NetFlow-Einstellungen für eine Cloud-verwaltete Firebox konfigurieren

Gilt für: Cloud-verwaltete Fireboxen

NetFlow ist ein Protokoll, das zum Sammeln und Analysieren von IP-Netzwerk-Datenverkehr verwendet wird. Um mehr Einblicke in Ihren Netzwerk-Datenverkehr zu erhalten, können Sie die Firebox als NetFlow-Exporter konfigurieren. Beispielsweise können Sie NetFlow-Daten verwenden, um Probleme mit der Netzwerkleistung zu beheben oder Sicherheitsprobleme zu untersuchen. Weitere Informationen zum NetFlow-Protokoll finden Sie unter RFC 3954.

Wenn Sie NetFlow auf Ihrer Firebox konfigurieren, geben Sie die NetFlow-Version (v5 oder v9) und die zu überwachenden Netzwerke an. Sie geben auch die IP-Adresse eines Servers an, der als Kollektor bezeichnet wird. Die Firebox überwacht die ausgewählten Netzwerke und sendet Datenströme, sogenannte Flow-Datensätze, zur Analyse an den Kollektor. Der Kollektor führt eine Drittanbieteranwendung aus, die das NetFlow-Protokoll zum Aufzeichnen und Analysieren des Netzwerkdatenverkehrs verwendet. Viele Anwendungen von Drittanbietern unterstützen das NetFlow-Protokoll. Die Firebox selbst zeigt keine Flow-Aufzeichnungen an und analysiert diese auch nicht.

Mit ThreatSync+ NDR können Sie Windows- oder Linux-basierte Kollektoren zur Überwachung des Netzwerk-Datenverkehrs einsetzen. Kollektoren nehmen Datenfeeds wie NetFlow, sFlow oder Windows DHCP-Serverprotokolle direkt von Switches und Firewalls von Drittanbietern entgegen und leiten sie über eine sichere Verbindung an WatchGuard Cloud weiter. ThreatSync+ nutzt diese Datenfeeds, um potenzielle Bedrohungen und verdächtige Aktivitäten zu identifizieren und zu erkennen, und generiert Warnmeldungen, die Sie untersuchen können. Weitere Informationen finden Sie unter Über ThreatSync+ NDR-Kollektoren und Über ThreatSync+ NDR.

Auf der Firebox können Sie auswählen, ob Sie den eingehenden Datenverkehr überwachen möchten, also den Datenverkehr, der in einem Netzwerk ankommt. Sie können auch den ausgehenden Datenverkehr überwachen, also den Datenverkehr, der ein Netzwerk verlässt. Wenn Sie beispielsweise über einen internen Switch ohne NetFlow verfügen, aktivieren Sie NetFlow-Ausgang auf dem internen Firebox-Netzwerk, mit dem der Switch verbunden ist. Dadurch wird der Datenverkehr erfasst, der das interne Firebox-Netzwerk verlässt, einschließlich des an den Switch gesendeten Datenverkehrs. Für den Passthrough-Datenverkehr überwacht die Firebox den bidirektionalen Datenverkehr, wenn Sie die Überwachung sowohl des eingehenden als auch des ausgehenden Netzwerks ausgewählt haben.

Sie können auswählen, ob Sie den von der Firebox generierten (selbst erzeugten) Datenverkehr überwachen möchten, bei dem es sich um ausgehenden Datenverkehr handelt, der von der Firebox selbst erzeugt wird. Sie können auch den für die Firebox bestimmten Datenverkehr überwachen.

Physische Netzwerke, VLANs, Bridge, WLANs und Link Aggregation werden in allen Zonen (Extern, Intern und Gast) unterstützt. Wenn ein physisches Netzwerk nur Tagged VLAN-Pakete empfängt, wird dieses Netzwerk nicht in der Liste der Netzwerke in der NetFlow-Konfiguration angezeigt. Stattdessen wird das Netzwerk angezeigt, das diesen Tagged VLAN-Paketen entspricht. Virtuelle BOVPN-Netzwerke und Loopback-Netzwerke werden nicht unterstützt.

