网络流量/防火墙日志分析
Firewall Analyzer
解决方案
AdventNet 网络流量/防火墙日志分析解决方案 www.adventnet.com.cn
注意：
本文档是北京艾德威特网络软件技术（北京）有限公司有关网络流量/防火墙日志分析的方案说明书。
本材料的相关权力归艾德威特网络软件技术（北京）有限公司所有。文档中的任何部分未经本公司许可，不得转印、影印或复印。
2006艾德威特网络软件技术（北京）有限公司 保留所有权利.
本资料将定期更新，如欲获取最新相关信息，请访问
艾德威特网络软件技术（北京）有限公司网站：http://www.adventnet.com.cn/
您的意见和建议请发送至：china-support@adventnet.com
艾德威特网络软件技术（北京）有限公司
北京海淀区知春路106号太平洋国际大厦1215室，100086
电话: 010-82637815 010-82637816
传真: 010-82637827
电子信箱：china-sales@adventnet.com 2
AdventNet 网络流量/防火墙日志分析解决方案 www.adventnet.com.cn
目 录
1. 公司简介..................................................................................................................................4
2. 方案示意图...............................................................................................................................4
3. 产品概述..................................................................................................................................4
4. 产品特点..................................................................................................................................5
5. 产品优势..................................................................................................................................5
6. 产品功能..................................................................................................................................5
6.1. 全面的防火墙日志分析...........................................................................................5
6.2. 自动化防火墙检测...................................................................................................6
6.3. 防火墙日志导入.......................................................................................................6
6.4. 防火墙日志存档.......................................................................................................6
6.5. 特殊的Check Point设置.........................................................................................6
6.6. 内嵌的Syslog服务器..............................................................................................6
6.7. 多种报表帮助用户分析网络...................................................................................6
6.7.1. 实时流量监控报表...........................................................................................6
6.7.2. 流量排行...........................................................................................................8
6.7.3. 主机流量深入分析...........................................................................................8
6.7.4. 协议使用报表...................................................................................................9
6.7.5. 深入的病毒和安全分析...................................................................................9
7. 部署........................................................................................................................................11
7.1. 系统要求.................................................................................................................11
7.1.1. 硬件要求.........................................................................................................11
