防火墙安全日志无显示

一，问题现象

          客户反馈在防火墙上看不到WEB安全防护日志但是内网第三方的安全态势感知平台上有web攻击日志，并且日志显示源IP为防火墙LAN口地址。

二，处理过程

1.客户沟通具体的问题，发现防火墙无WEB日志，但是内网第三方态势感知可以看到有WEB攻击；应用控制日志显示不全。

2.登录防火墙发现安全防护策略中源目的区域选择有误，重新配置安全防护策略，观察了2-3小时后还是没有攻击日志显示。防火墙的规则库为20年的怀疑是规则库不是最新导致的。

3.在防火墙的2个空闲网口做来一对虚拟网线配置相应的应用控制，安全防护策略，用Xhack工具进行模拟工具，发现防火墙可以正常拦截，在内置数据中心可看到日志。但还是无法显示其他的攻击日志。

4.排查安全策略模版发现,web应用防护未勾选自动识别端口。

5.查看地址转换，发现匹配了DNAT，但是后面还匹配上了另外SNAT。

三，解决方案

1.调整SNAT策略，将外网区域取消了，在内网第三方态势感知上可看到真实的源IP而不是防火墙的LAN口地址。

        2.WEB模板中手动填写需要防护的端口并且勾选端口自动识别。