- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
03-数据中心
本章节下载: 03-数据中心 (2.72 MB)
目 录
系统监控是对系统当前状态信息的监控,主要包括在线用户、接口状态、黑名单记录、SSL VPN在线用户、实时流速监控和资产管理。
· 接口状态可以显示接口的状态、收发包速率、收发包总数等信息。
· 在线用户是对当前在线用户进行监控以及管理。包括对用户名、用户组IP地址、认证方式、在线时间、在线状态、登录时间等的详细记录,还可以对用户进行账户冻结。
· 黑名单记录可以通过IP和生命周期新建黑名单信息,还可以查看生成的黑名单记录,包括源IP、生命周期、生效时间、添加方式及状态信息。
· SSL VPN在线用户对当前SSL VPN在线用户进行监控以及管理。显示SSL VPN客户端接入的用户状态,可针对某一用户或某些用户进行冻结和强制注销。
· 实时流速监控可以显示用户实时流速、应用实时流速等信息。
· 资产管理提供以资产为核心的安全监控和分析理念,通过资产梳理、主动风险发现、被动流量检测,帮助用户构建对IT资产实现多维度的安全分析监控。
· 故障监控中心:对单用户终端网络状况进行监测。
在导航栏中选择“数据中心>系统监控>在线用户”进入在线用户界面,如图1-1所示。可以查看设备上所有的在线用户详细信息,点击用户名查看该用户的更多详细信息,有关用户对象及用户认证的更多信息,请参考“用户和用户认证”章节。
对在线用户管理详细说明如表1-1所示。
|
标题项 |
说明 |
|
用户名 |
通过设备上网的用户名称。 |
|
终端Mac |
通过设备上网的用户终端的Mac地址。 |
|
描述 |
用户的描述信息。 |
|
所属组 |
通过设备上网的用户所属的组。 |
|
IP地址 |
此用户所对应的IP地址。 |
|
认证方式 |
用户的认证方式。 |
|
终端类型 |
设备识别出来的用户终端类型,包括移动终端、PC、多终端等。 |
|
终端型号 |
设备识别出来的用户终端型号信息。 |
|
登录时间/冻结时间 |
用户第一次登录的时间或冻结时间。 |
|
状态 |
在线状态是正常还是被冻结,被冻结会显示冻结剩余时间,缺省是600秒。 |
|
在线时长 |
用户在线累计时间。 |
|
状态 |
用户的状态。 |
|
操作 |
冻结用户操作。 |
点击对应用户后的“
”,或者勾选用户,在上方工具栏中点击<冻结>,弹出“设置冻结时间”弹窗,设置冻结时长后,单击“提交”,即可冻结该用户。
图1-2 冻结用户页面
在线用户被冻结后,不能访问网络资源,不能登录设备,也不能进行用户认证。等待冻结时间到期或者被管理员解冻后,则可以继续访问网络资源,否则需要重新认证通过后才能访问网络资源。
勾选处于冻结状态的用户点击<解除冻结>可解除冻结,解除冻结之后用户可以访问外网。
点击对应用户后的“
”,或者勾选要注销的用户,在上方工具栏中点击<注销>,在弹出的对话框中点击<确定>可注销所选的用户,使用户下线。
图1-3 注销用户页面
当前在线用户中有认证用户时,注销认证用户后,该认证用户会被踢下线,本地web认证、微信认证、短信认证、免认证等认证用户会重新弹出Portal认证页面,需要终端用户重新认证才能正常上网。
(1) 在线用户支持导出全部组或者指定组的用户信息。将光标悬停于“导出”,选择“导出全部组”将导出当前全部在线用户信息;在左侧用户组导航树中点击指定的用户组,选择“导出指定组”,可以将所选用户组的在线用户信息导出到本地。
图1-4 导出在线用户
(2) 导出成功后,弹出提示如下。
(3) 单击“导出结果”按钮,弹出“导出结果”页面,单击
将导出结果下载到本地。
图1-6 导出结果页面
导出的文件如下图。
图1-7 导出的文件
(4) 将导出的文件解压缩,打开解压缩后的CSV文件,查看导出的在线用户信息,如下图。
图1-8 导出文件内容
· 在线用户导出的最大规格为120W条;
· 设备重启后不保留已导出的报告;
· 导出结果只保留最后一次导出的记录。
在导航栏中选择“数据中心>系统监控>接口状态”进入接口状态显示界面,如图1-9所示。
对接口状态的详细说明如表1-2所示。
|
标题项 |
说明 |
|
名称 |
接口名称 |
|
链路状态 |
接口的链路状态 |
|
属性 |
接口属性 |
|
工作速率 |
接口的工作速率 |
|
双工模式 |
接口的双工模式 |
|
IP地址 |
接口的IP地址 |
|
IPV6地址 |
接口的IPV6地址 |
|
接收速率 |
接口的接收报文速率 |
|
