name 中, 选择 Enter Specific Value,然后输入日志主机名;g. 在 Contents 中, 点击 Add New Entry;h. 在 Facility 中, 选择 any;i. 在 L
12、evel 中,选择info;j. 点击 Commit 按钮;k. 点击 OK;l. 再次点击OK .最终的配置界面如下图所示:3)在SRX设备上生成一个只读的管理员用户名/口令,运行下面的命令 首先生成一个“login class”。下面的例子将该“logging class”命名为“firemon”。set system login class firemon permissions interfaceset system login class firemon permissions routingset system login class firemon permissions vie
13、wset system login class firemon permissions view-configurationset system login class firemon allow-commands shows+.* 然后生成一个用户。下面的例子命名该用户为“mxu_read”,全称minquanset system login user mxu_read full-name minquanset system login user mxu_read uid 2006set system login user mxu_read class firemonset system l
14、ogin user mxu_read authentication encrypted-password “*记录下该信息,稍后会用到。B.在Security Manager端:在Security Manager上进行配置1)在Security Manager的New Device 窗口,选择SRX,然后点击OK.2)在Properties窗口,输入下面的信息 GeneralName: 设备名。任意名称。IP Address: SRX设备的IP地址DNS Name: 如果不使用IP地址方式,请在此输入DNS名称;Data Collector: Data Collector的IP地址。Licen
15、sed: 选中。 CredentialsUsername: 上面生成的只读管理员用户名Password: 口令RetrievalProtocol: 缺省即可Port: 缺省即可3)点击Log Monitoring.4)选中“Monitor Log Data”。 如不希望在这台设备上启动策略使用状况分析,则不选该项.5)点击Change Monitoring,Click OK 来保持配置。6)该台设备就会出现在GUI界面内。 右键,选择Retrieval configuration,按照向导提示点击Next,即可完成首次配置抓取的操作,点击Finish完成。2.3.3CISCO ASA/FWSM
16、/IOS防火墙配置A在Cisco设备端1)在Cisco设备上(ASA或FWSM)增加一个管理员帐号,该管理员需要是15级。2)在Cisco设备上允许Security Manager的IP地址通过SSH接入;3)如果希望分析防火墙策略或者ACL的利用率、变更管理等,则需要配置增加Security Manager的IP地址作为设备的LOG服务器。B在Security Manager端1)打开Security Manager管理系统,选择new device。根据设备类型,选择PIX、ASA or FWSM;2)ASA 配置窗口会打开,参考下图,输入以下信息: GeneralName: 设备名称IP
17、 Address: NetScreen设备的IP地址DNS Name: 设备的主机名Data Collector: Data Collector的IP地址Licensed: 选中。 CredentialsUsername: 在ASA设备上的15级权限用户名Password: 口令RetrievalProtocol: 缺省即可Port: 缺省即可Store Compressed: 选择是否以压缩方式存储配置信息。推荐压缩方式。Store Encrypted: 选择是否加密方式3)点击 Log Monitoring, 选择Monitor Log Data。 如不希望在这台设备上启动策略使用状况分析
18、,则不选该项4) 点击Change Monitoring,点击来保持配置。该台设备就会出现在GUI界面内。点击右键,选择Retrieval configuration,按照向导提示点击Next,即可完成首次配置抓取的操作,点击Finish完成。2.3.4Fortigate防火墙配置第一步:在Fortinet设备上生成一个只读的管理员用户名/口令(如已有,则可跳过此步) 在Fortinet防火墙命令行下执行下面命令config system adminedit usernameset password passwordset accprofile super_admin_readonlyend
19、记录下username和password第二步:在Fortinet设备上打开LOG 在Fortinet防火墙上命令行下执行下面的命令config log syslogd settingset status enableset server DATA_COLLECTOR_IP_ADDRESSendconfig log syslogd filterset other-traffic disableend第三步:在Fortinet防火墙上某些策略打开Log第四步:在Security Manager上加入该台防火墙设备1. 在Security Manager的New Device 窗口,选择Forti
20、Gate, 然后点击OK.2. FortiGate配置窗口会打开;.3. 输入下面的信息 GeneralName: 设备名。任意名称。IP Address: Fortinet防火墙的IP地址DNS Name: 如果不使用IP地址方式,请在此输入DNS名称;否则缺省即可;Data Collector: Data Collector的IP地址。缺省即可Licensed: 选中。 CredentialsUsername: 在Fortinet设备上的只读管理员用户名Password: 输入口令RetrievalProtocol: 缺省即可Port: 缺省即可Store Compressed: 选择是否
21、以压缩方式存储配置信息。缺省即可。Store Encrypted: 选择是否加密方式。缺省即可。4. 点击Log Monitoring,确认Monitor Log Data被选中;5. 点击Change Monitoring,确认Monitor for changes被选中;6. 点击OK;7. 该台设备应会出现在GUI界面内。2.3.5华为防火墙配置Huawei Eudemon防火墙端配置过程1)配置FireMon DataCollector的IP地址为Syslog ServerA、Web界面配置方式:a、登录Web界面后, 进入 Log - Log Configuration - Sysl
