Firemon系统实施方案.docx

1、Firemon系统实施方案Firemon产品实施方案2016年12月 一、实施计划1.项目进度2.FireMon设备安装步骤安装过程大致分三个部分：1）安装FireMon Security Manager服务器端系统；2）在PC上安装管理用GUI客户端；3）加入被管理设备，开始分析。2.1 安装所需硬件平台规格及需要的参数Security Manager服务器平台物理要求内存16GB或以上硬盘200GB或以上CPU双核CPU（支持64位操作系统）需要参数Root用户口令FireMon用户口令Domain nameIP AddressGateway IPDNSNTP可先不配置中国标准NTP地址：

2、210.72.145.44，上海交大202.120.2.101Security Manager GUI客户端物理规格要求标准PC或笔记本均可。需要操作系统内安装有微软.NET4.0。2.2 Security Manager安装过程第一步：安装Security Manager服务器安装过程：1.修改服务器启动配置，确认服务器可从光驱启动；2.将Security Manager安装光盘装入服务器光驱，重启服务器；3.根据提示配置服务器参数，包括root用户口令、FireMon用户口令、domain name（任意指定该台服务的domain name，可任意配置）、IP地址、网关、DNS服务器地址、

3、NTP服务器地址等；4.配置完后，系统会进行安装，安装结束后会自动重启。第二步：安装Security Manager GUI客户端安装过程：1.在需要安装GUI客户端的PC上，打开浏览器，在地址栏输入：http:/xx.xx.xx.xx/client/，其中xx.xx.xx.xx为Security Manager服务器的IP地址。2.根据提示，完成安装GUI客户端第三步：操作GUI界面，将被管理防火墙设备加入Security Manager过程1.打开Security Manager GUI客户端；2.出现登陆窗口，Username：输入在第一步配置的用户名; Password：输入输入在第一

4、步配置的口令; Host/IP：输入Security Manager服务器的IP地址；3.通过“new device”，并根据提示操作将防火墙加入。这样，就完成了所有安装相关的操作，可以在GUI界面中查看管理防火墙设备的配置、策略使用率等等报告。安装Security Manager具体步骤1.设置BIOS为光盘启动2.插入光盘，机器启动3.见到下面界面后，输入install开始安装FireMon4.系统会自动安装5.安装需重启一次初始化配置step1.见到下面界面后，按回车键后，开始初始化配置step2.见到下面界面，按回车键并继续step3.同意并继续step4.设置域形式的hostname

5、、eth0口的ip地址、网关地址、以及DNSstep5.设置发送系统警告通知的接收方email地址(建议选择no，先不设)step6.开启相关服务，全部选择y:step9.设置root及FireMon user密码step10.设置NTP服务器 (建议不设，直接敲回车跳过)step11.设置时区 step11.配置确认2.3 Security Manager上加入被管理防火墙（部分）在Security Manager上加入被管理防火墙，一般分为两步，首先在防火墙设备的命令行或管理界面下配置策略启用Log记录、Syslog Server设置和Security Manager登录被管理防火墙所使用

6、的账号等，然后在Security Manager GUI中添加被管理防火墙。下面是此次项目涉及到的几种防火墙设备类型的添加过程：2.3.1Juniper NetScreen防火墙配置A在NetScreen设备端1)在NetScreen设备上配置策略时打开Log2)在Netscreen设备上Enable SyslogA. 在NetScreen 管理界面上, 去到 ConfigurationReport SettingsSyslog.B. 选中 Enable Syslog Messages.C. 选择要和Security Manager DC通讯的源接口。在界面中，这个接口被命名为“MGT”或其他

7、业务接口名称。D. 在 IP/Hostname, 输入Security Manager的IP地址E. 在 Port , 输入 514.F. In the Security Facility and Facility drop-down lists, select the option that enables the Security Manager Data Collector to collect all Syslog messages.在“Security Facility” and “Facility”下拉列表中，选择LOCAL0级别，允许DC收集所有的Syslog。G. 选中 Eve

