Firemon系统实施方案

FireMon产品实施方案Firemon产品实施方案2016年12月 目录一、实施计划31.项目进度32.FireMon设备安装步骤42.1 安装所需硬件平台规格及需要的参数42.2 Security Manager安装过程42.3 Security Manager上加入被管理防火墙（部分）102.3.1Juniper NetScreen防火墙配置102.3.2Juniper SRX防火墙配置（SRX）142.3.3CISCO ASA/FWSM/IOS防火墙配置192.3.4Fortigate防火墙配置222.3.5华为防火墙配置242.3.6Hillstone防火墙配置262.3.7PaloAlto防火墙配置292.3.8Checkpoint防火墙配置34一、 实施计划1. 项目进度2. FireMon设备安装步骤安装过程大致分三个部分：1） 安装FireMon Security Manager服务器端系统；2） 在PC上安装管理用GUI客户端；3） 加入被管理设备，开始分析。2.1 安装所需硬件平台规格及需要的参数Security Manager服务器平台物理要求内存16GB或以上硬盘200GB或以上CPU双核CPU（支持64位操作系统）需要参数Root用户口令FireMon用户口令Domain nameIP AddressGateway IPDNSNTP可先不配置中国标准NTP地址：4，上海交大01Security Manager GUI客户端物理规格要求标准PC或笔记本均可。需要操作系统内安装有微软.NET4.0。2.2 Security Manager安装过程第一步：安装Security Manager服务器安装过程：1. 修改服务器启动配置，确认服务器可从光驱启动；2. 将Security Manager安装光盘装入服务器光驱，重启服务器；3. 根据提示配置服务器参数，包括root用户口令、FireMon用户口令、domain name（任意指定该台服务的domain name，可任意配置）、IP地址、网关、DNS服务器地址、NTP服务器地址等；4. 配置完后，系统会进行安装，安装结束后会自动重启。第二步：安装Security Manager GUI客户端安装过程：1. 在需要安装GUI客户端的PC上，打开浏览器，在地址栏输入：http:/xx.xx.xx.xx/client/，其中xx.xx.xx.xx为Security Manager服务器的IP地址。2. 根据提示，完成安装GUI客户端第三步：操作GUI界面，将被管理防火墙设备加入Security Manager过程1. 打开Security Manager GUI客户端；2. 出现登陆窗口，Username：输入在第一步配置的用户名; Password：输入输入在第一步配置的口令; Host/IP：输入Security Manager服务器的IP地址；3. 通过“new device”，并根据提示操作将防火墙加入。这样，就完成了所有安装相关的操作，可以在GUI界面中查看管理防火墙设备的配置、策略使用率等等报告。安装Security Manager具体步骤1.设置BIOS为光盘启动2.插入光盘，机器启动3.见到下面界面后，输入install开始安装FireMon4.系统会自动安装5.安装需重启一次初始化配置step1.见到下面界面后，按回车键后，开始初始化配置step2.见到下面界面，按回车键并继续step3.同意并继续step4.设置域形式的hostname、eth0口的ip地址、网关地址、以及DNSstep5.设置发送系统警告通知的接收方email地址(建议选择no，先不设)step6.开启相关服务，全部选择y:step9.设置root及FireMon user密码step10.设置NTP服务器 (建议不设，直接敲回车跳过)step11.设置时区 step11.配置确认2.3 Security Manager上加入被管理防火墙（部分）在Security Manager上加入被管理防火墙，一般分为两步，首先在防火墙设备的命令行或管理界面下配置策略启用Log记录、Syslog Server设置和Security Manager登录被管理防火墙所使用的账号等，然后在Security Manager GUI中添加被管理防火墙。下面是此次项目涉及到的几种防火墙设备类型的添加过程：2.3.1 Juniper NetScreen防火墙配置A在NetScreen设备端1) 在NetScreen设备上配置策略时打开Log2) 在Netscreen设备上Enable SyslogA. 在NetScreen 管理界面上, 去到 ConfigurationReport SettingsSyslog.B. 选中 Enable Syslog Messages.C. 选择要和Security Manager DC通讯的源接口。在界面中，这个接口被命名为“MGT”或其他业务接口名称。D. 在 IP/Hostname, 输入Security Manager的IP地址E. 在 Port , 输入 514.F. In the Security Facility and Facility drop-down lists, select the option that enables the Security Manager Data Collector to collect all Syslog messages.在“Security Facility” and “Facility”下拉列表中，选择LOCAL0级别，允许DC收集所有的Syslog。G. 选中 Event Log 和Traffic Log ，以及后面的 Enable选项 ，并点击Apply应用配置。3) 在NetScreen设备上生成一个只读的管理员用户名/口令A. 在 NetScreen Web UI，点开ConfigurationAdminAdministratorsNew界面.B. 输入：name, password，设置为read-only 权限，然后点击 OK.C. 记录下该信息，稍后会用到。