14neteyefirewall5200_系统监控

3Sept.2008©NEUSOFTSECRET系统监控演讲人：唐作夫tangzf@neusoft.com网络安全产品营销中心东软集团股份有限公司Copyright2008ByNeusoftGroup.Allrightsreserved3Sept.2008NEUSOFTSECRET系统监控•NetEyeFW5200防火墙提供了对接口信息，HA信息，路由信息，ARP表信息，CAM表信息，会话表信息，DHCPIP地址绑定状态信息，DNS缓存信息，系统利用率信息，系统健康度信息，多播信息，硬件信息，系统日志信息，VPN隧道等信息的监控。3Sept.2008NEUSOFTSECRET课程目标•了解监控•了解HA监控•了解路由监控•了解ARP表•了解CAM表•了解会话表•了解DHCPIP地址绑定状态3Sept.2008NEUSOFTSECRET课程目标（续）•了解DNS缓存信息•了解系统利用率•了解系统健康度•了解多播监控•了解硬件监控•了解系统日志•了解VPN隧道信息3Sept.2008NEUSOFTSECRET接口监控•NetEyeFW5200的接口用于接收和发送数据包。数据包可以通过接口在同一安全域内或不同安全域间进行传输。从工作模式上，防火墙接口分为二层接口和三层接口。•二层接口是基于数据链路层的数据转发接口，只识别MAC地址。•三层接口是基于网络层的接口，能够识别IP地址和MAC地址。3Sept.2008NEUSOFTSECRET二层接口信息的查看•以管理员身份登录NetEyeFW5200，选择“系统”“监控”“接口监控”，进入“接口监控”界面。在“二层接口”区域，用户可以查看到NetEyeFW5200的二层接口信息。如下图所示：3Sept.2008NEUSOFTSECRET三层接口信息的查看•在“接口监控”界面。在“三层接口”区域，用户可以查看到NetEyeFW5200三层接口信息。如下图所示：3Sept.2008NEUSOFTSECRETHA监控•高可用性（HighAvailability）提供了一种最小化网络中由于单点故障而带来的风险的方法。例如对于部署NetEyeFW5200的企业，从网络安全方面考虑，所有进出信息流都必须经过NetEyeFW5200。这时NetEyeFW5200就是一个单点故障。另一方面对于很多企业来说，长时间的服务中断（或许就几分钟）是不可容忍的。这就引入了高可用性的需求。•NetEyeFW5200提供对HA信息的监控。3Sept.2008NEUSOFTSECRETHA状态基本信息的查看•以管理员身份登录NetEyeFW5200，选择“系统”“监控”“高可用性监控”。在“基本信息”区域，用户可以查看到HA基本状态信息。如下图所示：3Sept.2008NEUSOFTSECRETHA事件跟踪信息•事件跟踪状态中所指的事件是NetEyeFW5200设备自身发生的故障。当用户跟踪的事件发生时，选举协议即认为NetEyeFW5200发生了一个故障。3Sept.2008NEUSOFTSECRETHAIP地址跟踪状态•VFRP通过指定接口跟踪某个目的IP地址是否可达，从而完成IP跟踪功能。选举协议每隔一段时间（间隔时间由用户设置）向目的IP地址发送ARP、ICMP或TCP请求数据包，随后监听目的地址是否有响应，通过监听结果来确定目的IP是否可达。NetEyeFW5200允许用户对IP跟踪信息进行监控。3Sept.2008NEUSOFTSECRET路由监控•路由器的主要工作是为经过它的每个数据包寻找下一跳路由器或目的主机，并把这些数据包转发过去。为了完成这项工作，NetEyeFW5200维护着数据包转发所需的相关信息，这些信息组成的表被称为路由表。在NetEyeFW5200中，每个Vsys所能支持的路由表最大个数为255。