我们有一个 Cisco PIX 515 防火墙,我想设置一个简单的日志记录,以便通过以下方式为我们提供流量明细以便进行计费:
- 来源
- 目的地
- 协议
- 港口
- 尺寸
- 时间
PIX 插入 Catalyst 2970,有人告诉我,记录日志的最佳方法是获取 Netflow 并让 Catalyst 进行记录。然而,我担心(除了 Netflow 成本外)我真的不想“听”内部噪音,我感兴趣的只是上面的外部流量统计信息,用于计费和分析目的。
最简单、最容易的解决方案是什么?
干杯
乔治
答案1
您不必从网络设备导出 Netflow。实际上,您可以设置数据包捕获,以构建 Netflow 并将其导出到收集器。这将需要一个相当专用的盒子,该盒子具有足够的带宽来处理您的流量,但它不会占用过多的 CPU,因此旧的盒子通常也可以。
请查看以下链接:http://www.networkuptime.com/tools/netflow/
就我个人而言,我使用 flowscan 和 FlowViewer/Grapher,但我确实直接从网络获取我的 netflow 数据......
编辑:刚好看到一篇文章,让我想起了这个问题。查看 softflowd:http://www.mindrot.org/projects/softflowd/
答案2
由于 PIX 515 已停产,您无法在其上安装 Netflow,因为 8.1 软件无法在其上安装。我非常确定您只能在 L3 设备上安装 Netflow,而您的交换机是 L2 设备,因此您也无法在那里安装 Netflow。
最好的办法是将 PIX 升级为 ASA。版本 8.1ASA 软件支持 Netflow。
答案3
您可能想看看 Manage Engine 的防火墙分析器,它可能有您想要的东西。我们使用它,并且对其支持和安装/使用的便利性非常满意。
答案4
尝试使用启用了日志记录工具信息的 PIX 日志记录架构或 Splunk,而不是 netflow。您将获得用于连接管理事件的 %PIX-6-3020XX 日志。有关详细信息,请参阅 Cisco PIX 日志记录参考。