Firemon系统实施方案.docx
- 文档编号:11126351
- 上传时间:2023-05-29
- 格式:DOCX
- 页数:42
- 大小:2.04MB
Firemon系统实施方案.docx
《Firemon系统实施方案.docx》由会员分享,可在线阅读,更多相关《Firemon系统实施方案.docx(42页珍藏版)》请在冰点文库上搜索。
Firemon系统实施方案
Firemon产品
实施方案
2016年12月
一、实施计划
1.项目进度
2.FireMon设备安装步骤
安装过程大致分三个部分:
1)安装FireMonSecurityManager服务器端系统;
2)在PC上安装管理用GUI客户端;
3)加入被管理设备,开始分析。
2.1安装所需硬件平台规格及需要的参数
SecurityManager
服务器
平台物理要求
内存
16GB或以上
硬盘
200GB或以上
CPU
双核CPU(支持64位操作系统)
需要参数
Root用户口令
FireMon用户口令
Domainname
IPAddress
GatewayIP
DNS
NTP
可先不配置
中国标准NTP地址:
210.72.145.44,上海交大202.120.2.101
SecurityManager
GUI客户端
物理规格要求
标准PC或笔记本均可。
需要操作系统内安装有微软.NET4.0。
2.2SecurityManager安装过程
第一步:
安装SecurityManager服务器
安装过程:
1.修改服务器启动配置,确认服务器可从光驱启动;
2.将SecurityManager安装光盘装入服务器光驱,重启服务器;
3.根据提示配置服务器参数,包括root用户口令、FireMon用户口令、domainname(任意指定该台服务的domainname,可任意配置)、IP地址、网关、DNS服务器地址、NTP服务器地址等;
4.配置完后,系统会进行安装,安装结束后会自动重启。
第二步:
安装SecurityManagerGUI客户端
安装过程:
1.在需要安装GUI客户端的PC上,打开浏览器,在地址栏输入:
http:
//xx.xx.xx.xx/client/,其中xx.xx.xx.xx为SecurityManager服务器的IP地址。
2.根据提示,完成安装GUI客户端
第三步:
操作GUI界面,将被管理防火墙设备加入SecurityManager
过程
1.打开SecurityManagerGUI客户端;
2.出现登陆窗口,Username:
输入在第一步配置的用户名;Password:
输入输入在第一步配置的口令;Host/IP:
输入SecurityManager服务器的IP地址;
3.通过“newdevice”,并根据提示操作将防火墙加入。
这样,就完成了所有安装相关的操作,可以在GUI界面中查看管理防火墙设备的配置、策略使用率等等报告。
安装SecurityManager具体步骤
1.设置BIOS为光盘启动
2.插入光盘,机器启动
3.见到下面界面后,输入install开始安装FireMon
4.系统会自动安装
5.安装需重启一次
初始化配置
step1.见到下面界面后,按回车键后,开始初始化配置
step2.见到下面界面,按回车键并继续
step3.同意并继续
step4.设置域形式的hostname、eth0口的ip地址、网关地址、以及DNS
step5.设置发送系统警告通知的接收方email地址(建议选择no,先不设)
step6.开启相关服务,全部选择y:
step9.设置root及FireMonuser密码
step10.设置NTP服务器(建议不设,直接敲回车跳过)
step11.设置时区
step11.配置确认
2.3SecurityManager上加入被管理防火墙(部分)
在SecurityManager上加入被管理防火墙,一般分为两步,首先在防火墙设备的命令行或管理界面下配置策略启用Log记录、SyslogServer设置和SecurityManager登录被管理防火墙所使用的账号等,然后在SecurityManagerGUI中添加被管理防火墙。
下面是此次项目涉及到的几种防火墙设备类型的添加过程:
2.3.1JuniperNetScreen防火墙配置
A.在NetScreen设备端
1)在NetScreen设备上配置策略时打开Log
2)在Netscreen设备上EnableSyslog
A.在NetScreen管理界面上,去到Configuration>ReportSettings>Syslog.
B.选中EnableSyslogMessages.
C.选择要和SecurityManagerDC通讯的源接口。
在界面中,这个接口被命名为“MGT”或其他业务接口名称。
D.在IP/Hostname,输入SecurityManager的IP地址
E.在Port,输入514.
