有关配置Check Point防火墙和firewall analyzer 4 连接上解决事例

menghuer

             非常感谢Lazy能把解决问题的资料共享！



   问题： 有一个日志分析软件要通过CheckPoint的LEA接口实时取防火墙的日志进行分析，要实现这个需要在防火墙上做一些配置，在网上找到下面这个链接，配置Check Point防火墙和firewall analyzer 4 按照上面的步骤做了，不过还是不行，不知哪里出了问题？

终于搞定了，把折腾的过程写一下，以留参考。先说明我是checkpoint菜鸟，高手看了莫笑就是

1、环境：checkpoint NG R55，共三台机器；enforcement module安装在其中两台linux服务器上，配置了cluster HA，另一台管理服务器安装在win2000 AS上，smartcenter和smartdashborad等安装在这台机器。

2、LEA接口配置：根据客户要求，配置的是非认证的LEA连接。配置过程如下：
（1） 在安全策略增加一条规则，允许LEA客户端机器访问管理服务器的18184端口，
18184是LEA服务的缺省端口。
Source = your LEA Client host
Destination = the Management Server
Service = Fw1_lea (TCP port 18184)
Action = Accept

（2）安装策略。

（3 在管理服务器上，编辑$FWDIR/conf目录下的fwopsec.conf文件，增加以下内容。这个文件的内容原来是全部被注释掉了的，找到对应行修改或者在后面增加即可。
lea_server auth_port 0
lea_server port 18184

（4） 在管理服务器上，打开一个cmd窗口，重启管理服务器上的CP服务。
cpstop;cpstart

（5）在安全策略里，看看有哪些规则是你需要监控或者统计的，把该规则Track字段的值设置为Account，然后安装策略。

以上设置完毕应该就可以了，可以尝试telnet管理服务器的18184端口，看看能不能连上。

可惜我这次设置可没那么顺利

以上设置完毕后，telnet management_server 18184，端口没问题能连上。再用LEA客户端软件测试，发现连接能建立，但很就断开，啥日志也没取到。

怀疑是客户端问题，换一个试试，开始用的是顶楼那个adventnet的Firewall Analyzer，换成FW1-Loggrabber，一个很简单实用的LEA客户端开源小软件，结果还是一样。

查debug，Firewall Analyzer的debug看到断开时返回的错误是“PEER_ENDED”，FW1-Loggrabber的debug返回的是“ERROR: The peer ends”。找来FW1-Loggrabber的源码，发现“ERROR: The peer ends”就是程序在调用opsec_session_end_reason函数返回结果是PEER_ENDED打印的。在checkpoint的OPSEC规范中查到对opsec_session_end_reason函数的描述是“returns the reason for an OPSEC session's termination”，返回值PEER_ENDED的描述是“peer ended the session”，看起来好像服务端的问题...检查服务器端配置，还是没发现问题。

只好最后来最后一招，sniffer，抓包看看能不能发现啥线索了。抓包结果，发现连接正常建立后，服务端已经有数据传过来，传过来的是$FWDIR/log目录下的fw.logtrack文件的内容，这个文件看起来好像是checkpoint日志的index文件，里面有每天生成的log日志的文件名，服务端把这个文件的内容从2005年到现在的所有文件名list完后连接就断开了，看来服务端配置也没啥问题啊，头大了...

左看右看，越看越觉得这个fw.logtrack文件不顺眼，咋几年前的内容还在呢，干掉试试。于是先把这个文件备份移走，然后在管理服务器cmd窗口运行fw logswitch重新生成logtrack文件，然后把$FWDIR目录下旧的log文件也移走备份，只留下当天的文件。用FW1-Loggrabber再试，哈哈，搞定，数据像流水一样过来了。忙活了一个星期，终于周末前搞定，周末可以睡个好觉了



最后说一下设置过程中一些容易令人疑惑的地方：

1、在管理器服务器的$FWDIR/conf目录下，发现还有两个文件cpmad_opsec.conf和stormc_opsec.conf，里面也有lea_server和18184端口的设置，在我设置fwopsec.conf之前就存在了，而且这时候用netstat -an查看发现18184端口已经起来了。我也没搞清楚这两个文件做什么用的，我一直担心端口会不会冲突，不过先不管它们，后面发现也没有什么影响。

2、在管理服务器上执行cpstop;cpstart会不会影响两个enforcement point的服务，开始一直担心这个，执行后发现是不会的，只会把管理服务器上CP相关进程停掉，不会影响防火墙的正常业务。

[ 本帖最后由 menghuer 于 2008-5-31 17:53 编辑 ]

menghuer

$FWDIR/log目录下的fw.logtrack文件   最多好象是1000个BLOG左右。

heloo4y5

好久没来，论坛感觉好静啊！！！  ~~~~


美图秀秀免费杀毒软件瑞星杀毒软件极品五笔wps office