FTP 日志+DHCP日志结合+Firewall防火墙日志=访问的网络流量动作留痕

weixin_43075093

已于 2023-11-07 16:36:10 修改

阅读量560

点赞数

分类专栏：服务器网络虚拟化文章标签：网络服务器 linux 运维

于 2023-04-26 18:41:15 首次发布

本文链接：https://blog.csdn.net/weixin_43075093/article/details/130392178

版权

网络同时被 3 个专栏收录

15 篇文章 6 订阅

订阅专栏

服务器

5 篇文章 0 订阅

订阅专栏

虚拟化

5 篇文章 0 订阅

订阅专栏

FTP 日志+DHCP日志结合+Firewall防火墙日志=网络流量访问动作留痕

一、适用环境

1、网络流量大，无安全审计硬件设备，对看不到的网络流量所做的动作进行记录
2、对未做安全等保二级或三级的情况下，提供网络安全中的部分可验证的电子记录
3、对涉及到异常访问的流量提供基本的排查思路
4、对特定的用户进行上传文件的部分权限限制，如：成千上万学生上传电影、游戏文件等到服务器，既占存储空间，又影响学习氛围；同时还需要确保学生能上传实操作业、能下载老师分发的素材（无论文件大小都可以下载）。
5、尽量在不增加硬件投资的前提下完成

二、准备工作

1、server_u12版本以上的FTP服务器
2、server2016版本的DHCP服务器
3、能存储日志文件的存储空间，本例采用虚拟化部署，暂用400GB作为日志的存储，若存储空间不够时，可以在不影响已有文件的前提下动态调整增加存储容量，若非虚拟化环境，则可采用定期备份日志到其他存储磁盘的方式。如：DHCP终端租期日志每天3次，共大概5.2MB，FTP流量访问日志大概每天1.5MB
4、拓扑图
在这里插入图片描述
5、华为USG防火墙
6、server2008+3CDaemon工具的syslog日志服务器

三、配置流程

（外网访问的流量本文不再赘述，在前面的文章中有详细步骤，本例主要以FTP内网访问日志与DHCP分配给终端的ip与MAC对应的日志为主）

（一）server_U的FTP日志

1、打开server_U的管理配置界面，从域活动中打开配置域日志
在这里插入图片描述

2、在设置选项卡上勾选需要记录的日志，并将日志文件存储的路径与文件名的格式设置好，本文以年月为文件名，所以配置为%Y%N，也可根据具体情况配置。
在这里插入图片描述

3、存储容量，本例初始为400GB，如下图

在这里插入图片描述

4、动态调整虚拟化存储的容量，此处我们以未开机的一台vm server2016为例，调整存储容量时，需要短暂关闭vm server近20秒，启动vm server2016大概12-15秒，增加存储容量时，操作如下图：
在这里插入图片描述

5、查看保存的日志文件内容：
在这里插入图片描述

从上图中，可以看出，既有内网访问的私网ip地址，也有外网访问的ip地址，说明服务器我们在防火墙的出口做了外网的映射。
日志中，访问的年、月、日、时、分、秒，访问者的动作都有记录。
如：实习在外地的学生，需要登录到服务器上传一些电子资料时，则更显方便，不需要邮寄或本人赶回学校提交电子资料。

（二）在server_U中配置FTP的上传文件最大限制

原则：既要能保证可以正常下载老师们提供的素材，小文件或大文件都能下载，又要确保学生能正常上传实操作业到服务器，以便老师收集实操作业批改；且不允许学生上传超过100MB大小的单个文件（大多数的电影视频、游戏安装包等都是几百MB或几GB）
1、打开server_U的用户管理界面，双击其中一个班级的用户，如下图：
在这里插入图片描述

2、点击“限制和设置”选项卡，再双击打开“最大上传文件大小”
在这里插入图片描述

3、配置好允许上传的最大文件大小值，计算以KB为单位，具体根据情况定，本例以100MB为最大上传文件，再勾选限制的时间与星期。
在这里插入图片描述

完成以上配置后，保存即完成了1个用户的设置，别的用户配置以此类推。

（三）DHCP的日志配置

（本例以win server2016为DHCP建立地址池，搭建DHCP服务器的具体操作此处不赘述）
1、在cmd窗口中，执行powershell命令，打开powershell后，在提示符的前面会多出PS ，如下图所示，然后再执行Get-DhcpServerv4Scope | Get-DhcpServerv4Lease 命令，注意执行命令时，尽量使用TAB键补全指令，手动输入时以防出错
在这里插入图片描述

指令的含义：获取DHCP服务器上ipv4版本的终端租用ip地址、网段、终端的MAC地址与设备名称、租期到期的日期、时间、当前状态等信息，正是我们保存为日志时所需要的信息。
2、编辑批处理文件，将powershell命令与Get-DhcpServerv4Scope | Get-DhcpServerv4Lease 命令结合起来，再将屏幕上看到输出的结果，通过重定向>>到一个文本文件当中，则文本文件的内容就是我们要保存的日志文件了。
在这里插入图片描述

