全景尺寸和设计指南
Resolution
全景管理和日志记录概述
全景解决方案组成的两个总体功能: 设备管理和日志集合/报告。请按照简要概述了这两种主要功能:
设备管理:这包括配置管理和部署、部署泛 OS 和内容更新等活动.
日志收集:这包括从一个或多个防火墙收集日志, 无论是单个全景还是分布式日志收集基础结构. 除了收集日志从部署防火墙,可以生成报告的基础将日志数据,无论它位于本地到全景 (例如单个 M 系列或 VM 装置) 的分布式日志记录基础设施。
全景解决方案允许通过将这些功能分配到不同的管理基础设施的物理部件设计的灵活性。例如: 设备管理可能执行从一个 VM 的全景,而防火墙转发他们的日志到协同定位专用的日志收集器:
在上面的示例中,VM 全景装置上进行设备管理功能和报告。有三个日志收集器组。A 组,包含两个日志收集器并从三个独立防火墙接收日志。B 组,包含一个单一的收藏家和接收日志从一对高可用性 (HA) 主动/被动配置中的防火墙。C 组包含两个日志收集器,并从防火墙两房委会对接收日志。日志收集器在任何给定的位置数是取决于若干因素。设计注意事项涵盖以下方面。注意: 任何平台可以是专用的经理,但只有 M 系列可以是专用的日志收集器。
日志收集
管理的设备
虽然所有当前全景平台有上限 1000年设备用于管理目的的是重要的全景上浆工艺了解传入日志速率将从托管的所有设备。开始时,将由全景管理总防火墙设备的清点。
使用以下电子表格来执行您需要存储日志的设备清单:
模型 | 潘 OS (主要分支 #) | 位置 | 测量平均日志率 |
---|---|---|---|
Ex: 5060 | Ex: 6.1.0 | 前: 主数据中心 | 如: 2500年日志/s |
记录要求
本节将包括正确的大小和部署全景记录基础结构以支持客户的要求所需的信息。确定所需的总存储量以及如何分配存储通过分布式日志收集器时,有三个主要因素。这些因素是:
- 日志接收要求: 这是将每秒到全景基础结构发送的日志的总数。
- 日志存储要求: 这是为其客户需要保留日志在管理平台上的时间。有不同的驱动因素,为此包括基于这两个政策和法规遵从性的激励因素。
- 设备位置: 防火墙的物理位置可以驱动决定放在远程位置基于 WAN 带宽等的 DLC 电器。
下面的章节中讨论了其中每个因素:
日志接收要求
需要了解受控设备的聚合日志转发速率, 以便 avoid 一种设计, 在这种情况下, 将有更多的日志定期发送到全景图, 而不是接收、处理和写入磁盘. 下表概述了每个硬件平台可以转发到全景图的最大日志数, 可以在设计 soluti 时使用, 以计算在客户环境中可以转发到全景图的最大日志数.
设备登录转发
平台 | 每秒 (LPS) 支持的日志 |
---|---|
PA-200 | 250 |
PA-220 | 1,200 |
PA-500 | 625 |
PA-820/850 | 10000 |
PA-3000 系列 | 10000 |
PA-3220 | 7000 |
PA-3250 | 15,000 |
PA-3260 | 2.4万 |
PA-5050/60 | 10000 |
PA 5220 | 30,000 |
PA 5250 | 5.5万 |
PA 5260 | 要测试 |
PA-7050/7080 | 70,000 |
VM-50 | 1,250 |
VM-100/200 | 2,500 |
VM-300/1000年-高压 | 8,000 |
VM-500 | 8,000 |
VM-700 | 10000 |
关于全景日志摄食率受平台和模式 (混合的模式的诗句记录器模式) 使用。下表显示的摄食率为全景图上不同的可用平台及运作模式。 vm 旁边的圆括号中的数字表示分配给 vm 的 cpu 数和 gb RAM 的数量。
全景图日志摄取
平台 | 混合 | 专用 |
---|---|---|
VM (8/16) | 10000 | 18,000 |
M-200 | 10000 | 2.8万 |
M-500 | 15,000 | 30,000 |