F.IntheSecurityFacilityandFacilitydrop-downlists,selecttheoptionthatenablestheSecurityManagerDataCollectortocollectallSyslogmessages.
在“SecurityFacility”and“Facility”下拉列表中,选择LOCAL0级别,允许DC收集所有的Syslog。
G.选中EventLog和TrafficLog,以及后面的Enable选项,并点击Apply应用配置。
3)在NetScreen设备上生成一个只读的管理员用户名/口令
A.在NetScreenWebUI,点开Configuration>Admin>Administrators>New界面.
B.输入:
name,password,设置为read-only权限,然后点击OK.
C.记录下该信息,稍后会用到。
B.在SecurityManager端
在SecurityManager上进行配置
1)在SecurityManager的NewDevice窗口,选择ScreenOS然后clickOK,ScreenOS配置窗口会打开;.
2)输入下面的信息
General
Name:
设备名。
任意名称。
IPAddress:
NetScreen设备的IP地址
DNSName:
如果不使用IP地址方式,请在此输入DNS名称;
DataCollector:
DataCollector的IP地址。
Licensed:
选中。
Credentials
Username:
在Netscreen设备上的只读管理员用户名
Password:
口令
Retrieval
Protocol:
缺省即可
Port:
缺省即可
StoreCompressed:
选择是否以压缩方式存储配置信息。
推荐压缩方式。
StoreEncrypted:
选择是否加密方式
3)点开LogMonitoring,选择“MonitorLogData“。
如不希望在这台设备上启动策略使用状况分析,则不选该项
4)点开ChangeMonitoring,点击OK来保持配置.
5)该台设备就会出现在GUI界面内。
在这台设备上点击右键,选择Retrievalconfiguration,按照向导提示点击Next,即可完成首次配置抓取的操作,点击Finish完成。
2.3.2JuniperSRX防火墙配置(SRX)
A.在SRX设备端
1)在SRX上配置策略时,务必在LOG上至少选中session-close
2)在SRX设备上配置syslog
a.登入JuniperWeb管理界面;
b.点击Configure按钮;
c.点击CLITools->PointandClickCLI,进入配置界面;
d.在Configuration界面中,进入system->syslog配置界面;
e.点开Host界面,点击Addnewentry,添加一个新的SyslogServer条目;
f.在Hostname中,选择EnterSpecificValue,然后输入日志主机名;
g.在Contents中,点击AddNewEntry;
h.在Facility中,选择any;
i.在Level中,选择info;
j.点击Commit按钮;
k.点击OK;
l.再次点击OK.
最终的配置界面如下图所示:
3)在SRX设备上生成一个只读的管理员用户名/口令,运行下面的命令
首先生成一个“loginclass”。
下面的例子将该“loggingclass”命名为“firemon”。
setsystemloginclassfiremonpermissionsinterface
setsystemloginclassfiremonpermissionsrouting
setsystemloginclassfiremonpermissionsview
setsystemloginclassfiremonpermissionsview-configuration
setsystemloginclassfiremonallow-commands"show\s+.*"
然后生成一个用户。
下面的例子命名该用户为“mxu_read”,全称minquan
setsystemloginusermxu_readfull-nameminquan
setsystemloginusermxu_readuid2006
setsystemloginusermxu_readclassfiremon
setsystemloginusermxu_readauthenticationencrypted-password“*****"
记录下该信息,稍后会用到。
B.在SecurityManager端:
在SecurityManager上进行配置
1)在SecurityManager的NewDevice窗口,选择SRX,然后点击OK.
2)在Properties窗口,输入下面的信息
General
Name:
设备名。
任意名称。
IPAddress:
SRX设备的IP地址
DNSName:
如果不使用IP地址方式,请在此输入DNS名称;
DataCollector:
DataCollector的IP地址。
Licensed:
选中。
Credentials
Username:
上面生成的只读管理员用户名
Password:
口令
Retrieval
Protocol:
缺省即可
Port:
缺省即可
3)点击LogMonitoring.
4)选中“MonitorLogData”。
如不希望在这台设备上启动策略使用状况分析,则不选该项.