发送速率 |
接口的发送报文速率 |
|
接收总包数 |
接口接收报文总数 |
|
接收总字节数 |
接口接收报文总字节数 |
|
发送总包数 |
接口发送报文总数 |
|
发送总字节数 |
接口发送报文总字节数 |
|
MAC地址 |
接口MAC地址 |
点击左上角<清除计数>按钮可以立即清除当前的显示。
黑名单是一种基于IP、MAC地址或域名的报文控制方法,能快速有效地屏蔽特定IP、MAC地址或域名的用户,既对源地址生效,也对目的地址生效。
黑名单表项支持多种添加方式:
· 手动添加。
· API添加。
· 自定义添加方式(通过RESTful API添加时适用)。
· 通过扫描攻击自动添加。
在导航栏中选择“数据中心 > 系统监控 > 黑名单记录> 黑名单”,进入黑名单页面,点击“新建”按钮,进入黑名单新建页面,如图1-10所示。各个显示项含义如表1-3所示。
|
标题项 |
说明 |
|
启用 |
勾选为启用,不勾选为禁用。 |
|
IP/域名/MAC |
黑名单d IP地址或域名或MAC地址:1-63 字符,例如:192.168.1.1或2000::1或www.baidu.com或baidu.com或XX:XX:XX:XX:XX:XX) |
|
生命周期 |
黑名单的生效时间。 |
|
剩余时间 |
黑名单还有多长时间失效。 |
|
添加方式 |
有多种添加方式: · 手动添加; · API添加; · 自定义添加方式(通过restful api添加时候适用); · 端口扫描防护/IP扫描防护/IPS/防暴力破解/CC攻击防护/DNS隧道/导入/API添加/安全分析。 |
|
状态 |
生效或失效。 |
|
匹配次数 |
匹配到黑名单策略的次数。 |
|
操作 |
|
点击“新建”按钮,进入黑名单配置页面,如图1-11所示。各个配置项的说明如所示。
表1-4 配置说明
|
配置项 |
说明 |
|
启用 |
勾选启用后黑名单生效,默认是勾选状态。 |
|
IP/域名/MAC |
加入黑名单的IP地址或域名或MAC地址,地址可输入IPv4地址或IPv6地址,范围为3~255字符,例如:192.168.1.1或2000::1或www.baidu.com或baidu.com或XX:XX:XX:XX:XX:XX |
|
生命周期 |
加入黑名单的时长。可以单击下拉框选择预定义值,或者输入自定义秒数,输入范围1-2592000秒。 |
可以结合某些防攻击模块使用全局黑名单实现更好的防护效果。例如:在扫描攻击防御模块启用了“加入黑名单”选项,设备检测到扫描攻击的时候,会自动将扫描攻击的源IP地址加入到全局黑名单中。
步骤1 通过菜单“数据中心 > 系统监控 > 黑名单记录”进入黑名单显示界面,如图1-12所示,点击<下载模板>,下载模板文件至本地。
图1-12 黑名单导入-下载模板
步骤2 编辑模板文件并保存。
图1-13 黑名单模板
步骤3 点击<导入>,在弹出的对话框中点击<选择文件>,选择编辑后的模板文件,选择“替换”或“跳过”,点击<上传>,即可批量导入黑名单。
图1-14 黑名单导入界面
在导航栏中选择“数据中心 > 系统监控 > SSL VPN在线用户”,进入在线用户显示页面。页面中显示了已经拨入成功的SSL VPN用户。如图1-15所示。
页面的详细说明如表1-5。
|
项目 |
说明 |
|
名称 |
SSL VPN拨入用户的名称。 |
|
源IP |
SSL VPN拨入用户的源IP:一般是SSL VPN拨入用户公网出口IP地址 |
|
源端口 |
SSL VPN拨入用户的源端口。 |
|
虚拟IP |
SSL VPN拨入用户分配到IP地址。 |
|
发送字节数 |
统计SSL VPN拨入用户发送字节数。 |
|
接收字节数 |
统计SSL VPN拨入用户接收字节数。 |
|
登录时间 |
SSL VPN用户登录成功时间。 |
|
在线时长 |
SSL VPN用户拨入后在线时长。 |
|
状态 |
SSL VPN拨入用户状态展示。 |
|
操作 |
可以对相应SSL VPN拨入用户进行的操作。 |
在线用户显示页面可执行以下操作:
· 勾选用户,点击<强制注销>按钮,在弹出的对话框中点击<确定>可注销用户,注销后用户无法访问外网。
·
· 勾选用户,点击<冻结>按钮,可以将对应的在线用户进行冻结。可使用户在指定时长内无法访问外网。
· 勾选状态为冻结的用户,点击<解除冻结>按钮,可以将对应的已冻结用户解除冻结。解除冻结后用户可以访问外网。
在导航栏中选择“数据中心 > 系统监控 > 实时流速监控”进入用户实时流速页面,如图1-16所示。
