评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
如何为日志开放安全策略
网络中日志流量的典型组网如图7-7所示。通常,路由器、交换机、服务器等设备向日志主机发送Syslog日志信息使用UDP 514端口。如果日志流经防火墙,需要在防火墙上开放安全策略。
防火墙支持输出多种类型的日志。在输出日志信息到日志服务器时,部分日志不需要配置安全策略。具体情况如表7-11所示。
表7-11 日志类型与安全策略
日志类型 |
日志格式和默认端口号 |
是否需要配置安全策略 |
|---|---|---|
会话日志 |
二进制(UDP: 9902) Netflow(UDP: 9996) Syslog(UDP: 514) |
不需要 |
丢包日志 |
二进制(UDP: 9902) Syslog(UDP: 514) |
不需要 |
端口预分配日志 |
Syslog(UDP: 514) |
需要 |
系统日志 |
Syslog(UDP: 514) |
需要 |
业务日志 |
Syslog(UDP: 514) |
策略命中日志需要配置安全策略,其他业务日志不需要配置安全策略 |
Dataflow(UDP: 9903) |
不需要 |
安全策略的配置如表7-12所示。请根据实际需要选择需要开放的服务。
表7-12 安全策略示例-日志
序号 |
名称 |
源安全区域 |
目的安全区域 |
源地址/地区 |
目的地址/地区 |
服务 |
动作 |
|---|---|---|---|---|---|---|---|
101 |
Allow transmit log to Log Server |
trust |
dmz |
10.1.1.0/24 |
10.1.2.10/32 |
syslog (UDP: 514) |
permit |
102 |
Allow outbound log to Log Server |
local |
dmz |
any |
10.1.2.10/32 |
syslog (UDP: 514) binary (UDP: 9902) dataflow (UDP: 9903) netflow (UDP: 9996) |
permit |
