有两种方法可以将Strm与Check Point防火墙设备集成。

1.使用syslog.

在检查点管理站上,您可以按照以下步骤将防火墙日志和审核日志重定向到外部Syslog服务器:

a)vi /etc/syslog.conf在管理站上,并在文件末尾添加以下行:

local5.info @hostname.

如 :

          local5.info @ 10.9.20.23

其中'10.9.20.23'是syslog服务器的IP(juniper strm)。

b)如果您的管理服务器是secureplatform - 执行'服务Syslog重新启动'。

c)将此命令添加到 /etc/rc.d/init.d/cpboot.:

FW log -ftnl | logger -p local5.info -t防火墙&
或者 

通过添加以下命令将审核日志转发到外部syslog服务器:

FW log -ftnl $ fwdir / fw.adtlog | awk'nf'| logger -p local5.info -t firewall_audit&

d)重新启动检查点管理服务器并在strm中配置新的日志源。部署到Strm的更改。 

e)验证:

TCPDUMP主持人10.9.20.23

[[电子邮件 protected]]#tcpdump主机10.9.20.23
tcpdump:聆听mgmt
12:54:18.534293 CP-Management.Syslog>10.9.20.23.SYSLOG:UDP 253(DF)
12:54:18.538859 CP-Management.Syslog>10.9.20.23.SYSLOG:UDP 16(DF)
12:54:18.539622 CP-Management.Syslog>10.9.20.23.SYSLOG:UDP 225(DF)
12:54:18.540382 CP-Management.Syslog>10.9.20.23.SYSLOG:UDP 16(DF)
12:54:18.541115 CP-Management.Syslog>10.9.20.23.SYSLOG:UDP 252(DF)
12:54:18.541904 CP-Management.Syslog>10.9.20.23.SYSLOG:UDP 16(DF)
12:54:20.536629 CP-Management.Syslog>10.9.20.23.SYSLOG:UDP 280(DF)
12:54:20.538424 CP-Management.Syslog>10.9.20.23.SYSLOG:UDP 16(DF)
12:54:20.539194 CP-Management.Syslog>10.9.20.23.SYSLOG:UDP 228(DF)
12:54:20.540009 CP-Management.Syslog>10.9.20.23.SYSLOG:UDP 16(DF)
12:54:22.539075 CP-Management.Syslog>10.9.20.23.SYSLOG:UDP 225(DF)
12:54:22.543184 CP-Management.Syslog>10.9.20.23.SYSLOG:UDP 16(DF)
12:54:28.540703 CP-Management.Syslog>10.9.20.23.SYSLOG:UDP 249(DF)
12:54:28.543712 CP-Management.Syslog>10.9.20.23.SYSLOG:UDP 16(DF)
12:54:28.544410 CP-Management.Syslog>10.9.20.23.SYSLOG:UDP 225(DF)
12:54:28.545036 CP-Management.Syslog>10.9.20.23.SYSLOG:UDP 16(DF)

在Strm Server 10.9.20.23上,您应该能够查看以下日志活动:

2.使用OPSEC / LEA

一种。从服务器和Opsec选项卡创建Opsec应用程序对象:

在我的实验中,创建了strm_10.9.200.23。

注意:通信初始化但信任未建立,无法进行防火墙策略推动。在STRM配置部分完成后,将自身建立通信。

湾写下并复制两个SIC DN信息以获取STRM配置

一个来自新的创建opsec应用程序:strm_10.9.200.23
CN = strm_10.9.200.23,o = CP-Management..wwtx8w4

另一个来自MGMT Server CP_Management,如下所示:

cn = cp_mgmt,o = cp-management ..wtx8w4

C。 strm log源

 天。添加新的CheckPoint防火墙-1 OPSEC / LEA日志源

e。从CheckPoint MGMT Server OPSEC应用程序strm_10.9.200.23验证SIC连接

参考:

1.  杜松 STRM配置DSMS
2.  如何将基于Gaia的安全管理服务器发送到外部Syslog服务器的防火墙日志
3.  从CheckPoint SmartCenter Management Server和Juniper NSM / IDP转发到Syslog Server

经过 Jon.

发表评论