文档中心

云防火墙CFW用户指南（下）

最近更新时间：

8 数据中心

8.1 日志

8.1.1 日志概述

日志模块用于记录和展示对用户价值的事件，可以用于发现和追溯安全问题。日志包括流量日志、威胁日志、域名日志、操作日志和系统日志。日志是防火墙记录的反应网络情况的宝贵信息，通过对日志进行分析可以展示网络的情况。分析中心和统计的数据就是基于日志进行分析和统计的结果。

1. 流量日志

流量日志是数据流匹配防火墙的安全策略，且安全策略中开启了流量日志记录功能时产生的日志。流量日志是对流量的全量存储。通过分析流量日志可以掌握网络活动的情况。

2. 威胁日志

威胁日志记录的是漏洞防护、防间谍软件、反病毒、攻击防护、情报检测、域名黑名单、地址黑名单模块所产生的日志。对威胁所产生的时间、威胁类型、威胁名称、严重性、攻击者、攻击名称、受害者、受害者名称、应用、目的端口、样本等信息做记录。

3. 操作日志

防火墙配置变更所产生的日志会记录在操作日志中，用户可以从操作日志中查看增删改防火墙配置的变更时间、模块、源用户、源 IP、登录方式、设备和详细信息等内容。

4. 系统日志

防火墙在运行过程中，有系统自动产生的事件会全部记录在系统日志中，如管理员的登录退出、接口状态的变更、库升级信息、系统产生的告警信息等内容。

8.1.2 日志操作

1. 设置显示的日志参数

日志列表中默认显示日志的部分参数，用户可以单击“操作”左侧的，选择要显示的参数。选中参数对应的复选框，显示该参数，取消选中参数对应的复选框，不显示该参数。

2. 搜索日志说明

防火墙日志支持模糊搜索和按过滤条件搜索。仅“模糊搜索”页面支持模糊搜索。“模糊搜索”页面支持所有日志类型的内容。按过滤条件搜索支持在单日志类型页面搜索，也支持在“模糊搜索”页面进行多日志类型范围的日志搜索。在“模糊搜索”页面同时支持模糊搜索和按过滤条件搜索：

• 模糊搜索在“模糊搜索”页面支持在搜索框中输入字符串或汉字进行模糊搜索。查询内容必须完全匹配对应属性的值才会搜索到结果。

• 按过滤条件搜索选中“条件”，通过输入符合语法的条件或通过添加过滤条件进行搜索。

 单击流量日志列表中显示为绿色的参数，在搜索栏中增加搜索条件。单击多个条件时，默认参数间为“and”的关系。设置完成后，单击“搜索”。

 在搜索框中手工输入搜索条件，设备完成后，单击“搜索”。

 单击搜索栏右侧的，添加搜索条件。可以添加多个搜索条件，添加完成后，单击“关闭”，直接进行搜索。

 单击搜索栏右侧的，清空搜索条件。

 单击搜索栏右侧的，收藏搜索条件。

 单击搜索栏右侧的，显示收藏的搜索条件。并可以选中后加入搜索框中进行搜索。

 单击搜索栏右侧时间下拉框，选择要搜索的日志时间范围。

3. 模糊搜索

模糊搜索只需要在搜索框中输入对应参数的取值或包含数字进行搜索，不需要输入参数项。搜索比较方便。但模糊搜索仅支持输入单个参数的值，不支持多个参数值一起搜索。

(1) 选择“日志 > 模糊搜索”。

(2) 设置要查找的日志时间范围。时间范围选择预定义的时间周期，也可以自定义时间范围。预定义周期最小为“最近 1 天”，最大为“最近 1 月”。

(3) 进行模糊搜索，在搜索框中输入字符串或汉字，单击搜索。模糊搜索不选中“条件”。选中“条件”后，开启按过滤条件搜索。

日志所有参数仅 URL、域名、发件人、收件人、邮件主题、抄送、样本 MD5、情报 ID 和 IM 帐号支持包含搜索值就会被搜索到，其他参数必须完全匹配参数值才会被搜索到。