7.1.2. 软件要求.........................................................................................................12
7.2. 安装卸载.................................................................................................................12
7.2.1. 安装防火墙分析仪.........................................................................................12
7.2.2. 卸载防火墙分析仪.........................................................................................13
8. 支持的防火墙.........................................................................................................................13
9. 维护和支持.............................................................................................................................14
3
AdventNet 网络流量/防火墙日志分析解决方案 www.adventnet.com.cn
1. 公司简介
AdventNet公司是一家专业提供IT综合管理解决方案的软件厂商。它为管理IT网络，提供业界领先的开放式、可伸缩、跨平台的解决方案，可对政府、教育、金融、证券、能源等行业用户的系统、网络、应用以及业务流程进行全面管理。并为网络或电信设备供应商、服务提供商和管理服务提供商（MSP）提供高度可伸缩的、运营级的、用于预配和管理网络基础架构的管理应用软件。
AdventNet利用业界领先的核心技术，针对客户IT管理的各种需求，提供能涵盖多种领域的、功能强大的、性价比高而又易于使用的产品。同时AdventNet强大的研发中心和支持队伍，可以使客户的投资得到更好的回报。
2. 方案示意图
3. 产品概述
今天，网络已经无处不在。企业内部通过网络交换信息，企业之间也通过Internet查询信息，交换数据。这些大量的交换数据中夹杂着垃圾、病毒，防火墙在网络的关口上将那些垃圾和病毒隔离的同时将流经防火墙的数据做详细的日志纪录。
实际上，防火墙日志中包含了网络流量以及网络健康状况等等很丰富的信息。这些数据经过防火墙日志分析软件处理、分析、汇总之后，网络的使用情况
4
AdventNet 网络流量/防火墙日志分析解决方案 www.adventnet.com.cn
以及其它状况会直观地展示在管理者面前。
AdventNet公司自主研发的Firewall Analyzer软件是一套基于Web的防火墙日志分析工具，它能收集、关联分析和汇报整个企业范围内的防火墙、Proxy服务器和Radius服务器上的日志。它使用一个内置的Syslog服务器来保存这些日志，并提供有关防火墙流量、安全漏洞等多个方面的综合报表。
4. 产品特点
Firewall Analyzer可以有效地帮助网络管理员主动保障网络安全、避免滥用网络、管理带宽需求、监视网站访问情况，确保内部职员合理地利用网络。
1．容量规划
带宽是否得到了有效利用 ♦
♦
♦
♦
♦
♦
♦
♦
♦
♦
♦
♦
♦
♦
♦
♦
♦
♦
♦
♦
♦
哪些协议、主机和应用耗尽了带宽
哪些服务器的点击率最高
2．故障诊断
在网络中，哪些链路和主机出现异常
实时发现和监控非正常的流量
是否有病毒
是否受到黑客攻击? 攻击来自哪里
3．流量分析
公司里哪些人经常上网，他们在访问哪些网站？使用多少带宽
流量趋势及高峰时间使用模式
在防火墙的每一端发生了多少什么网络行为
5. 产品优势
分析流入/流出流量以及带宽使用情况
鉴别使用最多的用户、访问最多的网站等
及时识别潜在的病毒、黑客攻击
自动检测防火墙，分析防火墙规则的有效性
及时了解网络内的各种活动，实时报警
了解历史趋势，有助于制定长期的容量规划
定时自动运行报表，并通过Email发送
支持多厂商的防火墙
内嵌Syslog服务器
支持Windows/Linux多种平台
完全基于Web，支持IE/Mozilla/Firefox浏览器
6. 产品功能
6.1. 全面的防火墙日志分析
Firewall日志能呈现流入和流出防火墙的流量状态相关的许多信息。分析这
5
AdventNet 网络流量/防火墙日志分析解决方案 www.adventnet.com.cn
些防火墙和网站流量日志对于了解网络和带宽利用率来说是至关重要的，而且在商业风险评估时也能起到重要的作用。Firewall Analyzer提供了许多功能用于收集、分析和报告防火墙日志。
6.2. 自动化防火墙检测
先简单地配置防火墙将日志导出到Firewall Analyzer，然后自动检测防火墙并即时生成报表。对于所有支持以WELF格式导出日志的防火墙来说，这是最好的配置方法。
6.3. 防火墙日志导入
对于那些不能将日志以导出为可接受格式的Squid proxy服务器和防火墙，您可以直接从Firewall Analyzer导入日志文件并生成报表。
6.4. 防火墙日志存档
从防火墙、squid proxy服务器和Radius服务器接收的日志将在特定的间隔存档。您可以随时将这些存档的日志加载到数据库，并生成针对指定行为的报告。然而日志存档将占用一定的磁盘空间，所以您可以随时禁用该选项。
6.5. 特殊的Check Point设置
Firewall Analyzer允许您添加LEA服务器，以便建立连接并从Check Point firewall接收日志。您可以随意添加任何数量的LEA服务器，并建立验证的或不经验证的连接以获取防火墙日志。
6.6. 内嵌的Syslog服务器
Firewall Analyzer内嵌一个syslog服务器，用在定义的监听端口监听导出的防火墙日志。您可以为该syslog服务器添加多个监听端口，以便从不同的防火墙收集日志。该syslog服务器是Firewall Analyzer的一部分，不需要单独安装。
6.7. 多种报表帮助用户分析网络
6.7.1. 实时流量监控报表
操控板会自动更新以显示流入和流出每个防火墙的流量相关的信息。您可以深入分析以便了解使用流量最多的用户、使用最多的协议、生成的事件等更多信息。该操作盘还能全盘显示流入和流出整个企业的流量。 6
AdventNet 网络流量/防火墙日志分析解决方案 www.adventnet.com.cn
以及最近一段时间的流量趋势：
7
AdventNet 网络流量/防火墙日志分析解决方案 www.adventnet.com.cn
6.7.2. 流量排行
6.7.3. 主机流量深入分析
这个流量最大的主机使用了哪些协议?各个协议的流量是多少?和此主机通信量最大的主机是哪些?
此主机在工作时间和非工作时间的平均流量是多少?
