- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
03-数据中心
本章节下载: 03-数据中心 (3.16 MB)
目 录
系统监控是对系统当前状态信息的监控,主要包括在线用户、接口状态、黑名单记录、SSL VPN在线用户、实时流速监控和资产管理。
· 接口状态可以显示接口的状态、收发包速率、收发包总数等信息。
· 在线用户是对当前在线用户进行监控以及管理。包括对用户名、用户组IP地址、认证方式、在线时间、在线状态、登录时间等的详细记录,还可以对用户进行账户冻结。
· 黑名单记录可以通过IP和生命周期新建黑名单信息,还可以查看生成的黑名单记录,包括源IP、生命周期、生效时间、添加方式及状态信息。
· SSL VPN在线用户对当前SSL VPN在线用户进行监控以及管理。显示SSL VPN客户端接入的用户状态,可针对某一用户或某些用户进行冻结和强制注销。
· 实时流速监控可以显示用户实时流速、应用实时流速等信息。
· 资产管理提供以资产为核心的安全监控和分析理念,通过资产梳理、主动风险发现、被动流量检测,帮助用户构建对IT资产实现多维度的安全分析监控。
· 故障监控中心:对单用户终端网络状况进行监测。
在导航栏中选择“数据中心>系统监控>在线用户”进入在线用户界面,可以查看设备上所有的在线用户详细信息,点击用户名查看该用户的更多详细信息。如图1-1所示。有关用户对象及用户认证的更多信息,请参见“用户和用户认证”章节。
对在线用户管理详细说明如表1-1所示。
|
标题项 |
说明 |
|
用户名 |
通过设备上网的用户名称。 |
|
终端Mac |
通过设备上网的用户终端的Mac地址。 |
|
描述 |
用户的描述信息。 |
|
所属组 |
通过设备上网的用户所属的组。 |
|
IP地址 |
此用户所对应的IP地址。 |
|
认证方式 |
用户的认证方式。 |
|
终端类型 |
设备识别出来的用户终端类型,包括移动终端、PC、多终端等。 |
|
终端型号 |
设备识别出来的用户终端型号信息。 |
|
登录时间/冻结时间 |
用户第一次登录的时间或冻结时间。 |
|
状态 |
在线状态是正常还是被冻结,被冻结会显示冻结剩余时间,缺省是600秒。 |
|
在线时长 |
用户在线累计时间。 |
|
状态 |
用户的状态。 |
|
操作 |
冻结用户操作。 |
对应用户后的“
”,或者勾选在线用户后点击“冻结”按钮,弹出“设置冻结时间”弹窗,设置冻结时长后,单击“提交”确认配置,即可冻结所选用户。
在线用户被冻结后,不能访问网络资源,不能登录设备,也不能进行用户认证。等待冻结时间到期或者被管理员解冻后,则可以继续访问网络资源,否则需要重新认证通过后才能访问网络资源。
勾选处于冻结状态的用户点击<解除冻结>可解除冻结,解除冻结之后用户可以访问外网。
点击对应用户后的“
”,或者勾选要注销的用户,在上方工具栏中点击<注销>,在弹出的对话框中点击<确定>可注销所选的用户,使用户下线。
当前在线用户中有认证用户时,注销认证用户后,该认证用户会被踢下线,本地web认证、微信认证、短信认证、免认证等认证用户会重新弹出Portal认证页面,需要终端用户重新认证才能正常上网。
(1) 在线用户支持导出全部组或者指定组的用户信息。将光标悬停于“导出”,选择“导出全部组”将导出当前全部在线用户信息;在左侧用户组导航树中点击指定的用户组,选择“导出指定组”,可以将所选用户组的在线用户信息导出到本地。
(2) 导出成功后,弹出提示如下。
(3) 单击“导出结果”按钮,弹出“导出结果”页面,单击
将导出结果下载到本地。
导出的文件如下图。
(4) 将导出的文件解压缩,打开解压缩后的CSV文件,查看导出的在线用户信息,如下图。
· 在线用户导出的最大规格为120W条;
· 设备重启后不保留已导出的报告;
· 导出结果只保留最后一次导出的记录。
在导航栏中选择“数据中心>系统监控>接口状态”进入接口状态显示界面,如图1-9所示。
对接口状态的详细说明如表1-2所示。
|
标题项 |
说明 |
|
名称 |
接口名称 |
|
链路状态 |
接口的链路状态 |
|
属性 |
接口属性 |
|
工作速率 |
接口的工作速率 |
|
双工模式 |
接口的双工模式 |
|
IP地址 |
接口的IP地址 |
|
IPV6地址 |
接口的IPV6地址 |
|
接收速率 |
接口的接收报文速率 |
|
发送速率 |
接口的发送报文速率 |
|
接收总包数 |
接口接收报文总数 |
|
接收总字节数 |
接口接收报文总字节数 |
|
发送总包数 |
接口发送报文总数 |
|
发送总字节数 |
接口发送报文总字节数 |
|
MAC地址 |
接口MAC地址 |
点击左上角<清除计数>按钮可以立即清除当前的显示。
黑名单是一种基于IP、MAC地址或域名的报文控制方法,能快速有效地屏蔽特定IP、MAC地址或域名的用户,既对源地址生效,也对目的地址生效,同时支持对HTTP报文中XFF字段内的IP地址进行阻断。
黑名单表项支持多种添加方式:
· 手动添加。
· API添加。
· 自定义添加方式(通过RESTful API添加时适用)。
· 通过扫描攻击自动添加。
(1) 在导航栏中选择“数据中心 > 系统监控 > 黑名单记录> 黑名单”,进入黑名单页面,点击“新建”按钮,进入黑名单新建页面,如图1-10所示。各个显示项含义如表1-3所示。
|
标题项 |
说明 |
|
启用 |
勾选为启用,不勾选为禁用。 |
|
IP/域名/MAC |
黑名单的 IP地址或域名或MAC地址:3-255 字符,例如:192.168.1.1或2000::1或example.com 或 00:11:22:33:44:55) |
|
生命周期 |
黑名单的生效时间。 |
|
剩余时间 |
黑名单还有多长时间失效。 |
|
添加方式 |