5)点击ChangeMonitoring,ClickOK来保持配置。
6)该台设备就会出现在GUI界面内。
右键,选择Retrievalconfiguration,按照向导提示点击Next,即可完成首次配置抓取的操作,点击Finish完成。
2.3.3CISCOASA/FWSM/IOS防火墙配置
A.在Cisco设备端
1)在Cisco设备上(ASA或FWSM)增加一个管理员帐号,该管理员需要是15级。
2)在Cisco设备上允许SecurityManager的IP地址通过SSH接入;
3)如果希望分析防火墙策略或者ACL的利用率、变更管理等,则需要配置增加SecurityManager的IP地址作为设备的LOG服务器。
B.在SecurityManager端
1)打开SecurityManager管理系统,选择’newdevice’。
根据设备类型,选择PIX、ASAorFWSM;
2)ASA配置窗口会打开,参考下图,输入以下信息:
General
Name:
设备名称
IPAddress:
NetScreen设备的IP地址
DNSName:
设备的主机名
DataCollector:
DataCollector的IP地址
Licensed:
选中。
Credentials
Username:
在ASA设备上的15级权限用户名
Password:
口令
Retrieval
Protocol:
缺省即可
Port:
缺省即可
StoreCompressed:
选择是否以压缩方式存储配置信息。
推荐压缩方式。
StoreEncrypted:
选择是否加密方式
3)点击LogMonitoring,选择MonitorLogData。
如不希望在这台设备上启动策略使用状况分析,则不选该项
4)点击ChangeMonitoring,点击来保持配置。
该台设备就会出现在GUI界面内。
点击右键,选择Retrievalconfiguration,按照向导提示点击Next,即可完成首次配置抓取的操作,点击Finish完成。
2.3.4Fortigate防火墙配置
第一步:
在Fortinet设备上生成一个只读的管理员用户名/口令(如已有,则可跳过此步)
在Fortinet防火墙命令行下执行下面命令
configsystemadmin
editusername
setpasswordpassword
setaccprofilesuper_admin_readonly
end
记录下username和password
第二步:
在Fortinet设备上打开LOG
在Fortinet防火墙上命令行下执行下面的命令
configlogsyslogdsetting
setstatusenable
setserverDATA_COLLECTOR_IP_ADDRESS
end
configlogsyslogdfilter
setother-trafficdisable
end
第三步:
在Fortinet防火墙上某些策略打开Log
第四步:
在SecurityManager上加入该台防火墙设备
1.在SecurityManager的NewDevice窗口,选择FortiGate,然后点击OK.
2.FortiGate配置窗口会打开;.
3.输入下面的信息
General
Name:
设备名。
任意名称。
IPAddress:
Fortinet防火墙的IP地址
DNSName:
如果不使用IP地址方式,请在此输入DNS名称;否则缺省即可;
DataCollector:
DataCollector的IP地址。
缺省即可
Licensed:
选中。
Credentials
Username:
在Fortinet设备上的只读管理员用户名
Password:
输入口令
Retrieval
Protocol:
缺省即可
Port:
缺省即可
StoreCompressed:
选择是否以压缩方式存储配置信息。
缺省即可。
StoreEncrypted:
选择是否加密方式。
缺省即可。
4.点击LogMonitoring,确认MonitorLogData被选中;
5.点击ChangeMonitoring,确认Monitorforchanges被选中;
6.点击OK;
7.该台设备应会出现在GUI界面内。
2.3.5华为防火墙配置
HuaweiEudemon防火墙端配置过程
1)配置FireMonDataCollector的IP地址为SyslogServer
A、Web界面配置方式:
a、登录Web界面后,进入Log->LogConfiguration->SyslogConfiguration配置页面,
b、在LogHostList中,点击“Add”,新增一个syslogserver,
设置LogHostAddressType为SourceAddress,
LogHostSoureceAddress中设置为SecurityManager的IP地址10.73.182.114
(DestinationPort使用默认的514端口,Language使用English)。
如下图所示:
B、命令行配置方式:
[sysname]info-centerenable*/启用信息中心/*
[sysname]info-centerloghost10.73.182.114514
*/配置SyslogServer和端口号/*
2)在防火墙策略上开启Log记录
A、配置会话日志以Syslog形式输出:
[sysname]firewallsessionlog-typesyslog
B、配置域间安全策略对匹配的数据包做policylogging日志记录(以policy1为例)
[sysname]policyinterzonetrustuntrustoutbound
[sysname-policy-interzone-trust-untrust-outbound]policy1
[sysname-policy-interzone-trust-untrust-outbound-1]policylogging
SecurityManager端配置过程
在SecurityManager上进行配置
6)在SecurityManager的NewDevice窗口,选择Huawei->EudemonSeries,然后clickOK.
