- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
03-数据中心
本章节下载: 03-数据中心 (2.11 MB)
系统监控是对系统当前状态信息的监控,主要包括在线用户、接口状态、黑名单记录、实时流速监控、内网资产管理和故障监控中心。
· 在线用户:对当前在线用户进行监控以及管理。包括对用户名、用户组IP地址、认证方式、在线时间、在线状态、登录时间等的详细记录,还可以对用户进行账户冻结。
· 接口状态:显示接口的状态、收发包速率、收发包总数等信息。
· 黑名单记录:通过IP和生命周期新建黑名单信息,还可以查看生成的黑名单记录,包括源IP、生命周期、生效时间、剩余时间、添加方式及状态信息。
· 实时流速监控:显示用户实时流速、应用实时流速等信息。
· 内网资产管理:提供以资产为核心的安全监控和分析理念,通过资产梳理、主动风险发现、被动流量检测,帮助用户对IT资产实现多维度的安全分析监控。
· 故障监控中心:对单用户终端网络状况进行监测。
在导航栏中选择“数据中心 > 系统监控 > 在线用户”进入在线用户界面,如图1-1所示。
对在线用户管理详细说明如表1-1所示。
|
标题项 |
说明 |
|
用户名 |
通过设备上网的用户名称 |
|
所属组 |
通过设备上网的用户所属的组 |
|
IP地址 |
用户所对应的IP地址 |
|
认证方式 |
用户的认证方式 |
|
终端类型 |
用户的终端类型 |
|
登录时间/冻结时间 |
用户第一次登录的时间或冻结时间 |
|
在线时长 |
用户在线累计时间 |
|
状态 |
在线用户的状态是正常还是被冻结,被冻结会显示冻结剩余时间,缺省是600秒 |
|
操作 |
冻结用户操作 |
点击左侧用户组树的“根目录”,可以显示所有用户。
点击左侧用户组树的“属性组 > 匿名用户”,可以显示所有匿名用户。
点击左侧用户组树的“属性组 > 认证用户”,可以显示所有认证用户。
可以针对用户名和MAC地址进行模糊查询,输入查询条件后点击<查询>按钮进行查询。如图1-2所示。
在导航栏中选择“数据中心 > 系统监控 > 接口状态”进入接口状态显示界面,如图1-3所示。
对接口状态的详细说明如表1-2所示。
|
标题项 |
说明 |
|
名称 |
接口名称 |
|
链路状态 |
接口的链路状态 |
|
属性 |
接口属性 |
|
工作速率 |
接口的工作速率 |
|
双工模式 |
接口的双工模式 |
|
IP地址 |
接口的IP地址 |
|
IPv6地址 |
接口的IPv6地址 |
|
接收速率 |
接口的接收报文速率 |
|
发送速率 |
接口的发送报文速率 |
|
接收总包数 |
接口接收报文总数 |
|
接收总字节数 |
接口接收报文总字节数 |
|
发送总包数 |
接口发送报文总数 |
|
发送总字节数 |
接口发送报文总字节数 |
|
MAC地址 |
接口MAC地址 |
点击左上角<清除计数>按钮可以立即清除当前的显示。
通过配置黑名单功能可以对来自指定IP地址的报文进行过滤,黑名单表项除了可以手工添加之外,还可以通过扫描攻击自动添加。
在导航栏选择“数据中心 > 系统监控 > 黑名单记录”进入黑名单显示界面,如图1-4所示,点击<新建>按钮,将弹出添加黑名单界面,如图1-5所示。
表1-3 配置说明
|
配置项 |
说明 |
|
启用 |
勾选启用后黑名单生效,系统默认为勾选状态 |
|
源IP |
加入黑名单的IP地址,可以输入IPv4地址或IPv6地址,如:192.168.1.1或2000::1 |
|
生命周期 |
对应IP地址加入黑名单的时长,可以单击下拉框选择,或者输入自定义秒数,输入范围1-2592000秒 |
在导航栏选择“数据中心 > 系统监控 > 黑名单记录”进入黑名单显示界面,如图1-6所示,点击某条配置操作中的<编辑>按钮,将弹出编辑黑名单界面,如图1-7所示,可以对源IP和生命周期进行修改。黑名单配置各项参数含义如表1-4所示。
|
配置项 |
说明 |
|
启用 |
勾选启用后黑名单生效,默认是勾选状态 |
|
源IP |
加入黑名单的IP地址 |
|
生命周期 |
对应IP地址加入黑名单的时长 |
在导航栏选择“数据中心 > 系统监控 > 黑名单记录”进入黑名单显示界面,如图1-8所示,点击某条配置操作中的<删除>按钮,或使用选择框选择黑名单配置,点击上方的<删除>按钮进行删除。
黑名单可以配合某些防攻击模块一起使用,来达到更好的防护效果,比方说如果IP地址扫描攻击防护配置了加入黑名单,则当发生IP地址扫描攻击的时候,会自动生成一个源IP地址是攻击源地址的黑名单记录。
在导航栏选择“数据中心 > 系统监控 > 黑名单记录 > 黑名单记录”来查看所有添加的黑名单,如图1-9所示。
将IP地址3.3.3.3加入黑名单,并设置周期为10分钟。
(1) 如图1-10所示,在导航栏选择“数据中心 > 系统监控 > 黑名单记录”打开显示页面,点击<新建>按钮,在弹出的页面中进行配置,配置完成后点击<提交>按钮。
(2) 点击<提交>按钮后,完成黑名单的添加。
如图1-11所示,可以在显示页面看到刚刚添加的黑名单。
在导航栏中选择“数据中心 > 系统监控 > 实时流速监控”进入用户实时流速页面,如图1-12所示。
对设备用户实时流速的详细说明如表1-5所示。
|
标题项 |
说明 |
|
用户名 |
通过设备上网的用户名称 |
|
所属组 |
通过设备上网的用户所属的组 |
|
上行速率 |
显示该用户当前上行流速大小 |
|
下行速率 |
显示该用户当前下行流速大小 |
|
总流速 |
显示该用户当前上下行总流速大小 |
|
当前会话数 |
显示该用户当前会话数 |
点击“用户实时流速”里面的用户名列里面的用户名称,进入对应用户流量详细信息页面,如图1-13所示。
在导航栏中选择“数据中心 > 系统监控 > 实时流速监控 > 应用实时流速”进入应用实时流速页面,如图1-14所示。
对设备应用实时流速的详细说明如表1-6所示。
|
标题项 |
说明 |
|
应用名 |
应用名称 |
|
上行速率 |
显示该应用当前上行流速大小 |
|
下行速率 |
显示该应用当前下行流速大小 |
|
总流速 |
显示该应用当前上下行总流速大小 |
|
当前会话数 |
显示该应用当前会话数 |
点击“应用实时流速”列表应用名列的应用名称,进入对应应用流量显示的详细页面,如图1-15所示。
对单个应用流量统计的详细说明如表1-7所示。
|
标题项 |
说明 |
|
用户名 |
用户名称 |
|
上行速率 |
应用的单个用户上行速率 |
|
下行速率 |
应用的单个用户下行速率 |
|
总速率 |
应用的单个用户上下行总速率 |
|
当前会话数 |
应用的单个用户当前会话数 |
提供以资产为核心的安全监控和分析理念,通过资产梳理、主动风险发现、被动流量检测,帮助用户构建对IT资产实现多维度的安全分析监控。
从扫描、检测、感知三个维度进行风险发现,帮助企业做到:事前预防、事中阻断、事后回溯,提供一套全新的资产风险感知的解决方案。
资产识别涉及以下概念:
· 资产识别设定:开启资产识别设定后,可以通过流量识别资产信息。
· 端口扫描:端口扫描时勾选资产同步功能,可以将端口扫描结果同步到资产信息中。
· 可以识别到IPv4以及IPv6地址的资产
资产管理的配置思路:
(1) 配置资产识别范围,决定需要对哪些地址范围进行流量识别,资产IP支持IPv4/IPv6地址。
(2) 配置端口扫描任务,并勾选资产识别同步功能,资产识别设定的IP支持IPv4/IPv6地址。
在导航栏选择“数据中心 > 系统监控 > 资产管理”,进入资产管理页面,如图1-16所示界面。
|
参数 |
说明 |
|
新建 |
手动新建资产信息 |
|
导入 |
支持导入资产信息 |
|
导出 |
支持导出资产信息 |
|
查询 |
可以按照资产IP、资产描述、用户、部门、重要度、操作系统、可用服务、来源、状态、服务标识组合查询 |
|
同步策略状态 |
同步资产IP所对应的控制策略ID |
|
资产IP |
资产IP地址,支持IPv4/IPv6地址 |
|
资产描述 |
资产的描述信息 |
|
用户 |
资产所属用户 |
|
部门 |
资产所属用户的部门 |
|
重要度 |
资产的重要度 |
|
操作系统 |
资产使用的操作系统 |
|
可用服务 |
资产使用的服务 |
|
来源 |
资产的来源方式 |
|
状态 |
资产的状态 l 活跃:设备在线 l 空闲:设备离线 |
|
控制策略 |
资产对应的控制策略ID |
|
操作 |
支持编辑和删除资产 |
点击“同步策略状态”可以同步资产IP所对应的控制策略ID。系统会根据资产的源IP和目的IP,对控制策略进行匹配,将命中的策略ID同步到资产管理列表中。同步成功后,点击资产管理列表中对应的控制策略ID,即可查看对应的控制策略信息。如图1-17所示。
如果识别出资产的可用服务后,在资产管理列表中点击对应的资产IP,可以查看资产可用服务的详细信息,如图1-18所示。
在导航栏选择“数据中心 > 系统监控 > 资产管理 > 资产识别设定”,进入资产识别设定页面,如图1-19所示。
|
参数 |
说明 |
|
开启 |
开启资产识别功能 |
|
地址项目 |
支持资产按照子网地址、范围地址和主机地址等方式添加,可输入IPv4地址或IPv6地址,最多可配置50条。 |
|
排除地址 |
排除识别资产的地址 |
|
已添加服务标识 |
支持识别自定义服务标识 |
内网用户通过设备访问Internet,需要实时监控内网资产情况。
(1) 配置资产识别设定。
在导航栏中选择“数据中心 > 系统监控 > 资产管理 > 资产识别设定”进入资产识别设定页面,如图1-21所示,配置完成后点击<提交>按钮。
(2) 配置端口扫描功能。
在导航栏中选择“策略配置 > 安全设置 > 风险扫描 > 端口扫描 > 端口扫描任务”,单击“新建”按钮,进入端口扫描任务配置页面,如图1-22所示,配置完成后点击<提交>按钮。完成配置后,设备会在指定时间执行端口扫描。
在导航栏中选择“数据中心 > 系统监控 > 资产管理”,进入资产管理页面,可以查看到识别的资产信息,如图1-23所示。
当设备管理员需要了解某个终端用户或IP的网络状况而又不便于操作这个终端时,可以使用单用户检测功能探测终端网络状况,便于网络维护和管理。主要检测内容包括通用及自定义地址DNS测试、并发连接测试、通用及自定义地址带宽测试、终端性能测试等。
在导航栏中选择“数据中心 > 系统监控 > 故障监控中心 > 单用户检测”进入单用户检测页面,如图1-24所示。
监测对象可以配置为用户名或者IP地址(匿名用户使用),配置匿名用户时必须为在线用户;也可以单击“选择用户”从用户组或属性组中选择单个用户,如图1-25所示。
在单用户检测页面,单击监测地址后面的“设置”,进入监测地址配置界面,如图1-26所示。
监测地址配置界面参数如表1-10所示。
|
参数 |
说明 |
|
终端页面重定向 |
重定向至测试页面的终端页面。可选择访问百度(news.baidu.com)时重定向至测试页面,也可以选择访问所有Web页面时重定向至测试页面 |
|
监测地址 |
需要对终端用户进行网络监测的地址,作为DNS、并发连接、带宽测试使用。可以使用内置监测地址库,也可以自定义 如果用户访问内置监测地址不通,可以配置自定义监测地址 自定义监测地址格式支持域名、域名+端口、不带路径的URL(例:www.example.com、www.example.com:8080、http://www.example.com)一行支持一个域名,回车换行,最多支持8个 |
· 自定义监测地址不支持https网站。
· 如果多个终端使用同一个认证用户上网,终端都会推送测试页面,但只能监测一个终端。
· 若探测用户名为IP地址,则只针对此IP地址的用户进行单用户检测,不会检测此IP地址的匿名用户。
· 默认只支持http网站进行重定向,可以通过user-policy https-portal enable命令开启https网站重定向。
单击“开始监测”按钮,设备端会显示正在等待终端用户访问,如图1-27所示。