有多种添加方式: · 手动添加; · API添加; · 自定义添加方式(通过restful api添加时候适用); · 端口扫描防护/IP扫描防护/IPS/防暴力破解/CC攻击防护/DNS隧道/导入/API添加/安全分析。 |
|
状态 |
生效或失效。 |
|
匹配次数 |
匹配到黑名单策略的次数。 |
|
操作 |
|
(2) 点击“新建”按钮,进入黑名单配置页面,如图1-11所示。各个配置项的说明如所示。
表1-4 配置说明
|
配置项 |
说明 |
|
启用 |
勾选启用后黑名单生效,默认是勾选状态。 |
|
IP/域名/MAC |
加入黑名单的IP地址或域名或MAC地址,地址可输入IPv4地址或IPv6地址,范围为3~255字符,例如:192.168.1.1或2000::1或example.com 或 00:11:22:33:44:55 |
|
生命周期 |
加入黑名单的时长。可以单击下拉框选择预定义值,或者输入自定义秒数,输入范围1-2592000秒。 |
可以结合某些防攻击模块使用全局黑名单实现更好的防护效果。例如:在扫描攻击防御模块启用了“加入黑名单”选项,设备检测到扫描攻击的时候,会自动将扫描攻击的源IP地址加入到全局黑名单中。
(3) 勾选“XFF匹配”,可以开启黑名单匹配XFF字段内容功能,默认为关闭。
启用后,如果IP黑名单匹配上了HTTP报文中的X-Forwarded-For字段内的IP地址,此报文会被阻断。最多支持匹配XFF中最原始五级IP的匹配。
步骤1 通过菜单“数据中心 > 系统监控 > 黑名单记录”进入黑名单显示界面,如图1-12所示,点击<下载模板>,下载模板文件至本地。
图1-12 黑名单导入-下载模板
步骤2 编辑模板文件并保存。
图1-13 黑名单模板
步骤3 点击<导入>,在弹出的对话框中点击<选择文件>,选择编辑后的模板文件,选择“替换”或“跳过”,点击<上传>,即可批量导入黑名单。
图1-14 黑名单导入界面
在导航栏中选择“数据中心 > 系统监控 > SSL VPN在线用户”,进入在线用户显示页面。页面中显示了已经拨入成功的SSL VPN用户。如图1-15所示。
页面的详细说明如表1-5。
|
项目 |
说明 |
|
名称 |
SSL VPN拨入用户的名称。 |
|
源IP |
SSL VPN拨入用户的源IP:一般是SSL VPN拨入用户公网出口IP地址 |
|
源端口 |
SSL VPN拨入用户的源端口。 |
|
虚拟IP |
SSL VPN拨入用户分配到IP地址。 |
|
发送字节数 |
统计SSL VPN拨入用户发送字节数。 |
|
接收字节数 |
统计SSL VPN拨入用户接收字节数。 |
|
登录时间 |
SSL VPN用户登录成功时间。 |
|
在线时长 |
SSL VPN用户拨入后在线时长。 |
|
状态 |
SSL VPN拨入用户状态展示。 |
|
操作 |
可以对相应SSL VPN拨入用户进行的操作。 |
在线用户显示页面可执行以下操作:
· 勾选用户,点击<强制注销>按钮,在弹出的对话框中点击<确定>可注销用户,注销后用户无法访问外网。
·
· 勾选用户,点击<冻结>按钮,可以将对应的在线用户进行冻结。可使用户在指定时长内无法访问外网。
· 勾选状态为冻结的用户,点击<解除冻结>按钮,可以将对应的已冻结用户解除冻结。解除冻结后用户可以访问外网。
在导航栏中选择“数据中心 > 系统监控 > 实时流速监控”进入用户实时流速页面,如图1-16所示。
对设备用户实时流速的详细说明如表1-6所示。
|
标题项 |
说明 |
|
用户名 |
通过设备上网的用户名称 |
|
所属组 |
通过设备上网的用户所属的组 |
|
上行速率 |
显示该用户当前上行流速大小 |
|
下行速率 |
显示该用户当前下行流速大小 |
|
总流速 |
显示该用户当前上下行总流速大小 |
|
当前会话数 |
显示该用户当前会话数 |
点击“用户实时流速”里面的用户名列里面的用户名称,进入对应用户流量详细信息页面,如图1-17所示。
在导航栏中选择“数据中心 > 系统监控 > 实时流速监控 > 应用实时流速”进入应用实时流速页面,如图1-18所示。
对设备应用实时流速的详细说明如表1-7所示。
|
标题项 |
说明 |
|
应用名 |
应用名称 |
|
上行速率 |
显示该应用当前上行流速大小 |
|
下行速率 |
显示该应用当前下行流速大小 |
|
总速率 |
显示该应用当前上下行总流速大小 |
|
当前会话数 |
显示该应用当前会话数 |
点击“应用实时流速”列表应用名列的应用名称,进入对应应用流量显示的详细页面,如图1-19所示。
对单个应用流量统计的详细说明如表1-8所示。
|
标题项 |
说明 |
|
用户名 |
用户名称 |
|
上行速率 |
应用的单个用户上行速率 |
|
下行速率 |
应用的单个用户下行速率 |
|
总速率 |
应用的单个用户上下行总速率 |
|
当前会话数 |
应用的单个用户当前会话数 |
随着物联网的不断普及与应用,网络中接入终端类型呈现多样化和复杂化的发展趋势,大量不同类型的终端接入到网络中,给内网的资产管理带来很大难度。此外,物联网设备普遍存在安全漏洞,容易被非法利用发起网络攻击,以及终端设备违规接入等问题,给内网带来极大的安全隐患。因此,需要对网络中的终端进行有效的安全管控,确保接入终端的安全、可控,从而保障网络资产的安全与稳定。
设备的终端资产管理功能,支持以资产为核心的安全监控和分析,通过资产梳理、主动风险发现、被动流量检测,帮助用户构建对IT资产实现多维度的安全分析监控。
1. 终端资产管理的主要功能包括:
(1) 设备通过终端识别特征库对终端特征进行分析提取,识别终端信息,并支持特征库的在线自动升级和离线升级。
(2) 在终端资产列表中展示网络中终端的类型、操作系统等终端信息。
(3) 企业应根据自身业务需求和网络安全状况,制定合适的终端准入安全策略,确保终端设备满足企业网络安全要求。
