今天系統團隊詢問某台
Server
開了
哪些
Port
時,能夠一目了然,快速掌
握與回答,如圖二,只需找出該
IP
能立馬回覆,如以
Port Base
需檢視
過全部
Policy
才能找出該
IP
開了哪
Port
反而在管理上造成負擔。所
IP Base
管理者認為,把管理的時
間拉長,
IP Base
反而
Policy
筆數更
少、更有效率、更易閱讀與管理。
實務上最常見
Policy
的管理是
IP Base
Port Base
混合管理的模
式,原因是管理者都通常沒有堅持以
何種管理模式為主,有時
Port Base
設定比較快,有時
IP Base
設定比較
快,往往以〝設定〞而非以管理的角
度進行管理。建議您選擇一種管理模
式來管理,可保持
Firewall Policy
的完整性,好處在於容易閱讀與管理
效率提升,更建議以
IP Base
來管理,
初期會覺得較沒有效率,長遠而言反
而能受惠於之前的基本功。
三、
Firewall Log
怎麼辦?
Firewall
的角色位於所有內外網
必經之地,同時又需對所有流量進行
過濾與選徑,所以無法分擔
Log
大量
儲存與查詢這個角色,因為查詢這個
動作本身需要秏用大量系統資源,定
會影響原本該處理的流量。下面整理
一些
log
可行的解決方案:
1.
原廠
Log
平台
Firewall
廠商也了解這個角色的
問題,所以通常原廠都會有其對應的
Log
平台,如
Palo Alto Networks
Pano r ama
Fo r t i ga t e
For t iAnalyzer
Cyberoam
iView
等。
理論上原廠的
Log
平台應該在資
料的收集與處理最平順,在選擇的順
位往往列為第一。但實際上再評估到
經濟、功能或操作習慣等因素往往會
讓管理者評估其它選項。
2.
第三方
Log
平台
第三方平台如果沒有經濟考量,
可以考慮
Arcsight
Splunk
等全功
能性平台,滿足各式
Log
查詢需求、
與報表格式,還能同時滿足法規要求,
實為
Firewall Log
最佳選擇。
但 如 礙 於 現 實 經 濟 因 素, 仍
然可以考慮免費的解決方案,如
What sUP
sys log ser ver
Kiwi
syslog server
Manage
Engine
Firewall Analyzer(
免費
版最多收五台
Log)
這些免費的
log
平台也不是全免費,都有一些小限制,
如能收取的
log
主機數量、每秒能收
集的
event
筆數、能收取的
log
式。如果喜歡上它,可以透過購買付
費版取得更多的擴充功能。
3.
客製
Log
平台
為因應不同管理者需求、於強大
Log
平台與簡易的
Log
平台之間,
產生了客製化平台,如麟瑞科技針對
Palo Alto Networks
為客戶所客製
出來的
Log
平台,它有幾個特性:
(1)
操作介面與原
Firewall
全然相
同:所以只要會使用原
Firewall
查詢,就會操作這個
Log
平台,
199
Technology Forum 2015
雲端
資料
BYOD
與資
網路