4. 按过滤条件搜索

(1) 选择“日志”。

(2) 单击选择要搜索的日志类型。支持通过过滤条件搜索的日志类型包括“流量日志”、“威胁日志”、“操作日志”和“系统日志”。多日志类型的日志内容搜索，请选择“模糊搜索”页面。

(3) 设置要查找的日志时间范围。时间范围选择预定义的时间周期，也可以自定义时间范围。预定义周期最小为“最近 1 天”，最大为“最近 1 月”。

(4) 添加过滤条件。

说明模糊搜索页面按过滤条件搜索需要选中“条件”。查询内容必须完全匹配对应属性的值才会搜索到结果。

系统支持 3 种指定关键字的方法：

 单击，在“添加过滤条件”中选择连接符、属性名和操作，并输入查询内容，单击“添

加”。

重复这个过程再次添加一个条件关键字。默认连接符为“and”，可以设置为“or”，可以对条件关键词进行取反。设置完成后，单击“关闭”。关闭添加过滤条件页面后，自动开始搜索。

 单击选择条件在已经产生的日志中，单击一个或多个属性中的日志内容，系统会自动将其配置为检索条件，多个属性之间默认是“与”操作。单击“ ”，检索日志。

 在搜索框中输入符合条件规则语法的条件，单击“搜索”。数值不支持单引号、双引号、$。单击，清除搜索栏中已有的条件。

5. 通过日志添加处置策略

(1) 选择“日志”。

(2) 单击日志类型。

支持日志处置的日志类型包括“流量日志”、“威胁日志”。

(3) 找到要处置的日志，单击操作下的“处置”。

(4) 配置处置类型。

不同日志类型支持的处置类型有所差别。下面对所有处置类型进行说明。

 网络连接，选中要处置的参数。参数包括源 IP、目的 IP、源端口、目的端口、协议，对符合选中条件的数据流执行相应的处置动作。

 应用名称，选中应用名称。对该应用的数据流执行应处置动作。

 威胁名称，选中要处置的参数。参数包括威胁类型和威胁 ID。对符合选中条件的数据流执行相应的处置动作。

(5) 配置处置动作。处置动作支持“日志”和“阻断”。

 “日志”，放行数据包但记录日志。

 “阻断”，丢弃数据包并记录日志。

(6) 选择处置时间，即该处置动作生效的时间。处置时间支持“永久”、“90 天”、“30 天”、“7 天”和“1 天”。

(7) 配置完成后，单击“确定”。

处置后，在“处置中心 > 人工处置”下可以查看对应的处置策略。“立即处置”的策略状态为“已处置”，“延后处置”的策略状态为“未处置”。

6. 查看日志详情

(1) 选择“日志”。

(2) 单击日志类型。支持日志处置的日志类型包括“流量日志”、“威胁日志”。

(3) 找到要查看详情的日志，单击操作下的“查看”。

(4) 查看日志详情。每种类型的日志详细信息参数有所不同。日志详情包括常规信息、源和目的信息，并展示相关日志信息。

(5) 单击“关闭”。

8.2 统计

8.2.1 网络概况

网络概况展示网络中的流量趋势以及消耗带宽最多的 TOP5 增长应用、下降应用、源 IP、应用程序、应用类别。并对 TOP5 威胁进行统计展示。

1. 概况

概况展示选定时间段内的流量趋势。横坐标为时间，纵坐标为流量字节数。概况中只展示接收和发送总流量的趋势。

单击时间段下拉框，在下拉列表中选择时间段。可查看最近 15 分钟、最近 1 小时、最近 6 小时、最近 12 小时、最近 1 天、最近 7 天的流量趋势。请关注流量峰值、流量低谷及流量的走势规律。当流量出现明显异常的峰值时，可以进一步排查该时间段内时候是否有攻击发生。