(4) 可以基于识别出的终端信息,指定相应的控制策略和审计策略,对终端设备进行安全管控。
终端资产识别支持主动扫描和被动分析流量识别:
主动扫描识别:设备通过NMAP扫描终端,基于终端响应信息和终端特征库进行识别,主动发现资产,可以将扫描结果同步到资产信息中。
被动流量识别:设备通过被动分析监控网段中的流量,并结合终端识别特征库,识别流量中的终端信息。支持基于DHCP协议进行识别。
资产管理的配置思路:
(1) 开启终端资产识别和流量识别。
(2) 配置扫描识别网段。
(3) 如需开启主动扫描识别终端资产,需到端口扫描界面配置扫描任务,同时开启资产同步。
通过菜单“数据中心 > 系统监控 > 终端资产管理”,进入资产管理页面,如图1-20所示界面。可查看设备上识别到的所有终端资产信息。
页面左侧以树状结构展示终端资产类型,终端资产类型包括物联网终端、PC、移动终端、网络设备等,点击
可以展开查看该类型的子分类。
在树状结构中点击资产类型,在页面右侧列表可查看对应的资产信息,主要包括资产IP地址、用户、终端类型、操作系统、可用服务、终端类型等,并支持导入、导出资产信息。
点击“同步策略状态”可以同步资产IP所对应的控制策略ID。系统会根据资产的IP地址对控制策略中的源IP进行匹配,一旦命中控制策略就会将命中的策略ID同步到资产管理列表中。同步成功后,点击资产管理列表中对应的控制策略ID,即可查看对应的控制策略信息。如果未匹配任何控制策略,则资产中对应的控制策略会显示为“无策略”;如果未同步成功,则显示“待同步”。单击控制策略ID可查看对应策略的详细信息,如下图所示。
图1-21 终端资产信息页面
如果识别出资产的可用服务后,在资产管理列表中点击对应的资产IP,可以查看资产可用服务的详细信息,如下图所示。
图1-22 资产详细信息页面
选择“数据中心 > 系统监控 > 终端资产管理”,单击“新建”可以手动添加资产信息。添加后资产列表中的来源显示为“手动添加”。
图1-1 新建资产信息页面
表1-9 资产信息详细配置说明
|
参数 |
说明 |
|
资产IP |
资产IP地址,支持IPv4/IPv6地址。 |
|
资产描述 |
资产的描述信息(可选) |
|
用户 |
资产所属用户(可选) |
|
部门 |
资产所属用户的部门(可选) |
|
重要度 |
选择资产的重要度,可选普通资产和核心资产。 |
|
操作系统 |
选择该资产使用的操作系统。 |
通过菜单“数据中心 > 系统监控 > 终端资产管理 > 终端资产识别设定”,进入终端资产识别设定页面,如图图1-23所示。
图1-23 终端资产识别设定配置页面
|
参数 |
说明 |
|
开启 |
开启资产识别功能 |
|
地址项目 |
支持资产按照子网地址、范围地址和主机地址等方式添加,可输入IPv4地址或IPv6地址,最多可配置50条。 |
|
排除地址 |
排除识别资产的地址,对于排除地址范围的资产不执行资产识别。 |
|
流量识别资产 |
勾选后开启被动分析识别功能。 |
|
已添加服务标识 |
添加HTTP首部中的set-cookie关键字信息,进行资产识别时将利用这些关键字确定资产中的服务信息。 |
|
过滤未识别终端资产 |
开启后展示列表只展示识别到终端类型的资产信息,删除未识别到具体终端类型且通过流量方式识别到的资产。 |
|
自动删除离线终端 |
勾选开启自动删除离线终端功能,离线天数可自定义配置,时间范围为30-180天。当终端离线天数超过该配置时间,会被自动删除。 |
当设备管理员需要了解某个终端用户或IP的网络状况而又不便于操作这个终端时,可以使用单用户检测功能探测终端网络状况,便于网络维护和管理。主要检测内容包括通用及自定义地址DNS测试、并发连接测试、通用及自定义地址带宽测试、终端性能测试等。
单用户检测配置步骤如下:
步骤1 在导航栏中选择“数据中心 > 系统监控 > 故障监控中心 > 单用户检测”进入单用户检测页面,如下图所示。
图1-24 单用户检测页面
步骤2 选择监测对象。
监测对象可以配置为IP地址(匿名用户使用)或者用户名,配置匿名用户时必须为在线用户;也可以单击“选择用户”从用户组或属性组中选择单个用户,如下图所示。
步骤3 在单用户检测页面,单击监测地址后面的“设置”,进入监测地址配置界面,如下图所示。
监测地址配置界面参数如表1-11所示。
|
参数 |
说明 |
|
终端页面重定向 |
重定向至测试页面的终端页面。可选择访问百度时(news.baidu.com)重定向至测试页面,也可以选择访问所有Web页面时重定向至测试页面。 |
|
监测地址 |
需要对终端用户进行网络监测的地址,作为DNS、并发连接、带宽测试使用。可以使用内置监测地址库,也可以自定义。 如果用户访问内置监测地址不通,可以配置自定义监测地址。 自定义监测地址格式支持域名、域名+端口、不带路径的URL(例:www.example.com、www.example.com:8080、http://www.example.com)一行支持一个域名,回车换行,最多支持8个。 |
· 自定义监测地址不支持https网站。
· 如果多个终端使用同一个认证用户上网,终端都会推送测试页面,但只能监测一个终端。
· 若探测用户名为IP地址,则只针对此IP地址的用户进行单用户检测,不会检测此IP地址的匿名用户。
· 默认只支持http网站进行重定向,可以通过user-policy https-portal enable命令开启https网站重定向。
步骤4 单击“开始监测”按钮,设备端会显示正在等待终端用户访问,如下图所示。
步骤5 开始监测后,如果用户终端一直无请求,则5分钟后设备端页面会提示用户测试超时;单击“取消监测”可以停止监测。
步骤6 如果用户终端开启测试,测试完成后设备端页面会显示最终测试结果,若测试质量差,会显示网络诊断信息。