8、nt Log 和Traffic Log ，以及后面的 Enable选项 ，并点击Apply应用配置。3)在NetScreen设备上生成一个只读的管理员用户名/口令A. 在 NetScreen Web UI，点开ConfigurationAdminAdministratorsNew界面.B. 输入：name, password，设置为read-only 权限，然后点击 OK.C. 记录下该信息，稍后会用到。B在Security Manager端在Security Manager上进行配置1)在Security Manager的New Device 窗口，选择 ScreenOS 然后click O

9、K，ScreenOS 配置窗口会打开；.2)输入下面的信息 GeneralName: 设备名。任意名称。IP Address: NetScreen设备的IP地址DNS Name: 如果不使用IP地址方式，请在此输入DNS名称；Data Collector: Data Collector的IP地址。Licensed: 选中。 CredentialsUsername: 在Netscreen设备上的只读管理员用户名Password: 口令RetrievalProtocol: 缺省即可Port: 缺省即可Store Compressed: 选择是否以压缩方式存储配置信息。推荐压缩方式。Store En

10、crypted: 选择是否加密方式3)点开 Log Monitoring，选择 “Monitor Log Data“。 如不希望在这台设备上启动策略使用状况分析，则不选该项4)点开Change Monitoring，点击OK 来保持配置.5)该台设备就会出现在GUI界面内。在这台设备上点击右键，选择Retrieval configuration，按照向导提示点击Next，即可完成首次配置抓取的操作，点击Finish完成。2.3.2Juniper SRX防火墙配置（SRX）A.在SRX设备端1)在SRX上配置策略时，务必在LOG上至少选中session-close2)在SRX设备上配置syslo

11、ga. 登入Juniper Web管理界面；b. 点击 Configure 按钮；c. 点击 CLI Tools - Point and Click CLI ，进入配置界面；d. 在Configuration界面中，进入system - syslog 配置界面；e. 点开Host 界面, 点击 Add new entry，添加一个新的Syslog Server条目；f. 在 Host name 中, 选择 Enter Specific Value，然后输入日志主机名；g. 在 Contents 中, 点击 Add New Entry；h. 在 Facility 中, 选择 any；i. 在 L

12、evel 中，选择info；j. 点击 Commit 按钮；k. 点击 OK；l. 再次点击OK .最终的配置界面如下图所示：3)在SRX设备上生成一个只读的管理员用户名/口令，运行下面的命令 首先生成一个“login class”。下面的例子将该“logging class”命名为“firemon”。set system login class firemon permissions interfaceset system login class firemon permissions routingset system login class firemon permissions vie

13、wset system login class firemon permissions view-configurationset system login class firemon allow-commands shows+.* 然后生成一个用户。下面的例子命名该用户为“mxu_read”，全称minquanset system login user mxu_read full-name minquanset system login user mxu_read uid 2006set system login user mxu_read class firemonset system l

14、ogin user mxu_read authentication encrypted-password “*记录下该信息，稍后会用到。B.在Security Manager端：在Security Manager上进行配置1)在Security Manager的New Device 窗口，选择SRX，然后点击OK.2)在Properties窗口，输入下面的信息 GeneralName: 设备名。任意名称。IP Address: SRX设备的IP地址DNS Name: 如果不使用IP地址方式，请在此输入DNS名称；Data Collector: Data Collector的IP地址。Licen

15、sed: 选中。 CredentialsUsername: 上面生成的只读管理员用户名Password: 口令RetrievalProtocol: 缺省即可Port: 缺省即可3)点击Log Monitoring.4)选中“Monitor Log Data”。 如不希望在这台设备上启动策略使用状况分析，则不选该项.5)点击Change Monitoring，Click OK 来保持配置。6)该台设备就会出现在GUI界面内。 右键，选择Retrieval configuration，按照向导提示点击Next，即可完成首次配置抓取的操作，点击Finish完成。2.3.3CISCO ASA/FWSM