对设备用户实时流速的详细说明如表1-6所示。
|
标题项 |
说明 |
|
用户名 |
通过设备上网的用户名称 |
|
所属组 |
通过设备上网的用户所属的组 |
|
上行速率 |
显示该用户当前上行流速大小 |
|
下行速率 |
显示该用户当前下行流速大小 |
|
总流速 |
显示该用户当前上下行总流速大小 |
|
当前会话数 |
显示该用户当前会话数 |
点击“用户实时流速”里面的用户名列里面的用户名称,进入对应用户流量详细信息页面,如图1-17所示。
在导航栏中选择“数据中心 > 系统监控 > 实时流速监控 > 应用实时流速”进入应用实时流速页面,如图1-18所示。
对设备应用实时流速的详细说明如表1-7所示。
|
标题项 |
说明 |
|
应用名 |
应用名称 |
|
上行速率 |
显示该应用当前上行流速大小 |
|
下行速率 |
显示该应用当前下行流速大小 |
|
总速率 |
显示该应用当前上下行总流速大小 |
|
当前会话数 |
显示该应用当前会话数 |
点击“应用实时流速”列表应用名列的应用名称,进入对应应用流量显示的详细页面,如图1-19所示。
对单个应用流量统计的详细说明如表1-8所示。
|
标题项 |
说明 |
|
用户名 |
用户名称 |
|
上行速率 |
应用的单个用户上行速率 |
|
下行速率 |
应用的单个用户下行速率 |
|
总速率 |
应用的单个用户上下行总速率 |
|
当前会话数 |
应用的单个用户当前会话数 |
提供以资产为核心的安全监控和分析理念,通过资产梳理、主动风险发现、被动流量检测,帮助用户构建对IT资产实现多维度的安全分析监控。
从扫描、检测、感知三个维度进行风险发现,帮助企业做到:事前预防、事中阻断、事后回溯,提供一套全新的资产风险感知的解决方案。
资产识别涉及以下概念:
· 资产识别设定:开启资产识别设定后,可以通过流量识别资产信息。
· 端口扫描:端口扫描时勾选资产同步功能,可以将端口扫描结果同步到资产信息中。
· 可以识别到IPv4以及IPv6地址的资产
资产管理的配置思路:
(1) 配置资产识别范围,决定需要对哪些地址范围进行流量识别,资产IP支持IPv4/IPv6地址。
(2) 配置端口扫描任务,并勾选资产识别同步功能,资产识别设定的IP支持IPv4/IPv6地址。
通过菜单“数据中心 > 系统监控 > 内网资产管理”,进入资产管理页面,如图1-20所示界面。
|
参数 |
说明 |
|
新建 |
手动新建资产信息 |
|
导入 |
支持导入资产信息 |
|
导出 |
支持导出资产信息 |
|
查询 |
可以按照资产IP、资产描述、用户、部门、重要度、操作系统、可用服务、来源、状态、服务标识组合查询 |
|
同步策略状态 |
同步资产IP所对应的控制策略ID |
|
资产IP |
资产IP地址,支持IPv4/IPv6地址。 |
|
资产描述 |
资产的描述信息 |
|
用户 |
资产所属用户 |
|
部门 |
资产所属用户的部门 |
|
重要度 |
资产的重要度 |
|
操作系统 |
资产使用的操作系统 |
|
可用服务 |
资产使用的服务 |
|
来源 |
资产的来源方式 |
|
状态 |
资产的状态 l 活跃:设备在线 l 空闲:设备离线 |
|
控制策略 |
同步策略状态成功后,显示命中的控制策略ID,点击控制策略ID,可查看对应的控制策略信息。如果未同步成功,则显示“待同步”。 |
|
操作 |
支持编辑和删除资产 |
点击“同步策略状态”可以同步资产IP所对应的控制策略ID。系统会根据资产的IP地址对控制策略中的源IP进行匹配,一旦命中控制策略就会将命中的策略ID同步到资产管理列表中。同步成功后,点击资产管理列表中对应的控制策略ID,即可查看对应的控制策略信息。如果未匹配任何控制策略,则资产中对应的控制策略会显示为无策略。如下图所示。
图1-21 控制策略信息页面
如果识别出资产的可用服务后,在资产管理列表中点击对应的资产IP,可以查看资产可用服务的详细信息,如下图所示。
图1-22 资产详细信息页面
通过菜单“数据中心 > 系统监控 > 资产管理 > 资产识别设定”,进入资产识别设定页面,如图1-23所示。
|
参数 |
说明 |
|
开启 |
开启资产识别功能 |
|
地址项目 |
支持资产按照子网地址、范围地址和主机地址等方式添加,可输入IPv4地址或IPv6地址,最多可配置50条。 |
|
排除地址 |
排除识别资产的地址 |
|
已添加服务标识 |
支持识别自定义服务标识 |
内网用户通过设备访问Internet,需要实时监控内网资产情况。
(1) 配置资产识别设定。