在导航栏中选择“数据中心 > 系统监控 > 故障监控中心”,选择“网络故障排查”页签,查看设备转发流量以及异常事件情况,如图1-28所示。
设备整机流量波形图可展示最近一小时、最近一天、最近一周的整机流量趋势。
选择时间,可查看所选日期的异常事件情况,默认显示系统当天的异常事件情况。如图1-29所示。单击页签可查看以下异常事件日志:
· 内网DOS事件:显示DOS攻击产生的日志,需要在设备上开启DOS攻击防护功能。
· 网口丢包事件:显示网口丢包事件产生的日志。
· ARP/ND异常事件:显示安全防护日志中ARP和ND攻击产生日志,需要在设备上开启ARP/ND攻击防护功能。
· 流量告警事件:显示系统告警日志中整机流量告警记录。
图1-29 网络故障排查-异常事件页面
设备支持解密策略故障排查功能,可以根据准入客户端的安装情况、证书安装情况、异常详情来定位故障信息。
在导航栏中选择“数据中心 > 系统监控 > 故障监控中心”,选择“解密策略故障排查”页签,可以查看客户端匹配的解密策略信息,客户端SSL解密证书安装情况,如下图所示。
图1-30 解密策略故障排查页面
配置用户认证策略后,当用户上网认证失败时,在设备上可以查看认证失败信息以及错误原因和建议等详细信息,用于排查定位用户认证失败的故障情况。
在导航栏中选择“数据中心 > 系统监控 > 故障监控中心”,选择“用户认证故障排查”页签,可以查看用户认证失败的信息,包括请求时间、用户名、IP地址、认证策略名称及错误详情等,如下图所示。
图1-2 用户认证故障排查页面
设备支持对内网用户WEB访问质量进行评估,生成网络质量基础指标数据,并对整天的网络进行评估,并以列表形式展示访问质量差的用户名单。主要功能如下:
WEB访问质量统计:
− 根据TCP三次握手报文交互获取客户端时延、服务端时延,根据HTTP、HTTPS和DNS报文交互获取应用时延。
− 以5分钟为周期基于用户统计客户端时延、服务端时延、应用时延三个指标,从而计算出用户的平均网络时延。
− 将平均时延与阈值进行比较,统计出上网快用户和上网慢用户,根据上网快慢用户的比例分析当前5分钟的网络质量结果,结果分为:优、良、差三个类别。
客户时延、服务时延、应用时延,任意一项超过时延阈值则被评估为慢用户,默认阈值如下:
− 客户端时延阈值:60ms
− 服务端时延阈值:60ms
− 应用时延阈值:180ms
网络诊断结果:根据单位时间内分析的用户网络质量结果,对全天网络质量进行评估,结果分为优和差两种。当全天质量差的时间累积超过设定的标准时长,判断为全天网络质量差。
上网慢用户列表:通过列表展示客户端时延、服务端时延、应用时延指标有一项大于阈值的用户信息。
质量定义:可以定义实时用户网络质量和全天网络质量的评估标准,根据定义分析单位时间用户网络质量的优中差及全天网络质量。
Web页面配置如下:
(1) 查看WEB访问质量监控
在导航栏中选择“数据中心 > 数据分析 > 故障监控中心”,选择“WEB访问质量监控”页签,进入“WEB访问质量监控”页面,如下图所示。勾选“WEB访问质量监控”后开启WEB访问质量检测功能,开启后可以查看统计日期当天24小时的WEB访问质量趋势图,趋势图上展示统计周期内上网快用户数及上网慢用户数。
WEB访问质量趋势图上展示的各个统计周期的数据为当前统计时间前5分钟的数据。
· 在线用户小于10W时使用寄存器触发,无论前5分钟的用户在当前5分钟是否有流量均统计,如0:00-4:59时间段的数据在5:00-9:59时间段统计,0:00-4:59时间段的数据显示在图0:00的位置。
· 在线用户大于10W时使用流量触发,只有前5分钟的用户在当前5分钟有流量时才统计,如0:00-4:59时间段的用户在5:00-9:59时间段产生流量则统计产生了流量的用户数据,0:00-4:59时间段的数据显示在图0:00的位置。
鼠标移到趋势图上,可以查看当前时间段的网络质量、上网快用户和上网慢用户数。
在网络诊断分析结果栏,可以查看全天网络质量分析的结果,包括优和差,以及全天网络质量差的分析结果。
可查看上网慢用户列表,可支持根据用户名、IP及所属组进行查询。单击WEB访问质量统计趋势图,可以查看当前所选时间段上网慢用户列表。
图1-1 WEB访问质量监控页面
(2) 点击“质量定义”按钮,打开质量定义对话框,可定义实时质量及全天质量。
图1-2 质量定义页面
页面的详细说明如下表所示。
表1-1 用户组新建页面详细说明
|
项目 |
说明 |
|
优 |
上网快用户大于该值为优。 |
|
差 |
上网慢用户大于该值为慢。 |
|
活跃用户 |
活跃用户大于该值,统计网络质量。 活跃用户指单位时间内(5分钟)有过访问网站操作,且产生足够信息量的有效用户。默认10人,可输入1-100之间的数字。 |
|
全天质量差的定义 |
当全天质量差的时间累积超过N分钟时,判断为全天网络质量差。默认30分钟,可输入1-300之间的数字。 |
数据分析是对系统应用及设备流量等产生的数据进行统计分析,包括用户流量统计、应用流量统计、用户信息中心、设备流量统计、设备健康统计和会话监控统计。
· 用户流量统计以柱状图、表格形式展示用户流量信息。
· 应用流量统计以趋势图、饼状图、表格形式展示应用流量信息。
· 用户信息中心包含用户日志统计、用户访问网站分析、用户轨迹时光轴等信息。
· 设备流量统计可以显示指定条件下设备流量信息。
· 设备健康统计可以显示整机转发流量、会话数、cpu、内存使用等信息。
· 会话监控统计可以显示设备会话统计、会话排名、会话监控等信息。
· 数据库日志统计:显示现网中数据库日志的统计信息。
在导航栏中选择“数据中心 > 数据分析 > 用户流量统计”进入用户流量统计页面,如图2-1所示。
对用户流量统计的详细说明如表2-1所示。
|
标题项 |
说明 |
|
统计时间 |
设定流量显示的时间跨度,可选的值有: · 最近一小时 · 最近一天 · 最近一周 缺省情况下,显示最近一小时的用户流量统计 |