仅带硬盘的设备时间范围支持“最近 1 月”。

2. TOP5 带宽消耗统计

TOP5 带宽消耗统计包括 TOP5 带宽消耗源 IP、TOP5 带宽消耗应用程序、TOP 带宽消耗应用程序分类。单击时间段下拉框，在下拉列表中选择时间段。时间段支持“最近 15 分钟”、“最近 1 小时”、“最近 6 小时”、“最近 12 小时”、“最近 1 天”“最近 7 天”。说明不同的 IP、应用程序或应用程序分类通过不同颜色区分。单击某个图例可以关闭或打开图中柱形对应该图例的区域。

通过“网络监视器”可以查看更多源 IP、应用、应用程序分类的字节数和会话数排名的情况，还可以查看目的 IP 和用户的字节数和会话数排名的情况。不仅可以查看“TOP5”个对象的情况还可以查看“TOP10”或“TOP20”对象的流量（字节数）或会话数的统计图或趋势图。可以通过过滤查看某个类型单个对象的流量或会话情况。

3. TOP5 威胁

网络概况展示 TOP5 威胁在选定时间段内的统计情况。

单击时间段下拉框，在下拉列表中选择时间段。可查看最近 15 分钟、最近 1 小时、最近 6 小时、最近 12 小时、最近 1 天、最近 7 天的 TOP5 威胁排行。通过 TOP5 威胁排行，用户可以了解网络中当前存在的 TOP5 威胁及这些威胁的名称、攻击次数。威胁通过不同颜色区分。单击威胁对应的图例可以关闭或打开对应应用在图中的显示。通过“威胁统计”页面还可以查看基于威胁类型、威胁子分类、源 IP、目的 IP 和用户的威胁统计图形。统计对象还可以选择“TOP10”或“TOP20”。

8.2.2 威胁统计

威胁统计对网络中存在的威胁进行统计。对网络中流量分别基于威胁、威胁类型、威胁子分类、源IP、目的 IP、用户进行统计，对 TOPN 威胁、威胁类型、威胁子分类、源 IP、目的 IP、用户进行展示。对恶意 URL、恶意域名和恶意地址进行专项统计。

1. 基于威胁名称的威胁统计

类型选择“威胁”，展示选定时间段内 TOPN 威胁名称出现的次数。

通过 TOP 下拉框，可选择需要查看的 TOP 排行榜数量，分为 TOP5、TOP10、TOP20。威胁统计展示的时间范围，可选最近 15 分钟、最近 1 小时、最近 6 小时、最近 12 小时、最近 1 天、最近 7天。威胁统计的横坐标为时间，纵坐标为威胁次数。TOP 威胁展示排名靠前的 TOPN 个威胁及威胁次数。可以通过设置过滤条件，仅显示选中名称的威胁及威胁次数。

2. 基于威胁类型的威胁统计

类型选择“威胁类型”，展示选定时间段内 TOPN 威胁类型下的威胁出现的次数。

通过 TOP 下拉框，可选择需要查看的 TOP 排行榜数量，分为 TOP5、TOP10、TOP20。威胁统计展示的时间范围，可选最近 15 分钟、最近 1 小时、最近 6 小时、最近 12 小时、最近 1天、最近 7 天。威胁类型统计的横坐标为时间，纵坐标为威胁次数。TOP 威胁展示排名靠前的 TOPN 个威胁类型及威胁次数。可以通过设置过滤条件，仅显示选中名称的威胁类型及威胁次数。

3. 基于威胁子分类的威胁统计

类型选择“威胁子分类”，展示选定时间段内 TOPN 威胁子分类下的威胁出现的次数。

通过 TOP 下拉框，可选择需要查看的 TOP 排行榜数量，分为 TOP5、TOP10、TOP20。威胁统计展示的时间范围，可选最近 15 分钟、最近 1 小时、最近 6 小时、最近 12 小时、最近 1天、最近 7 天。威胁子分类包括“僵尸网络”、“其他攻击”、“恶意扫描”、“拒绝服务”、“木马后门”、“病毒蠕虫”、“Web 攻击”、“SQL 注入”、“跨站脚本”、“恶意扫描”、“自定义签名”、“协议异常”等。威胁子分类统计的横坐标为时间，纵坐标为威胁次数。TOP 威胁子分类展示排名靠前的 TOPN 个威胁子分类及威胁次数。可以通过设置过滤条件，仅显示选中名称的威胁子分类及威胁次数。

