【IT168专稿】访问日志是边界安全设置不可或缺的一个重要组成部分。准确、可靠地记录防火墙允许或拒绝的访问请求对于系统安全事件审计、故障排除和使用情况报告来讲极为重要。在许多组织中,日志记录是调整安全策略的重要依据,也是弥补安全漏洞所依赖的分析手段。本文将介绍Forefront TMG 2010日志基础架构在原有基础上所进行的一些改善。
本地数据库日志记录
默认情况下,需要将TMG配置为登录到与TMG一起安装的本地SQL 2008 Express数据库。相对于之前利用MSDE(MS SQL Server Desktop Engine)的ISA早期版本,这是一项重大改进。作为MS SQL的桌面引擎,MSDE目前尚未被企业大规模采用。有过复杂ISA防火墙基础架构管理经验的用户对MSDE的局限性应该有所了解。一旦有较大负载,MSDE数据库将很快成为一个瓶颈。当防火墙无法写入日志数据库时,防火墙服务将关闭并拒绝所有流量。MSDE另外还有一些额外的限制,包括工作负载管理(Workload Governor)及2GB的数据库文件大小限制。相比之下,SQL 2008 Express数据库则将文件大小限制提升至4GB,并且不再进行工作负载管理,因而性能更为强大。当然,它也有自身的一些局限性,但仅限于一个单一的CPU插座和1GB的内存。
远程数据库日志记录
TMG还可以配置为登录到远程SQL服务器,这也提供了一种突破本地SQL Server 2008 Express数据库安装限制的替代方案。这种选择有优势也有劣势。一个明显的优势就是可以利用SQL的核心版本,即标准版或企业版。这两种SQL版本均没有可用内存数量的限制,并且SQL企业版也没有对CPU的限制(但SQL标准只限于使用4个CPU)。当然,用户需要有一个独立的系统和一个SQL许可,但对于大多数组织这些都不是限制因素。使用远程SQL服务器也有一些缺点,由于TMG报告工具依赖安装在本地的SQL报告服务(SQL Reporting Services )进行操作,因此TMG的本地报告工具将不再起作用。用户可以选用一些一些优秀的第三方报告工具作为替代品,也可自行开发自定义报告。但是必须注意,TMG防火墙和远程SQL服务器之间的网络连接可能会成为一个瓶颈。为了达到非常好的性能,务必确保有足够、稳定的网络带宽。
日志队列
为了进一步提高日志子系统的稳定性,现在,TMG引入了一个名为“日志排队” (Log Queuing)的功能。这一新功能使得在大负载情况下日志记录更富有弹性。如果防火墙服务因为种种原因无法写入日志文件或日志数据库(如远程SQL服务器连接遭到破坏,过度的磁盘活动等等),利用日志排队功能,日志记录数据被缓冲到内存中的日志队列并写入到磁盘上的一个二进制日志文件。当数据库连接恢复或磁盘允许写入到文本文件时,数据再从日志队列写入日志中。
默认情况下,日志排队功能是启用状态(并且无法禁用)。除了需要指定二进制日志文件的存储位置之外,不需要任何其他配置。缺省状态下,二进制日志文件存储于TMG安装文件夹中的日志文件夹。为了提高性能的,建议将这些日志文件存放在系统中另外的独立磁盘分区。该分区应具有足够的可用磁盘空间来处理日志数据库当机的延长期限。如果正在运行托管的防病毒系统,务必将日志文件夹排除在实时或预定扫描计划之外。
如果要更改“日志队列存储”(Log Queue Storage)文件夹的位置,打开TMG管理控制台,导航至“日志和报告”(Logs & Reports)节点。
图1
在右侧的“任务”窗格,点击“配置日志队列”(Configure Log Queue)链接。
图2
更改日志队列文件的位置时,选择“This folder (enter full path):”并输入新路径。
图3
其他的增强功能
除了基础架构的改进之外,TMG还增加了对保护功能的支持。现在,有更多关于TMG防火墙客户端的可用信息,如恶意软件保护、网络检测系统(Network Inspection System ,NIS),以及网址过滤等。
要查看和选择这些新的日志,打开TMG管理控制台,导航至“日志与报告”节点,在右侧的任务窗格中,点击“配置网络代理日志”(Configure Web Proxy Logging)链接。
图4
选择“Fields”选项卡,选出待配置的项目。
图5
结语
日志记录是企业级防火墙一个最重要的功能,但在出现故障或安全事件之前往往被用户忽视。TMG产品开发团队已经意识到日志记录对于整体安全解决方案的重要性,并已投入时间和精力来改善这一关键性能。使用更为健壮的SQL 2008 Express替代MSDE,使日志记录这一默认选项更加可靠和高效。远程SQL日志记录更加富有弹性的日志队列为本地数据库日志记录提供了一个稳定可靠的备选方案。