B在Security Manager端在Security Manager上进行配置1) 在Security Manager的New Device 窗口，选择 ScreenOS 然后click OK，ScreenOS 配置窗口会打开；.2) 输入下面的信息GeneralName: 设备名。任意名称。IP Address: NetScreen设备的IP地址DNS Name: 如果不使用IP地址方式，请在此输入DNS名称；Data Collector: Data Collector的IP地址。Licensed: 选中。CredentialsUsername: 在Netscreen设备上的只读管理员用户名Password: 口令RetrievalProtocol: 缺省即可Port: 缺省即可Store Compressed: 选择是否以压缩方式存储配置信息。推荐压缩方式。Store Encrypted: 选择是否加密方式3) 点开 Log Monitoring，选择 “Monitor Log Data“。 如不希望在这台设备上启动策略使用状况分析，则不选该项4) 点开Change Monitoring，点击OK 来保持配置.5) 该台设备就会出现在GUI界面内。在这台设备上点击右键，选择Retrieval configuration，按照向导提示点击Next，即可完成首次配置抓取的操作，点击Finish完成。2.3.2 Juniper SRX防火墙配置（SRX）A.在SRX设备端1) 在SRX上配置策略时，务必在LOG上至少选中session-close2) 在SRX设备上配置sysloga. 登入Juniper Web管理界面；b. 点击 Configure 按钮；c. 点击 CLI Tools - Point and Click CLI ，进入配置界面；d. 在Configuration界面中，进入system - syslog 配置界面；e. 点开Host 界面, 点击 Add new entry，添加一个新的Syslog Server条目；f. 在 Host name 中, 选择 Enter Specific Value，然后输入日志主机名；g. 在 Contents 中, 点击 Add New Entry；h. 在 Facility 中, 选择 any；i. 在 Level 中，选择info；j. 点击 Commit 按钮；k. 点击 OK；l. 再次点击OK .最终的配置界面如下图所示：3) 在SRX设备上生成一个只读的管理员用户名/口令，运行下面的命令首先生成一个“login class”。下面的例子将该“logging class”命名为“firemon”。set system login class firemon permissions interfaceset system login class firemon permissions routingset system login class firemon permissions viewset system login class firemon permissions view-configurationset system login class firemon allow-commands shows+.*然后生成一个用户。下面的例子命名该用户为“mxu_read”，全称minquanset system login user mxu_read full-name minquanset system login user mxu_read uid 2006set system login user mxu_read class firemonset system login user mxu_read authentication encrypted-password “*记录下该信息，稍后会用到。B.在Security Manager端：在Security Manager上进行配置1) 在Security Manager的New Device 窗口，选择SRX，然后点击OK.2) 在Properties窗口，输入下面的信息GeneralName: 设备名。任意名称。IP Address: SRX设备的IP地址DNS Name: 如果不使用IP地址方式，请在此输入DNS名称；Data Collector: Data Collector的IP地址。Licensed: 选中。CredentialsUsername: 上面生成的只读管理员用户名Password: 口令RetrievalProtocol: 缺省即可Port: 缺省即可3) 点击Log Monitoring.4) 选中“Monitor Log Data”。 如不希望在这台设备上启动策略使用状况分析，则不选该项.5) 点击Change Monitoring，Click OK 来保持配置。6) 该台设备就会出现在GUI界面内。 右键，选择Retrieval configuration，按照向导提示点击Next，即可完成首次配置抓取的操作，点击Finish完成。2.3.3 CISCO ASA/FWSM/IOS防火墙配置A在Cisco设备端1) 在Cisco设备上（ASA或FWSM）增加一个管理员帐号，该管理员需要是15级。2) 在Cisco设备上允许Security Manager的IP地址通过SSH接入；3) 如果希望分析防火墙策略或者ACL的利用率、变更管理等，则需要配置增加Security Manager的IP地址作为设备的LOG服务器。B在Security Manager端1) 打开Security Manager管理系统,选择new device。根据设备类型，选择PIX、ASA or FWSM；2) ASA 配置窗口会打开，参考下图，输入以下信息：GeneralName: 设备名称IP Address: NetScreen设备的IP地址DNS Name: 设备的主机名Data Collector: Data Collector的IP地址Licensed: 选中。CredentialsUsername: 在ASA设备上的15级权限用户名Password: 口令RetrievalProtocol: 缺省即可Port: 缺省即可Store Compressed: 选择是否以压缩方式存储配置信息。