7)配置窗口会打开:
填写Eudemon设备的IPAddress、Name、Username和Password信息,然后点击OK保存配置。
最后,在这台设备上点击右键,选择“RetrievalConfiguration”,根据向导提示抓取设备配置。
2.3.6Hillstone防火墙配置
HillStone防火墙端配置过程
WebUI下进行配置
1.登录WebUI后,进入System->Logging->SyslogServer页面,
在SyslogServerList中,选择”New…”新建SyslogServer,如下图所示:
LogType中启用ConfigurationLog和TrafficLog。
创建完成后的SyslogServer如下图所示:
2.进入System->Logging->LogConfig,分别进入ConfigurationLog和TrafficLog配置界面,启用两种类型的Log记录,并指定发送到上面配置的Syslog上。
如下图所示:
ConfigurationLog:
TrafficLog:
3.在需要进行策略日志分析的策略条目上启用Log记录,启用“Sessionend”,如下图所示:
SecurityManager端配置过程
在SecurityManager上进行配置
8)在SecurityManager的NewDevice窗口,选择HillStone->HillStoneSeries,然后clickOK.
9)配置窗口会打开:
填写HillStone设备的IPAddress、Name、Username和Password信息,然后点击OK保存配置。
2.3.7PaloAlto防火墙配置
在PaloAlto防火墙端
SecurityManager通过SSH(tcp/22)和HTTPS(tcp/443)来获取PaloAlto防火墙的配置,首先要确认PaloAlto防火墙上这两个端口已经开放。
4)在PaloAlto设备上,为SecurityManagerDataCollector新建一个Superuser用户。
可以通过PaloAlto的Web界面或命令行来完成,我们建议通过Web界面方式。
A、使用Superuser账号登录PaloAlto的Web界面;
B、进入Device->Administrators页面,点击”Add”新建管理员账号;
C、进入账号设置页面,设置Name和Password,Role设置为Dynamic和Superuser(如下图)。
SecurityManager只会使用这个账号从设备上获取配置,不会对设备进行任何变更。
注:
在PaloAlto4.1.3及以上版本中,Superuser可以设置为read-only。
在PaloAlto4.1.3以下版本中,Superuser账号必须设置为read-write。
D、记录Name和password信息,稍后会用到。
5)配置DataCollector作为PaloAlto的Syslogserver,从PaloAlto设备发送Eventlog和Trafficlog到SecurityManagerDataCollector。
可以通过PaloAlto的Web界面或命令行来完成Syslog配置,我们建议通过Web界面方式。
A、使用Superuser账号登录PaloAlto的Web界面;
B、定义DataCollector作为Syslogserver:
(1)进入Device->ServerProfiles->Syslog页面;
(2)点击”New”新建Syslogserver,输入下列信息:
Name:
定义DataCollector的名称,如Syslog_Profile
Server:
DataCollector的IP地址;
Port:
514
Facility:
localuse0(LOG_LOCAL0)
如下图所示:
C、设置DataCollector接收Eventlog:
(1)进入Device->LogSettings->Config页面;
(2)点击”Edit”,选择上面步骤中创建的Syslogserver。
D、设置DataCollector接收Informational级别的系统日志:
(1)进入Device->LogSettings->System页面;
(2)点击”Edit”,选择上面步骤中创建的Syslogserver。
E、为DataCollector创建LogForwardingprofile:
(1)进入Objects->LogForwarding页面;
(2)点击”New”新建LogForwardingprofile,输入以下信息:
Name:
输入Profile名称,如Syslog-ForwardingProfile;
在Trafficsetti
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Firemon 系统 实施方案