M-600 | 25000 | 50000 |
上述数字是所有的最大价值。在现场部署中,实际的日志率通常是最的一些分数大支持。确定实际的日志率是严重依赖于客户的流量混合和不一定绑在吞吐量。例如,单个卸载的 SMB 会话将显示较高的吞吐量,但只能生成一个交通日志。相反,你可以有更小的生产量由成千上万 UDP DNS 查询每一个都会生成一个单独的交通记录组成。调整大小,可以每秒连接和日志每秒之间绘制粗糙的相关性。
为日志率测定方法
新客户:
- 利用现有客户来源的信息。许多客户在 Splunk,ArcSight,隐患的地方有一个第三方记录解决方案。从他们现有的防火墙解决方案发送日志数目可以从这些系统拉扯。使用此方法时,一整天,从第三方解决方案获取日志计数和除以 86,400 (一天中的秒数)。做这几天平均获得了。一定要包括商业和非工作日,因为通常是在两者之间的日志率大的方差。
- 使用评价设备中的数据。此信息可以为分级目的提供非常有用的起点,和来自客户的意见,数据可以推广到其他网站中的相同的设计。 这种方法的优点是收益平均几天。脚本 (带有指示) 以协助计算此信息可以找到附于本文件。要使用, 请下载名为 "ts_lps" 的文件。解压缩该 zip 文件和引用的说明 README.txt。
- 如果没有信息是可用的使用上面的设备日志转发表作为参考点。这将是任何特定客户的最准确方法。
现有的客户:
为现有的客户,我们可以利用他们现有的防火墙和日志收藏家从收集到的数据:
- 要检查单个防火墙的日志速率, 请下载名为 "D evice" 的附加文件, 解压缩 zip 文件并参考 README.txt 文件以得到说明. 此程序包将在指定的时间段 (你可以选择多少样品) 查询单一防火墙和给日志每秒这一时期的平均数目。至少这个脚本应该在一个工作日连续运行24小时。运行脚本整整一周将有助于捕获网络的周期性衰退和流动。如果客户没有日志收集器,这一过程将需要针对每个防火墙环境中运行。
- 如果客户有一个日志收集器 (或日志收集程序), 请下载所附的名为 "lc_lps" 的文件, 解压缩 zip 文件并引用 README.txt 文件以指示此包将查询日志收集器 MIB 以接收传入日志的示例在指定期间内的比率.
日志存储要求
日志存储需求影响因素
有几个因素,驱动器日志存储要求。大多数的这些要求是规管性质。客户可能需要满足 HIPAA、PCI,或萨班斯-Oxely 法规遵从性要求。
有可能需要考虑的其他政府和行业标准。此外,一些公司有内部要求。例如: 一定数量的天价值的日志被保持在原来的管理平台上。确保所有这些要求得到解决的客户设计日志存储解决方案时。
重点是需要存储的日志的最小天数。如果需要最多天数 (由于法规或策略), 则可以设置将日志保留在配额配置中的最大天数.
计算所需的存储
根据给定客户的需求计算所需的存储空间是相当直接的向前过程, 但在达到较高的精度时, 可以进行人工密集型。使用 PAN OS 8.0, 所有日志类型的聚合大小为500字节。这一数字占日志本身,以及相关的索引。威胁数据库是威胁日志以及 URL,野火提交的数据源和数据过滤日志。
请注意以长期归档不可能记录解决方案。 在这些情况下建议在 Syslog 转发用于存档目的。
方程来确定特定日志类型的存储要求是:
示例: 客户希望能够保持 30 天的交通日志日志率为每秒 1500年日志:
以上计算的结果仅用于详细日志. 使用默认配额设置可为详细日志预留60% 的可用存储空间。这意味着计算的数字代表了需要购买的总存储的 60%. 要计算所需的总存储容量, 请将此编号把 60:
全景8.0 和更高版本的默认日志配额如下所示:
日志类型 | % 存储 |
详细的防火墙日志 | 60 |
摘要防火墙日志 | 30 |
基础设施和审核日志 | 5 |
帕洛阿尔托网络平台日志 | .1 |
第三方外部日志 | .1 |
附加的工作表将考虑在全景图上的默认配额,并提供所需的存储的总金额。
计算所需的存储日志记录服务
有三种不同情况设计选型日志收集使用日志记录服务。 有关深度调整指导, 请参阅日志记录服务的大小调整存储.