|
过滤条件 |
过滤显示流量的方向,可选的值有: · 双向 · 上行 · 下行 缺省情况下,显示双向的用户流量统计 |
|
刷新数据 |
立即刷新显示的统计数据 |
|
用户名 |
用户的名称 |
|
上行流量 |
用户的上行流量 |
|
下行流量 |
用户的下行流量 |
|
总流量 |
用户的上下行流量总和 |
点击“用户统计详细信息”表格里面的用户名列里面的用户名称,进入对应用户详细流量统计的页面,如图2-2所示。
单个用户的流量统计的详细说明如表2-2所示。
|
标题项 |
说明 |
|
应用名 |
应用的名称 |
|
上行流量 |
用户的单个应用的上行流量 |
|
下行流量 |
用户的单个应用的下行流量 |
|
总流量 |
用户的单个应用的上下行总流量 |
|
风险级别 |
该应用的风险级别,对应系统内置应用或者自定义应用的风险级别 |
在导航栏中选择“数据中心 > 数据分析 > 应用流量统计”进入应用流量统计显示页面,如图2-3所示。向下拖动下拉按钮,显示最近一段时间的总流量占比图,如图2-4所示。页面最下方是应用统计详细信息,如图2-5所示。
图2-3 应用流量统计趋势
对应用流量统计的详细说明如表2-3所示。
|
标题项 |
说明 |
|
统计时间 |
设定流量显示的时间跨度,可选的值有: · 最近一小时 · 最近一天 · 最近一周 缺省情况下,显示最近一小时的应用流量统计 |
|
过滤条件 |
过滤显示流量的方向,可选的值有: · 双向 · 上行 · 下行 缺省情况下,显示双向的应用流量统计 |
|
刷新数据 |
立即刷新应用流量统计信息 |
对应用统计详细信息的说明如表2-4所示。
|
标题项 |
说明 |
|
应用名 |
应用的名称 |
|
上行流量 |
应用的上行流量 |
|
下行流量 |
应用的下行流量 |
|
总流量 |
应用的总流量 |
|
风险级别 |
该应用的风险级别,对应系统内置应用或者自定义应用的风险级别 |
点击“应用统计详细信息”表格里面应用名列的应用名称,进入对应应用流量显示的详细页面,如图2-6所示。
对单个应用流量统计的详细说明如表2-5所示。
|
标题项 |
说明 |
|
用户名 |
用户名称 |
|
上行流量 |
用户的单个应用上行流量 |
|
下行流量 |
用户的单个应用下行流量 |
|
总流量 |
用户的单个用上下行总流量 |
在导航栏中选择“数据中心 > 数据分析 > 用户信息中心”进入用户信息中心显示界面,如图2-7所示。
对用户信息中心的详细说明如表2-6所示。
|
标题项 |
说明 |
|
选择日期 |
缺省情况,显示当天用户的基本日志量的信息。 |
|
用户过滤 |
输入用户名关键字,展现经过滤的用户信息列表。 |
|
用户名 |
用户名称 |
|
用户组 |
用户所属用户组 |
|
IM聊天 |
IM聊天日志的条数目 |
|
社区 |
社区日志的条目数 |
|
搜索引擎 |
搜索引擎日志的条目数 |
|
文件传输 |
文件传输日志的条目数 |
|
邮件 |
邮件收发记录日志的条目数 |
|
网络娱乐 |
网络娱乐应用日志的条目数 |
|
其它 |
其它应用的日志条目数 |
|
网站访问 |
访问网站记录的日志条目数 |
在用户中心的用户基础信息列表,选择某个用户进入该用户的用户数据中心页面。
用户中心的虚拟用户身份信息如图2-8所示。
对虚拟用户身份信息的详细说明表2-7所示。
|
标题项 |
说明 |
|
用户 |
用户名称 |
|
所属组 |
用户所属的组 |
|
在线时长 |
用户在线累计时间 |
用户中心的用户日志数统计图2-9所示。
对用户日志数量统计图的详细说明如表2-8所示。
|
标题项 |
说明 |
|
IM聊天 |
当天该用户产生的IM聊天日志条数 |
|
社区 |
当天该用户产生的社区日志条数 |
|
搜索引擎 |
当天该用户产生的搜索引擎日志条数 |
|
文件传输 |
当天该用户产生的文件传输日志条数 |
|
邮件 |
当天该用户产生的邮件日志条数 |
|
网络娱乐 |
当天该用户产生的网络娱乐日志条数 |
|
其它 |
当天该用户产生的其它日志条数 |
用户中心的应用流量比例如图2-10所示。
对应用流量比例统计的说明,表框右上角显示该用户当天的总流量,饼图展示该用户当天应用类流量的占比。
用户中心的用户-访问网站分析如图2-11所示
图2-11 用户-访问网站分析
用户-访问网站分析的饼图主要展示该用户当天访问不同类型网站的比例。
用户中心的用户轨迹时光轴展示如图2-12所示
用户轨迹时光轴主要展现该用户当天的主要网络行为事件。时光轴左侧表示用户核心事件触发的时间点,右侧展示用户核心事件的具体内容。
在导航栏中选择“数据中心 > 数据分析 > 设备流量统计”进入设备流量统计页面,如图2-13所示。
对设备流量统计的详细说明如表2-9所示。
|
标题项 |
说明 |
|
统计时间 |
设定流量显示的时间跨度,可选的值有: · 最近一小时 · 最近一天 · 最近一周 缺省情况下,显示最近一小时的用户流量统计 |
|
过滤条件 |
过滤显示流量的接口,可选值有: · 整机转发流量 · 特定某个接口的流量 缺省情况下,显示整机转发流量的统计 |
|
刷新数据 |
立即刷新显示的统计数据 |
|
上行、下行 |
不同显色显示设备的上下行流量,点击可以在现实上显示/取消显示该项流量 缺省情况下,上下行流量都显示 |
在导航栏中选择“数据中心 > 数据分析 > 设备健康统计”进入设备健康统计页面,如图2-14所示。
对设备健康统计的详细说明如表2-10所示。
|
标题项 |
说明 |
|
统计时间 |
设定健康统计显示的时间维度,可选的值有: · 最近1小时 · 最近4小时 · 最近1天 · 最近1周 缺省情况下,显示最近1小时的设备健康统计数据。 |
|
刷新数据 |