（1）上图中的3个文件作用：（根据你的DHCP地址池租期来定需要几个文件，本例中因为移动的设备和用户量大，所以有些地址池租期仅3小时，才分为上午下午和晚上，若默认地址池8天不会满的话，就每周保存1次即可，频率不用这么高，也就1个批处理即可）
dhcp_am.bat批处理文件，用于在上午指定的时间自动保存一次DHCP的日志信息
dhcp_pm.bat批处理文件，用于在下午指定的时间自动保存一次DHCP的日志信息
dhcp_ni.bat 批处理文件，用于在晚上指定的时间自动保存一次DHCP的日志信息
（2）上图中批处理文件的内容如下：
dhcp_am.bat （以下2行是1条长命令）
powershell -command "Get-DhcpServerv4Scope | Get-DhcpServerv4Lease >>D:\DHCP_LOG%date:_0,4%%date:5,2%%date:~8,2%‘上午’.TXT "

dhcp_pm.bat （以下2行是1条长命令）
powershell -command "Get-DhcpServerv4Scope | Get-DhcpServerv4Lease >>D:\DHCP_LOG%date:_0,4%%date:5,2%%date:~8,2%‘下午’.TXT "

dhcp_ni.bat （以下2行是1条长命令）
Get-DhcpServerv4Lease >>D:\DHCP_LOG%date:_0,4%%date:5,2%%date:~8,2%‘晚上’.TXT "

3、配置windows server的计划任务，把每个批处理对应每天的执行时间指定，让操作系统自动完成日志的保存工作。
（1）在管理工具中打开“任务计划程序”，如下图：
在这里插入图片描述

（2）创建定时任务计划
在这里插入图片描述

（3）指定任务的名称和描述
在这里插入图片描述

（4）指定任务的运行时间
在这里插入图片描述

（5）指定具体任务开始执行的时间（本例中根据上午、下午、晚上3个时间段来配置）
在这里插入图片描述

（6）任务开始时，执行的程序，指定为我们编写的批处理文件
在这里插入图片描述

（7）指定批处理文件的路径和文件名
在这里插入图片描述

（8）最后点完成，则一个任务计划就配置好了，另外的2个批处理配置以此类推，只是执行的时间不同
在这里插入图片描述

（9）每个计划执行1次完成后，会在任务列表中显示，如下图：
在这里插入图片描述
（9）查看生成的文件名称，以便于永久保存，或根据单位要求保存，6000个ip左右生成的DHCP日志文件，大概1.5MB/半天，如下图：

4、查看生成的日志文件内容，如下图：
在这里插入图片描述

（四）Firewall防火墙（华为USG6000系列）的日志配置

1、登录到USG6000防火墙后，系统，左侧选日志配置，然后配置的参数如下图：
在这里插入图片描述
2、配置服务器的DMZ区域与内网trust区域之间的安全策略，允许访问：
security-policy
rule name trust_DMZ
source-zone trust
destination-zone dmz
action permit
rule name DMZ_trust
source-zone dmz
destination-zone trust
action permit
3、测试防火墙到server 2008之间的连通性，能ping通server 2008后，才能传输日志数据文件，如下图：
在这里插入图片描述
4、在server 2008上开启系统防火墙，并在防火墙高级设置中，开启UDP的514端口与1617端口，如下图：

5、在server 2008上打开下载好的3CDaemon工具软件，开启syslog日志服务，开始接收Firewall防火墙传递过来的日志数据文件，并生成一个syslog.txt文件保存，配置如下图：
在这里插入图片描述
6、在server 2008上查看存储的日志文件，能生成一个名称为syslog.txt的文档，且间隔时段刷新时，文件大小会不停增长，说明日志内容接收成功，如下图：

四、查看已经保存的日志文件

1、FTP的日志文件
（1）server_U生成的日志文件无扩展名，如下图：
在这里插入图片描述

（2）把日志文件以记事本的方式打开。
在这里插入图片描述

（3）server_U的FTP文件内容如下：
在这里插入图片描述

2、DHCP的日志文件，已经自动生成如下图：
（1）运行1天半，任务计划已经执行4次，自动生成了DHCP的日志文件如下：
在这里插入图片描述

（2）打开其中一个DHCP日志的文件内容如下：
Ip地址、网段、MAC地址、设备名称或型号、状态、租期到期的日期与时间均有保存，如下图

在这里插入图片描述
3、查看Firewall防火墙上保存的日志内容如下图：
在防火墙上自定义选择保存的字段内容都在，尤其是五元组内容，均为内网访问外网时的源ip、目标ip、源端口、目标端口、协议等，包括目标回复数据包的情况，如下图：
在这里插入图片描述

五、网络访问留痕的思路：

1、DHCP日志，终端设备要获取合法ip地址才能上网。

DHCP服务器的日志保存。从终端用户接入网络开始，无论是有线网络还是无线WIFI网络，均需要获取一个合法的ip地址，所以DHCP服务器的日志，能保存每个网段的终端设备在哪个时间段获取到的ip地址，本例中以上午、下午、晚上为时间分别保存，根据设备的MAC地址找到ip地址更为准确。

2、上传下载的FTP文件服务器日志

访问内网文件服务器时，上传过什么，下载过什么，保存在FTP文件服务器的日志当中，根据ip地址及网段就能找到具体的地理范围，根据ip地址与MAC地址的对应关系就能找到具体的设备。

3、Firewall防火墙日志保存外网访问记录。

访问外网的网站时，每个网站都有域名对应的ip地址、端口号，Firewall防火墙在网络的边缘上，它能记录下内网的哪个ip访问过什么网站地址，域名解析后的ip地址即为网站ip地址。所以一旦出现非法访问时，如公安、网监查到贵单位有非法访问时，哪个时间段访问过哪个站点哪个ip地址，至少有据可查。防火墙上的txt文本文件保存在服务器一个月本例大概180MB左右，ip量约为6000左右。