Журналы ICF имеют свой уникальный формат. Во-первых, в заголовке указываются версия используемого межсетевого экрана ICF, имя журнала безопасности, примечание о том, что вход в систему регистрируется по локальному времени, и список доступных полей для регистрационных записей. В таблице 9.1 показаны поля для ввода данных в журнале безопасности ICF.
Таблица 9.1. Поля ввода данных в журнале безопасности ICF
Поле
Описание
action
Операция, перехваченная межсетевым экраном. Входящие данные включают в себя OPEN CLOSE DROP INFO-EVENTS-LOST (здесь указывается количество произошедших событий, не сохраненных в журнале).
date
Дата ввода файла в формате YY-MM-DD (год-месяц-день).
Dst-ip
IP-адрес конечного пункта доставки пакета.
Dst-port
Номер порта конечного пункта доставки пакета.
icmpcode
Число, обозначающее поле кода в ICMP-сообщении.
icmptype
Число, обозначающее поле ввода текста в ICMP-сообщении.
info
Поле для ввода информации о событии, которое зависит от типа действия.
protocol
Протокол связи. Если это не TCP, UDP или ICMP, то здесь указывается цифра.
size
Размер пакета.
Src-ip
IP-адрес устройства-отправителя.
Src-port
Номер порта отправителя.
tcpack
TCP-номер подтверждения пакета.
tcpflags
TCP-флаг, указываемый в начале пакета: A-Ack (важность поля подтверждения); F-Fin (последний пакет); P-Psh (функция "проталкивания" пакета); S-Syn (синхронизация последовательности номеров); U-Urg (важность поля указателя срочности).
tcpsyn
TCP-последовательность номеров пакетов.
tcpwin
TCP-размер окна (байт).
time
Время регистрации файла в формате HH:MM:SS (часы:минуты:секунды).
Польза журнала безопасности ICF состоит в том, что после его просмотра можно обнаружить попытки несанкционированного доступа к сети. Изучив поля action, scr-ip и dst-ip, можно определить, пытается ли кто-то повредить сеть в целом или вывести из строя какое-то определенное устройство.
Теперь, когда вы знаете, что должно содержаться в журнале безопасности, давайте подробнее разберемся с тем, как можно применять запись в журнал и настраивать различные служебные функции, облегчающие управление межсетевым экраном ICF.