立即刷新显示的所有健康统计项的统计数据 |
|
每幅图的刷新图标 |
立即刷新健康统计当前项的显示的统计数据 |
|
整机转发流量 |
设备整机的吞吐量曲线图,点击图下的上下行图标,可以选择: 上行:设备外网口的发包流量统计。 下行:设备内网口的发包流量统计。 缺省状态下,显示上行和下行。 |
|
健康统计-会话数 |
设备的会话数统计,点击图下的允许会话数和阻断会话数图标可以选择: 允许会话数:设备允许创建的会话数。 阻断会话数:设备因各种原因被阻断的会话。 缺省情况下,显示允许和阻断会话数。 |
|
健康统计-CPU(百分比) |
显示设备的CPU使用率,以百分比显示。 |
|
健康统计-MEM(百分比) |
显示设备的内存使用情况,以百分比显示。 |
|
健康统计-会话信息 |
设备的会话信息统计,点击图下的当前会话数和新增会话数图标可以选择: 当前会话数:设备当前已创建的会话数。 新增会话数:设备当前新增的会话。 缺省情况下,显示当前会话数、当前新增会话数和当前总会话数。 |
点击“导出”按钮,可以导出设备一周内的详细健康统计信息,导出设置页面如下图所示,导出的数据表格如下图所示。
图2-16 导出的数据表格
对导出页面阈值的设置详细说明如表2-11所示。
|
标题项 |
说明 |
|
整机流量 |
默认勾选,阈值为0,即全部导出,最大值为100000Mbps。 |
|
会话允许/阻断 |
默认勾选,阈值为0,即全部导出,最大值为400w条。 |
|
CPU百分比 |
默认勾选,阈值为0,即全部导出,最大值为100%。 |
|
内存百分比 |
默认勾选,阈值为0,即全部导出,最大值为100%。 |
|
磁盘百分比 |
默认勾选,阈值为0,即全部导出,最大值为100%。 |
|
会话数 |
默认勾选,阈值为0,即全部导出,最大值为400w条。 |
通过菜单“数据中心 > 数据分析 > 会话监控统计 > 会话统计”,进入如图2-17所示页面。在该页面可以查看会话相关统计信息。
会话统计详细说明如表2-12所示。
|
标题项 |
说明 |
|
会话数 |
统计设备当前的总会话数以及新增会话数,通过曲线进行展示。 |
|
历史会话统计 |
统计设备上最近一段时间(最近1小时、最近1天、最近1周)的历史会话数,以TCP、UDP、其它维度进行统计,通过趋势图进行展示。 |
|
会话源目标排名 |
基于源地址排名的TOP20会话数排名。 |
|
会话目的目标排名 |
基于目的地址排名的TOP20会话数排名。 |
通过菜单“数据中心 > 数据分析 > 会话监控统计 > 会话排名”,进入如图2-18所示页面。在该页面可以基于条件查看基于源地址、目的地址、目的端口排名的会话。
点击页面上的<查询>按钮,可以基于会话统计过滤条件查询会话排名。查询页面如图2-19所示。
会话排名详细说明如表2-13所示。
|
标题项 |
说明 |
|
统计类型 |
统计类型主要有源地址、目的地址、目的端口三个维度进行统计,默认是源地址维度统计。 |
|
统计值 |
基于统计类型查询TOP N的会话排名上的具体会话IP地址。 |
|
连接数 |
会话上对应的连接个数。 |
|
会话过滤 |
点击会话过滤可以直接查看该会话的详细会话列表,直接跳转到会话监控页面展示。 |
通过菜单“数据中心 > 数据分析 > 会话监控统计 > 会话监控”,进入如图2-20所示页面。在该页面可以查看设备上的详细会话,也可以根据指定条件查询会话信息。
会话监控页面默认会话列展示项详细说明如表2-14所示。
|
标题项 |
说明 |
|
用户 |
用户组织结构上对应的用户名,如用户不在识别范围内,此项显示为空。 |
|
用户组 |
用户组织结构上对应的用户组,如用户不在识别范围内,此项显示为空。 |
|
源地址 |
会话发起方IP地址或根据识别范围配置确定的源IP地址。 |
|
源端口 |
与源地址同一方的端口。 |
|
目的地址 |
会话响应方IP地址或根据识别范围配置确定的目的IP地址。 |
|
目的端口 |
与目的地址同一方的端口。 |
|
协议 |
IP协议号,TCP/UDP/ICMP/IGMP,如果有其它的协议,直接显示协议号。 |
|
类型 |
会话连接类型,主要有半连接和全连接两种。 |
|
应用 |
应用识别模块审计到会话访问的应用。 |
|
发送流量 |
会话发送的字节。 |
|
接收流量 |
会话接收的字节。 |
|
总流量 |
会话从建立开始到目前为止的发送流量和接收流量之和。 |
|
创建时间 |
会话创建的时间。 |
会话监控下拉框查询,下拉选中某个字段,就会作为过滤条件,过滤出满足条件的所有会话信息。过滤条件有TCP、UDP、ICMP、其它协议、组播、广播、全连接、半连接、本地连接、长连接、允许、拒绝、SNAT,DNAT。默认是无任何过滤条件的。会话时长超过半个小时的就标记为长连接。如下图所示,默认显示所有条件的会话信息。
搜索框查询,如图2-22所示。可以点击会话表中的某个或者某些字段,进行精确搜索;也可以输入关键字进行模糊搜索。
精确搜索可以点击:用户,用户组,源地址,目的地址,目的端口,协议,连接类型,应用。如图2-23所示,点击对应列就可以精确查询到相关会话信息。
模糊搜索匹配:用户,用户组,源地址,目的地址,协议,应用。如图2-24所示,直接在搜索框上输入查询关键字就能模糊匹配到相关会话信息。
会话监控页面默认展示了常用的列,还有部分未进行展示,需要在会话监控页面任意标题列上有倒三角图标出现的时候点击倒三角就能选择未展示的列信息。如图2-25所示。
点击倒三角之后,可以看到会话监控页面上会话相关的所有列,如图2-26所示。
在导航栏中选择“数据中心 > 数据分析 > 数据库日志统计”进入数据库日志统计,如下图所示。开启数据统计功能后,可以查看现网中数据库日志的统计信息,包括使用的数据库类型、操作的类型、以及操作数据库的用户等。详细配置请参见“审计策略”中的“数据库审计”相关配置。