在导航栏中选择“数据中心 > 系统监控 > 资产管理 > 资产识别设定”进入资产识别设定页面,如图1-25所示,配置完成后点击<提交>按钮。
(2) 配置端口扫描功能。
在导航栏中选择“策略配置 > 安全设置 > 风险扫描 > 端口扫描 > 端口扫描任务”,单击“新建”按钮,进入端口扫描任务配置页面,如图1-26所示,配置完成后点击<提交>按钮。
在导航栏中选择“数据中心 > 系统监控 > 资产管理”,进入资产管理页面,可以查看到识别的资产信息,如图1-27所示。
当设备管理员需要了解某个终端用户或IP的网络状况而又不便于操作这个终端时,可以使用单用户检测功能探测终端网络状况,便于网络维护和管理。主要检测内容包括通用及自定义地址DNS测试、并发连接测试、通用及自定义地址带宽测试、终端性能测试等。
步骤1 在导航栏中选择“数据中心 > 系统监控 > 故障监控中心 > 单用户检测”进入单用户检测页面,如下图所示。
图1-28 单用户检测页面
步骤2 选择监测对象。
监测对象可以配置为IP地址(匿名用户使用)或者用户名,配置匿名用户时必须为在线用户;也可以单击“选择用户”从用户组或属性组中选择单个用户,如下图所示。
步骤3 在单用户检测页面,单击监测地址后面的“设置”,进入监测地址配置界面,如下图所示。
监测地址配置界面参数如表1-11所示。
|
参数 |
说明 |
|
终端页面重定向 |
重定向至测试页面的终端页面。可选择访问百度时(news.baidu.com)重定向至测试页面,也可以选择访问所有Web页面时重定向至测试页面。 |
|
监测地址 |
需要对终端用户进行网络监测的地址,作为DNS、并发连接、带宽测试使用。可以使用内置监测地址库,也可以自定义。 如果用户访问内置监测地址不通,可以配置自定义监测地址。 自定义监测地址格式支持域名、域名+端口、不带路径的URL(例:www.example.com、www.example.com:8080、http://www.example.com)一行支持一个域名,回车换行,最多支持8个。 |
· 自定义监测地址不支持https网站。
· 如果多个终端使用同一个认证用户上网,终端都会推送测试页面,但只能监测一个终端。
· 若探测用户名为IP地址,则只针对此IP地址的用户进行单用户检测,不会检测此IP地址的匿名用户。
· 默认只支持http网站进行重定向,可以通过user-policy https-portal enable命令开启https网站重定向。
步骤4 单击“开始监测”按钮,设备端会显示正在等待终端用户访问,如图1-31所示。
步骤5 开始监测后,如果用户终端一直无请求,则5分钟后设备端页面会提示用户测试超时;单击“取消监测”可以停止监测。
步骤6 如果用户终端开启测试,测试完成后设备端页面会显示最终测试结果,若测试质量差,会显示网络诊断信息。
在导航栏中选择“数据中心 > 系统监控 > 故障监控中心”,选择“网络故障排查”页签,查看设备转发流量以及异常事件情况,如图1-32所示。
设备整机流量波形图可展示最近一小时、最近一天、最近一周的整机流量趋势。
选择时间,可查看所选日期的异常事件情况,默认显示系统当天的异常事件情况。如图1-33所示。单击页签可查看以下异常事件日志:
· 内网DOS事件:显示DOS攻击产生的日志,需要在设备上开启DOS攻击防护功能。
· 网口丢包事件:显示网口丢包事件产生的日志。
· ARP/ND异常事件:显示安全防护日志中ARP和ND攻击产生日志,需要在设备上开启ARP/ND攻击防护功能。
· 流量告警事件:显示系统告警日志中整机流量告警记录。
图1-33 网络故障排查-异常事件页面
设备支持解密策略故障排查功能,可以根据准入客户端的安装情况、证书安装情况、异常详情来定位故障信息。
在导航栏中选择“数据中心 > 系统监控 > 故障监控中心”,选择“解密策略故障排查”页签,可以查看客户端匹配的解密策略信息,客户端SSL解密证书安装情况,如下图所示。
图1-34 解密策略故障排查页面
数据分析是对系统应用及设备流量等产生的数据进行统计分析,包括用户流量统计、应用流量统计、用户信息中心、设备流量统计、设备健康统计和会话监控统计。
· 用户流量统计以柱状图、表格形式展示用户流量信息。
· 应用流量统计以趋势图、饼状图、表格形式展示应用流量信息。
· 用户信息中心包含用户日志统计、用户访问网站分析、用户轨迹时光轴等信息。
· 设备流量统计可以显示指定条件下设备流量信息。
· 设备健康统计可以显示整机转发流量、会话数、cpu、内存使用等信息。
· 会话监控统计可以显示设备会话统计、会话排名、会话监控等信息。
在导航栏中选择“数据中心 > 数据分析 > 用户流量统计”进入用户流量统计页面,如图2-1所示。
对用户流量统计的详细说明如表2-1所示。
|
标题项 |
说明 |
|
统计时间 |
设定流量显示的时间跨度,可选的值有: · 最近一小时 · 最近一天 · 最近一周 缺省情况下,显示最近一小时的用户流量统计 |
|
过滤条件 |
过滤显示流量的方向,可选的值有: · 双向 · 上行 · 下行 缺省情况下,显示双向的用户流量统计 |
|
刷新数据 |
立即刷新显示的统计数据 |
|
用户名 |
用户的名称 |
|
上行流量 |
用户的上行流量 |
|
下行流量 |
用户的下行流量 |
|
总流量 |
用户的上下行流量总和 |
点击“用户统计详细信息”表格里面的用户名列里面的用户名称,进入对应用户详细流量统计的页面,如图2-2所示。
单个用户的流量统计的详细说明如表2-2所示。
|
标题项 |
说明 |
|
应用名 |
应用的名称 |
|
上行流量 |
用户的单个应用的上行流量 |
|
下行流量 |
用户的单个应用的下行流量 |
|
总流量 |
用户的单个应用的上下行总流量 |
|
风险级别 |
该应用的风险级别,对应系统内置应用或者自定义应用的风险级别 |
在导航栏中选择“数据中心 > 数据分析 > 应用流量统计”进入应用流量统计显示页面,如图2-3所示。向下拖动下拉按钮,显示最近一段时间的总流量占比图,如图2-4所示。页面最下方是应用统计详细信息,如图2-5所示。
图2-3 应用流量统计趋势
对应用流量统计的详细说明如表2-3所示。
|
标题项 |
说明 |
|
统计时间 |
设定流量显示的时间跨度,可选的值有: · 最近一小时 · 最近一天 · 最近一周 缺省情况下,显示最近一小时的应用流量统计 |
|
过滤条件 |
过滤显示流量的方向,可选的值有: · 双向 · 上行 · 下行 缺省情况下,显示双向的应用流量统计 |
|
刷新数据 |
立即刷新应用流量统计信息 |
对应用统计详细信息的说明如表2-4所示。
|
标题项 |
说明 |
|
应用名 |
应用的名称 |
|
上行流量 |
应用的上行流量 |
|
下行流量 |
应用的下行流量 |
|
总流量 |
应用的总流量 |
|
风险级别 |
该应用的风险级别,对应系统内置应用或者自定义应用的风险级别 |
点击“应用统计详细信息”表格里面应用名列的应用名称,进入对应应用流量显示的详细页面,如图2-6所示。
对单个应用流量统计的详细说明如表2-5所示。
|
标题项 |
说明 |
|
用户名 |
用户名称 |
|
上行流量 |
用户的单个应用上行流量 |
|
下行流量 |
用户的单个应用下行流量 |
|
总流量 |
用户的单个用上下行总流量 |
在导航栏中选择“数据中心 > 数据分析 > 用户信息中心”进入用户信息中心显示界面,如图2-7所示。
对用户信息中心的详细说明如表2-6所示。
|
标题项 |
说明 |
|
选择日期 |
缺省情况,显示当天用户的基本日志量的信息。 |
|
用户过滤 |
输入用户名关键字,展现经过滤的用户信息列表。 |
|
用户名 |
用户名称 |
|
用户组 |
用户所属用户组 |
|
IM聊天 |
IM聊天日志的条数目 |
|
社区 |
社区日志的条目数 |
|
搜索引擎 |
搜索引擎日志的条目数 |
|
文件传输 |
文件传输日志的条目数 |
|
邮件 |
邮件收发记录日志的条目数 |
|
网络娱乐 |
网络娱乐应用日志的条目数 |
|
其它 |
其它应用的日志条目数 |
|
网站访问 |
访问网站记录的日志条目数 |
在用户中心的用户基础信息列表,选择某个用户进入该用户的用户数据中心页面。
用户中心的虚拟用户身份信息如图2-8所示。
对虚拟用户身份信息的详细说明表2-7所示。
|
标题项 |
说明 |
|
用户 |
用户名称 |
|
所属组 |
用户所属的组 |
|
在线时长 |
用户在线累计时间 |
用户中心的用户日志数统计图2-9所示。
对用户日志数量统计图的详细说明如表2-8所示。
|
标题项 |
说明 |
|
IM聊天 |
当天该用户产生的IM聊天日志条数 |
|
社区 |
当天该用户产生的社区日志条数 |
|
搜索引擎 |
当天该用户产生的搜索引擎日志条数 |
|
文件传输 |
当天该用户产生的文件传输日志条数 |
|
邮件 |
当天该用户产生的邮件日志条数 |
|
网络娱乐 |
当天该用户产生的网络娱乐日志条数 |
|
其它 |
当天该用户产生的其它日志条数 |
用户中心的应用流量比例如图2-10所示。
对应用流量比例统计的说明,表框右上角显示该用户当天的总流量,饼图展示该用户当天应用类流量的占比。
用户中心的用户-访问网站分析如图2-11所示
图2-11 用户-访问网站分析
用户-访问网站分析的饼图主要展示该用户当天访问不同类型网站的比例。
用户中心的用户轨迹时光轴展示如图2-12所示
用户轨迹时光轴主要展现该用户当天的主要网络行为事件。时光轴左侧表示用户核心事件触发的时间点,右侧展示用户核心事件的具体内容。
在导航栏中选择“数据中心 > 数据分析 > 设备流量统计”进入设备流量统计页面,如图2-13所示。
对设备流量统计的详细说明如表2-9所示。
|
标题项 |
说明 |
|
统计时间 |
设定流量显示的时间跨度,可选的值有: · 最近一小时 · 最近一天 · 最近一周 缺省情况下,显示最近一小时的用户流量统计 |
|
过滤条件 |
过滤显示流量的接口,可选值有: · 整机转发流量 · 特定某个接口的流量 缺省情况下,显示整机转发流量的统计 |
|
刷新数据 |
立即刷新显示的统计数据 |
|
上行、下行 |
不同显色显示设备的上下行流量,点击可以在现实上显示/取消显示该项流量 缺省情况下,上下行流量都显示 |
在导航栏中选择“数据中心 > 数据分析 > 设备健康统计”进入设备健康统计页面,如图2-14所示。
对设备健康统计的详细说明如表2-10所示。
|
标题项 |
说明 |
|
统计时间 |
设定健康统计显示的时间维度,可选的值有: · 最近1小时 · 最近4小时 · 最近1天 · 最近1周 缺省情况下,显示最近1小时的设备健康统计数据。 |
|
刷新数据 |
立即刷新显示的所有健康统计项的统计数据 |
|
每幅图的刷新图标 |
立即刷新健康统计当前项的显示的统计数据 |
|
整机转发流量 |
设备整机的吞吐量曲线图,点击图下的上下行图标,可以选择: 上行:设备外网口的发包流量统计。 下行:设备内网口的发包流量统计。 缺省状态下,显示上行和下行。 |
|
健康统计-会话数 |
设备的会话数统计,点击图下的允许会话数和阻断会话数图标可以选择: 允许会话数:设备允许创建的会话数。 阻断会话数:设备因各种原因被阻断的会话。 缺省情况下,显示允许和阻断会话数。 |
|
健康统计-CPU(百分比) |
显示设备的CPU使用率,以百分比显示。 |
|
健康统计-MEM(百分比) |
显示设备的内存使用情况,以百分比显示。 |
|
健康统计-会话信息 |
设备的会话信息统计,点击图下的当前会话数和新增会话数图标可以选择: 当前会话数:设备当前已创建的会话数。 新增会话数:设备当前新增的会话。 缺省情况下,显示当前会话数、当前新增会话数和当前总会话数。 |
点击“导出”按钮,可以导出设备一周内的详细健康统计信息,导出设置页面如下图所示,导出的数据表格如图2-16所示。
图2-16 导出的数据表格
对导出页面阈值的设置详细说明如表2-11所示。
|
标题项 |
说明 |
|
整机流量 |
默认勾选,阈值为0,即全部导出,最大值为10G。 |
|
会话允许/阻断 |
默认勾选,阈值为0,即全部导出,最大值为30w条。 |
|
CPU百分比 |
默认勾选,阈值为0,即全部导出,最大值为100%。 |
|
内存百分比 |
默认勾选,阈值为0,即全部导出,最大值为100%。 |
|
会话数 |
默认勾选,阈值为0,即全部导出,最大值为30w条。 |
通过菜单“数据中心 > 数据分析 > 会话监控统计 > 会话统计”,进入如图2-17所示页面。在该页面可以查看会话相关统计信息。
会话统计详细说明如表2-12所示。
|
标题项 |
说明 |
|
会话数 |
统计设备当前的总会话数以及新增会话数,通过曲线进行展示。 |
|
历史会话统计 |
统计设备上最近一段时间(最近1小时、最近1天、最近1周)的历史会话数,以TCP、UDP、其它维度进行统计,通过趋势图进行展示。 |
|
会话源目标排名 |
基于源地址排名的TOP20会话数排名。 |
|
会话目的目标排名 |
基于目的地址排名的TOP20会话数排名。 |
通过菜单“数据中心 > 数据分析 > 会话监控统计 > 会话排名”,进入如图2-18所示页面。在该页面可以基于条件查看基于源地址、目的地址、目的端口排名的会话。
点击页面上的<查询>按钮,可以基于会话统计过滤条件查询会话排名。查询页面如图2-19所示。
会话排名详细说明如表2-13所示。
|
标题项 |
说明 |
|
统计类型 |
统计类型主要有源地址、目的地址、目的端口三个维度进行统计,默认是源地址维度统计。 |
|
统计值 |
基于统计类型查询TOP N的会话排名上的具体会话IP地址。 |