4. 基于目的 IP 的威胁统计

类型选择“目的”，展示选定时间段内 TOPN 目的 IP 流量中威胁出现的次数。

通过 TOP 下拉框，可选择需要查看的 TOP 排行榜数量，分为 TOP5、TOP10、TOP20。可以通过设置过滤条件，仅显示选择的目的 IP 地址的威胁统计情况。威胁统计展示的时间范围，可选最近 15 分钟、最近 1 小时、最近 6 小时、最近 12 小时、最近 1天、最近 7 天、最近 1 月。目的 IP 威胁统计的横坐标为时间，纵坐标为威胁次数。TOP 目的展示排名靠前的 TOPN 个目的 IP及威胁次数。

5. 基于源 IP 的威胁统计

类型选择“源”，展示选定时间段内 TOPN 源 IP 流量中威胁出现的次数。

通过 TOP 下拉框，可选择需要查看的 TOP 排行榜数量，分为 TOP5、TOP10、TOP20。可以通过设置过滤条件，仅显示选择的源 IP 地址的威胁统计情况。威胁统计展示的时间范围，可选最近 15 分钟、最近 1 小时、最近 6 小时、最近 12 小时、最近 1天、最近 7 天。源 IP 威胁统计的横坐标为时间，纵坐标为威胁次数。TOP 源展示排名靠前的 TOPN 个源 IP 及威胁次数。

6. 基于用户的威胁统计

类型选择“用户”，展示选定时间段内 TOP 用户 IP 流量中威胁出现的次数。通过 TOP 下拉框，可选择需要查看的 TOP 排行榜数量，分为 TOP5、TOP10、TOP20。可以通过设置过滤条件，仅显示选择的用户的威胁统计情况。威胁统计展示的时间范围，可选最近 15 分钟、最近 1 小时、最近 6 小时、最近 12 小时、最近 1天、最近 7 天。用户威胁统计的横坐标为时间，纵坐标为威胁次数。TOP 目的展示排名靠前的 TOP N 个源用户及威胁次数。

8.2.3 威胁地图

威胁地图通过地图的方式展示传入或传出威胁次数最多的国家或地区。不同的颜色对应不同的风险等级。传入威胁是指用户本地网络遭到外网攻击。传出威胁时指由用户内网主动发起的威胁。可选择需要查看的 TOP 排行榜数量，分为 TOP5、TOP10、TOP20。威胁地图展示的时间范围，可选最近 15 分钟、最近 1 小时、最近 6 小时、最近 12 小时、最近 1天、最近 7 天。

将鼠标放到威胁地图中的可以显示该区域的国家/地区名称。

8.2.4 网络监视器

网络监视器支持按应用、应用分类、源、目的、用户五个类型，对相应类型的字节数、会话数进行在指定时间范围内进行排序，可以以统计图、趋势图的方式来展现。

1. TOP 应用流量

类型选择“应用”。通过设置过滤条件，可以选择只显示某个应用的情况。排序选择“字节数”。通过 TOP 下拉框，可选择需要查看的 TOP 排行榜数量，分为 TOP5、TOP10、TOP20。图形可以选择统计图或趋势图。统计图侧重关注目标对象对比其他对象在时间范围内所占的比重对比。

趋势图侧重关注目标对象在时间范围内的变化趋势。

时间范围可选最近 15 分钟、最近 1 小时、最近 6 小时、最近 12 小时、最近 1 天、最近 7 天。统计图或趋势图横坐标为时间，纵坐标为字节数。TOP 应用展示字节数排名靠前的 TOPN 个应用程序及字节数。

2. TOP 应用分类流量

类型选择“应用分类”。通过设置过滤条件，可以选择只显示某个应用分类的情况。排序选择“字节数”。应用分类包括商业软件、交互软件、通用协议、多媒体软件、网络协议、未知类型。通过 TOP 下拉框，可选择需要查看的 TOP 排行榜数量，分为 TOP5、TOP10、TOP20。图形可以选择统计图或趋势图。统计图侧重关注目标对象对比其他对象在时间范围内所占的比重对比。趋势图侧重关注目标对象在时间范围内的变化趋势。时间范围可选最近 15 分钟、最近 1 小时、最近 6 小时、最近 12 小时、最近 1 天、最近 7 天。统计图或趋势图横坐标为时间，纵坐标为字节数。TOP 应用类型展示字节数排名靠前的 TOPN 个应用类型及字节数。

3. TOP 源 IP 流量

类型选择“源”。通过设置过滤条件，可以选择只显示某个源 IP 的情况。排序选择“字节数”。通过 TOP 下拉框，可选择需要查看的 TOP 排行榜数量，分为 TOP5、TOP10、TOP20。图形可以选择统计图或趋势图。统计图侧重关注目标对象对比其他对象在时间范围内所占的比重对比。趋势图侧重关注目标对象在时间范围内的变化趋势。时间范围可选最近 15 分钟、最近 1 小时、最近 6 小时、最近 12 小时、最近 1 天、最近 7 天。统计图或趋势图横坐标为时间，纵坐标为字节数。TOP 源展示字节数排名靠前的 TOPN 个源 IP 及字节数。

4. TOP 目的 IP 流量

类型选择“目的”。通过设置过滤条件，可以选择只显示某个目的 IP 的情况。排序选择“字节数”。通过 TOP 下拉框，可选择需要查看的 TOP 排行榜数量，分为 TOP5、TOP10、TOP20。图形可以选择统计图或趋势图。统计图侧重关注目标对象对比其他对象在时间范围内所占的比重对比。趋势图侧重关注目标对象在时间范围内的变化趋势。时间范围可选最近 15 分钟、最近 1 小时、最近 6 小时、最近 12 小时、最近 1 天、最近 7 天。统计图或趋势图横坐标为时间，纵坐标为字节数。TOP 目的展示字节数排名靠前的 TOPN 个目的IP 及字节数。

5. TOP 源用户流量

类型选择“用户”。通过设置过滤条件，可以选择只显示某个用户的情况。排序选择“字节数”。排序选择“字节数”。通过 TOP 下拉框，可选择需要查看的 TOP 排行榜数量，分为 TOP5、TOP10、TOP20。图形可以选择统计图或趋势图。统计图侧重关注目标对象对比其他对象在时间范围内所占的比重对比。趋势图侧重关注目标对象在时间范围内的变化趋势。时间范围可选最近 15 分钟、最近 1 小时、最近 6 小时、最近 12 小时、最近 1 天、最近 7 天。统计图或趋势图横坐标为时间，纵坐标为字节数。TOP 用户展示字节数排名靠前的 TOPN 个用户及字节数。

6. TOP 应用会话数

类型选择“应用”。通过设置过滤条件，可以选择只显示某个应用的情况。排序选择“会话数”。通过 TOP 下拉框，可选择需要查看的 TOP 排行榜数量，分为 TOP5、TOP10、TOP20。图形可以选择统计图或趋势图。统计图侧重关注目标对象对比其他对象在时间范围内所占的比重对比。趋势图侧重关注目标对象在时间范围内的变化趋势。时间范围可选最近 15 分钟、最近 1 小时、最近 6 小时、最近 12 小时、最近 1 天、最近 7 天。统计图或趋势图横坐标为时间，纵坐标为会话数。TOP 应用展示会话数排名靠前的 TOPN 个应用程序及会话数。