Um NetFlow auf dem Kollektor eines Drittanbieters zu konfigurieren, rufen Sie unsere Integrationsleitfäden oder die Dokumentation Ihres NetFlow-Kollektor-Dienstes auf.

Flows und Flow-Datensätze

Ein Netto-Flow, auch Flow, besteht aus Paketen, die folgende Eigenschaften gemeinsam haben:

  • Schnittstelle
  • Quell-IP-Adresse
  • Ziel-IP-Adresse
  • IP-Protokoll
  • Quell-Port
  • Ziel-Port
  • Type of Service (ToS)

Die Firebox exportiert einen Flow-Datensatz an den Kollektor, nachdem der Flow beendet ist. Ein Flow-Datensatz enthält detaillierte Informationen zum Flow, darunter:

  • Zeitstempel für den Start und das Ende des Flows
  • Anzahl der Bytes und Pakete im Flow
  • Eingangs- und Ausgangs-Schnittstellenindex
  • Schicht-3-Header-Informationen
  • Schicht-3-Routing-Informationen

Ein Flow kann entweder normal oder abnormal beendet werden. Ein Flow wird normal beendet, wenn:

  • Für einen Flow erscheint neuer Datenverkehr, wodurch der Alterungstimer zurückgesetzt wird
  • Die TCP-Sitzung wird beendet
  • Der Flow überschreitet den Wert für Aktiver Flow-Timeout

Der Aktive Flow-Timeout ist die Zeit, die eine aktive Verbindung wartet, bevor sie beendet wird. In der Firebox NetFlow-Konfiguration empfehlen wir, einen Wert für Aktiver Flow-Timeout anzugeben, der niedriger ist als der Wert für Aktiver Flow-Timeout auf dem Kollektor. Dadurch wird ein Datenverlust vermieden. Wenn der Wert für Aktiver Flow-Timeout auf dem Kollektor niedriger ist, hört der Kollektor möglicherweise auf zuzuhören, während die Firebox Daten sendet.

Um den IPv6-Datenverkehr zu überwachen und Post-NAT-IP-Adressen in Flow-Datensätzen anzuzeigen, müssen Sie V9 verwenden. IP-Adressen für NAT- und NAT-T-Ereignisse (NAT-Traversal) werden in Flow-Datensätzen angezeigt, wenn Sie in der Firebox NetFlow-Konfiguration die Option V9 auswählen.

Im Flow-Datensatz geben X-Src und X-Dst die Quell- und Zieladressen nach dem NAT an. Mit NAT-Ereignissen können Sie feststellen, welche Geräte im lokalen Netzwerk Datenverkehr generiert haben.

Sicherheit

Die Firebox sendet Flow-Datensätze mit UDP an den Kollektor. Die Informationen in einem Flow werden im Klartext angezeigt. Es gibt keine Authentifizierung zwischen der Firebox und dem Kollektor, und der Pakettransport ist nicht verschlüsselt.

Stellen Sie sicher, dass das Netzwerk zwischen der Firebox und dem Kollektor vertrauenswürdig ist. Wenn die Firebox ein weniger sicheres Netzwerk oder das Internet durchlaufen muss, empfehlen wir Ihnen, ein VPN zum Schutz der NetFlow-Daten zu verwenden.

Performance

Aufgrund der Ressourcen, die zum Erfassen und Aufzeichnen von Flows erforderlich sind, kann NetFlow den Durchsatz und die Verbindungsrate Ihrer Firebox verringern. Um die Auswirkungen auf die Leistung zu reduzieren, begrenzen Sie die Anzahl der Netzwerke, die Sie überwachen.

Für große Unternehmensnetzwerke oder wenn die Firebox stark ausgelastet ist, können Sie auch den Stichprobenmodus in Betracht ziehen. Im Stichprobenmodus wählt die Firebox zufällig 1 von X Paketen zur Stichprobe aus. Wenn Sie beispielsweise eine Stichprobenrate von 100 festlegen, tastet die Firebox je 1 Paket von 100 ab.

