对Sonicwall防火墙上阻塞/丢弃端口的故障排除

Question

除了对特定规则/策略启用数据包捕获/监视之外，是否有更容易的方式查看或设置Sonicwall来显示被阻塞的端口/服务(实时还是作为报告)？

我认为包捕获是一种过度。我不想看到数据包的内容，我不想看到接受/转发的数据包，我只想看到一些带有src-ip、dst-ip、dst-proto和dst-port详细信息的“丢弃”事件。

我在网上搜索过这个，查看了设备的菜单项，查看了Sonicwall，什么都没有。有成功连接的日志和状态、检测到的和阻止的攻击等，但不仅仅是显示阻塞端口的简单报告。

我以前使用Juniper防火墙，ScreenOS和JunOS都允许我登录策略(例如全局块策略)，然后使用web接口或命令行检查阻塞的内容。

Answer 1

根据SonicWALL的日志事件参考指南，UTM只记录32k，然后刷新日志。

日志持久性SonicOS当前将32K分配给滚动日志缓冲区。当日志满时，可以通过电子邮件发送给定义的收件人并刷新日志，也可以简单地刷新日志。电子邮件提供了日志持久性的简单版本，而GMS则提供了更可靠和可伸缩的方法。通过向管理员提供以纯文本或HTML形式传递日志的选项，管理员有一种简单的方法来查看和重播记录在案的事件。

因此，如果您不想收集足够的数据来排除阻塞/丢弃的端口问题，则需要设置GMS/Analyzer (在图形控制台中显示大量信息)或服务器中您最喜欢的syslog守护进程。

启用syslog服务器的过程与添加GMS/Analyzer设备的过程相同：https://support.software.dell.com/kb/sw10097

更新：

要获得SonicWALL的详细信息，您肯定需要部署一个Syslog服务器。如果您不想看到除丢弃/阻塞数据包报告之外的其他任何内容，请确保转到Log >类别，并取消选中除Network之外的所有字段。

要了解可以在syslog服务器中找到什么样的信息，请看一下这个过滤器：