防火墙威胁告警溯源源 IP 完整方法(华为 USG / 华三 SecPath 通用)

一、Web界面快速查源IP

1.华为防火墙(USG6000/E系列)

菜单:日志与报表 → 攻击防范日志/威胁日志

每条日志自带字段:源地址(Source IP)、目的IP、源域/目的域、攻击类型、动作(告警/丢弃);点详情可查看五元组、载荷信息。

  • 源IP是公网IP:外网攻击;
  • 源IP是192.168/10/172私网:内网终端中毒/扫描;
  • 源IP=防火墙本机IP:防火墙自身升级、DNS心跳误告警。

2.华三H3C防火墙(F1000/F100)

菜单:日志→安全日志/威胁日志(IPS/防病毒日志) ,支持按源IP、时间、威胁类型 筛选,点详情查看完整五元组;做NAT内网溯源用:日志中心→溯源取证,填公网转换IP+端口+时间,反查真实内网私网IP。

二、命令行CLI查询

华为命令

复制代码
#查看威胁全量日志
display ips threat-log
#按告警时间/源IP过滤
display ips threat-log | include src=192.168.1.10
#关联会话日志,查实时连接
display firewall session table source 192.168.1.10
#查看缓冲区告警日志
display logbuffer | include "威胁|src="

华三命令

复制代码
#查看威胁日志
display threat-log
#指定源IP筛选
display threat-log source-ip 192.168.1.10
#查在线会话,确认当前是否还在发包
display session table source-ip 192.168.1.10

三、NAT环境内网真实源IP溯源(重点!)

防火墙告警显示源IP是出口公网IP (SNAT转换后),需要通过NAT日志反查内网真实IP

  1. 记录告警:告警时间、公网源IP、源端口、目的IP、目的端口
  2. 华为:display nat session all | include 公网IP+端口
  3. 华三:Web【溯源取证】填入NAT后IP+端口+时间一键溯源私网地址

四、源IP区分:内网/外网/本机

  1. 公网源IP(非私网段):互联网黑客扫描、爆破,直接在防火墙拉黑该IP;
  2. 私网源IP(10/192.168/172.16~31):内网电脑中毒、木马外联,根据IP去对应交换机查接入端口;
  3. 源IP=防火墙接口IP/Local地址:防火墙系统进程(特征库升级、NTP、DNS)触发误报,无需封IP。

五、查到源IP后续处置

  1. 外网恶意IP:安全策略添加黑名单阻断;
  2. 内网IP:终端全盘杀毒、排查木马、断网检修;
  3. 频繁告警:导出日志,基于IP/端口新建IPS防护规则。

需要我按你**具体品牌(华为/华三)**给对应精确菜单和命令吗?

相关推荐
千逐681 小时前
HarmonyOS 实战 | @State 不神秘——变量一变界面就跟着变
华为·harmonyos·鸿蒙
持力行1 小时前
D-BUS会话总线
运维·网络
pt10431 小时前
思科网络自动化-API常用数据编码格式(JSON/XML/YAML)课程与实践
linux·服务器·网络
Keepingrun2 小时前
HTTP基础
网络·网络协议·http
rcms152702692182 小时前
AMAT 350-00010-001 PCB 板
网络
蓝田~3 小时前
AI 图片与视频处理 — 从原理到实践
网络·人工智能·音视频
apihz4 小时前
全球域名 WHOIS 信息实时查询免费 API 接口教程,支持1000+后缀
android·网络·网络协议·tcp/ip·apache·域名·whois
xd1855785554 小时前
梦境解析师-基于鸿蒙的梦境心理分析应用开发实践
人工智能·华为·harmonyos·鸿蒙
千逐684 小时前
鸿蒙实战:一多自适应与原子化布局 —— 一次开发多端部署的工程化落地
华为·harmonyos·鸿蒙
乐橙开放平台5 小时前
巡店系统笔记:乐橙 listDeviceDetailsByPage 台账 + bindDeviceLive 辅码流最小闭环
网络·笔记·物联网·自动化·音视频·智能家居