深信服防火墙高危攻击ip通过zabbix自动封锁

最新推荐文章于 2023-11-28 21:44:58 发布
最新推荐文章于 2023-11-28 21:44:58 发布
阅读量598 收藏 2
点赞数 1
文章标签: tcp/ip zabbix 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jy8655790/article/details/133948292
版权

zabbix服务器配置syslog服务

修改配置 vi /etc/rsyslog.conf

# Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514

# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514


#### GLOBAL DIRECTIVES ####

# Where to place auxiliary files
$WorkDirectory /var/lib/rsyslog

# Use default timestamp format
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

## 这里是服务端添加的配置 begin ###

# 使用RemoteLogs模板接受客户端的日志,保存到本地的/var/log/remote目录下,然后是每台客户端的ip_年份_月份_日期的log

$umask 0000
$template RemoteLogs,"/var/log/remote/%fromhost-ip%/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%.log"
$FileCreateMode 0644

# 所有服务所有级别的日志都记录

*.* ?RemoteLogs

#服务端本机的日志不记录

:fromhost-ip, !isequal, "127.0.0.1" ?Remote

#指示rsyslog在将消息写入文件后停止处理消息。如果不包含"& ~",则消息将被写入本地文件,导致消息被记录2次。

& ~

### 这里是服务端添加的配置 end ###

防火墙开放端口重启服务
systemctl restart rsyslog

修改文件夹权限 chmod 755
chmod 755 /var/log/remote/ && chmod 755 /var/log/remote/{ip}

防火墙配置syslog的日志

我这边深信服防火墙AF8.0.**版本
1.配置防护日志到log传到zabbix服务器的syslog
2.配置一个新用户设置只允许api访问权限

执行脚本

读取syslog日志获取黑名单ip,通过防火墙api接口提交临时封锁黑名单

#!/usr/bin/python3
# chenzhenhua
# -*- coding: utf8 -*-

from datetime import datetime,timedelta
import json,requests

whiteiplist = []
whiteurllist = []

def getblockiplist(logname):
    iplist=[]
    with open(logname,'r',encoding='utf-8') as f:
        lines=f.readlines()
        for line in lines:
            ##获取web防护高和致命的日志文件
            if "日志类型:WEB应用防护" in line  and ("严重级别:高" in line or "严重级别:致命" in line):
                linelist = line.split()
                current_date = datetime.now().strftime('%Y-%m-%d')
                current_time = str(current_date)+" " + str(linelist[2])
                timestamp1 = datetime.strptime(current_time, '%Y-%m-%d %H:%M:%S')
                timestamp2=datetime.now()
                time_diff = timestamp2 - timestamp1
                #筛选小于30分钟的日志,获取ip地址到列表
                if time_diff < timedelta(minutes=30):
                    waf_blockip=linelist[8].split(":")[-1].strip(",")
                    iplist.append(waf_blockip)
                else:
                   continue
                   #print("The time difference is greater than or equal to 30 minutes.")
            ##获取漏洞防护高和致命的日志文件
            elif "日志类型:IPS防护日志" in line and ("严重等级:高" in line or "严重等级:致命" in line):
                    linelist = line.split()
                    current_date = datetime.now().strftime('%Y-%m-%d')
                    current_time = str(current_date) + " " + str(linelist[2])
                    timestamp1 = datetime.strptime(current_time, '%Y-%m-%d %H:%M:%S')
                    timestamp2 = datetime.now()
                    time_diff = timestamp2 - timestamp1
                    # 筛选小于30分钟的日志,获取ip地址到列表
                    if time_diff < timedelta(minutes=30):
                        waf_blockip = linelist[9].split(":")[-1].strip(",")
                        iplist.append(waf_blockip)
                    else:
                        continue
                        # print("The time difference is greater than or equal to 30 minutes.")

        f.close()

    ###去重,并且取值攻击大于等于2次的
    blocklist = list(set([x for x in iplist if iplist.count(x) > 1]))
    #print(blocklist)
    return blocklist


def gettoken():
    tkheaders = {
        "content-type": "application/json"
    }
    url = "https://{ip}/api/v1/namespaces/@namespace/login"
    data = {
        "name": "username",
        "password": "password"
    }
    r_tk = requests.post(url, data=json.dumps(data), headers=tkheaders, verify=False)
    sxf_token = r_tk.json()["data"]["loginResult"]["token"]
    return (sxf_token)


def blockip(sxftoken,blocklist):
    localtoken = sxftoken
    localblocklist=blocklist
    blockiplist=[]
    returncode=""
    url = "https://{ip}/api/batch/v1/namespaces/public/blockip"
    ###白名单ip################
    if len(localblocklist) == 0:
        returncode="ok"
    else:
        for i in localblocklist:
            if i in whiteiplist:
                continue
            else:
                blockiplist.append(i)

        if  len(blockiplist) == 0:
            returncode="ok"
        else:
            headers = {
                "content-type": "application/json",
                "token": localtoken
            }
            data = {
                "dstIP": [
                    "0.0.0.0"
                ],
                "ipType": "SRC",
                "blockTime": "1d",
                "srcIP": blockiplist
            }
            r = requests.post(url, data=json.dumps(data), headers=headers, verify=False)
            returncode=str(blockiplist)+"is deny in shenxinfu fanghuoqiang by waflog"
    return returncode


