Назад | Перейти на главную страницу

Устранение неполадок заблокированных / сброшенных портов на брандмауэрах Sonicwall

Есть ли более простой способ увидеть или настроить Sonicwall для отображения заблокированных портов / служб (в режиме реального времени или в виде отчета), за исключением включения захвата / мониторинга пакетов для определенных правил / политик?

Я считаю, что захват пакетов - это перебор. Я не хочу видеть содержимое пакетов, я не хочу видеть принятые / перенаправленные пакеты, я просто хочу видеть некоторые события «Отброшенные» с деталями src-ip, dst-ip, dst-proto и dst-port.

Я искал это в Интернете, просматривал пункты меню устройства, проверял Sonicwall Analyzer, ничего. Есть журналы и статусы успешных подключений, обнаруженных и заблокированных атак и т. Д., Но не просто отчет, показывающий заблокированные порты.

Раньше я работал с брандмауэрами Juniper, и варианты ScreenOS и JunOS позволили мне включить регистрацию в политике (например, глобальной политике блокировки), а затем использовать веб-интерфейс или командную строку, чтобы проверить, что заблокировано.

Согласно SonicWALL Справочное руководство по регистрации событий, UTM регистрирует только до 32 КБ, а затем очищает журналы.

Сохранение журнала

В настоящее время SonicOS выделяет 32 КБ буфера журналов. Когда журнал заполняется, его можно отправить по электронной почте определенному получателю и очистить, или его можно просто очистить. Электронная почта обеспечивает простую версию сохранения журнала, в то время как GMS предоставляет более надежный и масштабируемый метод. Предлагая администратору возможность доставлять журналы в виде простого текста или HTML, у администратора есть простой метод просмотра и воспроизведения зарегистрированных событий.

Итак, если вы не хотите собирать достаточно данных для устранения проблем с заблокированными / сброшенными портами, вам нужно будет установить либо GMS / Analyzer (который отображает много информации в графической консоли), либо ваш любимый демон системного журнала на сервере.

Процедура включения сервера системного журнала такая же, как и при добавлении устройства GMS / Analyzer: https://support.software.dell.com/kb/sw10097

Обновить:

Чтобы получить такой уровень детализации с помощью SonicWALL, вам определенно придется развернуть сервер системного журнала. Если вы не хотите видеть что-либо еще, кроме отчетов об отброшенных / заблокированных пакетах, перейдите в «Журнал»> «Категории» и снимите флажки со всех полей, кроме «Доступ к сети».

Чтобы иметь представление о том, какую информацию вы можете ожидать найти на своем сервере системного журнала, взгляните на этот фильтр: