《分享》iView虛擬機安裝設定

iView在Cyberoam時代是內建在Cyberoam Appliance裏，
而在Sophos時代，則變為外掛式的log server，可搭配Sophos XG/UTM及Cyberoam使用，進行整合式報表功能。

在Sophos的設定中，100G以下的資料是免費的，
大於100G的資料就需要付費使用。





iView除了可透過ISO檔安裝在實體機外，也提供了多種虛擬系統格式進行安裝部署。
以下順子將以免費的VMplayer來示範如何安裝iView的虛擬機。

• 首先登入Sophos網站下載頁面，下載iView。
  
  https://secure2.sophos.com/en-us/product...rial/iview.aspx
  
  填好資料，下載iView後，會收到Sophos寄來的信，信中有簡單說明與序號。
  
  
  
  解開虛擬機版本的壓縮檔後，開啟VMplayer，選擇Open a Virtual Machine來進行虛擬機的匯入。
  
  
  
  在匯入的檔案類型，請選擇ovf檔，並移至剛解開的資料夾，就可以看到可供匯入的ovf檔了～
  
  
  
  接下來進行虛擬機的相關設定。
  
  
  
  完成後，可以看到該虛擬機的預設硬體配置環境。
  
  
  要用到4張網卡耶？其實只要一張就夠了啊...
  
  第一次啟用虛擬機會安裝預設的組態設定，預設帳號密碼跟XG一樣都是admin。
  
  
  
  輸入密碼登入後，iView就可以在console模式下進行操作了～
  
  
  
  iView預設IP為172.16.16.18，請以瀏覽器開啟WebUI。
  
  
  
  
• 第一次登入WebUI請接受使用者授權條款。
  
  
  
  在接下來的頁面輸入序號並按下 Activate Appliance 時，卻出現錯誤訊息！
  這是為什麼呢？
  
  
  
  我們在console mode下ping看看，會發現無法連外！
  
  
  
  原來iView的4張網卡雖然有預設的IP 172.16.16.18~21，
  但其gateway卻是172.16.16.15。
  我們必需把gateway改為XG的LAN IP 172.16.16.16，讓iView能透過XG連外。
  
  在console mode中，按下 1 進入 Network Configuration 設定網路組態。
  
  
  
  然後再按 1 進入 Interface Configuration 設定網卡IP。
  
  
  
  按下 Y 進入編輯。
  
  
  
  網卡IP 172.16.16.18~21本身沒有問題，我們略過，
  到了重點Gateway IP時，請把IP由原來的172.16.16.15改為172.16.16.16。
  
  
  
  修改完成後，我們再去ping，就會發現已經可以連外了。
  
  
  
  接下來要改的是DNS設定，因為預設的DNS是本機127.0.0.1，這樣是無法成功解析FQDN的。
  按 2 進入 DNS Configuration 設定DNS。
  
  
  
  按下 Y 進入編輯。
  
  
  
  然後把DNS改為一個真正有作用的DNS主機，例如Google的8.8.8.8，或中華電信的168.95.1.1。
  
  
  
  完成後，我們發現以domain name去ping時，可以解析到外部IP了。
  
  
  
  Gateway與DNS修正後，回到WebUI再試試啟用iView。
  
  
  
  這時會發現iView已可成功啟用了～
  接著再進行iView的註冊。
  
  
  
  然後會導轉到註冊頁面，按下繼續。
  
  
  
  設備註冊中...
  
  
  
  註冊完成後，我們就可以同步授權。
  
  
  
  完成後，就可以開始設定iView了～
  
  
  
  當然在Sophos的My Profile裏也能看到iView的註冊資訊。
  
  
  
  
• 註冊完成後，回到WebUI進行登入，這時已經可以看到功能頁面了。
  不過可以看到所有偵測裝置都是0，這時要切回XG做設定囉～
  
  
  
  在XG的Log Settings中，我們要加一筆外部的log server，也是剛才建的iView。
  
  
  
  IP可以打172.16.16.18~21中的任一個IP，而port就用標準的514 port，
  然後在Severity Level選Debug，以收集XG的所有資訊。
  
  
  
  完成後，在Log Settings頁面中，勾選最上方的check box，這樣所有資訊才會送到iView去喔～
  XG的部分就完成了！
  
  
  
  回到iView繼續，這時已在Devices中看到XG已經加入了，不過名稱怪怪的，而且也還未啟用。
  
  
  
  點進去修改，並啟用XG吧～
  
  
  
  要確認狀態是啟用的才能發揮效果喔！
  
  
  
  完成後，回到主頁面，會發現Sophos Firewall OS已由0變成1，
  而且點進去，也可以看到詳細log內容，iView的設定到此告一段落～
  
  

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

《分享》iView能看到什麼？

由於XG每個類別的log只能保留1100筆記錄，
因此若要查詢XG上比較舊的log，會因這1100筆的限制，而查詢不到！

透過log server來保留完整記錄，是個傳統且理想的選擇。
但...
Sophos iView真的是一個理想的log server的解決方案嗎？？


在順子的實測中發現，iView能看到的相當有限...

• 首先，iView中比較多的是報表的展現，
  左邊功能表中的前6項功能，全是各種類別的分析報表，並不是log記錄。
  
  
  
  
• 再來，在最下面功能中的Live Logs子功能是防火牆的firewall的即時記錄，
  可以顯示最多到100筆的firewall log。
  
  
  
  這部分確實是log無誤，但只有最多100筆的firewall即時記錄，
  沒有更多的log，也其它類別的log。
  
  
• 而在Audit Logs子功能中，所呈現的是iView本身的相關稽核記錄，
  跟XG或其它來源裝置無關。
  
  
  
  
• 另外，在Archives中雖然有提供舊的log資料查找，
  
  
  
  但很遺憾的，提供查記的記錄，也只有firewall log，沒有查它類別可選(例如email protection、malware detection等類別)。
  
  

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!