- 帕洛阿尔托网络下一代防火墙的日志收集
- GlobalProtect 云服务移动用户的日志收集
- GlobalProtect 云服务远程办公室的日志收集
帕罗奥多下一代防火墙的日志收集
当上浆上前提日志收藏家,上浆方法防火墙记录到日志记录服务的日志都是相同的。唯一的区别是日志的在磁盘上的大小。 在日志记录服务中, 可以使用1500年字节的大小计算威胁和通信日志。
GlobalProtect 云服务移动用户的日志收集
每个用户日志生成依赖于用户的类型,以及在该环境中正在执行的工作负载。 平均而言,1 TB 的存储容量对测井服务将为 5000 用户提供 30 天的保留。日志记录服务优势是添加存储是做比在传统上前提下分布式的收集环境要简单得多。这意味着如果您的环境是繁忙得多比平均的它是一个简单的问题,若要添加任何存储有必要满足您保留的要求。
GlobalProtect 云服务远程办公室的日志收集
GlobalProtect 云服务 (GPC) 为远程办公室出售基于带宽。虽然日志率很大程度上由连接率和交通混用,在样本企业环境登录代发生在大约 1.5 日志每个吞吐量兆位每秒的速率。附加的大小工作表使用此率、并考虑帐户忙/关闭时间提供估计平均日志率。
LogDB 存储配额
在潘-OS 8.0 版开始,简化了存储配额。详细信息和摘要日志都有他们自己的配额,无论何种类型 (交通/威胁):
日志类型 | 配额 (%) |
详细的防火墙日志 | 60 |
摘要防火墙日志 | 30 |
基础设施和审核日志 | 5 |
帕洛阿尔托网络平台日志 | .1 |
第三方外部日志 | .1 |
总计 | 95.2 |
设备的位置
日志记录基础设施的最后设计思路是相对于他们可以记录到的全景平台防火墙的位置。如果该设备分开从全景低速网络段 (例如 T1/E1),它建议在专用日志收集器 (DLC) 的防火墙的网站上。这允许日志转发同时允许全景的查询日志收集器需要的时候会局限于高速度 LAN 网段。供参考,以下各表在不同的日志率显示日志转发带宽使用情况。这包括两个日志发送到全景和确认从全景到防火墙。请注意,对于 7000 系列和 5200 系列,日志被压缩在传输过程中。
登录转发带宽
日志率 (LPS) | 使用带宽 |
---|---|
1300 | 8 Mbps |
8000 | 56 Mbps |
10000 | 64 Mbps |
16000 | 52.8 140.8 Mbps (96.8) |
登录转发带宽-7000 和 5200 系列
日志率 (LPS) | 使用带宽 |
---|---|
1300 | .6 Mbps |
8000 | 4 Mbps |
10000 | 4.5 Mbps |
16000 | 5-10 Mbps |
设备管理
有几个因素选择平台全景部署时要考虑。初始的因素包括:
- 并发的管理员的数量需要得到支持?
- 客户是否有安全小组有权访问的 VMWare 虚拟化基础架构?
- 客户是否需要双电源?
- 估计的配置大小是什么?
- 设备句柄将日志收集以及?
全景虚拟设备
这个平台作为虚拟 M-100 运作并共享相同的日志摄食率。添加额外的资源将允许在虚拟的全景装置,以尺度两个它的摄食率以及管理能力。运行 8.0 全景虚拟设备的最低要求是 8 vcpu 可和 16 GB 显存。
何时选择虚拟设备?
- 客户有大的 VMWare 基础架构安全有权访问
- 客户使用专用的日志收集器并不处于混合模式
何时不选择虚拟设备?
- 服务器团队和安全团队是分开的不想分享
- 客户有没有虚拟基础架构
M-100 硬件平台
这个平台有专门的硬件,可以最多并发 15 管理员处理。在混合模式下,是能够摄入每秒 10,000 15,000 日志。
何时选择 M-100?