推荐压缩方式。Store Encrypted: 选择是否加密方式3) 点击 Log Monitoring， 选择Monitor Log Data。 如不希望在这台设备上启动策略使用状况分析，则不选该项4) 点击Change Monitoring，点击来保持配置。该台设备就会出现在GUI界面内。点击右键，选择Retrieval configuration，按照向导提示点击Next，即可完成首次配置抓取的操作，点击Finish完成。2.3.4 Fortigate防火墙配置第一步：在Fortinet设备上生成一个只读的管理员用户名/口令（如已有，则可跳过此步）在Fortinet防火墙命令行下执行下面命令config system adminedit usernameset password passwordset accprofile super_admin_readonlyend记录下username和password第二步：在Fortinet设备上打开LOG在Fortinet防火墙上命令行下执行下面的命令config log syslogd settingset status enableset server DATA_COLLECTOR_IP_ADDRESSendconfig log syslogd filterset other-traffic disableend第三步：在Fortinet防火墙上某些策略打开Log第四步：在Security Manager上加入该台防火墙设备1. 在Security Manager的New Device 窗口，选择FortiGate， 然后点击OK.2. FortiGate配置窗口会打开；.3. 输入下面的信息GeneralName: 设备名。任意名称。IP Address: Fortinet防火墙的IP地址DNS Name: 如果不使用IP地址方式，请在此输入DNS名称；否则缺省即可；Data Collector: Data Collector的IP地址。缺省即可Licensed: 选中。CredentialsUsername: 在Fortinet设备上的只读管理员用户名Password: 输入口令RetrievalProtocol: 缺省即可Port: 缺省即可Store Compressed: 选择是否以压缩方式存储配置信息。缺省即可。Store Encrypted: 选择是否加密方式。缺省即可。4. 点击Log Monitoring，确认Monitor Log Data被选中；5. 点击Change Monitoring，确认Monitor for changes被选中；6. 点击OK；7. 该台设备应会出现在GUI界面内。2.3.5 华为防火墙配置Huawei Eudemon防火墙端配置过程1) 配置FireMon DataCollector的IP地址为Syslog ServerA、Web界面配置方式：a、登录Web界面后， 进入 Log - Log Configuration - Syslog Configuration 配置页面，b、在Log Host List中，点击“Add”，新增一个syslog server，设置Log Host Address Type为Source Address，Log Host Sourece Address中设置为Security Manager的IP地址14(Destination Port使用默认的514端口，Language使用English)。如下图所示：B、命令行配置方式：system-viewsysname info-center enable */启用信息中心/*sysname info-center loghost 14 514 */配置Syslog Server和端口号/*2) 在防火墙策略上开启Log记录A、配置会话日志以Syslog形式输出： system-viewsysname firewall session log-type syslogB、配置域间安全策略对匹配的数据包做policy logging日志记录（以policy 1为例） system-viewsysname policy interzone trust untrust outboundsysname-policy-interzone-trust-untrust-outbound policy 1sysname-policy-interzone-trust-untrust-outbound-1 policy loggingSecurity Manager端配置过程在Security Manager上进行配置1) 在Security Manager的New Device 窗口，选择 Huawei- Eudemon Series, 然后click OK.2) 配置窗口会打开:填写Eudemon设备的IP Address、Name、Username和Password信息，然后点击OK保存配置。最后，在这台设备上点击右键，选择“Retrieval Configuration”，根据向导提示抓取设备配置。2.3.6 Hillstone防火墙配置HillStone防火墙端配置过程WebUI下进行配置1. 登录WebUI后，进入System - Logging - Syslog Server页面，在Syslog Server List中，选择”New”新建Syslog Server，如下图所示：Log Type中启用Configuration Log和Traffic Log。创建完成后的Syslog Server如下图所示：2. 进入System - Logging - Log Config， 分别进入Configuration Log和Traffic Log配置界面，启用两种类型的Log记录，并指定发送到上面配置的Syslog上。如下图所示：Configuration Log：Traffic Log：3. 