深信服社区»版块 安全类 行为管理AC 上网行为管理日志疑问

上网行为管理日志疑问

查看数: 2531 | 评论数: 5 | 收藏 0
关灯 | 提示:支持键盘翻页<-左 右->
    组图打开中,请稍候......
发布时间: 2017-4-10 17:54

正文摘要:

某用户出口使用上网行为管理网桥部署做审计,最近用户反馈某安全应急小组通报他们的公网IP有攻击行为,因此用户希望能通过上网行为管理查到是哪个内网IP进行的攻击。 如下图源IP:91.64为用户出口NAT的公网IP; 33.21 ...

回复

神样队员 发表于 2017-4-11 10:30
网络防护方面AC不强,还是要靠防火墙实现。
Sangfor闪电回_小丸子 发表于 2017-4-11 09:47
您好 请问您那边网络里面是否有防火墙设备呢?看了您的描述,ac在这个网络里面要实现这个需求不大适合,需要借助安全相关的防火墙设备来解决的
谢谢
八磅榔头 发表于 2017-4-11 08:50
上网审计策略,《未识别的网络应用》打上勾应该就能发现,提示里不是说明了,能记录IP和端口麻,只要记录了IP和端口,就能追查。
bobby 发表于 2017-4-11 08:36
根据截图,可以分析出,楼主AC是网桥部署模式,且攻击行为是基于TCP协议的HTTP攻击,那么给出以下建议进行配置,首先配置安全防护中的网关杀毒模块,如图:
关于楼主的两个问题,为识别应用勾选是可以审计到除了AC应用库中所包含的应用以外的应用数据;防火墙过滤规则未拒绝无日志
你猜啊 发表于 2017-4-10 21:57
你可以把设备的防dos攻击启用起来,然后观察设备的系统日志 如果真有攻击行为 在系统日志里面就会显示出来的