|
连接数 |
会话上对应的连接个数。 |
|
会话过滤 |
点击会话过滤可以直接查看该会话的详细会话列表,直接跳转到会话监控页面展示。 |
通过菜单“数据中心 > 数据分析 > 会话监控统计 > 会话监控”,进入如图2-20所示页面。在该页面可以查看设备上的详细会话,也可以根据指定条件查询会话信息。
会话监控页面默认会话列展示项详细说明如表2-14所示。
|
标题项 |
说明 |
|
用户 |
用户组织结构上对应的用户名,如用户不在识别范围内,此项显示为空。 |
|
用户组 |
用户组织结构上对应的用户组,如用户不在识别范围内,此项显示为空。 |
|
源地址 |
会话发起方IP地址或根据识别范围配置确定的源IP地址。 |
|
源端口 |
与源地址同一方的端口。 |
|
目的地址 |
会话响应方IP地址或根据识别范围配置确定的目的IP地址。 |
|
目的端口 |
与目的地址同一方的端口。 |
|
协议 |
IP协议号,TCP/UDP/ICMP/IGMP,如果有其它的协议,直接显示协议号。 |
|
类型 |
会话连接类型,主要有半连接和全连接两种。 |
|
应用 |
应用识别模块审计到会话访问的应用。 |
|
发送流量 |
会话发送的字节。 |
|
接收流量 |
会话接收的字节。 |
|
总流量 |
会话从建立开始到目前为止的发送流量和接收流量之和。 |
|
创建时间 |
会话创建的时间。 |
会话监控下拉框查询,下拉选中某个字段,就会作为过滤条件,过滤出满足条件的所有会话信息。过滤条件有TCP、UDP、ICMP、其它协议、组播、广播、全连接、半连接、本地连接、长连接、允许、拒绝、SNAT,DNAT。默认是无任何过滤条件的。会话时长超过半个小时的就标记为长连接。如下图所示,默认显示所有条件的会话信息。
搜索框查询,如图2-22所示。可以点击会话表中的某个或者某些字段,进行精确搜索;也可以输入关键字进行模糊搜索。
精确搜索可以点击:用户,用户组,源地址,目的地址,目的端口,协议,连接类型,应用。如图2-23所示,点击对应列就可以精确查询到相关会话信息。
模糊搜索匹配:用户,用户组,源地址,目的地址,协议,应用。如图2-24所示,直接在搜索框上输入查询关键字就能模糊匹配到相关会话信息。
会话监控页面默认展示了常用的列,还有部分未进行展示,需要在会话监控页面任意标题列上有倒三角图标出现的时候点击倒三角就能选择未展示的列信息。如图2-25所示。
点击倒三角之后,可以看到会话监控页面上会话相关的所有列,如图2-26所示。
安全分析是对安全功能(IPS、AV、WEB防护、安全防护、端口扫描)、资产等产生的数据进行统计分析,包括安全事件分析、资产安全分析和WEB防护分析。
· 安全事件分析以柱状图、地域分布图、表格形式展示攻击源信息。
· 资产安全分析以饼状图、表格形式展示资产IP信息。
· WEB防护分析以柱状图、饼状图、趋势图形式分别展示规则防护和高级防护信息。
在导航栏中选择“数据中心>安全分析>安全事件分析”进入安全事件分析页面,如图3-1所示。
对安全事件分析的详细说明如表3-1所示。
|
标题项 |
说明 |
|
统计时间 |
设定显示的时间跨度,可选的值有: · 最近一天 · 最近一周 · 最近一月 · 自定义时间 缺省情况下,显示最近一月的安全事件分析 |
|
攻击源TOP |
过滤显示TOP攻击源地址,可选的值有: · 10 · 50 缺省情况下,显示TOP10的攻击源 |
|
查询 |
点击查询,可以根据时间、级别、事件类型、攻击源、归属地、攻击目的进行组合查询 |
|
攻击源 |
显示攻击地址 |
|
归属地址 |
显示攻击地址所属归属地 |
|
级别 |
显示攻击源级别,且支持按照级别进行排序展示 |
|
攻击次数 |
显示攻击源攻击次数,且支持按照攻击次数进行排序展示 |
|
开始时间 |
攻击源第一次记录日志的时间 |
|
结束时间 |
攻击源最近一次记录日志的时间 |
|
操作 |
点击加入黑名单,可将此攻击源永久加入黑名单 |
点击“安全事件分析”表格里面的攻击源列里面的IP地址,进入对应攻击源详细统计的页面,如图3-2所示。
单个攻击源详细统计的详细说明如表3-2所示。
|
标题项 |
说明 |
|
统计时间 |
设定显示的时间跨度,可选的值有: · 最近一天 · 最近一周 · 最近一月 · 自定义时间 缺省情况下,显示自定义时间的攻击源详细统计 |
|
攻击链 |
点击不同阶段的攻击链,可以过滤展示此阶段产生的日志 |
|
查询 |
点击查询,可以根据时间、级别、事件类型、攻击源、归属地、攻击目的进行组合查询 |