8
AdventNet 网络流量/防火墙日志分析解决方案 www.adventnet.com.cn
6.7.4. 协议使用报表
针对每个防火墙提供Web、Mail、FTP和Telnet流量的特定报表。
6.7.5. 深入的病毒和安全分析
Firewall Analyzer提供了有关网络中病毒攻击和安全威胁的即时报表。该报表能立即显示网络中活动的病毒以及被侵袭的主机。借助这些报表，IT人员可以轻松地执行商业风险评估，检测问题并在发现问题时迅速解决问题。 9
AdventNet 网络流量/防火墙日志分析解决方案 www.adventnet.com.cn
6.7.5.1. 病毒报表
病毒报表提供了有关病毒攻击、被侵袭主机、攻击重要度、子类等详细的信息。利用出现最多的病毒和病毒使用最多的协议等可继续深入的详细信息，病毒报表有助于快速有效地诊断和解决问题。
6.7.5.2. 安全报表
安全报表提供了网络中可能出现的安全隐患相关的详细信息。该报表包括被拒绝最多的主机、拒绝的协议和生成最多的安全事件。这些报表详尽地列出可能存在的安全隐患，并帮助IT人员测定是否需要修改网络安全策略。 10
AdventNet 网络流量/防火墙日志分析解决方案 www.adventnet.com.cn
7. 部署
7.1. 系统要求
该节列出了安装和运行防火墙分析仪所需的最低系统要求。
7.1.1. 硬件要求
运行防火墙分析仪所需的最低硬件要求如下。
处理器 1GHz Intel™ Pentium III或更高
内存: 512MB 空闲RAM
硬盘空间: 产品所需150MB，关于数据库请参见下表。
防火墙分析仪适用于1024x768分辨率或者更高。
* 数据库所需的硬盘空间取决于要分析和存档日志的设备的个数，以及收集日志文件的频率。以下列出了所需的硬盘空间以及每秒 所收集的相应的防火墙记录数。
* 下面的表格是安装Firewall Analyzer的系统的内存和磁盘的要求.磁盘和内存大小的要求是基于向Firewall Analyzer发送日志的设备个数，每秒钟的防火墙的日志数以及Firewall Analyzer每天接收日志的日志数。
设备数
每秒的日志数(每天的防火墙日志数)
内存大小
如果归档功能开启,每天的磁盘增长速度
250 (6 GB)
512 MB
4 GB/day
1
>250
>= 1 GB
> 4 GB/day
250 (6 GB)
512 MB
4 GB/day
2
>250
>= 2 GB
> 4 GB/day
100 (3 GB)
1 GB
1.5 GB/day
5
>100
> 2 GB
> 4 GB/day
100 (3 GB)
2 GB
1.5 GB/day
10#
>100
>= 3 GB
> 4 GB/day
100 (3 GB)
>= 3 GB
1.5 GB/day
20#
>100
>= 3 GB
> 4 GB/day
100 (3 GB)
>= 4GB
1.5 GB/day
30#
>100
>= 4 GB
> 4 GB/day
对于管理超过10台设备的Firewall Analyzer最好安装在双处理器的专用机器。
备注：每秒日志数指的是Firewall Analyzer从所有设备上搜集到的日志数。
MySql性能提升参数
更高的性能，需要在文件夹<FirewallAnalyzerHome>\bin下面的startDB.bat/sh中 替换已经存在的MySQL参数，下面是和内存对应的的MySQL参数修改值。
RAM Size
MySQL Parameters
512 MB
startDB.bat/sh中的默认配置
1 GB
--innodb_buffer_pool_size=500M --key_buffer_size=150M --tmp_table_size=100M
11
AdventNet 网络流量/防火墙日志分析解决方案 www.adventnet.com.cn
2 GB
--innodb_buffer_pool_size=1200M --key_buffer_size=400M --tmp_table_size=100M
3 GB
--innodb_buffer_pool_size=1500M --key_buffer_size=600M --tmp_table_size=100M
4 GB
--innodb_buffer_pool_size=2048M --key_buffer_size=1024M --tmp_table_size=100M
7.1.2. 软件要求
支持的操作系统
防火墙分析仪在以下操作系统及版本上测试通过：
Windows™ 2000 Server/Professional with SP4
Windows XP with SP1
RedHat Linux 8.0
RedHat Linux 9.0
支持的Web浏览器
防火墙分析仪在以下浏览器上测试通过：
Internet Explorer 5.5或者更高
Netscape 7.0或者更高
Mozilla 1.5或者更高
Firefox 1.0或者更高
7.2. 安装卸载
防火墙分析仪可以安装在Windows和Linux平台上，关于所支持的版本和其它规范，请参见系统要求。
7.2.1. 安装防火墙分析仪
Windows:
防火墙分析仪的安装文件为EXE格式，可从
http://manageengine.adventnet.com/products/firewall/download.html
下载。双击下载的EXE文件，并按照屏幕上出现的指示，当安装完成并启动后将出现托盘图标，可以执行以下选项。
选项
描述
防火墙服务器状态
该选项显示服务器名、IP地址、服务端口、服务器状态等详细信息。
启动WebClient
该选项将打开缺省浏览器，并打开防火墙分析仪的登录页，这表示该服务器已经正常启动。
关闭服务器
该选项将关闭防火墙分析仪服务器。
该托盘图标只在出现在Windows系统中!