开始监测后,如果用户终端一直无请求,则5分钟后设备端页面会提示用户测试超时;单击“取消监测”可以停止监测。
如果用户终端开启测试,测试完成后设备端页面会显示最终测试结果,若测试质量差,会显示网络诊断信息。
使用自定义监测地址对内网终端用户进行网络检测,终端用户访问百度(news.baidu.com)重定向至测试页面。
(1) 完成基础网络配置。设备需要通过路由模式或者网桥模式部署,如果是网桥模式,必须要在网桥接口上配置IP地址。
(2) 内部网络用户通过设备可以上网。
(1) 在设备侧配置单用户检测
在导航栏选择“数据中心 > 系统监控 >故障监控中心 > 单用户检测”,进入单用户检测页面,配置监测对象,并输入自定义监测地址,单击“开始监测”。
图1-28 单用户检测配置页面
(2) 用户侧重定向到测试页面
测试用户打开浏览器并访问news.baidu.com,会重定向到测试页面,如下图所示。
图1-29 用户侧重定向页面
测试用户单击“开始测试”,此时测试用户与设备开始进行交互。用户侧页面如下图所示。
图1-30 用户侧开始测试页面
(3) 设备侧开始监测
测试用户单击“开始测试”后,设备侧显示监测信息,如下图所示。
测试完成后,用户侧显示测试完成的提示信息,如图1-31所示。设备侧会显示最终测试结果,如果测试质量差,会显示诊断信息,如图1-32所示。
数据分析是对系统应用及设备流量等产生的数据进行统计分析,包括用户流量统计、应用流量统计、用户信息中心、设备流量统计、设备健康统计和会话监控统计。
· 用户流量统计以柱状图、表格形式展示用户流量信息。
· 应用流量统计以趋势图、饼状图、表格形式展示应用流量信息。
· 用户信息中心包含用户日志统计、用户访问网站分析、用户轨迹时光轴等信息。
· 设备流量统计可以显示指定条件下设备流量信息。
· 设备健康统计可以显示指定条件下整机转发流量、会话数、cpu、内存使用、会话信息等信息。
· 会话监控统计可以显示设备会话统计、会话排名、会话监控等信息。
在导航栏中选择“数据中心 > 数据分析 > 用户流量统计”进入用户流量统计页面,如图2-1所示。
对用户流量统计的详细说明如表2-1所示。
|
标题项 |
说明 |
|
统计时间 |
设定流量显示的时间跨度,可选的值有: · 最近1小时 · 最近1天 · 最近1周 缺省情况下,显示最近1小时的用户流量统计 |
|
过滤条件 |
过滤显示流量的方向,可选的值有: · 双向 · 上行 · 下行 缺省情况下,显示双向的用户流量统计 |
|
数据刷新 |
立即刷新显示的统计数据 |
对用户统计详细信息的说明如表2-2 所示。
|
标题项 |
说明 |
|
用户名 |
用户的名称 |
|
上行流量 |
用户的上行流量 |
|
下行流量 |
用户的下行流量 |
|
总流量 |
用户的上下行流量总和 |
点击“用户统计详细信息”中的用户名称,进入对应用户详细流量统计的页面,如图2-2所示。
单个用户的流量统计的详细说明如表2-3所示。
|
标题项 |
说明 |
|
应用名 |
应用的名称 |
|
上行流量 |
用户的单个应用的上行流量 |
|
下行流量 |
用户的单个应用的下行流量 |
|
总流量 |
用户的单个应用的上下行总流量 |
|
风险级 |
用户的单个应用的风险级别 |
在导航栏中选择“数据中心 > 数据分析 > 应用流量统计”进入应用流量统计显示页面,如图2-3所示。向下拖动下拉按钮,显示最近一段时间的总流量占比图,如图2-4所示。页面最下方是应用统计详细信息,如图2-5所示。
图2-3 应用流量统计趋势
对应用流量统计的详细说明如表2-4所示。
|
标题项 |
说明 |
|
统计时间 |
设定流量显示的时间跨度,可选的值有: · 最近1小时 · 最近1天 · 最近1周 缺省情况下,显示最近1小时的应用流量统计 |
|
过滤条件 |
过滤显示流量的方向,可选的值有: · 双向 · 上行 · 下行 缺省情况下,显示双向的应用流量统计 |
|
数据刷新 |
立即刷新应用流量统计信息 |