|
时间 |
日志记录时间 |
|
级别 |
日志记录级别 |
|
攻击目的 |
被攻击地址 |
|
检测模块 |
攻击检测模块 |
|
事件类型 |
攻击日志所属的事件类型 |
|
事件名称 |
事件类型的描述 |
|
行为 |
显示此攻击的处理动作 |
|
操作 |
点击详细,展示详细的匹配信息和事件信息 |
在导航栏中选择“数据中心>安全分析>资产安全分析”进入资产安全分析显示页面,如图3-3所示。
对资产安全分析的详细说明如表3-3所示。
|
标题项 |
说明 |
|
重置风险 |
支持单个或批量进行资产风险重置 |
|
查询 |
点击查询,可以根据资产IP、风险级别、资产描述、用户、部门、重要度、操作系统、状态进行组合查询 |
|
资产IP |
资产IP地址 |
|
资产描述 |
资产的描述 |
|
用户 |
资产IP所属用户 |
|
部门 |
资产IP所属部门 |
|
风险级别 |
显示风险级别 |
|
重要度 |
显示资产的重要度 |
|
操作系统 |
显示资产的操作系统 |
|
来源 |
资产来源,有三种:流量发现、端口扫描、手工配置 |
|
状态 |
资产状态,活跃代表资产在线,空闲代表资产离线 |
|
操作 |
展示此资产的风险总览和攻击链 |
点击“资产安全分析”表格里面操作列的风险总览,进入对应风险总览显示的详细页面,如图3-4所示。
对风险总览详细信息的说明如表3-4所示。
|
标题项 |
说明 |
|
基本信息 |
展示资产IP、用户、部门、重要度、风险级别、操作系统和受攻击总数信息 |
|
攻击趋势 |
以趋势图方式展示资产受不同类型攻击的趋势 |
|
攻击日志统计 |
以饼状图方式展示资产受不同类型攻击的占比 |
|
查询 |
点击查询,可以根据时间、级别、攻击者地址、事件来源、事件类型进行组合查询 |
|
攻击者地址 |
展示攻击者地址 |
|
归属地 |
攻击者地址所属地区 |
|
级别 |
攻击日志记录级别 |
|
事件类型 |
展示此资产被同一攻击者攻击而产生的攻击日志事件类型描述 |
|
事件条数 |
展示此资产被同一攻击者攻击而产生的攻击日志汇总条数 |
|
时间 |
展示此资产被同一攻击者攻击而第一条日志时间和最近一条日志的时间 |
点击“资产安全分析”表格里面操作列的攻击链,进入对应攻击链显示的详细页面,如图3-5所示。
对攻击链统计的详细说明如表3-5所示。
|
标题项 |
说明 |
|
攻击链 |
点击不同阶段的攻击链,可以过滤展示此阶段产生的日志 |
|
查询 |
点击查询,可以根据时间、级别、攻击源、事件来源、事件类型、事件名称进行组合查询 |
|
时间 |
日志记录时间 |
|
级别 |
日志记录级别 |
|
攻击源 |
攻击者地址 |
|
检测模块 |
攻击检测模块 |
|
事件类型 |
攻击日志所属的事件类型 |
|
事件名称 |
事件类型的描述 |
|
行为 |
显示此攻击的处理动作 |
|
操作 |
点击详细,展示详细的匹配信息和事件信息 |
在导航栏中选择“数据中心>安全分析>WEB防护分析”进入规则防护显示界面,如图3-6所示。
对规则防护的详细说明如表3-6所示。
|
标题项 |
说明 |
|
统计时间 |
设定显示的时间跨度,可选的值有: · 最近一天 · 最近一周 · 最近一月 · 自定义时间 缺省情况下,显示最近一月的规则防护统计 |
|
攻击类型分布 |
以饼状图的方式展示TOP5+其它的攻击类型占比 |
|
被攻击URL TOP10 |
以柱状图的方式展示TOP10的被攻击URL数据 |
在导航栏中选择“数据中心>安全分析>WEB防护分析”进入规则防护显示界面,点击高级防护,进入高级防护显示页面,如图3-7所示。
对高级防护的详细说明如表3-7所示。
|
标题项 |
说明 |
|
防护策略 |
根据防护策略过滤展示数据,默认展示所有防护策略的数据 |
|
统计时间 |
设定显示的时间跨度,可选的值有: · 最近一天 · 最近一周 · 最近一月 · 自定义时间 缺省情况下,显示最近一月的高级防护统计 |
|
精确访问控制 |
以趋势图的方式展示精确访问控制策略命中趋势 |
|
防盗链 |
以趋势图的方式展示防盗链策略命中趋势 |
|
CSRF攻击防护 |
以趋势图的方式展示CSRF攻击防护策略命中趋势 |
|
CC攻击防护 |
以趋势图的方式展示CC攻击防护策略命中趋势 |
|
被攻击URL TOP10 |
以柱状图的方式展示TOP10的被攻击URL数据 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