在需要进行策略日志分析的策略条目上启用Log记录，启用“Session end”，如下图所示：Security Manager端配置过程在Security Manager上进行配置3) 在Security Manager的New Device 窗口，选择 HillStone - HillStone Series, 然后click OK.4) 配置窗口会打开:填写HillStone设备的IP Address、Name、Username和Password信息，然后点击OK保存配置。2.3.7 PaloAlto防火墙配置在Palo Alto防火墙端Security Manager通过SSH(tcp/22)和HTTPS(tcp/443)来获取Palo Alto防火墙的配置，首先要确认Palo Alto防火墙上这两个端口已经开放。1) 在Palo Alto设备上，为Security Manager Data Collector新建一个Superuser用户。可以通过Palo Alto的Web界面或命令行来完成，我们建议通过Web界面方式。A、 使用Superuser账号登录Palo Alto的Web界面；B、 进入Device - Administrators页面，点击”Add”新建管理员账号；C、 进入账号设置页面，设置Name和Password, Role设置为Dynamic和Superuser（如下图）。Security Manager只会使用这个账号从设备上获取配置，不会对设备进行任何变更。注：在Palo Alto 4.1.3及以上版本中，Superuser可以设置为read-only。 在Palo Alto 4.1.3以下版本中，Superuser账号必须设置为read-write。D、 记录Name和password信息，稍后会用到。2) 配置Data Collector作为Palo Alto的Syslog server，从Palo Alto设备发送Event log和Traffic log到Security Manager Data Collector。可以通过Palo Alto的Web界面或命令行来完成Syslog配置，我们建议通过Web界面方式。A、 使用Superuser账号登录Palo Alto的Web界面；B、 定义Data Collector作为Syslog server：（1） 进入Device - Server Profiles - Syslog页面；（2） 点击”New”新建Syslog server，输入下列信息：Name：定义Data Collector的名称，如Syslog_ProfileServer：Data Collector的IP地址；Port：514Facility：local use0(LOG_LOCAL0)如下图所示：C、 设置Data Collector接收Event log：（1） 进入Device - Log Settings - Config页面；（2） 点击”Edit”，选择上面步骤中创建的Syslog server。D、 设置Data Collector接收Informational级别的系统日志：（1） 进入Device - Log Settings - System页面；（2） 点击”Edit”，选择上面步骤中创建的Syslog server。E、 为Data Collector创建Log Forwarding profile：（1） 进入Objects - Log Forwarding页面；（2） 点击”New”新建Log Forwarding profile，输入以下信息：Name：输入Profile名称，如Syslog-ForwardingProfile;在Traffic settings中，指定在上面步骤B中创建的Syslog server作为Syslog的目标地址。如下图所示：F、 在防火墙策略中，设置策略转发Traffic log到Data Collector。（1） 进入Policies - Security页面；（2） 点击一条需要转发traffic log的策略，再点击”Options”；（3） 在Log Setting页面中，确认默认选项”Send Traffic Log at session end”已启用；（4） 在”Log Forwarding”列表中选择步骤E中创建的Data Collector的Log Forwarding profile。（5） 重复步骤（2）-（4），为每一条需要进行利用率分析的策略设置traffic log转发。如下图所示：G、 点击”Commit”应用配置。H、 重启log forwarder，让防火墙策略开始记录traffic log：（1） 登录Palo Alto防火墙的命令行，进入admin模式；（2） 执行以下命令，重启log forwarder：Debug software restart log-receiver在Security Manager端在Security Manager上进行配置5) 在Security Manager的New Device 窗口，选择 Palo Alto - Firewall， 然后点击OK，Palo Alto Firewall配置窗口会打开；.6) 输入下面的信息GeneralName: 设备名。任意名称。IP Address: Palo Alto防火墙的IP地址DNS Name: 如果不使用IP地址方式，请在此输入DNS名称；Data Collector: Data Collector的IP地址。Licensed: 选中。CredentialsUsername: 在上面步骤中创建的Superuser账号Password: 口令RetrievalProtocol: 缺省即可Port: 缺省即可Store Compressed: 选择是否以压缩方式存储配置信息。推荐压缩方式。Store Encrypted: 选择是否加密方式7) 点开 Log Monitoring，确认 “Monitor Log Data“已启用，以便对防火墙的策略利用率进行分析。8) 点开Change Monitoring，确认”Monitor for changes”已启用，以便在防火墙配置变更时，触发Security Manager自动获取防火墙的最新配置。点击OK保存配置。9) 这台设备就会出现在GUI界面内。在这台设备上点击右键，选择Retrieval configuration，按照向导提示点击Next，即可完成首