На вкладке отображается информация о срабатывании правил Файрвола (таблицы FORWARD, DNAT, SNAT и INPUT), в том числе - о профилях Предотвращения вторжений и Контроля приложений.
Раздел позволяет быстро выявить модуль фильтрации, который блокирует трафик, а также выявить DDoS-атаки.
В таблицу попадают соединения, которые подошли под правила в таблице Логирования. Фильтрация наиболее быстро работает с полями Пользователь источника.
Соединения, которые были установлены до включения правил в таблице Логирование или не попали ранее под эти правила, не будут отображены в журнале.
Будьте внимательны: объем данных в Журнале трафика может кратно превысить объем данных любого другого журнала. Журнал хранит данные за три месяца, но при превышении размера журнала 15 ГБ старые записи будут удалены.
При включении логирования убедитесь, что на Ideco NGFW достаточно свободного места.
Чтобы отрегулировать столбцы, отображаемые в таблице, воспользуйтесь кнопкой Отображение. Чтобы скачать CSV-файл с отчетом, нажмите на соответствующую кнопку.
При наличии большого количества строк в таблице воспользуйтесь кнопкой Фильтры.
При фильтрации по Таблице правил (Файрвол) можно вывести срабатывния системных правил (Forward System и Input System). Это правила Файрвола, которыми нельзя управлять из веб-интерфейса Ideco NGFW, они всегда включены. Правила Forward System и Input System имеют приоритет над пользовательскими правилами Файрвола. Если срабатывания системных правил беспокоят, обратитесь в Техническую поддержку. Посмотреть системное правило, которое сработало, можно через Терминал.
В таблице отображается:
Дата и время - дата и время срабатывания правила;
Результат проверки - совокупный результат проверки трафика тремя модулями фильтрации: Файрвол, Предотвращение вторжений, Контроль приложений.
Расшифровка полей
ID правила - идентификатор правила Файрвола в таблице;
Таблица правил - таблица Файрвола, правило которой сработало (правила DNAT и SNAT отображаются в отдельных столбцах):
FORWARD - таблица FORWARD Файрвола Ideco NGFW;
FORWARD BEFORE - предправило FORWARD Ideco Center;
FORWARD AFTER - постправило FORWARD Ideco Center;
FORWARD SYSTEM - системное правило FORWARD;
INPUT - таблица INPUT Файрвола Ideco NGFW;
INPUT BEFORE - предправило INPUT Ideco Center;
INPUT AFTER - постправило INPUT Ideco Center;
INPUT SYSTEM - системное правило INPUT.
Действие правила - действие, определенное для трафика, подпадающего под сработавшее правило. Возможные действия: Разрешить, Запретить, Перенаправить в профиль. Для правил DNAT и SNAT действие отсутствует;
Протокол - протокол соединения.
Расшифровка полей
Профиль - название профиля Предотвращения вторжений, использованного в правиле Файрвола;
Действие - действие для трафика, определенное профилем (Разрешить, Запретить, -);
ID соединения - идентификатор соединения, трафик которого был обработан Предотвращением вторжений. Нажмите на значение, чтобы перейти к разделу События безопасности -> Журнал IPS ;
ID сигнатуры - идентификатор сигнатуры, которой соответствует трафик.
Расшифровка полей
Профиль - название профиля Контроля приложений, использованного в правиле Файрвола;
Действие - действие для трафика, определенное профилем;
Приложение - приложение, действие для которого определено профилем;
Протокол прикладного уровня - протокол, к которому применяется действие, определенное профилем.
Расшифровка полей
IP-адрес - IP-адрес источника трафика;
Порт - порт источника трафика;
Зона - интерфейс или группа интерфейсов, из которых пришел трафик;
Логин - логин пользователя источника;
Пользователь - имя пользователя источника;
Группа - группа, в которую входит пользователь;
Местоположение - страна источника трафика (GeoIP).
Расшифровка полей
IP-адрес - IP-адрес назначения трафика;
Порт - порт назначения трафика;
Зона - интерфейс или группа интерфейсов, в которые вошел трафик;
Логин - логин пользователя назначения;
Пользователь - имя пользователя назначения;
Группа - группа, в которую входит пользователь;
Местоположение - страна назначения трафика (GeoIP).
DNAT:
ID правила - идентификатор сработавшего правила таблицы DNAT;
Новый IP назначения - IP-адрес, на который файрвол поменял IP-адрес назначения;
Новый порт назначения - порт, на который файрвол поменял Порт назначения.
SNAT:
ID правила - идентификатор сработавшего правила таблицы SNAT;
Новый IP источника - IP-адрес, на который файрвол поменял IP-адрес источника.
Кластер:
ID - идентификатор кластера (если он настроен на NGFW);
Название - название кластера (если он настроен на NGFW).
Чтобы перейти к сработавшему правилу Файрвола, нажмите на ID правила в таблице Журнала трафика. Чтобы увидеть подробную информацию о конкретном правиле, выделите строку таблицы и нажмите :