16、/IOS防火墙配置A在Cisco设备端1)在Cisco设备上（ASA或FWSM）增加一个管理员帐号，该管理员需要是15级。2)在Cisco设备上允许Security Manager的IP地址通过SSH接入；3)如果希望分析防火墙策略或者ACL的利用率、变更管理等，则需要配置增加Security Manager的IP地址作为设备的LOG服务器。B在Security Manager端1)打开Security Manager管理系统,选择new device。根据设备类型，选择PIX、ASA or FWSM；2)ASA 配置窗口会打开，参考下图，输入以下信息： GeneralName: 设备名称IP

17、 Address: NetScreen设备的IP地址DNS Name: 设备的主机名Data Collector: Data Collector的IP地址Licensed: 选中。 CredentialsUsername: 在ASA设备上的15级权限用户名Password: 口令RetrievalProtocol: 缺省即可Port: 缺省即可Store Compressed: 选择是否以压缩方式存储配置信息。推荐压缩方式。Store Encrypted: 选择是否加密方式3)点击 Log Monitoring， 选择Monitor Log Data。 如不希望在这台设备上启动策略使用状况分析

18、，则不选该项4) 点击Change Monitoring，点击来保持配置。该台设备就会出现在GUI界面内。点击右键，选择Retrieval configuration，按照向导提示点击Next，即可完成首次配置抓取的操作，点击Finish完成。2.3.4Fortigate防火墙配置第一步：在Fortinet设备上生成一个只读的管理员用户名/口令（如已有，则可跳过此步） 在Fortinet防火墙命令行下执行下面命令config system adminedit usernameset password passwordset accprofile super_admin_readonlyend

19、记录下username和password第二步：在Fortinet设备上打开LOG 在Fortinet防火墙上命令行下执行下面的命令config log syslogd settingset status enableset server DATA_COLLECTOR_IP_ADDRESSendconfig log syslogd filterset other-traffic disableend第三步：在Fortinet防火墙上某些策略打开Log第四步：在Security Manager上加入该台防火墙设备1. 在Security Manager的New Device 窗口，选择Forti

20、Gate， 然后点击OK.2. FortiGate配置窗口会打开；.3. 输入下面的信息 GeneralName: 设备名。任意名称。IP Address: Fortinet防火墙的IP地址DNS Name: 如果不使用IP地址方式，请在此输入DNS名称；否则缺省即可；Data Collector: Data Collector的IP地址。缺省即可Licensed: 选中。 CredentialsUsername: 在Fortinet设备上的只读管理员用户名Password: 输入口令RetrievalProtocol: 缺省即可Port: 缺省即可Store Compressed: 选择是否

21、以压缩方式存储配置信息。缺省即可。Store Encrypted: 选择是否加密方式。缺省即可。4. 点击Log Monitoring，确认Monitor Log Data被选中；5. 点击Change Monitoring，确认Monitor for changes被选中；6. 点击OK；7. 该台设备应会出现在GUI界面内。2.3.5华为防火墙配置Huawei Eudemon防火墙端配置过程1)配置FireMon DataCollector的IP地址为Syslog ServerA、Web界面配置方式：a、登录Web界面后， 进入 Log - Log Configuration - Sysl

22、og Configuration 配置页面，b、在Log Host List中，点击“Add”，新增一个syslog server，设置Log Host Address Type为Source Address，Log Host Sourece Address中设置为Security Manager的IP地址10.73.182.114(Destination Port使用默认的514端口，Language使用English)。如下图所示：B、命令行配置方式：system-viewsysname info-center enable */启用信息中心/*sysname info-center lo