3Sept.2008NEUSOFTSECRET路由监控信息的查看•以管理员身份登录NetEyeFW5200，选择“系统”“监控”“路由”，进入“路由”界面，用户可以查看到路由监控信息。如下图所示：3Sept.2008NEUSOFTSECRETARP表•地址解析协议（ARP）是一种用于将网络层IP地址解析成数据链路层MAC地址的协议。NetEyeFW5200的ARP表是一个用来进行三层转发的缓存表。表中的IP地址与VLAN接口（或虚拟系统的共享接口）的MAC地址是一一对应的。3Sept.2008NEUSOFTSECRETARP表信息的查看•以管理员身份登录NetEyeFW5200，选择“系统”“监控”ARP表，进入ARP界面，用户可以查看到ARP表信息。如下图所示：3Sept.2008NEUSOFTSECRETCAM表•NetEyeFW5200的CAM表是MAC地址和端口（二层接口）的对应表。3Sept.2008NEUSOFTSECRETCAM统计信息的查看•以管理员身份登录NetEyeFW5200，选择“系统”“监控”CAM，进入CAM界面。在“数量统计信息”区域，用户可以查看到CAM表统计信息。如下图所示：3Sept.2008NEUSOFTSECRETCAM表信息的查看•在CAM界面的“非静态地址表”区域，用户可以查看到CAM表信息。如下图所示：3Sept.2008NEUSOFTSECRET会话表•NetEyeFW5200不但支持包过滤技术，还在其基础上引入了会话的概念，从而实现更为高效的状态检测包过滤技术。会话可以被简单地理解为某两台主机间的一次交谈。对于基于连接的TCP协议来说，一个会话就是一个TCP连接。在同一个TCP会话上的数据包，其基本信息（源IP、目的IP、源端口、目的端口、协议和所属Vsys）的六元组应相互匹配。3Sept.2008NEUSOFTSECRET会话表信息查看•在命令行下输入showsession可以看到会话表信息。3Sept.2008NEUSOFTSECRETDHCPIP地址绑定状态•DHCPIP地址绑定状态列表用来记录防火墙中开启DHCP功能的接口已分配的IP情况。3Sept.2008NEUSOFTSECRETDHCPIP地址绑定状态信息的查看•在“DHCPIP地址绑定状态”界面，用户在Subnet下拉框中选择作用域，在“DHCPIP地址绑定状态”区域，用户可以查看到DHCPIP地址绑定状态的信息。3Sept.2008NEUSOFTSECRETDNS缓存•DNS缓存列表用来记录IP地址与域名的对应关系。•DNS缓存包括两个部分：•静态缓存•动态缓存3Sept.2008NEUSOFTSECRETDNS缓存信息的查看•在“DNS缓存表”区域，用户可以查看到DNS缓存的信息。如下图所示：3Sept.2008NEUSOFTSECRET系统利用率•系统利用率包括以下5种：•CPU和内存利用率；•磁盘利用率；•进程利用率；•资源利用率；•接口利用率。3Sept.2008NEUSOFTSECRET查看CPU和内存利用率•以管理员身份登录NetEyeFW5200，选择“系统”“监控”“系统资源利用”“CPU和内存使用率”，进入“CPU和内存使用率”页面。在“CPU使用率”区域，用户可以查看到CPU利用率信息。在“内存使用率”区域，用户可以查看内存利用率信息。3Sept.2008NEUSOFTSECRET查看CPU和内存利用率（续）•CPU和内存使用率页面如下图所示：3Sept.2008NEUSOFTSECRET查看磁盘利用率信息•以管理员身份登录NetEyeFW5200，选择“系统”“监控”“系统资源利用”“磁盘利用率”，进入•“磁盘利用率”页面，可以查看硬盘利用率信息如下图所示：3Sept.2008NEUSOFTSECRET进程利用率•NetEyeFW5200的系统进程是应用程序的运行实例，代表了应用程序的一次动态执行。NetEyeFW5200允许用户对系统进程利用率进行监控。