要在总部和分支间通过 IPsec VPN 将防火墙日志发送到总部的日志审计服务器,核心逻辑在于:通过 VPN 保证日志传输的私密性,再利用防火墙策略进行最小化放通。
首先需要确保分支与总部之间已建立稳定的 IPsec VPN 隧道。这样,分支防火墙才能通过隧道,将日志安全地发送至总部的日志审计服务器。
这是最关键的一步,需要在分支防火墙上将日志指向总部日志审计服务器的 IP(通常是私有 IP 地址)。
| H3C | info-center enableinfo-center loghost <审计服务器IP> | 确保分支防火墙能通过 IPsec VPN 隧道访问到总部的审计服务器 IP。 |
一般情况下,syslog 使用 UDP 514 端口。
为了防止不必要的访问,应遵循“最小化”原则配置防火墙策略:
明确日志源地址:在总部防火墙上,应创建安全策略,只允许来自分支防火墙隧道接口 IP 的流量访问日志审计服务器的 UDP 514 端口。切忌直接放行整个隧道网段,以免扩大攻击面。
限制日志服务器访问:在日志审计服务器上,同样应配置防火墙,只允许来自分支防火墙隧道接口 IP 的 UDP 514 端口流量进入。
建议部署两台日志审计服务器(一主一备),并配置分支防火墙同时向两台服务器发送日志,避免单点故障导致日志丢失。
链路中断:当 VPN 中断时,分支防火墙会产生本地日志缓存。需要关注本地存储空间,防止写满。
带宽消耗:如果日志量巨大,可能会占用 VPN 带宽。建议在防火墙配置中调整日志发送速率或进行过滤。
服务器过载:确保日志服务器性能足够,或部署负载均衡,防止海量日志写入时崩溃。
日志积压:VPN 恢复后,防火墙可能会突发传输大量积压日志,可能造成网络瞬时拥堵,建议在业务低峰期恢复链路。
连通性测试:从分支防火墙 ping 总部的日志审计服务器 IP,确保 ICMP 请求能通过 VPN 隧道。
端口可达性:使用 telnet <审计服务器IP> 514 或 nc -vuz <审计服务器IP> 514 测试 UDP 514 端口是否畅通。
日志接收验证:在日志服务器上实时监控日志接收情况。例如,Linux 系统可使用 tail -f /var/log/messages 查看。
总部防火墙(untrust-trust,源为:分支互联网IP地址/32,目的为日志服务器IP); 日志服务器增加设备(分支防火墙IP地址为分支互联网IP地址)?
一、整体思路
分支防火墙:把 syslog 指向总部日志审计服务器 IP
流量走 IPsec VPN 内部传输,不暴露公网
两端防火墙只放通 UDP 514(syslog 默认端口),最小权限
二、分支防火墙配置(H3C 举例)
1. 配置日志主机(发送 syslog)
plaintext
info-center loghost 总部日志审计IP
info-center source default channel loghost level informational
info-center enable
2. 确保日志流量走 IPSec VPN
分支防火墙的 出接口→公网,但目的 IP 是总部内网段→ 流量会自动匹配 IPSec 感兴趣流,走加密隧道。
三、两端防火墙策略(最小放通)
1. 分支防火墙策略
允许:
源:分支防火墙自身 IP(或 any)
目的:总部日志审计 IP
服务:UDP 514
方向:内网 → 外网(IPSec)
2. 总部防火墙策略
允许:
源:分支内网 / 分支防火墙公网 IP(建议只放分支公网 IP)
目的:总部日志审计 IP
服务:UDP 514
方向:外网(IPSec)→ 内网
这就是最小权限:只开 UDP 514,只允许分支→审计服务器。
四、如果日志走 TCP(如 SecCenter 采集器)
有些审计系统用 TCP 6514、9000、9001 等你只需要把上面的 UDP 514 换成对应 TCP 端口 即可。
五、最常见问题(必看)
日志发不过去
查 IPSec 隧道是否 UP
查策略是否放通 UDP 514
查是否有 NAT 拦截(syslog 一般不做 NAT)
想更安全
总部策略只允许分支防火墙公网 IP
不允许整个分支网段,最小权限
六、一句话总结
分支防火墙配置 info-center loghost 总部审计IP
两端防火墙只放通 UDP 514
流量自动走 IPSec,安全且最小权限
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
总部防火墙(untrust-trust,源为:分支互联网IP地址/32,目的为日志服务器IP); 日志服务器增加设备(分支防火墙IP地址为分支互联网IP地址)?