- 客户需要一个专用的平台,但价格非常敏感
- 客户使用专用的日志收集和在混合模式下不但是不能 VM 基础设施
何时不选择 M-100?
- 双电源是否需要
- 混合的模式与超过 10 k 日志/s 或 8 TB 以上所需的日志保留时间
- 有超过 15 并发管理员
M-500 硬件平台
该平台具有最高的日志摄食率,甚至在混合模式下。更高的资源可用性会处理更大的配置和更多的并发管理员 (15-30)。提供双电源,并具有强劲增长路线图。
何时选择 M-500?
- 客户需要一个专用的平台,并具有大或增长的部署
- 客户使用的双模式与超过 10 k 日志/s
- 客户想要的未来证明他们的投资
- 客户需要一个专用的设备,但已超过 15 并发管理员
- 需要双电源
何时不选择 M-500?
- 如果客户有 VM 第一环境,并且不需要超过 48 TB 的日志存储容量
- 顾客就是价格非常敏感
高可用性
规划高可用性部署时,本节将解决设计方面的考虑。全景高可用性只是主动/被动和这两个设备需要获得完全的许可。有两个方面对高可用性部署全景解决方案时。这些方面是设备管理和日志记录。这两个方面密切相关的但每个人都有特定的设计和配置要求。
设备管理 HA: 在全景设备 (M 系列或虚拟设备) 丢失时保留设备管理功能的能力.
记录 HA 或日志冗余: 在全景设备丢失时保留防火墙日志的能力 (仅限 M 系列).
设备管理医管局
部署在高可用性设计全景解决方案时,很多客户选择医管局的同龄人置于不同的物理位置。从设计角度来看,有两个因素要考虑部署高可用性配置全景电器一双时。这些担心是网络延迟和吞吐量。
网络延迟
干预网段的延迟影响房委会成员之间控制交通。医管局相关的定时器可以调整客户部署的需要。建议的最大值是 1000 毫秒。
- 抢占保留时间:如果启用了抢占选项, 抢占时间是被动设备在采取主动角色之前等待的时间量. 在这种情况下,两个设备都在增加,和定时器适用于具有"主"优先级的设备。
- 促销保持时间:升级保持计时器指定辅助设备在假定活动死记硬背之前等待的间隔. 在这种情况下,一直在主要设备的故障,此计时器适用于辅助设备。
- 您好间隔:此计时器定义 hello 数据包与对等设备之间的毫秒数. 你好数据包可用于验证对等设备正常运行。
- 心跳间隔:此计时器定义发送到对等方的 ICMP 消息之间的毫秒数. 心跳数据包可用于验证对等设备可以访问。
网络延迟和心跳间隔之间的关系
因为心跳用于确定可达性的医管局同行,心跳间隔应设置高于房委会成员之间的联系的延迟。
医管局计时器预设
虽然客户可以设置他们的医管局计时器专门以适应他们的环境,全景也有两套的客户可以使用的预配置计时器。这些预设覆盖大多数客户部署
建议:
计时器 | 设置 |
---|---|
抢占保持时间 | 1 |
你好间隔 | 8000 |
检测信号时间间隔 | 2000 |
监视器故障耽误时间 | 0 |
大师额外举行时间 | 7000 |
侵略性:
计时器 | 设置 |
---|---|
抢占保持时间 | 500 |
你好间隔 | 8000 |
检测信号时间间隔 | 1000 |
监视器故障耽误时间 | 0 |
大师额外举行时间 | 5000 |
配置同步
医管局同步过程
房委会同步过程时发生全景对上医管局对中的成员之一的配置进行更改。当对活动主项进行更改并提交时, 它将向活动中学发送一条消息, 使配置需要同步. 活动中学将送回承认它是准备好了。活跃小学然后会将配置发送到活动中学。活动中学将合并由主动小学和排队作业提交的更改发送的配置。这一进程必须在医管局同步消息发送从主动小学全景的三分钟内完成。主要的关注是配置发送大小和分开医管局成员的网络细分的有效吞吐量。
日志的可用性
这块的全景高可用性解决方案提供日志在出现硬件故障时的可用性。有两种方法实现这一目标时使用日志收集器基础结构 (专用或混合模式)。