对应用统计详细信息的说明如表2-5所示。
|
标题项 |
说明 |
|
应用名 |
应用的名称 |
|
上行流量 |
应用的上行流量 |
|
下行流量 |
应用的下行流量 |
|
总流量 |
应用的总流量 |
点击“应用统计详细信息”表格里面应用名列的应用名称,进入对应应用流量显示的详细页面,如图2-6所示。
对单个应用流量统计的详细说明如表2-6所示。
|
标题项 |
说明 |
|
用户名 |
用户名称 |
|
上行流量 |
用户的单个应用上行流量 |
|
下行流量 |
用户的单个应用下行流量 |
|
总流量 |
用户的单个用上下行总流量 |
在导航栏中选择“数据中心 > 数据分析 > 用户信息中心”进入用户信息中心显示界面,如图2-7所示。
对用户信息中心的详细说明如表2-7所示。
|
标题项 |
说明 |
|
选择日期 |
缺省情况,显示当天用户的基本日志量的信息。 |
|
用户 |
输入用户名关键字,展现经过滤的用户信息列表。 |
|
用户名 |
用户名称 |
|
用户组 |
用户所属用户组 |
|
IM聊天 |
IM聊天日志的条数目 |
|
社区 |
社区日志的条目数 |
|
搜索引擎 |
搜索引擎日志的条目数 |
|
文件传输 |
文件传输日志的条目数 |
|
邮件 |
邮件收发记录日志的条目数 |
|
网络娱乐 |
网络娱乐应用日志的条目数 |
|
其它 |
其它应用的日志条目数 |
|
网站访问 |
访问网站记录的日志条目数 |
在用户中心的用户基础信息列表,选择某个用户进入该用户的用户数据中心页面。
用户中心的虚拟用户身份信息如图2-8所示。
对虚拟用户身份信息的详细说明表2-8所示。
|
标题项 |
说明 |
|
用户 |
用户名称 |
|
所属用户组 |
用户所属的组 |
|
在线时长 |
用户在线累计时间 |
用户中心的用户日志数统计图2-9所示。
对用户日志数量统计图的详细说明如表2-9所示。
|
标题项 |
说明 |
|
IM聊天 |
当天该用户产生的IM聊天日志条数 |
|
社区 |
当天该用户产生的社区日志条数 |
|
搜索引擎 |
当天该用户产生的搜索引擎日志条数 |
|
文件传输 |
当天该用户产生的文件传输日志条数 |
|
邮件 |
当天该用户产生的邮件日志条数 |
|
网络娱乐 |
当天该用户产生的网络娱乐日志条数 |
|
其它 |
当天该用户产生的其它日志条数 |
用户中心的应用流量比例如图2-10所示。表框右上角显示该用户当天的总流量,饼图展示该用户当天应用类流量的占比。
用户中心的用户-访问网站分析如图2-11所示,主要展示该用户当天访问不同类型网站的比例。
图2-11 用户-访问网站分析
用户中心的用户轨迹时光轴展示如图2-12所示
用户轨迹时光轴主要展现该用户当天的主要网络行为事件。时光轴左侧表示用户核心事件触发的时间点,右侧展示用户核心事件的具体内容。
在导航栏中选择“数据中心 > 数据分析 > 设备流量统计”进入设备流量统计页面,如图2-13所示。
对设备流量统计的详细说明如表2-10所示。
|
标题项 |
说明 |
|
统计时间 |
设定流量显示的时间跨度,可选的值有: · 最近1小时 · 最近1天 · 最近1周 缺省情况下,显示最近1小时的用户流量统计 |
|
过滤条件 |
过滤显示流量的接口,可选值包括: · 整机转发流量 · null 缺省情况下,显示整机转发流量的统计 |
|
刷新数据 |
立即刷新显示的统计数据 |
|
上行、下行 |
不同显色显示设备的上下行流量,点击图例可以显示/取消显示该项流量 缺省情况下,上下行流量都显示 |
在导航栏中选择“数据中心 > 数据分析 > 设备健康统计”进入设备健康统计页面,如图2-14所示。
对设备健康统计的详细说明如表2-11所示。
|
标题项 |
说明 |
|
统计时间 |
设定健康统计显示的时间维度,可选的值有: · 最近1小时 · 最近4小时 · 最近1天 · 最近1周 缺省情况下,显示最近1小时的设备健康统计数据 |
|
刷新数据 |
立即刷新显示的所有健康统计项的统计数据 |