7. TOP 应用分类会话数

类型选择“应用分类”。通过设置过滤条件，可以选择只显示某个应用分类的情况。排序选择“会话数”。按应用、应用类型展示网络监视器时，可选择展示的应用分类，分为所有应用分类、商业软件、交互软件、通用协议、多媒体软件、网络协议、未知类型。通过 TOP 下拉框，可选择需要查看的 TOP 排行榜数量，分为 TOP5、TOP10、TOP20。图形可以选择统计图或趋势图。统计图侧重关注目标对象对比其他对象在时间范围内所占的比重对比。趋势图侧重关注目标对象在时间范围内的变化趋势。时间范围可选最近 15 分钟、最近 1 小时、最近 6 小时、最近 12 小时、最近 1 天、最近 7 天。统计图或趋势图横坐标为时间，纵坐标为字节数。TOP 应用类型展示会话数排名靠前的 TOPN 个应用类型及会话数。

8. TOP 源 IP 会话数

类型选择“源”。通过设置过滤条件，可以选择只显示某个源 IP 的情况。排序选择“会话数”。通过 TOP 下拉框，可选择需要查看的 TOP 排行榜数量，分为 TOP5、TOP10、TOP20。图形可以选择统计图或趋势图。统计图侧重关注目标对象对比其他对象在时间范围内所占的比重对比。趋势图侧重关注目标对象在时间范围内的变化趋势。时间范围可选最近 15 分钟、最近 1 小时、最近 6 小时、最近 12 小时、最近 1 天、最近 7 天。统计图或趋势图横坐标为时间，纵坐标为字节数。TOP 源展示会话数排名靠前的 TOPN 个源 IP 及会话数。

9. TOP 目的 IP 会话数

类型选择“目的”。通过设置过滤条件，可以选择只显示某个目的 IP 的情况。排序选择“字节数”。通过 TOP 下拉框，可选择需要查看的 TOP 排行榜数量，分为 TOP5、TOP10、TOP20。图形可以选择统计图或趋势图。统计图侧重关注目标对象对比其他对象在时间范围内所占的比重对比。趋势图侧重关注目标对象在时间范围内的变化趋势。时间范围可选最近 15 分钟、最近 1 小时、最近 6 小时、最近 12 小时、最近 1 天、最近 7 天。统计图或趋势图横坐标为时间，纵坐标为字节数。TOP 目的展示会话数排名靠前的 TOPN 个目的IP 及会话数。

10. TOP 源用户会话数

类型选择“用户”。通过设置过滤条件，可以选择只显示某个用户的情况。排序选择“会话数”。通过 TOP 下拉框，可选择需要查看的 TOP 排行榜数量，分为 TOP5、TOP10、TOP20。图形可以选择统计图或趋势图。统计图侧重关注目标对象对比其他对象在时间范围内所占的比重对比。趋势图侧重关注目标对象在时间范围内的变化趋势。时间范围可选最近 15 分钟、最近 1 小时、最近 6 小时、最近 12 小时、最近 1 天、最近 7 天。统计图或趋势图横坐标为时间，纵坐标为字节数。TOP 用户展示会话数排名靠前的 TOPN 个用户及会话数。

8.2.5 连接监视器

连接监视器对网络中整机或接口流量、整机并发会话数和整机新建会话数进行展示。

1. 整机流量趋势

整机流量趋势图横坐标为时间，纵坐标为流量。连接监视器展示的时间范围，可选实时、最近 15 分钟、最近 1 小时、最近 6 小时、最近 12 小时、最近 1 天、最近 7 天。整机流量包括两条曲线，分别为接收流量和发送流量。单击图形下方的图注可以关闭或打开显示对应曲线。

将鼠标放到曲线的某个位置，可以查看该位置的对应时间和流量。

2. 整机并发会话趋势

整机并发会话趋势图横坐标为时间，纵坐标为并发会话数。连接监视器展示的时间范围，可选实时、最近 15 分钟、最近 1 小时、最近 6 小时、最近 12 小时、最近 1 天、最近 7 天。

