Inicio » Configuración de cortafuegos » Configuración de Stonesoft Firewall

Configuración de Stonesoft Firewall


Firewall Analyzer es compatible con Stonesoft Firewall 5.5

Configuración del firewall de Stonesoft para enviar syslog a Firewall Analyzer

  1. Detenga el servicio del servidor de registros de Stonesoft
  2. Abra LogServerConfiguration.txt en el directorio de instalación de Stonesoft
  3. Cambiar los siguientes atributos
Atributos Valores
SYSLOG_EXPORT_FORMAT Establecer este atributo en CEF
SYSLOG_PORT El puerto UDP predeterminado es 514, consérvelo
SYSLOG_SERVER_ADDRESS Dirección IPv4 del servidor de Firewall Analyzer

Para configurar las opciones de registro para las reglas de acceso

  1. Inicie el servicio del servidor de registros de Stonesoft
  2. Inicie sesión en la GUI del firewall de Stonesoft
  3. Habilite la información de contabilidad del registro según las reglas. Esto proporciona registros abiertos y de conexión.
  4. Vaya a la pestaña IPV4 y edite las reglas de acceso
  5. Haga doble clic en la celda Registro. Se abre el cuadro de diálogo de opciones de registro.
  6. Configure las opciones como se explica en la siguiente tabla
Opción Descripción
Cierre de conexión Sin registro No se crean entradas de registro cuando se cierran las conexiones
Registro normal Se registran tanto la apertura como el cierre de la conexión, pero no se recopila información sobre el volumen de tráfico.
Información de contabilidad de registro

Se registran tanto la apertura como el cierre de la conexión y se recopila información sobre el volumen de tráfico. Esta opción no está disponible para las reglas que emiten alertas.

Si desea crear informes basados ​​en el volumen de tráfico, debe seleccionar esta opción para todas las reglas que permiten el tráfico que desea incluir en los informes.

El firewall de Stonesoft ahora enviará datos de syslog a Firewall Analyzer.

¿Cómo habilitar el registro de IPS?
Cambie el valor del atributo SYSLOG_EXPORT_IPS a YES . La configuración predeterminada es: NO

SYSLOG_EXPORT_FW = YES
SYSLOG_EXPORT_IPS = NO

Reinicie el servidor de registro.

¿Cómo habilitar el registro de URL?

Para permitir una inspección profunda de la regla de acceso con el protocolo HTTP,

Haga clic con el botón derecho en la celda de acción , seleccione Editar opciones > en la pestaña Seguimiento de conexión , seleccione ' Anular opciones de inspección establecidas con reglas de continuación ' y seleccione ' Inspección profunda '.

El registro de URL en el firewall de Stonesoft se controla con la configuración ' Registro de URL accedidas ' en los parámetros del protocolo de servicio HTTP. Si habilita esto, se registran las URL a las que se accede.

Si la conexión HTTP coincide con la regla de acceso que usa el servicio HTTP donde el registro de URL está habilitado, pero la inspección profunda está deshabilitada, la URL se escribe en el campo 'Mensaje de información' en la entrada de registro de tipo 'HTTP_URL-Logged'
Si la conexión HTTP coincide con la regla de acceso que usa el servicio HTTP con el registro de URL habilitado y la inspección profunda está habilitada, la URL se escribe en dos campos 'Host de solicitud HTTP' y 'URI de solicitud HTTP'. El primero contiene el nombre del host de acceso (p. Ej., Www.example.com), y el segundo contiene el URI al que se accede (p. Ej., /Something/here/page.php), lo que significa que la dirección a la que se accedió era www.example.com/ something / here / page.php

El campo 'Mensaje de información' es el campo de entrada del registro del firewall debe importarse en la configuración de eScope ya que el campo INFO_MSG es uno de los campos definidos en el archivo de configuración de syslog:

SYSLOG_CONF_FILE = $ {SG_ROOT_DIR} /data/fields/syslog_templates/default_syslog_conf.xml

<datatypeinfo>
    <exportable_field_list>
        <version> 1 </version>
        <name> Exportar lista - Predeterminado </name>
        <fieldreflist>
...
            <fieldref> INFO_MSG </fieldref>
...
        </fieldreflist>
    </exportable_field_list>   
</datatypeinfo>

Los campos 'HTTP Request Host' y 'HTTP Request URI' son campos de entrada de registro IPS generados por una inspección profunda. Actualmente, estos no están configurados como campos exportados en la configuración de eScope, pero se pueden agregar como campos exportables adicionales en el archivo default_syslog_conf.xml '

<fieldref> HTTP_REQUEST_HOST </fieldref>
<fieldref> HTTP_REQUEST_URI </fieldref>

 

Copyright © 2014, Zoho Corp . Reservados todos los derechos.
ManageEngine