|
刷新图标 |
立即刷新健康统计当前项的显示的统计数据 |
|
整机转发流量 |
设备整机的吞吐量曲线图,点击图例的上下行图标,可以选择: · 上行:设备外网口的发包流量统计 · 下行:设备内网口的发包流量统计 缺省状态下,显示上行和下行 |
|
健康统计-会话数(条) |
设备的会话数统计,点击图例的允许会话数和阻断会话数图标可以选择: · 允许会话数:设备允许创建的会话数 · 阻断会话数:设备被阻断的会话 缺省情况下,显示允许和阻断会话数 |
|
健康统计-CPU(百分比) |
显示设备的CPU使用率,以百分比显示 |
|
健康统计-MEM(百分比) |
显示设备的内存使用情况,以百分比显示 |
|
健康统计-会话信息 |
设备的会话信息统计,点击图例的当前会话数和新增会话数图标可以选择: · 当前会话数:设备当前已创建的会话数。 · 新增会话数:设备当前新增的会话。 缺省情况下,显示当前会话数、当前新增会话数。 |
点击“导出”按钮,可以导出设备一周内的详细健康统计信息,设备健康统计信息导出页面如图2-15所示。导出的文件夹执行解压缩操作后,可以看到导出的数据文件如图2-16所示。
图2-16 导出的数据
对导出页面阈值的设置详细说明如表2-12所示。
|
标题项 |
说明 |
|
整机流量 |
默认勾选,阈值为0,即全部导出,最大值为100000Mbps |
|
会话允许/阻断 |
默认勾选,阈值为0,即全部导出,最大值为300w条 |
|
CPU百分比 |
默认勾选,阈值为0,即全部导出,最大值为100% |
|
内存百分比 |
默认勾选,阈值为0,即全部导出,最大值为100% |
|
会话数 |
默认勾选,阈值为0,即全部导出,最大值为300w条 |
在导航栏选择“数据中心 > 数据分析 > 会话监控统计 > 会话统计”,进入如图2-17所示页面。在该页面可以查看会话相关统计信息。
会话统计详细说明如表2-13所示。
|
标题项 |
说明 |
|
会话数 |
统计设备当前的总会话数以及新增会话数,通过曲线进行展示 |
|
历史会话统计 |
以TCP、UDP、其它维度进行统计设备上最近一段时间(最近1小时、最近1天、最近1周)的历史会话数,通过趋势图进行展示 |
|
会话源目标排名 |
基于源地址排名的TOP20会话数排名 |
|
会话目的目标排名 |
基于目的地址排名的TOP20会话数排名 |
在导航栏选择“数据中心 > 数据分析 > 会话监控统计 > 会话排名”,进入如图2-18所示的会话排名页面。
点击页面上的<查询>按钮,可以基于会话统计过滤条件查询会话排名,如图2-19所示。统计类型包括:源地址、目的地址和目的端口。
会话排名详细说明如表2-14所示。
|
标题项 |
说明 |
|
统计类型 |
统计类型包括:源地址、目的地址、目的端口三个维度,默认从源地址维度统计。 |
|
统计值 |
基于统计类型查询TOP N的会话排名上的具体会话IP地址。 |
|
连接数 |
会话对应的连接个数。 |
|
会话过滤 |
点击会话过滤可以直接查看该会话的详细会话列表,直接跳转到会话监控页面展示。 |
在导航栏选择“数据中心 > 数据分析 > 会话监控统计 > 会话监控”,进入如图2-20所示的会话监控页面。在该页面可以查看设备上的详细会话,也可以根据指定条件查询会话信息。
会话监控页面默认会话列展示项详细说明如表2-15所示。
|
标题项 |
说明 |
|
用户 |
用户组织结构上对应的用户名,如用户不在识别范围内,此项显示为空 |
|
用户组 |
用户组织结构上对应的用户组,如用户不在识别范围内,此项显示为空 |
|
源地址 |
会话发起方IP地址或根据识别范围配置确定的源IP地址 |
|
源端口 |
与源地址同一方的端口 |
|
目的地址 |
会话响应方IP地址或根据识别范围配置确定的目的IP地址 |
|
目的端口 |
与目的地址同一方的端口 |
|
协议 |
会话所采用的IP协议,除TCP/UDP/ICMP/IGMP外的其它的协议,直接显示协议号 |