###获取token
sxftoken=gettoken()
###获取高位攻击ip列表
lgname ='{ip}_'+datetime.now().strftime('%Y-%m-%d')+".log"
blocklist= getblockiplist(lgname)

########封锁高危ip###并且打印出来
denylog=blockip(sxftoken,blocklist)
print(denylog)

配置

1.修改服务器agent配置:
vi /etc/zabbix/zabbix_agentd.conf 添加

UnsafeUserParameters=1
UserParameter=waf,/usr/bin/python3 -W ignore /scripts/waf.py

2.Zabbix 主机添加监控项
添加监控(注意信息类型日志格式)
在这里插入图片描述

3.添加触发器

如果是3.0版本的zabbix触发器要特殊配置(日志中是否匹配到deny这个值进行判断,要么会报错)
在这里插入图片描述

ReadMeFrist
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
zabbix监控深信服下一代防火墙配置
weixin_43996471的博客
11-07 4667
深信服下一代防火墙v8.0管理界面,zabbix,SNMP
zabbix监控深信服_zabbix监控防火墙和交换机
weixin_34449520的博客
12-28 3551
zabbix监控防火墙和交换机是通过snmp协议进行传输数据和数据分析的,下边我以dell防火墙sonicwall 3400系列和交换机N4032来进行讲解。由于zabbix服务器已安装好,现在只需在防火墙上火交换机上安装配置snmp协议,作为客户端发送数据即可。(一)监控防火墙首先,登录防火墙,找到该防火墙监控端口。该系列的端口步骤为:network--->interface---&gt...
深信服设备mib库
02-05
深信服设备mib库,适用于深信服所有网络设备的mib库文件
checkpoint防火墙模板for zabbix
10-31
zabbix template checkpoint snmp v2. checkpoint 模板 for zabbix
Zabbix监控nsfocus防火墙模板
09-27
使用Zabbix监控nsfocus防火墙设备已运行时间,业务端口带宽、CPU、内存以及业务端口状态和会话数,并设置告警触发器、图形。 注意:需更改设备地址、zabbix代理地址、SNMPv3相关账号密码信息后再导入。
zabbix6.0深信服防火墙模板
最新发布
01-15
zabbix6.0深信服防火墙模板 Sangfor AD by SNMP模板 zabbix 模板
通过zabbix监控网络设备(深信服防火墙
qq_27583703的博客
02-23 1989
zabbix系统通过snmp协议来监控网络设备
zabbix监控Windows/Linux日志(可通用)
qq_47148037的博客
08-04 4854
监控日志:大家可以监控系统日志、nginx、Apache、业务日志。想用好用对,不是辣么容易。zabbix最主要的是监控日志文件中有没有某个字符串的表达式,支持日志文件正则和关键字正则,其是把日志文件中符合关键字的日志过滤出来入库,不包含的日志不采集,且只支持主动模式。 1、 zabbix日志监控表达式描述 1 log[/var/log/syslog,<regexp>,<encoding>,<maxlines>,<mode>,<output>,&l
Zabbix5.0 添加监控深信服AC接口流量
友人A的博客
04-22 5530
Zabbix上通过监控深信服AC思路很简单,先在AC上启用SNMP并配置读写团体名,然后在Zabbix上通过SNMP来进行监控
防火墙限制指定ip访问
baidu_41553551的博客
03-11 3584
单个IP的命令是 iptables -I INPUT -s 59.151.119.180 -j DROP 封IP段的命令是 iptables -I INPUT -s 211.1.0.0/16 -j DROP iptables -I INPUT -s 211.2.0.0/16 -j DROP iptables -I INPUT -s 211.3.0.0/16 -j DROP 封整个段的命令是 iptables -I INPUT -s 211.0.0.0/8 -j DROP 封几个段的命令是 iptables
深信服行为管理监控Zabbix模板详解
10-16
深信服行为管理是一款强大的网络安全管理系统,为了更好地监控和管理深信服行为管理设备,使用Zabbix提供的监控模板是一个很好的选择。 本文将详细介绍如何配置和使用Zabbix模板来监控深信服行为管理。以下是文章的主要内容: 深信服行为管理简介:介绍深信服行为管理的功能和优势,以及为什么需要进行监控Zabbix简介:对Zabbix进行简要介绍,包括其功能和特点,以及为什么选择Zabbix作为监控工具。 1.准备工作:列出在使用Zabbix监控深信服行为管理之前需要进行的准备工作,包括安装和配置Zabbix服务器、获取深信服行为管理的SNMP MIB文件等。 2.导入Zabbix模板:详细说明如何将深信服行为管理的Zabbix模板导入到Zabbix中,并解释各个模板的功能和监控项。 3.配置监控项:教读者如何根据实际需求选择和配置监控项,包括CPU利用率、内存使用情况、接口状态和流量等。 4.报警设置:介绍如何设置报警规则,使得在设备出现异常情况时能及时收到通知。
深信服超融合一体机VDS-G-H550型Zabbix 5.4模板
10-31
浪潮代工的深信服超融合一体机VDS-G-H550型服务器的IPMI监控模板
linux常见的日志
风雨同路的博客
04-15 1816
2、Linux系统常见的日志文件 路径1:/var/log/messages:记录 Linux 内核消息及各种应用程序的公共日志信息 路径2:/var/log/cron:记录 crond 计划任务产生的事件信息 路径3:/var/log/dmesg:记录 Linux 操作系统在引导过程中的各种事件信息 路径4:/var/log/maillog:记录进入或发出系统的电子邮件活动 路径5:/...
Zabbix监控深信服Sangfor设备
LostYouth1993的博客
11-03 5997
需求要对深信服Sangfor设备做监控Zabbix而言以snmp方式可完美实现。 可翻遍全网,未找到深信服Sangfor现成可用的OID对象标识符,无奈只能根据拿到手的mib库摸索。 (Sangfor以下简称sf) OID构成:iso.org.dod.internet.private.enterprises.general.sfSysCpuCostRate.0 以上iso等参数均可在mi...
如何使用zabbix监控公网环境的云服务器(从小白到高级技术顾问!!!)
u011258729的博客
11-19 2001
原文链接:https://www.cnblogs.com/subsea/p/13617731.html 如何使用zabbix监控公网环境的云服务器(从小白到高级技术顾问!!!) 问题:当我们在本地部署了一台Zabbix服务器后,想要对云上的服务器做监控。但是zabbix一个在内网,云服务器一个在公网,网络环境不同该如何解决?能否检测到云服务器数据? 思路:使用NAT技术,将本地的zabbix服务器的内网地址映射成一个固定的公网地址解决网络问题。(NAT:网络地址转换技术) 步骤:出口防火墙--NAT
Zabbix监控Juniper防火墙深信服设备以及NetScaler设备
weixin_33976072的博客
09-18 1750
Juniper防火墙常用的监控OIDcpu过去1分钟的利用率:1.3.6.1.4.1.3224.16.1.2.0cpu过去5分钟的利用率:1.3.6.1.4.1.3224.16.1.3.0当前的cpu利用率:1.3.6.1.4.1.3224.16.1.1.0分配的内存:1.3.6.1.4.1.3224.16.2.1.0剩余的内存:1.3.6.1.4.1.3224.16.2.2...
Syslog日志服务的配置及启用(包含zabbix将告警信息推送到Syslog服务器的脚本)
刘东义的博客
05-19 4920
环境介绍:Centos 7.4 192.168.1.15 syslog使用端口为 UDP 514 第一步安装rsyslog服务 [root@liudongyi ~]# yum install rsyslog -y 第二步关闭防火墙以及SElinux [root@liudongyi ~]# systemctl stop firewalld [root@liudongyi ~]# setenforce 0 第三步配置rsyslog配置文件/etc/rsyslog.conf,修改以下...
zabbix监控部署(最详细,没有之一!)
A1100886的博客
07-05 2378
zabbix 是一个基于 Web 界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。zabbix 能监视各种网络参数,保证服务器系统的安全运营;并提供灵活的通知机制以让系统管理员快速定位/解决存在的各种问题。zabbix 由 2 部分构成,zabbix server 与可选组件 zabbix agent。通过 C/S 模式采集数据,通过 B/S 模式在 Web 端展示和配置。
深信服防火墙设置应用控制策略(菜鸟必看)
m0_64423407的博客
11-28 1769
深信服防火墙设置ACL应用控制策略(菜鸟必看)
深信服 mib zabbix
01-14
深信服mib zabbix是用于网络管理和监控的工具。深信服mib zabbix利用数据采集和分析技术,帮助管理员实时监控网络设备的运行状态,及时发现并解决网络故障。深信服mib zabbix支持多种网络设备和协议,可以对网络流量、带宽利用率、设备负载等进行监控和分析,为网络运维人员提供了非常便利的管理手段。 深信服mib zabbix还可以通过数据图表展示网络设备的实时运行情况,方便管理员直观地查看网络设备的运行状态,并能够根据历史趋势进行分析和预测。此外,深信服mib zabbix还支持报警功能,当网络设备出现异常时可以及时发送邮件、短信等通知给管理员,帮助他们快速响应并解决问题,保障网络的正常运行。 总的来说,深信服mib zabbix是一款功能强大的网络管理和监控工具,可以帮助管理员实现对网络设备的全面监控和管理,提高网络的稳定性和可靠性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值