[網絡安全]公司網絡流量異常高. 請問如何找出"狼人"?

網絡安全網絡網路架構

danielp2 2019-07-29 08:58:56 ‧ 4596 瀏覽

分享至

事源: 公司firewall層面記錄中, 每過一分鐘網絡流量就會異常升高.
(這個firewall好像因為沒有內置硬盤, 所以沒有詳細report 功能)

大家有沒有什麼想法, 找出"狼人"。

看更多先前的討論...收起先前的討論...

Ken(Bigcandy) iT邦大師 1 級 ‧ 2019-07-29 09:00:43 檢舉

最快速簡便可行的方法：查用戶端哪一個Port燈閃的最快，表示傳輸越頻繁、吃流量越高

slime iT邦大師 1 級 ‧ 2019-07-29 09:34:14 檢舉

先問 firewall 是哪一台? 網路結構中有沒有其他具網管功能(先從 SNMP 開始)的設備?

danielp2 iT邦新手 4 級 ‧ 2019-07-29 09:41:27 檢舉

@Ken(Bigcandy) : 這個方法很簡單又有可行性, 唯一困難是需要要望50部以上設備.....

@slime: 應該是 fortigate 100e, 目前沒有網管功能.

台灣蕃薯 iT邦新手 1 級 ‧ 2019-07-29 09:53:28 檢舉

沒事

harrytsai iT邦新手 1 級 ‧ 2019-07-29 10:50:20 檢舉

fortiView裡面就看的到了

danielp2 iT邦新手 4 級 ‧ 2019-07-29 13:36:59 檢舉

@harrytsai 這個功能很直觀,又簡單易明。可能因為沒有HDD的關係, 所以記錄上的數據都是近期。

danielp2 iT邦新手 4 級 ‧ 2019-07-29 13:47:57 檢舉

@taiwanbrian: 我又何嘗不是想對上司說"沒事"

michaelwan iT邦高手 1 級 ‧ 2019-07-30 10:18:52 檢舉

Fortiview應該可以設定到1小時

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

5 個回答

bluegrass

iT邦高手 1 級 ‧ 2019-07-29 10:10:13

最佳解答

Fortigate 100e 可以登記連接免費的FORTICLOUD

再把FIREWALL LOG更新到CLOUD上, 7日免費

夠你去抓人了

Log > Log Settings > Send Logs to FortiCloud

回應 2
分享
檢舉

danielp2 iT邦新手 4 級 ‧ 2019-07-29 10:55:13 檢舉

感謝你的回答
早前有考慮用NAS做FIREWALL LOG的 log sever.
但初步目測原有記錄中(24小時), 沒有流量記錄的字眼.

但我試試這個方法, 看看是否可行。

michaelwan iT邦高手 1 級 ‧ 2019-07-29 11:42:56 檢舉

log中sendbyte recvbyte 是需要自己去處理的.
forticloud挺好用的, 但免費就7DAYS.

登入發表回應

舜~

iT邦高手 1 級 ‧ 2019-07-29 09:06:57

在紀錄中加入累計流量呢?
然後放個一陣子在看紀錄?

回應 1
分享
檢舉

danielp2 iT邦新手 4 級 ‧ 2019-07-29 09:49:40 檢舉

感謝你的回答, 目前所知有2個困難點

找到累計流量最高的設備,但不像是異常每分鐘上下載的電腦
在switch紀錄累計流量的時間好像比想像長(應該是開機至今)

登入發表回應

mytiny

iT邦超人 1 級 ‧ 2019-07-29 13:11:37

樓主這台FG-100E肯定不是在台灣買的
台灣地區很早就發現尾數沒有數字1的型號
在GUI的內容中是看不到 session log
所以台灣SI應該會推薦如FG-81E,FG-101E等
大陸地區SI因為只管賣，其他都很少管，所以....

因此，harrytsai大大說的FortiView應該也不行
bluegrass大大說的可以，但要熟F牌運作機制
當然，還有辦法就是查CLI手冊下指令
在下建議的辦法則是開應用程式控制
因為其特徵碼辨識為免費
防火牆安全政策開啟觀察應該會有用
除可以看到誰大量用網路流量還可以看到用在哪
之後開啟"流量塑型政策"應該就會有用

提醒樓主的OS版本會功能上有差別
還有不清楚的可以貼截圖上來比較好解決
要不就支付技術服務費給當地SI吧