飞塔防火墙怎么查看每个ip地址的使用流量大小?

Posted 2023-04-13

我想要详细的步骤、最好有截图！

飞塔防火墙是支持多线接入，还有VPN、UTM等功能，同时它的检测功能也非常不错，可以实现近似于Sniff Pro的效果。使用飞塔防火墙来查看某个IP的具体流量、以及流量所对应的IP：

　　一般为流量跑满后，我们就需要检查具体是哪些用户占用了流量，操作在飞塔防火墙上进行，使用火狐浏览器访问飞塔防火墙，注意查看40M流量接口的流量（Port5，我们是多线接入，所以有多个外网接口），

　　要点：必须使用火狐访问，IE下有兼容性问题。无法显示实时流量

　　

　　点击上图红框处，可以看到当前1小时的流量细节图。从图中发现此时流量接近峰值。

　　

　　返回首页查看下方的两个图，一个是带宽使用情况前20排名，一个是会话排名。其中带宽以大K为单位，当数字显示1000K时，实际所占用的网络带宽需要×8，即8M。联通的带宽只有40M，因此当单一用户跑到接近1000K时，表明其带宽使用已经很高了。

　　会话连接属于对带宽连接的一个辅证，一般而言，使用迅雷等工具，会造成很多的半开连接数，超过300会话，即意味着用户在下载或者观看P2P视频。

　　

　　点击任意会话条，即可查看当前会话内容

　　

　　通过查看IP和端口，可以判断用户是否是多线程下载或观看视频。本例中的用户连接数已经达到907。IP为5.48。如果要对之前的流量进行验证，可以点击源地址的位置，输入所要查看的IP。

　　

　　确定IP后可以查看手中的公司员工IP备案表进行对应。或者使用Dameware（域环境下的管理利器，不过想要实现功能最大化，需要域管理员权限）查看该IP的机器名和机器的Service Tag，通过机器名或固定资产系统查找到具体的使用人。

　　对使用人进行告知，确认是否违规流量。

　　

参考技术A 升级你设备的OS为4.0MR3 即可在首页面板上查看到每个IP的流量。 参考技术B https://zhidao.baidu.com/question/381076365.html可以参考这个 参考技术C 你可以使用资源管理器进行监控。

飞塔 (Fortinet) 防火墙配置－绑定 MAC 地址 (基于接口)

 

         【简介】将MAC地址与IP地址进行绑定，可以防止IP地址欺骗的网络攻击，IP欺骗攻击试图从不同的电脑使用一个可信计算机的IP地址连接并通过防火墙，IP地址可以很方便的改动，但MAC地址是在工厂生产时就添加到以太网卡里，很难改变，受信任的主机同时注册IP和MAC地址，就可以避免欺诈连接。

---

  设置 MAC 绑定接口

        要想 MAC 绑定起作用，首先需要在指定的接口下打开绑定功能。

        ① 首先查看防火墙的接口情况，这里是默认的Internal硬件交换接口；

        ② 在命令模式下使用 show system interface internal 查看internal接口状况，默认情况下并没有关于MAC绑定的配置；

        ③ 编辑 Internal 接口，打开 MAC 地址绑定功能；

        ④ 再次查看 Internal 接口，多了一个 ipmac 状态。

 

  配置 MAC 绑定表

        然后需要将 MAC 地址与对应的 IP 加入到表中。完整的命令格式如下：

　        

        【 index_int 】 输入每对 IP / MAC 绑定唯一的ID号码

        【 ip 】输入绑定到 MAC 地址上的 IP 地址

        【 mac 】 输入 MAC 地址

        【 name 】为 IP / MAC 地址表的这个条目输入一个名称 (可选)

        【 status 】选择是否启用这个 IP / MAC 地址

        ① 使用 config firewall impacbinding table命令来配置 IP 和 MAC 地址对应到 MAC 绑定表中。你可以将多个 IP 地址绑定到相同的 MAC 地址，但是你不能绑定多个 MAC 地址到相同的IP地址。

