如何查看有哪些IP通过H3C上网并查看到是否带有病毒?

有防火墙设备吗？

您好，参考

你的H3C有那些设备，第一点是出口设备有防火墙并且有av ips授权 特征库最新

然后是开启策略和日志

核心交换机引流至一个检测分析设备

所有终端安装杀毒软件

这样最保险了

一、 如何查看当前有哪些 IP 在上网？

1. 查看 NAT 会话表（最直接反映谁在上网）：
   执行 display nat session table 命令。该列表会显示当前所有正在进行外部访问的内网源 IP、目的 IP、端口以及协议类型。
2. 查看 ARP 表项（获取局域网内的 IP-MAC 映射）：
   执行 display arp 命令。这可以帮您确认当前局域网内有哪些主机处于在线状态及其对应的 MAC 地址。
3. 查看路由表与接口状态：
   使用 display ip routing-table 和 display interface brief 辅助判断网络的连通性和数据流向。

二、 如何检测上网流量中是否带有病毒？

1. 开启并配置防病毒策略（Anti-Virus）

• 应用缺省/自定义防病毒策略：您可以创建 DPI 应用 Profile，并在其中应用防病毒策略（如 anti-virus apply policy default mode protect）。当检测到已知攻击类型的网络攻击或病毒特征时，设备会执行阻断（protect）或告警（alert）动作。
• 设置例外规则：如果某些合法业务被误拦截，可以在防病毒策略中将特定的应用（如 139Email）或预定义病毒特征设置为例外。

2. 启用恶意代码攻击检测（沙箱动态检测）

3. 利用 IP 信誉库（IP Reputation）拦截高危源头

三、 运维建议

• Web 界面可视化操作：如果您不熟悉命令行，强烈建议登录 H3C 设备的 Web 管理端。在“安全策略”、“主动防护”或“监控诊断”菜单下，您可以直观地配置防病毒策略、查看 IP 信誉命中统计（Top 统计），以及浏览实时的安全事件日志。
• 注意性能影响：开启深度的防病毒和沙箱检测会消耗较多的 CPU 和内存资源。建议在非核心业务时段逐步开启，并确保设备已购买并激活了相应的安全 License。

在 H3C 网络里（一般是SecPath 防火墙 / F1000 系列做出口 NAT 和安全检测）：
看哪些 IP 在上互联网 → 查 NAT 会话、在线会话、ARP / 流量
看这些 IP 有没有中毒 → 靠防火墙威胁日志 / 防病毒日志 / IPS 日志，或流量异常特征
下面分「命令行」和「Web 界面」讲，适合你现场直接用。
一、先查：哪些内网 IP 正在通过 H3C 上网（NAT 网关 / 防火墙）
1）命令行（最直接，防火墙 / 路由器通用）
① 看当前所有上网会话（源 IP + 目的 IP + 端口）
bash
运行
display session table
重点看：源 IP（内网）、NAT 后地址、出接口（外网接口）
能直接列出：此刻正在上网的所有内网 IP
② 只看内网网段（如 192.168.0.0/24）
bash
运行
display session table source 192.168.0.0 24
③ 查 NAT 转换表（内网 IP → 公网 IP 对应关系）
bash
运行
display nat session
④ 查 ARP 表（IP–MAC 对应，定位终端）
bash
运行
display arp all
2）Web 界面（F1000 防火墙）
登录防火墙 Web →
监控 → 会话管理 → 在线会话：看到所有上网内网 IP
监控 → NAT → NAT 会话：内网 IP 与公网 NAT 映射
数据中心 → 系统监控 → 在线用户（如果开了认证）
二、再查：这些 IP 有没有带病毒（核心：看威胁日志）
前提：防火墙必须开启「防病毒 / IPS / 威胁检测」并升级特征库，否则看不到病毒日志。
1）命令行查病毒 / 威胁日志（最常用）
① 查看所有威胁日志（含病毒、木马、攻击）
bash
运行
display threat-log
关键字段：
源 IP：哪个内网 IP 中毒 / 发起恶意流量
威胁类型：Virus（病毒）、Trojan（木马）、Worm（蠕虫）、IPS 攻击
动作：告警 / 阻断（说明已经触发病毒特征）
② 按源 IP 过滤（重点排查某个 IP）
bash
运行
display threat-log source-ip 192.168.0.100
③ 专门看防病毒日志
bash
运行
display anti-virus log
2）Web 界面查病毒日志（更直观）
登录 F1000 防火墙：
日志 → 安全日志 → 威胁日志 / 防病毒日志
可按源 IP、时间、威胁等级筛选
能看到：哪个 IP、什么时间、中了什么病毒 / 木马
3）无日志时，用「流量特征」判断是否可疑
如果没开防病毒，可通过异常流量初步判断：
某 IP 对外大量发 UDP 1434/135/445 → 大概率蠕虫 / 勒索
某 IP 频繁连恶意 IP / 恶意域名 → 木马远控
某 IP 带宽跑满、大量外连 → 挖矿 / 僵尸网络
三、你这个场景（LIS‑F1000‑EAD）特别说明
LIS‑F1000‑EAD：是F1000 防火墙 + EAD 终端准入授权
查上网 IP：用防火墙的 session / nat session
查病毒：
防火墙侧：threat-log / anti-virus log（网络层病毒）
EAD 侧：终端安全日志（终端是否装杀毒、是否中毒）
EAD Web → 终端管理 → 安全日志 / 病毒日志
四、快速操作步骤（直接照着做）
登防火墙，执行：
bash
运行
display session table
→ 记录所有内网上网 IP
查威胁日志：
bash
运行
display threat-log
→ 看哪些 IP 报 Virus/Trojan
可疑 IP 重点查：
bash
运行
display threat-log source-ip 192.168.x.x