Der Stichprobenmodus ist weniger genau, da nicht alle Pakete erfasst werden. Aus diesem Grund empfehlen wir den Stichprobenmodus nicht für kleine Netzwerke.

FireCluster-Support

Auf einem FireCluster wird NetFlow nur auf dem aktiven Clustermitglied ausgeführt. Die Kommunikation zwischen FireCluster-Mitgliedern wird nicht überwacht.

NetFlow-Einstellungen konfigurieren

So konfigurieren Sie die NetFlow-Einstellungen für eine Cloud-verwaltete Firebox über WatchGuard Cloud:

  1. Wählen Sie Konfigurieren > Geräte.
  2. Wählen Sie eine Cloud-verwaltete Firebox.
  3. Klicken Sie auf Gerätekonfiguration.
  4. Klicken Sie auf das Widget Geräteeinstellungen.
    Die Seite Einstellungen wird geöffnet.

Screen shot of the Device Settings page

  1. Wählen Sie die Registerkarte NetFlow.
    Die Seite NetFlow-Einstellungen wird geöffnet.
  2. Aktivieren Sie NetFlow.

Screenshot of the Device Settings page, NetFlow tab

  1. Wählen Sie aus der Dropdown-Liste Version die NetFlow-Protokollversion aus. Um den IPv6-Datenverkehr zu überwachen, müssen Sie V9 verwenden.
  2. Geben Sie in das Textfeld Kollektor-Adresse die IPv4- oder IPv6-Adresse des Kollektors ein. Der Kollektor ist der Server, der NetFlow-Daten von der Firebox sammelt.
  3. Geben Sie im Textfeld Port die Nummer des Ports auf dem Kollektor ein, an den die NetFlow-Daten gesendet werden sollen. Die Firebox muss mit dem Kollektor unter der angegebenen IP-Adresse und dem angegebenen Port mit dem UDP-Protokoll kommunizieren können.
  4. Geben Sie im Textfeld Aktiver Flow-Timeout eine Zahl zwischen 1 und 60 Minuten ein. Der Aktive Flow-Timeout ist die Zeit, die eine aktive Verbindung warten soll, bevor sie beendet wird. Standardmäßig beträgt der Wert für Aktiver Flow-Timeout auf der Firebox 30 Minuten.

    Um Datenverlust zu vermeiden empfehlen wir, einen Wert für Aktiver Flow-Timeout anzugeben, der niedriger ist als der Wert für Aktiver Flow-Timeout auf dem Kollektor. Wenn der Wert für Aktiver Flow-Timeout auf dem Kollektor niedriger ist, hört der Kollektor möglicherweise auf zuzuhören, während die Firebox Daten sendet.

  5. (Optional) Um den Stichprobenmodus zu aktivieren, aktivieren Sie das Kontrollkästchen Stichprobenmodus und geben Sie im Textfeld Stichprobenrate eine Stichprobenrate zwischen 2 und 65535 Paketen ein.
  6. (Optional) Um anzugeben, welcher Firebox-Datenverkehr überwacht werden soll, wählen Sie Von der Firebox generierten Datenverkehr überwachen, Für die Firebox bestimmten Datenverkehr überwachen oder beides.
  1. Um NetFlow für ein Netzwerk zu aktivieren, wählen Sie neben dem Netzwerknamen Eintritt, Ausgang oder beides aus.

    Wenn Sie für mehrere Netzwerke sowohl Eintritt als auch Ausgang auswählen, beachten Sie, dass möglicherweise doppelte NetFlow-Daten erfasst werden. Um doppelte Daten zu vermeiden, wählen Sie entweder Eintritt oder Ausgang, aber nicht beides.

  1. Klicken Sie auf Speichern.

Ähnliche Themen

Cloud-verwaltete Fireboxen zu WatchGuard Cloud hinzufügen

Cloud-verwaltete FireCluster hinzufügen

Einstellungen für das Gerätefeedback konfigurieren (WatchGuard Cloud)

Firebox-Systemeinstellungen konfigurieren

Log-Servereinstellungen für Cloud-verwaltete Fireboxen konfigurieren