图2-27 数据库日志统计页面
可选择统计的时间,查看所选日期的数据库统计信息。
在统计列表中,可查看每个用户对数据库操作次数的统计结果,以及各个数据库操作类型的次数统计。在“源地址”中单击用户源地址可查看该用户在统计日期内所有的数据库操作日志信息,包括数据库类型、SQL语句、日志级别等,单击“详细”可查看日志的详细信息。
图2-28 用户数据库日志统计信息
在导航栏中选择“数据中心 > 数据分析 > 违规用户检查统计”,进入违规用户检查统计页面。
开启违规统计开关,且配置应用控制策略(选择应用,处理动作配置为拒绝),在统计的时间内产生阻断的应用控制日志后,可以查看终端违规用户检查的统计信息。以用户为维度进行统计,柱状图展示违规次数的TOP10统计信息,包括违规用户及违规次数;列表中展示违规次数的TOP100统计信息,包括违规用户、命中次数、开始/结束时间等。
详细配置请参见“控制策略”章节中“应用控制”的相关配置。
统计时间可选择“最近一天”、“最近一周”、“最近一月”以及自定义。
点击违规用户的名称,可以查看该用户访问应用的详细信息,如下图所示。
在导航栏中选择“数据中心 > 数据分析 > 违规应用检查统计”,进入违规应用检查统计页面。
开启违规统计开关,且配置应用控制策略(选择应用,处理动作配置为拒绝),在统计的时间内产生阻断的应用控制日志后,可以查看终端违规应用检查的统计信息。以应用为维度进行统计,柱状图展示违规次数的TOP10统计信息,包括违规应用及违规次数;列表中展示违规次数的TOP100统计信息,包括违规应用、应用类别、命中次数、开始/结束时间等。
详细配置请参见“控制策略”章节中“应用控制”的相关配置。
统计时间可选择“最近一天”、“最近一周”、“最近一月”以及自定义。
点击应用名称,可以查看访问该应用的详细信息,如下图所示。
安全分析是对安全功能(IPS、AV、WEB防护、安全防护、端口扫描)、资产等产生的数据进行统计分析,包括安全事件分析、资产安全分析、WEB防护分析、挖矿检测分析和翻墙行为分析。
· 安全事件分析:以柱状图、地域分布图、表格形式展示攻击源信息。
· 资产安全分析:以饼状图、表格形式展示资产IP信息。
· WEB防护分析:以柱状图、饼状图、趋势图形式分别展示规则防护和高级防护信息。
· 挖矿检测分析:可展示挖矿类型分布、挖矿主机TOP信息及挖矿日志数据。
· 翻墙行为分析:展示设备识别到翻墙应用的TOP用户、用户组,以及使用较多的TOP翻墙应用软件。
在导航栏中选择“数据中心>安全分析>安全事件分析”进入安全事件分析页面,如图3-1所示。
对安全事件分析的详细说明如表3-1所示。
|
标题项 |
说明 |
|
统计时间 |
设定显示的时间跨度,可选的值有: · 最近一天 · 最近一周 · 最近一月 · 自定义时间 缺省情况下,显示最近一月的安全事件分析 |
|
攻击源TOP |
过滤显示TOP攻击源地址,可选的值有: · 10 · 50 缺省情况下,显示TOP10的攻击源 |
|
查询 |
点击查询,可以根据时间、级别、事件类型、攻击源、归属地、攻击目的进行组合查询 |
|
攻击源 |
显示攻击地址 |
|
归属地址 |
显示攻击地址所属归属地 |
|
级别 |
显示攻击源级别,且支持按照级别进行排序展示 |
|
攻击次数 |
显示攻击源攻击次数,且支持按照攻击次数进行排序展示 |
|
开始时间 |
攻击源第一次记录日志的时间 |
|
结束时间 |
攻击源最近一次记录日志的时间 |
|
操作 |
点击加入黑名单,可将此攻击源永久加入黑名单 |
点击“安全事件分析”表格里面的攻击源列里面的IP地址,进入对应攻击源详细统计的页面,如图3-2所示。
单个攻击源详细统计的详细说明如表3-2所示。
|
标题项 |
说明 |
|
统计时间 |
设定显示的时间跨度,可选的值有: · 最近一天 · 最近一周 · 最近一月 · 自定义时间 缺省情况下,显示自定义时间的攻击源详细统计 |
|
攻击链 |
点击不同阶段的攻击链,可以过滤展示此阶段产生的日志 |
|
查询 |
点击查询,可以根据时间、级别、事件类型、攻击源、归属地、攻击目的进行组合查询 |
|
时间 |
日志记录时间 |
|
级别 |
日志记录级别 |
|
攻击目的 |
被攻击地址 |
|
检测模块 |
攻击检测模块 |
|
事件类型 |
攻击日志所属的事件类型 |
|
事件名称 |
事件类型的描述 |
|
行为 |
显示此攻击的处理动作 |
|
操作 |
点击详细,展示详细的匹配信息和事件信息 |
在导航栏中选择“数据中心>安全分析>资产安全分析”进入资产安全分析显示页面,如图3-3所示。
对资产安全分析的详细说明如表3-3所示。
|
标题项 |
说明 |
|
重置风险 |
支持单个或批量进行资产风险重置 |
|
查询 |
点击查询,可以根据资产IP、风险级别、资产描述、用户、部门、重要度、操作系统、状态进行组合查询 |
|
资产IP |
资产IP地址 |
|
资产描述 |
资产的描述 |
|
用户 |
资产IP所属用户 |
|
部门 |
资产IP所属部门 |
|
风险级别 |
显示风险级别 |
|
重要度 |
显示资产的重要度 |
|
操作系统 |
显示资产的操作系统 |
|
来源 |
资产来源,有三种:流量发现、端口扫描、手工配置 |
|
状态 |
资产状态,活跃代表资产在线,空闲代表资产离线 |
|
操作 |
展示此资产的风险总览和攻击链 |
点击“资产安全分析”表格里面操作列的风险总览,进入对应风险总览显示的详细页面,如图3-4所示。
对风险总览详细信息的说明如表3-4所示。
|
标题项 |
说明 |
|
基本信息 |
展示资产IP、用户、部门、重要度、风险级别、操作系统和受攻击总数信息 |
|
攻击趋势 |
以趋势图方式展示资产受不同类型攻击的趋势 |
|
攻击日志统计 |
以饼状图方式展示资产受不同类型攻击的占比 |
|
查询 |
点击查询,可以根据时间、级别、攻击者地址、事件来源、事件类型进行组合查询 |
|
攻击者地址 |
展示攻击者地址 |
|
归属地 |
攻击者地址所属地区 |
|
级别 |
攻击日志记录级别 |
|
事件类型 |
展示此资产被同一攻击者攻击而产生的攻击日志事件类型描述 |
|
事件条数 |
展示此资产被同一攻击者攻击而产生的攻击日志汇总条数 |
|
时间 |
展示此资产被同一攻击者攻击而第一条日志时间和最近一条日志的时间 |
点击“资产安全分析”表格里面操作列的攻击链,进入对应攻击链显示的详细页面,如图3-5所示。
对攻击链统计的详细说明如表3-5所示。
|
标题项 |
说明 |
|
攻击链 |
点击不同阶段的攻击链,可以过滤展示此阶段产生的日志 |
|
查询 |
点击查询,可以根据时间、级别、攻击源、事件来源、事件类型、事件名称进行组合查询 |
|
时间 |
日志记录时间 |
|
级别 |
日志记录级别 |
|
攻击源 |
攻击者地址 |
|
检测模块 |
攻击检测模块 |
|
事件类型 |
攻击日志所属的事件类型 |
|
事件名称 |
事件类型的描述 |
|
行为 |
显示此攻击的处理动作 |
|
操作 |
点击详细,展示详细的匹配信息和事件信息 |
在导航栏中选择“数据中心>安全分析>WEB防护分析”进入规则防护显示界面,如图3-6所示。
对规则防护的详细说明如表3-6所示。
|
标题项 |
说明 |
|
统计时间 |
设定显示的时间跨度,可选的值有: · 最近一天 · 最近一周 · 最近一月 · 自定义时间 缺省情况下,显示最近一月的规则防护统计 |
|
攻击类型分布 |
以饼状图的方式展示TOP5+其它的攻击类型占比 |
|
被攻击URL TOP10 |
以柱状图的方式展示TOP10的被攻击URL数据 |
在导航栏中选择“数据中心>安全分析>WEB防护分析”进入规则防护显示界面,点击高级防护,进入高级防护显示页面,如图3-7所示。
对高级防护的详细说明如表3-7所示。
|
标题项 |
说明 |
|
防护策略 |
根据防护策略过滤展示数据,默认展示所有防护策略的数据 |
|
统计时间 |
设定显示的时间跨度,可选的值有: · 最近一天 · 最近一周 · 最近一月 · 自定义时间 缺省情况下,显示最近一月的高级防护统计 |
|
精确访问控制 |
以趋势图的方式展示精确访问控制策略命中趋势 |
|
防盗链 |
以趋势图的方式展示防盗链策略命中趋势 |
|
CSRF攻击防护 |
以趋势图的方式展示CSRF攻击防护策略命中趋势 |
|
CC攻击防护 |
以趋势图的方式展示CC攻击防护策略命中趋势 |
|
被攻击URL TOP10 |
以柱状图的方式展示TOP10的被攻击URL数据 |
挖矿引发的网络威胁越来越多,国家政策对挖矿行为监管也越来越严。恶意挖矿造成的最直接的影响就是耗电,造成网络拥堵。由于挖矿程序会消耗大量的CPU或GPU资源,占用大量的系统资源和网络资源,其可能造成系统运行卡顿,系统或在线服务运行状态异常,造成内部网络拥堵,严重的可能造成线上业务和在线服务的拒绝服务,以及对使用相关服务的用户造成安全风险。
设备支持挖矿检测分析功能,基于应用控制策略及入侵防御所产生的挖矿类日志进行汇聚,对具体挖矿行为进行分析,并以可视化图表的形式呈现挖矿检测的分析结果。
在导航栏中选择“数据中心>安全分析>安全事件分析”进入安全事件分析页面,如果未开启挖矿检测分析功能,系统会弹出提示页面,点击开启按钮即可开启此功能,如图3-8所示。
该页面可以展示挖矿类型分布、挖矿主机TOP及挖矿日志信息,并支持按时间段(天、周、月、自定义)进行查询。
· 挖矿类型分布:饼图显示挖矿类型分布,点击饼图中的区域可以查看对应的日志信息;挖矿分析类型主要有挖矿和虚拟货币两种类型。
· 挖矿主机TOP:条形图显示出现次数位于前10的挖矿主机IP,点击条形图区域可以查看对应的日志列表。
· 挖矿日志信息:以列表显示挖矿日志数据,列表中包含挖矿主机IP、风险级别、挖矿类型、命中次数、开始时间、结束时间等。点击挖矿主机的IP地址,可以查看来自相同挖矿主机IP的挖矿日志数据;点击“加入黑名单”可以将挖矿主机IP加入黑名单。
· 开启挖矿检测分析功能,需要配置入侵防御策略及应用控制策略,在控制策略的应用过滤中添加应用分类为虚拟货币的应用,以产生入侵防御日志及应用控制日志。详细配置请参考“入侵防御”及“控制策略”章节。
· 挖矿分析结果中有数据的情况下不建议对日志进行删除操作,会影响数据查看详情里字段内容展示。
在导航栏中选择“数据中心>安全分析>翻墙行为分析”进入翻墙行为分析页面,点击“安全分析”开关即可开启翻墙行为分析功能,可以查看到使用翻墙应用的TOP用户、用户组,以及使用较多的TOP翻墙应用软件,如图3-9所示。详细配置请参见“防翻墙配置”章节。
页面主要展示内容如下:
· 翻墙日志数量最多的用户TOP10,通过条形图展示。
· 翻墙日志数量最多的应用TOP10,通过条形图展示。
· 代理服务器所属地域统计,可选择TOP10或TOP50,通过条形图展示。
· 按照源地址对数据进行汇聚并展示统计结果列表,源地址支持下钻。默认按照风险级别由高到低的顺序排序,在此基础上,再按照翻墙次数降序展示。
翻墙行为分析功能只支持带有硬盘的设备。
风险级别,包括高、中和低三种,翻墙次数大于200的,为高风险;翻墙次数大于100且小于等于200的,为中风险;翻墙次数小于等于100的,为低风险。
在“操作”中单击“加入黑名单”,可以将所选源地址加入到黑名单列表,生命周期默认为1天,添加方式为“翻墙行为分析”,如下图所示。
图3-10 翻墙行为用户加入黑名单
在“源地址”中单击IP地址,可查看该地址用户的翻墙行为日志信息。
图3-11 源地址翻墙行为日志信息
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
