Konfigurieren der Protokollierung zur Vermeidung von Sperren

Veröffentlicht: November 2009

Letzte Aktualisierung: Februar 2010

Betrifft: Forefront Threat Management Gateway (TMG)

Wenn ein Angriff auf die Firewall erfolgt, kann die sich Anzahl der Protokolleinträge dramatisch erhöhen. Wenn die Protokollierung fehlschlägt, wird ein Protokollfehleralarm ausgegeben, und mit diesem Alarm wird der Microsoft-Firewalldienst angehalten. Wenn dies eintritt, wechselt Forefront TMG in den Sperrmodus. Auch wenn das Schreiben in das Protokoll mehr als 30 Sekunden dauert, kann die Protokollierung fehlschlagen. Auch in diesem Fall erfolgt ein Wechsel in den Sperrmodus. Im Sperrmodus geschieht Folgendes:

  • Das Firewallpaketfilter-Modul (fweng) wendet die Firewallrichtlinie an.

  • Ausgehender Datenverkehr vom lokalen Hostnetzwerk an alle Netzwerke wird zugelassen.

  • Es wird kein eingehender Datenverkehr mehr zugelassen, sofern dieser von einer aktivierten Systemrichtlinienregel nicht dediziert zugelassen wird. Die einzige Ausnahme ist DHCP-Verkehr, welcher vom lokalen Hostnetzwerk in alle Netzwerke immer zugelassen wird (DHCP-Anforderungen werden auf UDP-Port 47 zugelassen, und DHCP basiert auf UDP-Port 68).

  • VPN-RAS-Clients können nicht auf Forefront TMG zugreifen.

  • Konfigurationsänderungen, die im Sperrmodus vorgenommen werden, werden erst nach einem Neustart des Firewalldiensts übernommen, und Forefront TMG beendet den Sperrmodus.

Folgen Sie den nachstehenden Richtlinien, um Forefront TMG so zu konfigurieren, dass die Protokollierung auch unter diesen Umständen trotz der großen Anzahl von zu protokollierenden Ereignissen fortgesetzt wird:

  • Konsolidieren Sie fragmentierte Dateien und Ordner mit der Datenträgerdefragmentierung. Zur Vermeidung langer Commits sollten die Festplatten, auf denen die Protokolldateien gespeichert werden, regelmäßig defragmentiert werden. Klicken Sie hierzu auf Start, zeigen Sie auf Alle Programme, Zubehör, Systemprogramme, und klicken Sie dann auf Defragmentierung.

  • Überprüfen Sie, wie Sie die Protokollierung für jede Richtlinienregel konfiguriert haben, um ausreichend genaue Protokolldaten zu erzeugen. Möglicherweise möchten Sie auch die Protokollierung für die Standardregel deaktivieren. Erstellen Sie in diesem Fall eine andere Verweigerungsregel, mit der die Protokollierung zur Nachverfolgung von unerwünschtem Datenverkehr aktiviert wird. Darüber hinaus möchten Sie je nach den Anforderungen Ihres Unternehmens möglicherweise auch die Protokollierung für Regeln deaktivieren, die sich auf NetBIOS und DHCP beziehen.

  • Konfigurieren Sie für die Firewall- und Webproxyprotokollordner Speicherorte auf unterschiedlichen Festplatten.

  • Beschränken Sie die Anzahl der Felder, die in das Protokoll eingeschlossen werden.

  • Wenn Sie mit SQL-Protokollierung arbeiten, ändern Sie die Limits für die Dateivergrößerung in MB oder die Dateivergrößerung in Prozent für die Protokolldatenbank. Weitere Informationen finden Sie im SQL Server Developer Center unter ALTER DATABASE.

  • Wenn Forefront TMG die Aktivitäten nicht protokollieren kann, wird ein Protokollfehleralarm ausgegeben, und der Microsoft-Firewalldienst wird standardmäßig beendet. Um maximale Nutzbarkeit und Verwaltbarkeit zu gewährleisten, können Sie diesen Alarm so konfigurieren, dass eine E-Mail an die E-Mail-Adresse des Administrators gesendet wird.

  • Die Protokollierung kann ihrerseits für mehr Angriffe sorgen, da hierfür große Mengen an E/A- und CPU-Ressourcen benötigt werden. Verwenden Sie das Netzwerkschutzfeature zur Abwehr von Massenangriffen, um festzulegen, dass verweigerter Datenverkehr nicht protokolliert werden soll, wenn das Limit für "abgelehnte Anforderungen pro Sekunde" erreicht wurde. Weitere Informationen finden Sie unter Festlegen von Verbindungslimits für die Abwehr von Massenangriffen. https://technet.microsoft.com/de-de/library/cc441677.aspx

  • Mit Forefront TMG wurde eine Protokollwarteschlange eingeführt, die Protokollierungsfehler vermeiden kann, wenn Protokolleinträge schneller generiert werden, als sie verarbeitet werden können. Weitere Informationen finden Sie unter Konfigurieren der Protokollwarteschlange.

  • Bei der Protokollierung in eine Textdatei ist die Größe von Protokolleinträgen auf 1.600 Zeichen begrenzt. Dieses Limit kann nicht geändert werden, und es schließt Datumsangaben und weitere Informationen wie den Zeitstempel mit ein. Dies kann ein Problem sein, wenn die Informationen des verweisenden Servers in einer HTTP-Anforderung lang sind. Zur Vermeidung dieses Problems sollten Sie die Protokolle so konfigurieren, dass das Feld „Verweisender Server“ nicht protokolliert wird. Anweisungen dazu finden Sie unter Auswählen von Protokollfeldern.

 
Anzeigen: