防火墙流量日志功能策略控制

不支持单独对安全域做统计

接口下配置 `session log enable ipv4 inbound` 与全局开启会话日志功能是联动关系：

- **全局会话日志开关**：设备必须在系统视图下通过全局命令（如 `session log enable` 或相关日志输出配置）启用会话日志功能，才会生成和输出会话日志。
- **接口级细化控制**：`interface g1/0/1 session log enable ipv4 inbound` 是在接口方向上精细化控制哪些流量触发会话日志记录。即使全局已开启，若接口下未启用，则该接口入方向的IPv4会话不会生成日志。

因此，两者为“总开关”与“分开关”的关系：**全局开启是前提，接口下配置是策略落地的必要条件**。

---

关于防火墙流量日志是否可对**特定安全区域间**（如 trust → untrust）进行统计：

✅ **可以**。可通过以下方式实现：

### 方法一：基于ACL匹配区域间流量
在接口视图下，结合ACL过滤特定区域间通信：

```bash
# 定义ACL，匹配从trust到untrust的流量
acl number 3000
rule permit ip source-zone trust destination-zone untrust

# 在对应接口应用会话日志，并绑定ACL
interface GigabitEthernet1/0/1
session log enable ipv4 inbound acl 3000
```

> 注意：需确保接口位于区域边界（如untrust区域入口），且ACL支持zone匹配（具体取决于设备型号和软件版本，如H3C SecPath系列支持 zone-based policy ACL）。

---

### 方法二：通过安全策略（推荐）
现代防火墙（如H3C、华为）通常在**安全策略**中直接支持启用会话日志：

```bash
# 配置一条从trust到untrust的安全策略，并启用日志
security-policy
rule name trust_to_untrust
source-zone trust
destination-zone untrust
action permit
logging enable
```

该方式更精准，天然基于区域划分，且日志内容包含源/目的安全域信息，便于后续分析统计。

---

### 日志输出建议
配合以下命令将日志发送至日志主机以便集中统计：

```bash
info-center loghost <log-server-ip>
session log peer <log-server-ip> source interface g1/0/0
```

---

### 总结
| 需求 | 实现方式 |
|------|----------|
| 开启会话日志 | 全局 + 接口/策略级协同 |
| 统计 trust→untrust 流量 | 推荐使用安全策略 + `logging enable`，或接口下绑定zone-based ACL |

典型配置请参考厂商文档《H3C防火墙会话日志典型配置》或《华为USG区域间流量日志监控配置指南》。