|
类型 |
会话连接类型,主要有半连接和全连接两种 |
|
应用 |
应用识别模块审计到会话访问的应用 |
|
发送流量 |
会话发送的字节 |
|
接收流量 |
会话接收的字节 |
|
总流量 |
会话从建立开始到目前为止的发送流量和接收流量之和 |
|
创建时间 |
会话创建的时间 |
如图2-21所示,在会话监控的下拉框进行选择,可以过滤出满足条件的会话信息。过滤条件包括:TCP、UDP、ICMP、ICMPv6、其它协议、组播、广播、全连接、半连接、本地连接、长连接、允许、拒绝、SNAT,DNAT。系统默认显示所有条件的会话信息。时长超过半个小时的会话被标记为长连接。
搜索框查询支持使用会话表中的某个或者某些字段,进行精确搜索;也可以输入关键字进行模糊搜索,如图2-22所示。
精确搜索支持点击会话表中的用户、用户组、源地址、目的地址、目的端口、协议、连接类型、应用信息,精确查询到相关会话信息,如图2-23所示。
模糊搜索匹配通过在搜索框上输入查询关键字就能模糊匹配到相关会话信息,如图2-24所示。查询关键词包括:用户,用户组,源地址,目的地址,协议,应用。
会话监控页面默认展示常用表项,还有部分表项未进行展示,需要将鼠标悬停在会话监控页面任意标题列上,点击倒三角选择未展示的表项信息。如图2-25所示。
点击倒三角之后,可以看到会话监控页面上会话相关的所有列,如图2-26所示。
安全分析是对安全功能(IPS、AV、WEB防护、安全防护、端口扫描)、资产等产生的数据进行统计分析,包括安全事件分析、资产安全分析和WEB防护分析。
· 安全事件分析以柱状图、地域分布图、表格形式展示攻击源信息。
· 资产安全分析以饼状图、表格形式展示资产IP信息。
· WEB防护分析以柱状图、饼状图、趋势图形式分别展示规则防护和高级防护信息。
在导航栏中选择“数据中心 > 安全分析 > 安全事件分析”进入安全事件分析页面,如图3-1所示。
对安全事件分析的详细说明如表3-1所示。
|
标题项 |
说明 |
|
统计时间 |
设定显示的时间跨度,可选值包括: · 最近一天 · 最近一周 · 最近一月 · 自定义时间 缺省情况下,显示最近一月的安全事件分析 |
|
攻击源TOP |
过滤显示TOP攻击源地址,可选值包括: · 10 · 50 缺省情况下,显示TOP10的攻击源 |
|
查询 |
点击查询,可以根据时间、级别、事件类型、攻击源、归属地、攻击目的进行组合查询 |
|
攻击源 |
显示攻击地址 |
|
归属地址 |
显示攻击地址所属归属地 |
|
级别 |
显示攻击源级别,且支持按照级别进行排序展示 |
|
攻击次数 |
显示攻击源攻击次数,且支持按照攻击次数进行排序展示 |
|
开始时间 |
攻击源第一次记录日志的时间 |
|
结束时间 |
攻击源最近一次记录日志的时间 |
|
操作 |
点击加入黑名单,可将此攻击源永久加入黑名单 |
点击“安全事件分析”表格中攻击源对应的IP地址,进入所选攻击源详细统计页面,如图3-2所示。
单个攻击源详细统计的详细说明如表3-2所示。
|
标题项 |
说明 |
|
统计时间 |
设定显示的时间跨度,可选值包括: · 最近一天 · 最近一周 · 最近一月 · 自定义时间 缺省情况下,显示自定义时间的攻击源详细统计 |
|
攻击链 |
点击不同阶段的攻击链,可以过滤展示此阶段产生的日志 |
|
查询 |
点击查询,可以根据时间、级别、事件类型、攻击源、归属地、攻击目的进行组合查询 |
|
时间 |
日志记录时间 |
|
级别 |
日志记录级别 |
|
攻击目的 |
被攻击地址 |
|
检测模块 |
攻击检测模块 |
|
事件类型 |
攻击日志所属的事件类型 |
|
事件名称 |
事件类型的描述 |
|
行为 |
显示此攻击的处理动作 |
|
操作 |
点击详细,展示详细的匹配信息和事件信息 |
在导航栏中选择“数据中心 > 安全分析 > 资产安全分析”进入资产安全分析显示页面,如图3-3所示。
对资产安全分析的详细说明如表3-3所示。
|
标题项 |
说明 |
