PIX 防火墙上的数据包记录

PIX 防火墙上的数据包记录

我们有一个 Cisco PIX 515 防火墙,我想设置一个简单的日志记录,以便通过以下方式为我们提供流量明细以便进行计费:

  • 来源
  • 目的地
  • 协议
  • 港口
  • 尺寸
  • 时间

PIX 插入 Catalyst 2970,有人告诉我,记录日志的最佳方法是获取 Netflow 并让 Catalyst 进行记录。然而,我担心(除了 Netflow 成本外)我真的不想“听”内部噪音,我感兴趣的只是上面的外部流量统计信息,用于计费和分析目的。

最简单、最容易的解决方案是什么?

干杯

乔治

答案1

您不必从网络设备导出 Netflow。实际上,您可以设置数据包捕获,以构建 Netflow 并将其导出到收集器。这将需要一个相当专用的盒子,该盒子具有足够的带宽来处理您的流量,但它不会占用过多的 CPU,因此旧的盒子通常也可以。

请查看以下链接:http://www.networkuptime.com/tools/netflow/

就我个人而言,我使用 flowscan 和 FlowViewer/Grapher,但我确实直接从网络获取我的 netflow 数据......

编辑:刚好看到一篇文章,让我想起了这个问题。查看 softflowd:http://www.mindrot.org/projects/softflowd/

答案2

由于 PIX 515 已停产,您无法在其上安装 Netflow,因为 8.1 软件无法在其上安装。我非常确定您只能在 L3 设备上安装 Netflow,而您的交换机是 L2 设备,因此您也无法在那里安装 Netflow。

最好的办法是将 PIX 升级为 ASA。版本 8.1ASA 软件支持 Netflow。

答案3

您可能想看看 Manage Engine 的防火墙分析器,它可能有您想要的东西。我们使用它,并且对其支持和安装/使用的便利性非常满意。

答案4

尝试使用启用了日志记录工具信息的 PIX 日志记录架构或 Splunk,而不是 netflow。您将获得用于连接管理事件的 %PIX-6-3020XX 日志。有关详细信息,请参阅 Cisco PIX 日志记录参考。

相关内容