日志冗余
潘 OS 7.0 和后来包括显式的选项,每个日志写入的日志收集器组 2 日志收藏家。通过启用此选项,设备将它的日志发送到它的主日志收集器收集器,然后将该日志复制到同一组中的另一收集器:
日志重复可以确保任何给定的日志中的日志收集器组的两个副本。这是一个不错的选择,为那些需要在任何时候都保证日志可用性的客户。要考虑的事项:
1。复制只发生在日志收集器组内。
2。总体可用的存储空间被减半 (因为每个日志写的两倍)。
3。整体日志摄食率将减少达 50%。
日志缓冲
防火墙需要从全景平台上向其转发日志的确认。这意味着事件中防火墙的主日志收集器将变为不可用,日志将被缓冲时收集器重新联机时发送。有两种方法向缓冲区日志。第一种方法是为每个日志收集器配置单独的日志收集器组:
在这种情况,如果日志收集器 1 落下,防火墙 A & 防火墙 B 将每个存储他们的日志自己本地日志分区上直到收集器带回。当前防火墙模型的本地日志分区为:
模型 | 日志分区大小 (GB) |
---|---|
PA-200 | 2.4 |
PA-220 | 32 |
PA-800 系列 | 172 |
PA-3000 系列 | 90 |
PA-3200 系列 | 125 |
PA-5000 系列 | 88 |
PA-5200 系列 | 1800 |
第二种方法是将多个日志收集器放置到一组。在这种情况下, 防火墙可以使用优先级列表进行配置, 因此, 如果主日志收集器关闭, 则列表中的第二个收集器将缓冲日志, 直到组中的所有收集器都知道主收集程序在该时间, 新日志将停止分配给向下收集器。
在如下所示的体系结构,防火墙 A & 防火墙 B 被配置为发送他们的日志日志收集器 1 为主,与作为备份日志收集器 2。如果日志收集器1变为无法访问, 设备将将其日志发送到日志收集器2。收集器2将缓冲将存储在收集器1上的日志, 直到它可以将收集器1拉出旋转。
日志收集器组设计的注意事项
在组中配置日志收集器的主要原因有三:
- 特定防火墙 (或防火墙集) 需要更大的日志保留, 而不能由单个日志收集器提供 (缩放保留)。
- 特定防火墙所需的摄取容量比单个日志收集器提供的更大 (可缩放摄取量)。
- 日志冗余要求。
在考虑使用日志收集器组时, 需要在设计阶段解决以下几点问题:
- 跨可用收集器传播摄取: 可以创建多个设备转发首选项列表。这允许收集器组中的多个收集程序处理摄取。例如, 首选项列表1将有一半的防火墙和列表收集器1作为主目录和收集器2作为辅助。首选项列表2将使其余的防火墙和列表收集器2作为主目录和收集器1作为辅助。
- 延迟问题: 日志收集器组中的收集程序之间的网络延迟是性能的一个重要因素。一般的设计指南是让所有的收藏家都是同一组成员紧密地在一起。下表提供了对启用和禁用冗余的不同 latancy 测量所能期望的内容的概念。在这种情况下, "日志延迟" 是高滞后时间的不期望结果-日志不会显示在 UI 中, 直到它们被发送到全景图之后。
LC 间延迟 (ms) | 日志率 | 已启用冗余 | 日志延迟 |
50 | 40。 | 不 | 不 |
100 | 5 K | 不 | 不 |
100 | 40。 | 不 | 是的 |
50 | 5 K | 是的 | 不 |
50 | 40。 | 是的 | 是的 |
100 | 5 K | 是的 | 不 |
150 | 3K | 是的 | 不 |
150 | 5 K | 是的 | 是的 |
使用调整大小工作表
您需要的信息包括所需的保留期和平均日志率。
保留期: 日志需要保留的天数。
平均测井率: 测量的或估计的总对数率。
需要冗余: 如果需要日志冗余, 请选中此框。
用于详细日志的存储: 满足详细日志的保留期所需的存储量 (以 gb 为千字节)。
所需存储总量: 要购买的存储 (以 gb 计)。此帐户用于默认设置配额设置中的所有日志类型。
示例使用案例