22、og Configuration 配置页面,b、在Log Host List中,点击“Add”,新增一个syslog server,设置Log Host Address Type为Source Address,Log Host Sourece Address中设置为Security Manager的IP地址10.73.182.114(Destination Port使用默认的514端口,Language使用English)。如下图所示:B、命令行配置方式:system-viewsysname info-center enable */启用信息中心/*sysname info-center lo
23、ghost 10.73.182.114 514 */配置Syslog Server和端口号/*2)在防火墙策略上开启Log记录A、配置会话日志以Syslog形式输出: system-viewsysname firewall session log-type syslogB、配置域间安全策略对匹配的数据包做policy logging日志记录(以policy 1为例) system-viewsysname policy interzone trust untrust outboundsysname-policy-interzone-trust-untrust-outbound policy 1s
24、ysname-policy-interzone-trust-untrust-outbound-1 policy loggingSecurity Manager端配置过程在Security Manager上进行配置6)在Security Manager的New Device 窗口,选择 Huawei- Eudemon Series, 然后click OK.7)配置窗口会打开:填写Eudemon设备的IP Address、Name、Username和Password信息,然后点击OK保存配置。最后,在这台设备上点击右键,选择“Retrieval Configuration”,根据向导提示抓取设备配
25、置。2.3.6Hillstone防火墙配置HillStone防火墙端配置过程WebUI下进行配置1.登录WebUI后,进入System - Logging - Syslog Server页面,在Syslog Server List中,选择”New”新建Syslog Server,如下图所示:Log Type中启用Configuration Log和Traffic Log。创建完成后的Syslog Server如下图所示:2.进入System - Logging - Log Config, 分别进入Configuration Log和Traffic Log配置界面,启用两种类型的Log记录,并指
26、定发送到上面配置的Syslog上。如下图所示:Configuration Log:Traffic Log:3.在需要进行策略日志分析的策略条目上启用Log记录,启用“Session end”,如下图所示:Security Manager端配置过程在Security Manager上进行配置8)在Security Manager的New Device 窗口,选择 HillStone - HillStone Series, 然后click OK.9)配置窗口会打开:填写HillStone设备的IP Address、Name、Username和Password信息,然后点击OK保存配置。2.3.7P
27、aloAlto防火墙配置在Palo Alto防火墙端Security Manager通过SSH(tcp/22)和HTTPS(tcp/443)来获取Palo Alto防火墙的配置,首先要确认Palo Alto防火墙上这两个端口已经开放。4)在Palo Alto设备上,为Security Manager Data Collector新建一个Superuser用户。可以通过Palo Alto的Web界面或命令行来完成,我们建议通过Web界面方式。A、使用Superuser账号登录Palo Alto的Web界面;B、进入Device - Administrators页面,点击”Add”新建管理员账号;
28、C、进入账号设置页面,设置Name和Password, Role设置为Dynamic和Superuser(如下图)。Security Manager只会使用这个账号从设备上获取配置,不会对设备进行任何变更。注:在Palo Alto 4.1.3及以上版本中,Superuser可以设置为read-only。 在Palo Alto 4.1.3以下版本中,Superuser账号必须设置为read-write。D、记录Name和password信息,稍后会用到。5)配置Data Collector作为Palo Alto的Syslog server,从Palo Alto设备发送Event log和Traf
29、fic log到Security Manager Data Collector。可以通过Palo Alto的Web界面或命令行来完成Syslog配置,我们建议通过Web界面方式。A、使用Superuser账号登录Palo Alto的Web界面;B、定义Data Collector作为Syslog server:(1)进入Device - Server Profiles - Syslog页面;(2)点击”New”新建Syslog server,输入下列信息:Name:定义Data Collector的名称,如Syslog_ProfileServer:Data Collector的IP地址;Por
30、t:514Facility:local use0(LOG_LOCAL0)如下图所示:C、设置Data Collector接收Event log:(1)进入Device - Log Settings - Config页面;(2)点击”Edit”,选择上面步骤中创建的Syslog server。D、设置Data Collector接收Informational级别的系统日志:(1)进入Device - Log Settings - System页面;(2)点击”Edit”,选择上面步骤中创建的Syslog server。E、为Data Collector创建Log Forwarding profile:(1)进入Objects - Log Forwarding页面;(2)点击”New”新建Log Forwarding profile,输入以下信息:Name:输入Profile名称,如Syslog-ForwardingProfile;在Traffic setti