•以管理员身份登录NetEyeFW5200，选择“系统”“监控”“系统资源利用”“进程利用”，进入“进程利用”页面。3Sept.2008NEUSOFTSECRET查看进程利用率•在“进程利用”页面，用户可以查看到进程利用率信息。如下图所示：3Sept.2008NEUSOFTSECRET资源利用率•NetEyeFW5200的系统资源包括虚拟系统资源、策略资源、会话资源和NAT资源。•以管理员身份登录NetEyeFW5200，选择“系统”“监控”“系统资源利用”“资源利用率”，进入“资源利用率”页面。3Sept.2008NEUSOFTSECRET查看资源利用率•在“资源利用率”页面。用户可以查看到资源利用率信息。如下图所示：3Sept.2008NEUSOFTSECRET接口利用率•NetEyeFW5200可以通过接口利用率监控，来查看物理接口流入和流出的流量。•以管理员身份登录NetEyeFW5200，选择“系统”“监控”“系统资源利用”“接口利用率”，进入“接口利用率”页面。3Sept.2008NEUSOFTSECRET查看接口利用率信息•在“接口利用率”页面，用户可以查看到接口利用率信息。如下图所示：3Sept.2008NEUSOFTSECRET系统健康状态•通过分析接口的流量统计信息，用户可以进一步地了解系统的健康状态，发现系统的故障隐患。在监控过程中，用户可以全面考察系统的稳定性和可靠性，及时发现系统瓶颈或隐患。NetEyeFW5200允许用户对系统健康状态的关键指标进行监控。3Sept.2008NEUSOFTSECRET系统健康状态的查看•以管理员身份登录NetEyeFW5200，请选择“系统”“监控”“系统健康状态”“接口流量统计”，进入“接口流量统计”页面，用户可以查看到接口流量统计信息。如下图所示：3Sept.2008NEUSOFTSECRET多播监控•多播是一种允许一台或者多台主机（多播源）发送单一数据包到多台主机的TCP/IP网络技术。与多播相关的协议分为组成员关系协议和多播路由协议，NetEyeFW5200支持组成员关系协议IGMP、IGMPSnooping和多播路由协议DVMRP。3Sept.2008NEUSOFTSECRETDVMRP监控•距离矢量多播路由选择（DVMRP）协议是一种多播路由协议.它主要的实现思路是为每个多播组构造一棵多播树，多播源是树的“根”，与多播组中的主机直接或间接相连的路由器是树的“叶子”或“枝干”，多播数据包从多播源通过这棵树被传送给每个接收主机。每棵多播树都是动态维护的，当某个多播路由器离开该多播组时，可以裁剪多播树的“叶子”，当某个多播路由器加入多播组时，可以将“叶子”或“枝干”嫁接到多播树上。3Sept.2008NEUSOFTSECRETDVMRP路由信息的查看•以管理员身份登录NetEyeFW5200，选择“系统”“监控”“多播监控”“DVMRP监控”“DVMRP路由”，进入“DVMRP路由”界面，用户可以查看到DVMRP路由信息。3Sept.2008NEUSOFTSECRETDVMRP接口信息的查看•以管理员身份登录NetEyeFW5200，选择“系统”“监控”“多播监控”“DVMRP监控”“DVMRP接口”，进入“DVMRP接口”页面，用户可以查看DVMRP接口信息。3Sept.2008NEUSOFTSECRETDVMRP邻居信息的查看•以管理员身份登录NetEyeFW5200，选择“系统”“监控”“多播监控”“DVMRP监控”“DVMRP邻居”，进入“DVMRP邻居”页面，用户可以查看到DVMRP邻居信息。3Sept.2008NEUSOFTSECRETDVMRP定时器信息的查看•以管理员身份登录NetEyeFW5200，选择“系统”“监控”“多播监控”“DVMRP监控”“DVMRP定时器”，进入“DVMRP定时器”页面，用户可以查看到定时器信息。3Sept.2008NEUSOFTSECRETIGMPSnooping状态•IGMPsnoopin