設定記錄以避免鎖定

發佈時間: 2009年11月

更新日期: 2010年2月

適用於: Forefront Threat Management Gateway (TMG)

若發生攻擊防火牆的事件,記錄項目可能會快速增加。如果記錄失敗,將會發出記錄檔失敗警示,此時這個警示會停止 Microsoft Firewall 服務。發生此情況時,Forefront TMG 將進入鎖定模式。同理,如果寫入記錄超過 30 秒,則記錄可能失敗並導致鎖定模式。在鎖定模式中會發生下列事項:

  • 防火牆原則將由防火牆封包篩選器引擎 (fweng) 來套用。

  • 允許本機主機網路到所有網路的連出流量。

  • 不允許任何連入流量,除非是啟用的系統原則規則特別允許的流量。唯一例外為 DHCP 流量,永遠會允許本機主機網路到所有網路的 DHCP 流量 (允許 UDP 連接埠 47 上的 DHCP 要求,以及 UDP 連接埠 68 上的 DHCP 回覆)。

  • VPN 遠端存取用戶端無法存取 Forefront TMG。

  • 只有當重新啟動防火牆服務且 Forefront TMG 結束鎖定模式之後,才會套用鎖定模式時所變更的設定。

若要將 Forefront TMG 設定為在這些情況下繼續記錄 (雖然可能會記錄大量事件),請遵循下列指南:

  • 使用磁碟重組工具來合併分散的檔案與資料夾。若要避免花費過長的時間,您應該經常重組儲存記錄檔的磁碟。若要執行這項工作,請按一下 [開始],再依序指向 [所有程式][附屬應用程式][系統工具],然後按一下[磁碟重組工具]

  • 檢閱在每項原則規則中所設定的記錄方式,藉此建立足夠且精準的記錄資料。特別是您也許想要停用預設規則的記錄功能,然後建立其他拒絕規則,並在其中啟用記錄以追蹤不想要的流量。同樣地,您可能想依組織需求來停止記錄套用至 NetBIOS 與 DHCP 的規則。

  • 設定防火牆記錄與網頁 Proxy 記錄資料夾位於不同的磁碟。

  • 限制記錄中包含的欄位數。

  • 若使用 SQL 記錄,請修改記錄資料庫的檔案成長大小或檔案成長百分比。如需詳細資訊,請參閱 SQL Server 開發人員中心的 ALTER DATABASE (可能為英文)。

  • 如果 Forefront TMG 無法記錄活動,則會發出記錄檔失敗警示,預設會停用 Microsoft Firewall 服務。請考慮將此警示重新設定為傳送電子郵件訊息到系統管理員的電子郵件地址 (尤其是當您想要提供最大的服務能力時)。

  • 記錄功能可能會引起攻擊,因為它需要使用大量的 I/O 與 CPU 資源。請使用網路保護洪水安全防護功能來指定,當到達「每秒被拒要求」限制時不記錄被拒絕的流量。如需相關資訊,請參閱設定洪水安全防護功能連線限制https://technet.microsoft.com/zh-tw/library/cc441677.aspx

  • Forefront TMG 內含記錄檔佇列功能,可避免產生記錄的速度快於處理記錄的速度時所導致的記錄失敗。如需相關資訊,請參閱設定記錄檔佇列

  • 當記錄至文字檔案時,每筆記錄限制為 1600 個字元。此限制無法修改,且其中包含資料與其他資訊,例如時間戳記。如果 HTTP 要求中所提及的伺服器資訊很長時,可能會發生問題。若要避免此問題,請設定記錄檔不要記錄「提及的伺服器」欄位。如需指示,請參閱選取記錄欄位

 
顯示: