日志审计，分支机构的设备日志指向。

要在总部和分支间通过 IPsec VPN 将防火墙日志发送到总部的日志审计服务器，核心逻辑在于：通过 VPN 保证日志传输的私密性，再利用防火墙策略进行最小化放通。

技术实现路径与安全考量

1. 打通网络：建立 IPsec VPN 隧道

首先需要确保分支与总部之间已建立稳定的 IPsec VPN 隧道。这样，分支防火墙才能通过隧道，将日志安全地发送至总部的日志审计服务器。

2. 配置日志输出：防火墙端通用步骤

这是最关键的一步，需要在分支防火墙上将日志指向总部日志审计服务器的 IP（通常是私有 IP 地址）。

一般情况下，syslog 使用 UDP 514 端口。

3. 实现“最小化放通”：精细化安全策略

为了防止不必要的访问，应遵循“最小化”原则配置防火墙策略：

• 明确日志源地址：在总部防火墙上，应创建安全策略，只允许来自分支防火墙隧道接口 IP 的流量访问日志审计服务器的 UDP 514 端口。切忌直接放行整个隧道网段，以免扩大攻击面。

• 限制日志服务器访问：在日志审计服务器上，同样应配置防火墙，只允许来自分支防火墙隧道接口 IP 的 UDP 514 端口流量进入。

安全增强与最佳实践

高可用性设计

建议部署两台日志审计服务器（一主一备），并配置分支防火墙同时向两台服务器发送日志，避免单点故障导致日志丢失。

风险规避

• 链路中断：当 VPN 中断时，分支防火墙会产生本地日志缓存。需要关注本地存储空间，防止写满。

• 带宽消耗：如果日志量巨大，可能会占用 VPN 带宽。建议在防火墙配置中调整日志发送速率或进行过滤。

• 服务器过载：确保日志服务器性能足够，或部署负载均衡，防止海量日志写入时崩溃。

• 日志积压：VPN 恢复后，防火墙可能会突发传输大量积压日志，可能造成网络瞬时拥堵，建议在业务低峰期恢复链路。

验证与测试方法

1. 连通性测试：从分支防火墙 ping 总部的日志审计服务器 IP，确保 ICMP 请求能通过 VPN 隧道。

2. 端口可达性：使用 telnet <审计服务器IP> 514 或 nc -vuz <审计服务器IP> 514 测试 UDP 514 端口是否畅通。

3. 日志接收验证：在日志服务器上实时监控日志接收情况。例如，Linux 系统可使用 tail -f /var/log/messages 查看。

安全策略只放行日志服务的ip和端口

一、整体思路
分支防火墙：把 syslog 指向总部日志审计服务器 IP
流量走 IPsec VPN 内部传输，不暴露公网
两端防火墙只放通 UDP 514（syslog 默认端口），最小权限
二、分支防火墙配置（H3C 举例）
1. 配置日志主机（发送 syslog）
plaintext
info-center loghost 总部日志审计IP
info-center source default channel loghost level informational
info-center enable
2. 确保日志流量走 IPSec VPN
分支防火墙的 出接口→公网，但目的 IP 是总部内网段→ 流量会自动匹配 IPSec 感兴趣流，走加密隧道。
三、两端防火墙策略（最小放通）
1. 分支防火墙策略
允许：
源：分支防火墙自身 IP（或 any）
目的：总部日志审计 IP
服务：UDP 514
方向：内网 → 外网（IPSec）
2. 总部防火墙策略
允许：
源：分支内网 / 分支防火墙公网 IP（建议只放分支公网 IP）
目的：总部日志审计 IP
服务：UDP 514
方向：外网（IPSec）→ 内网
这就是最小权限：只开 UDP 514，只允许分支→审计服务器。
四、如果日志走 TCP（如 SecCenter 采集器）
有些审计系统用 TCP 6514、9000、9001 等你只需要把上面的 UDP 514 换成对应 TCP 端口 即可。
五、最常见问题（必看）
日志发不过去
查 IPSec 隧道是否 UP
查策略是否放通 UDP 514
查是否有 NAT 拦截（syslog 一般不做 NAT）
想更安全
总部策略只允许分支防火墙公网 IP
不允许整个分支网段，最小权限
六、一句话总结
分支防火墙配置 info-center loghost 总部审计IP
两端防火墙只放通 UDP 514
流量自动走 IPSec，安全且最小权限