23、ghost 10.73.182.114 514 */配置Syslog Server和端口号/*2)在防火墙策略上开启Log记录A、配置会话日志以Syslog形式输出： system-viewsysname firewall session log-type syslogB、配置域间安全策略对匹配的数据包做policy logging日志记录（以policy 1为例） system-viewsysname policy interzone trust untrust outboundsysname-policy-interzone-trust-untrust-outbound policy 1s

24、ysname-policy-interzone-trust-untrust-outbound-1 policy loggingSecurity Manager端配置过程在Security Manager上进行配置6)在Security Manager的New Device 窗口，选择 Huawei- Eudemon Series, 然后click OK.7)配置窗口会打开:填写Eudemon设备的IP Address、Name、Username和Password信息，然后点击OK保存配置。最后，在这台设备上点击右键，选择“Retrieval Configuration”，根据向导提示抓取设备配

25、置。2.3.6Hillstone防火墙配置HillStone防火墙端配置过程WebUI下进行配置1.登录WebUI后，进入System - Logging - Syslog Server页面，在Syslog Server List中，选择”New”新建Syslog Server，如下图所示：Log Type中启用Configuration Log和Traffic Log。创建完成后的Syslog Server如下图所示：2.进入System - Logging - Log Config， 分别进入Configuration Log和Traffic Log配置界面，启用两种类型的Log记录，并指

26、定发送到上面配置的Syslog上。如下图所示：Configuration Log：Traffic Log：3.在需要进行策略日志分析的策略条目上启用Log记录，启用“Session end”，如下图所示：Security Manager端配置过程在Security Manager上进行配置8)在Security Manager的New Device 窗口，选择 HillStone - HillStone Series, 然后click OK.9)配置窗口会打开:填写HillStone设备的IP Address、Name、Username和Password信息，然后点击OK保存配置。2.3.7P

27、aloAlto防火墙配置在Palo Alto防火墙端Security Manager通过SSH(tcp/22)和HTTPS(tcp/443)来获取Palo Alto防火墙的配置，首先要确认Palo Alto防火墙上这两个端口已经开放。4)在Palo Alto设备上，为Security Manager Data Collector新建一个Superuser用户。可以通过Palo Alto的Web界面或命令行来完成，我们建议通过Web界面方式。A、使用Superuser账号登录Palo Alto的Web界面；B、进入Device - Administrators页面，点击”Add”新建管理员账号；

28、C、进入账号设置页面，设置Name和Password, Role设置为Dynamic和Superuser（如下图）。Security Manager只会使用这个账号从设备上获取配置，不会对设备进行任何变更。注：在Palo Alto 4.1.3及以上版本中，Superuser可以设置为read-only。 在Palo Alto 4.1.3以下版本中，Superuser账号必须设置为read-write。D、记录Name和password信息，稍后会用到。5)配置Data Collector作为Palo Alto的Syslog server，从Palo Alto设备发送Event log和Traf

29、fic log到Security Manager Data Collector。可以通过Palo Alto的Web界面或命令行来完成Syslog配置，我们建议通过Web界面方式。A、使用Superuser账号登录Palo Alto的Web界面；B、定义Data Collector作为Syslog server：（1）进入Device - Server Profiles - Syslog页面；（2）点击”New”新建Syslog server，输入下列信息：Name：定义Data Collector的名称，如Syslog_ProfileServer：Data Collector的IP地址；Por

30、t：514Facility：local use0(LOG_LOCAL0)如下图所示：C、设置Data Collector接收Event log：（1）进入Device - Log Settings - Config页面；（2）点击”Edit”，选择上面步骤中创建的Syslog server。D、设置Data Collector接收Informational级别的系统日志：（1）进入Device - Log Settings - System页面；（2）点击”Edit”，选择上面步骤中创建的Syslog server。E、为Data Collector创建Log Forwarding profile：（1）进入Objects - Log Forwarding页面；（2）点击”New”新建Log Forwarding profile，输入以下信息：Name：输入Profile名称，如Syslog-ForwardingProfile;在Traffic setti