При возникновении атаки на межсетевой экран может произойти значительное увеличение количества записей в журнале. Если возникает ошибка ведения журнала, запускается соответствующе оповещение, которое останавливает службу межсетевого экрана. В этом случае Forefront TMG входит в режим блокировки. Подобным образом, если процесс записи в журнал длится дольше 30 секунд, может произойти сбой ведения журнала, приводящий к активации режима блокировки. В режиме блокировки происходит следующее.
- Подсистема пакетного уровня межсетевого экрана (fweng)
применяет политику межсетевого экрана.
- Разрешается передача исходящего трафика из сети локального узла
во все сети.
- Входящий трафик запрещается до тех пор, пока не будет
специально включено разрешающее правило системной политики.
Единственным исключением является трафик DHCP, передача которого из
сети локального узла во все сети (запросы DHCP разрешены на 47-м
UDP-порте, а DHCP использует 68-ой UDP-порт) разрешена всегда.
- Клиенты удаленного доступа VPN не могут обратиться к Forefront
TMG.
- Изменения конфигурации, выполненные в режиме блокировки,
применяются только после перезапуска службы межсетевого экрана и
выхода Forefront TMG из режима блокировки.
Чтобы настроить Forefront TMG на ведение журнала в этих обстоятельствах (несмотря на большое количество событий, которые могут быть занесены в журнал), следуйте приведенным далее инструкциям.
- Для объединения фрагментированных файлов и папок воспользуйтесь
дефрагментатором диска. Чтобы избежать длительных фиксаций,
необходимо часто выполнять дефрагментацию дисков, на которых
хранятся файлы журналов. Для этого нажмите кнопку Пуск и
выберите команды Все программы, Стандартные,
Служебные и Дефрагментация диска.
- Чтобы создать достаточные и точные данные журнала, проверьте,
как выполнена настройка ведения журналов для каждого правила
политики. В частности, может потребоваться отключить ведение
журнала для заданного по умолчанию правила. Затем создайте другое
запрещающее правило (с включенной функцией ведения журнала) для
отслеживания нежелательного трафика. Подобным образом, учитывая
потребности организации, можно отключить ведение журналов для
правил, применимых к NetBIOS и DHCP.
- Настройте папки журналов межсетевого экрана и веб-прокси на
разных дисках.
- Сократите количество полей, включенных в журнал.
- Если используются журналы SQL, измените значение роста размера
файла или его значение роста в процентном отношении для журналов
базы данных. Дополнительные сведения см. в документе ИЗМЕНЕНИЕ БАЗЫ ДАННЫХ на веб-узле Центра разработки
SQL Server.
- Если Forefront TMG не может записать действие в журнал,
запускается оповещение о сбое журнала, и служба межсетевого экрана
останавливается по умолчанию. Рассмотрите возможность настройки
оповещения на отправку сообщения на адрес электронной почты
администратора, особенно если нужно обеспечить максимальную
работоспособность.
- Ведение журналов может привлечь злоумышленников, поскольку для
этого процесса используется большое количество действий
ввода-вывода и значительный объем ресурсов ЦП. Чтобы указать, что
запрещенный трафик не будет занесен в журнал в случае достижения
ограничения «числа запросов, отбрасываемых в секунду»,
воспользуйтесь функцией предотвращения Flood-атаки для защиты сети.
Дополнительные сведения см. в разделе Обзор предотвращения
Flood-атак.
- Forefront TMG представляет функцию организации очереди
журналов, которая помогает исключить сбои журналов в случае, когда
скорость создания записей журналов превышает скорость их обработки.
Дополнительные сведения см. в разделе Настройка очереди
журнала.
- При ведении журнала в текстовом файле длина записи журнала
ограничивается 16000 символами. Это значение изменить нельзя; оно
включает данные и другие сведения, например отметку времени. Это
может быть проблемой, если сведения об отсылающем сервере в
HTTP-запросе слишком большие. Чтобы избежать возникновения таких
проблем, настройте журналы не вносить записи в поле «Отсылающий
сервер». Инструкции см. в разделе Выбор полей для ведения
журналов.