将鼠标放到曲线的某个位置，可以查看该位置的对应时间和并发会话数。

3. 整机新建会话趋势

整机新建会话趋势图横坐标为时间，纵坐标为新建会话数。连接监视器展示的时间范围，可选实时、最近 15 分钟、最近 1 小时、最近 6 小时、最近 12 小时、最近 1 天、最近 7 天。

将鼠标放到曲线的某个位置，可以查看该位置的对应时间和新建会话数。

4. 接口流量趋势

接口流量趋势图横坐标为时间，纵坐标为流量。连接监视器展示的时间范围，可选实时、最近 15 分钟、最近 1 小时、最近 6 小时、最近 12 小时、最近 1 天、最近 7 天。可以选择查看某个物理接口的流量趋势，支持选择 HA 接口。关注流量趋势的异常峰值或低值。接口流量包括两条曲线，分别为接收流量和发送流量。单击图形下方的图注可以关闭或打开显示对应曲线。

将鼠标放到曲线的某个位置，可以查看该位置的对应时间和流量。

8.2.6 重点关注

重点关注是重点 URL、重点应用和重点用户的统计。重点用户是指访问重点 URL 和重点应用的用户。重点应用在“对象配置 >应用 > 应用组”中设置，重点 URL 在“对象配置 > URL 分类”中设置。

1. 重点关注 URL 分类

用户需要提前在“对象配置 > URL 分类”中选择重点关注的 URL。支持关注预定义的 URL 分类及自定义的 URL 分类。重点关注 URL 分类可以记录指定时间范围内的访问 URL 次数，并可选择查看 TOP5、TOP10、TOP20 的排序情况。展示的时间范围支持最近 15 分钟、最近 1 小时、最近 6 小时、最近 12 小时、最近 1 天、最近 7天。

2. 重点关注应用

用户需要提前在“对象配置 >应用 >应用组”中选择重点关注的应用，支持预定义的应用及自定义的应用。重点关注应用可以记录指定时间范围内的上网流量、上网时长，并可选择查看 TOP5、TOP10、TOP20 的排序情况。展示的时间范围支持最近 15 分钟、最近 1 小时、最近 6 小时、最近 12 小时、最近 1 天、最近 7天。

8.2.7 丢包统计

丢包统计展示防火墙攻击防护导致的丢包数。攻击防护在“策略配置 > 安全防护 > 攻击防护”下配置。当防火墙检测到对应的攻击或威胁时会丢弃恶意流量。

8.3 会话

会话监控列表展示防火墙当前会话信息。会话监控提供基于地址、端口、应用、字节数等条件的列表展示，让用户能实时监控当前防火墙上会话数的详细情况及超时时间。并提供过滤功能，满足管理员查看特定条件下会话的详细信息。

1. 显示最新会话信息单击“刷新”，刷新当前会话显示。

2. 查看会话监控详细信息单击某条会话操作下的“查看”，查看该会话监控的详细信息。

详细信息显示客户端到服务器和服务器到客户端的会话信息，信息内容包括源 IP、目的 IP、源端口、目的端口、源安全域、目的安全域、协议、应用、剩余超时时间、生存时间、安全策略、源 NAT、目的 NAT、流量、用户、认证服务器等。超时是指该会话剩余超时时间。会话超时后会自动断开连接。

3. 断开会话连接

当发现某条会话存在异常时，可以单击某条会话操作下的断开连接，断开该条会话。单击“全部断开连接”，会话断开会话监控中当前所有的会话。

4. 会话高级查询

当用户需要查看某个用户或应用等当前的会话时，可以通过高级查询进行查找。高级查询支持指定会话的源 IP 地址/范围、目的 IP 地址/范围、源端口号/范围、目的端口号/范围、协议号/范围、源 NAT、目的 NAT、源安全域、目的安全域、应用、安全策略、用户、认证服务器信息，来查询指定的会话。

8.4 监控