　

        ② 这里分别使用直连防火墙的有线网卡 MAC 地址和通过无线转接的无线网卡 MAC 地址；

        ③ 使用 config firewall ipmacbinding table命令将MAC地址及绑定的IP加入到表中；

        ④ 使用 show firewall ipmacbinding table命令可以查看表里的内容。

 

  设置 MAC 绑定参数

　　除了打开接口绑定功能和建立绑定表之外，还需要设置绑定参数。完整的命令格式如下：

　　        

        【 bindthroughfw 】 允许绑定的 IP 穿透防火墙

        【 bindtofw 】充许绑定 IP 到达防火墙

        【 undefinedhost 】 没有绑定的全部阻止

        ① 使用 config firewall impacbinding setting命令来设置IP的访问能力。

        ② 默认 bindthroughfw 和 bindotofw 的状态都是 disable ，undefinedhost 参数没有显示，当设置 bindthroughfw 为启用时，undefinedhost 参数才显示出来。bindthroughfw 为 enable ，就表明只有绑定MAC地址的IP是可以访问外网的。

        ③ 点击防火墙菜单【 策略&对象 】－【 对象 】－【 地址 】，新建若干地址，将IP/MAC绑定的IP地址加入其中；

        ④ 新建地址组；

        ⑤ 将绑定MAC地址的IP地址都加入；

        ⑥ 修改上网策略，在源地址处加上地址组，只有此地址组的IP才可以上网；

 

  MAC 绑定测试

        以上配置完成后，由于策略只允许指定的IP可以上网，因此有线网卡 MAC 地址与IP地址一致的时候，有线网卡上网是没有问题，如果修改了网卡的IP，策略会阻止上网，所以我们需要用没有绑定MAC地址的设备测试。

        ① 将一台非绑定MAC地址的网卡IP改为防火墙策略允许通过的IP地址；

        ② 访问外网时发现仍然不能通过。这就说明虽然防火墙策略允许10.0.1.88这个IP地址通过，但 IP/MAC 绑定表中没有符合的条件，仍然不允许通过。

 

  MAC 绑定之无线路由器

        前面测试的时候，也绑定了无线网卡的MAC地址，但是无线网卡无法上网。

        因为无线网卡连接的是无线路由器，无线路由器与防火墙之间连接的IP地址是10.0.1.254，由于MAC绑定没有加入路由器的MAC地址与IP地址，所以整个无线路由器也就无法上网。

        在绑定表里加入无线路由器的MAC地址与IP地址，发现无线网卡可以上网了，用其它无线网卡测试，也都可以上网，说明MAC地址绑定无法管理无线路由器之后的地址。

  MAC 绑定取消

        在管理网络的时候，有时需要暂时取消某台电脑的绑定，这就需要修改MAC绑定表。

        将条目的状态改为disable后，这条绑定就失效了。

 

  禁止指定 MAC 设备上网

        有时候因为安全需要禁止某些电脑上网，例如财务、安保电脑，那么就需要修改MAC绑定设置。

        ① 默认 undefinedhost 参数为block ，将参数设置为allow，则表示除绑定MAC地址之外的都可以上网；

        ② 新建访问外网策略，源地址选择绑MAC地址的IP地址组，动作选项DENY；

        ③ 将新建的策略置于允许访问外网的策略之上；

        ④ 将绑定MAC地址的网卡IP地址修改为10.0.1.89，防火墙策略里禁止访问外网的IP是10.0.1.88；

        ⑤ 仍然是无法访问外网，策略上并没有阻止10.0.1.89访问外网，说明是MAC绑定阻止了。

  禁止指定 MAC 设备登录防火墙

        防火墙如果知道帐号和密码的话，很容易从内网就可以登录，为了安全起见需要禁止从内访问防火墙，可以将修改MAC绑定设置。

        当修改 bindtofw 参数为enable后，所有绑定MAC地址的IP虽然可以上网，但是不能登录防火墙。

 

飞塔技术-老梅子   QQ：57389522

---