12
AdventNet 网络流量/防火墙日志分析解决方案 www.adventnet.com.cn
Linux:
防火墙分析仪的下载文件为BIN格式，可从
http://manageengine.adventnet.com/products/firewall/download.html
下载该BIN文件，然后分配执行权限给该文件：chmod a+x <file_name>.bin <file_name> 为所下载的BIN文件名。
执行下面的命令： ./<file_name>.bin
在安装期间，如果你得到temp文件夹没有足够的空间的错误信息，请试图以-is:tempdir <directory_name>选项来执行该命令。<directory_name>为 另外一个目录的绝对路径。./<file_name>.bin -is:tempdir <directory_name>
按照屏幕上出现的提示执行。
下面是如何卸载防火墙分析仪
7.2.2. 卸载防火墙分析仪
Windows:
进入防火墙分析仪所安装的程序文件夹，缺省情况下为开始>所有程序>ManageEngine 防火墙分析仪 4。
选择卸载防火墙分析仪选项。
将会询间是否确认，之后将卸载防火墙分析仪。
Linux:
进入<FirewallAnalyzerHome>/server/_uninst目录。
执行命令 ./uninstaller.bin
将会询间是否确认，之后将卸载防火墙分析仪。
8. 支持的防火墙
公司名
设备/版本 (版本到)
WELF 认证
其它日志格式
联想网御
大多数版本
Applied Identity
Identiforce
ARKOON Network Security
ARKOON 2.20
Astaro
Astaro Security Linux v4
Aventail
Extranet Center v3.0
CheckPoint
可从大多数版本导入日志，支持LEA R54或者更高
Cimcor
CimTrak Web Security Edition
Cisco Systems
Pix Secure Firewall v 6.x and 7.x
CyberGuard
CyberGuard Firewall v4.1, 4.2, 4.3, 5.1
Fortinet
FortiGate 系列
Global Technologies
Gnatbox (GB-1000) 3.3.0+
Ingate
Ingate firewall: 1200, 1400, 1800/1880
13
AdventNet 网络流量/防火墙日志分析解决方案 www.adventnet.com.cn
Inktomi
Traffic Server, C—Class and E—Class
Lucent
Security Management Server V. 6.0.471
Microsoft ISA
Microsoft ISA (firewall, web-proxy, packet filter) Server 2000 & 2004
NetASQ
F10, F100 v3.x
Netopia
S9500 Security Appliance v1.6
NetScreen
大多数版本
Network-1
CyberwallPLUS-WS CyberwallPLUS-SV
Recourse Technologies
ManHunt v1.2, 1.21
Snort
大多数版本
St. Bernard Software
iPrism 3.2 Sidewinder v5.x
SonicWALL
TELE, SOHO, PRO, GX v4.10, 5.x, 6.x
Sun Microsystems
SunScreen Firewall v3.1
WatchGuard
All Firebox Models v 5.x, 6,x, 7.x
Zywall
大多数版本
9. 维护和支持
艾德威特公司通过电话和Email的方式为客户提供及时服务和技术支持。
艾德威特也会不定期发布服务包，为客户提供升级和维护服务。
同时，艾德威特公司还在网上设有论坛。论坛地址：
http://forums.adventnet.com/viewforum.php?f=61。
（全文完）
14