1.今天早上,观察了下日志审计服务器,发现防火墙没有日志,于是登陆防火墙查看,原来从9月10号起已经没有日志了。

2.顺手往前翻了下,看到了8月30日还有日志,都是些啥日志呢?可以看到id=tos fw=TopsecOS op=”null” result=2 recorder=SESSIONCOUNT msg=”Host 124.193.100.170 have created 3000 sessions during last 5 seconds. 从上面的日志可以看出,当来自某个IP地址在5秒时间内创建大量的session的时候,会出现日志,因为一般这种情况,要么是DDOS要么是扫描攻击啥的

3.要知道,防火墙一般是作为路由器(配置公网地址+端口映射)使用的,更多的是因为防火墙在企业中处在一个边界的位置。

4.而从上面的日志中可以看出,防火墙可以发现短时间内创建大量session的能力,这一点在路由中是没有见过的。