我们有一个 Cisco PIX 515 防火墙,我想设置一个简单的日志记录,通过以下方式为我们提供流量细分:
- 资源
- 目的地
- 协议
- 港口
- 尺寸
- 时间
PIX 已插入 Catalyst 2970,有人告诉我,自从切片面包用于日志记录以来,最好的事情就是获取 Netflow 并让 Catalyst 进行日志记录。然而,我担心的是(除了 Netflow 成本)我真的不想“听”内部噪音,我感兴趣的只是上面用于计费和分析目的的外部流量统计信息。
什么是最简单和最简单的解决方案?
干杯
乔治
AskOverflow.Dev
您不必从网络设备中导出 Netflow。您实际上可以设置一个数据包捕获,用于构建网络流并将其导出到收集器。这将需要一个相当专用的盒子,它有足够的带宽来处理您的流量,但它的 CPU 并不是特别重,所以一个较旧的盒子通常是可以的。
一些要查看的链接:http: //www.networkuptime.com/tools/netflow/
就个人而言,我使用 flowscan 和 FlowViewer/Grapher,但我确实直接从网络获取我的 netflow 数据......
编辑:刚好碰到一篇让我想起这个问题的文章。查看 softflowd: http: //www.mindrot.org/projects/softflowd/
由于 PIX 515 已报废,因此无法在其上安装 Netflow,因为无法在其上安装 8.1 软件。我很确定您只能在 L3 设备上获得 Netflow,而您的交换机是 L2 设备,因此您也无法在 L3 设备上获得 Netflow。
您最好的选择是将 PIX 升级到 ASA。从ASA 软件8.1 版开始,它支持 Netflow。
您可能想查看 Manage Engine 的防火墙分析器,它可能有您想要的。我们使用它并对他们的支持和易于安装/使用感到非常满意。
而不是 netflow,请尝试启用日志记录设施信息的 PIX 日志记录体系结构或 Splunk。您将拥有用于连接管理事件的 %PIX-6-3020XX 日志。有关详细信息,请参阅 Cisco PIX 日志记录参考。