|
重置风险 |
支持单个或批量进行资产风险重置 |
|
查询 |
点击查询,可以根据资产IP、风险级别、资产描述、用户、部门、重要度、操作系统、状态进行组合查询 |
|
资产IP |
资产IP地址 |
|
资产描述 |
资产的描述 |
|
用户 |
资产IP所属用户 |
|
部门 |
资产IP所属部门 |
|
风险级别 |
显示风险级别 |
|
重要度 |
显示资产的重要度 |
|
操作系统 |
显示资产的操作系统 |
|
来源 |
资产来源,包括三种:流量发现、端口扫描、手工配置 |
|
状态 |
资产状态,活跃代表资产在线,空闲代表资产离线 |
|
操作 |
展示此资产的风险总览和攻击链 |
点击“资产安全分析”表格里面操作列的风险总览,进入对应风险总览显示的详细页面,如图3-4所示。
对风险总览详细信息的说明如表3-4所示。
|
标题项 |
说明 |
|
基本信息 |
展示资产IP、用户、部门、重要度、风险级别、操作系统和受攻击总数信息 |
|
攻击趋势 |
以趋势图方式展示资产受不同类型攻击的趋势 |
|
攻击日志统计 |
以饼状图方式展示资产受不同类型攻击的占比 |
|
查询 |
点击查询,可以根据时间、级别、攻击者地址、事件来源、事件类型进行组合查询 |
|
攻击者地址 |
展示攻击者地址 |
|
归属地 |
攻击者地址所属地区 |
|
级别 |
攻击日志记录级别 |
|
事件类型 |
展示此资产被同一攻击者攻击而产生的攻击日志事件类型描述 |
|
事件条数 |
展示此资产被同一攻击者攻击而产生的攻击日志汇总条数 |
|
时间 |
展示此资产被同一攻击者攻击而第一条日志时间和最近一条日志的时间 |
点击“资产安全分析”表格里面操作列的攻击链,进入对应攻击链显示的详细页面,如图3-5所示。
对攻击链统计的详细说明如表3-5所示。
|
标题项 |
说明 |
|
攻击链 |
点击不同阶段的攻击链,可以过滤展示此阶段产生的日志 |
|
查询 |
点击查询,可以根据时间、级别、攻击源、事件来源、事件类型、事件名称进行组合查询 |
|
时间 |
日志记录时间 |
|
级别 |
日志记录级别 |
|
攻击源 |
攻击者地址 |
|
检测模块 |
攻击检测模块 |
|
事件类型 |
攻击日志所属的事件类型 |
|
事件名称 |
事件类型的描述 |
|
行为 |
显示此攻击的处理动作 |
|
操作 |
点击详细,展示详细的匹配信息和事件信息 |
在导航栏中选择“数据中心 > 安全分析 > WEB防护分析”进入规则防护显示界面,如图3-6所示。
对规则防护的详细说明如表3-6所示。
|
标题项 |
说明 |
|
统计时间 |
设定显示的时间跨度,可选的值有: · 最近一天 · 最近一周 · 最近一月 · 自定义时间 缺省情况下,显示最近一月的规则防护统计 |
|
攻击类型分布 |
以饼状图的方式展示TOP5+其它的攻击类型占比 |
|
被攻击URL TOP10 |
以柱状图的方式展示TOP10的被攻击URL数据 |
在导航栏中选择“数据中心 > 安全分析 > WEB防护分析”进入规则防护显示界面,点击高级防护,进入高级防护显示页面,如图3-7所示。
对高级防护的详细说明如表3-7所示。
|
标题项 |
说明 |
|
防护策略 |
根据防护策略过滤展示数据,默认展示所有防护策略的数据 |
|
统计时间 |
设定显示的时间跨度,可选的值有: · 最近一天 · 最近一周 · 最近一月 · 自定义时间 缺省情况下,显示最近一月的高级防护统计 |
|
精确访问控制 |
以趋势图的方式展示精确访问控制策略命中趋势 |
|
防盗链 |
以趋势图的方式展示防盗链策略命中趋势 |
|
CSRF攻击防护 |
以趋势图的方式展示CSRF攻击防护策略命中趋势 |
|
CC攻击防护 |
以趋势图的方式展示CC攻击防护策略命中趋势 |
|
被攻击URL TOP10 |
以柱状图的方式展示TOP10的被攻击URL数据 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
