F100-C-G2 登录和排查问题

以下是具体的操作步骤和方法：

主要方法：通过Web管理界面查看安全日志（最直接有效）

这是最快、最直观的方法。防火墙的安全策略（如入侵防御、攻击检测）在拦截威胁时，会生成详细的日志。

1. ​​登录管理界面​​：通过浏览器登录到F100-C-G2的Web管理界面。

2. ​​导航到日志页面​​：

   • 路径通常为：​​ > 日志​​。

   • 在日志功能中，找到​​安全日志​​或​​攻击日志​​。不同软件版本名称可能略有不同，也可能直接包含在“业务日志”中。

3. ​​查看和分析日志​​：

   • 在这里您会看到所有被防火墙拦截的攻击行为记录。

   • 每一条日志通常包含以下关键信息：

     • ​​发生时间​​：攻击发生的时间戳。

     • ​​威胁类型​​：例如：ARP攻击、扫描、Flood（泛洪攻击）、木马、入侵等。

     • ​​源IP地址 (Source IP)​​：​​攻击者的IP​​。这个IP可能来自互联网（外网）或内网其他电脑。

     • ​​目的IP地址 (Destination IP)​​：​​这就是被攻击的目标电脑的内网IP地址​​。这是您需要重点关注的信息。

     • ​​动作​​：显示为“拒绝”或“丢弃”。

4. ​​定位被攻击电脑​​：

   • 在日志列表中，筛选或查找那些“目的IP”位于您内网网段的记录（例如，您的内网是 192.168.1.0/24，就找目的IP是 192.168.1.x的日志）。

   • 这些IP地址对应的主机就是被攻击的目标电脑。您可以据此再在内网中定位到具体的物理机器。

辅助方法：使用命令行界面（CLI）进行深度查询

如果您更熟悉命令行，或者需要查询更历史的数据，可以通过Console口或SSH登录设备使用命令行查看。

1. ​​登录设备​​：使用串口线或SSH连接到防火墙。

2. ​​查看会话信息（查看实时流量）​​：

   • 使用 display session table命令可以查看所有经过防火墙的活跃连接会话。

   • 您可以配合 source-ip或 destination-ip参数来过滤，但实时会话信息量大，通常用于临时排查。

   display session table source-ip <疑似被攻击的IP地址> # 或 display session table destination-ip <疑似被攻击的IP地址>

   • 如果发现某个IP存在大量异常连接（如目的端口异常、协议异常），它可能就是被攻击者或攻击源。

3. ​​查看日志信息（更推荐）​​：

   • 使用 display logbuffer命令可以显示设备的日志缓冲区内容。您可以配合管道符 |来过滤关键字，如 attack, detect, drop或者特定的IP地址。

   display logbuffer | include <内网IP地址> # 或者直接查看所有安全相关日志 display logbuffer | include attack

   • 这里显示的信息与Web界面类似，会包含攻击的源IP、目的IP和类型。

总结与操作流程

1. ​​首要步骤​​：立即登录防火墙的​​Web管理界面​​，进入​​安全日志/攻击日志​​页面。

2. ​​关键操作​​：在日志列表中，快速浏览并筛选​​目的IP地址（Destination IP）​​，找到属于您内网网段的IP。这些就是被攻击的电脑。

3. ​​辅助确认​​：获得内网IP后，您可以通过以下方式最终定位到物理电脑：

   • 查看公司内部的​​IP地址分配表​​（如果有）。

   • 登录核心交换机，使用 display arp | include <目标IP>命令查询该IP对应的​​MAC地址​​。

   • 根据MAC地址再查询交换机端口，即可最终定位到是哪一台具体的电脑。

4. ​​后续处理​​：

   • 找到该电脑后，应立即对其进行断网隔离。

   • 检查该电脑是否存在病毒、木马，或系统漏洞，并进行杀毒和修补。

   • 如果攻击源来自内网另一个IP，同样需要定位那台电脑并进行处理。

​​重要提示​​：透明模式下的防火墙不会改变数据的IP地址，因此日志中记录的源IP和目的IP就是真实的攻击者和受害者的地址，这为您的排查提供了最准确的依据。