上級(jí)部門發(fā)現(xiàn)局域網(wǎng)訪問(wèn)了外網(wǎng)惡意IP地址，這時(shí)候就需要網(wǎng)管技術(shù)人員來(lái)定位具體的內(nèi)網(wǎng)終端設(shè)備。如果你有上網(wǎng)行為管理防火墻設(shè)備，那你就可以很輕松的定位到具體終端，否則的話就很難解決這個(gè)問(wèn)題。本文中，我將介紹如何在WSG上網(wǎng)行為管理中來(lái)查找相關(guān)日志。

1. 檢查入侵防御和木馬檢測(cè)的日志

入侵防御和木馬檢測(cè)已經(jīng)具備了異常網(wǎng)絡(luò)行為的檢測(cè)功能，所以第一步可以先查找一下這兩個(gè)日志，直接在”搜索條件“中輸入遠(yuǎn)程IP就可以進(jìn)行搜索。如下圖：

2. 檢查上網(wǎng)記錄的日志

如果是Web方式的訪問(wèn)，就會(huì)記錄在”網(wǎng)頁(yè)瀏覽“的歷史記錄中。可以直接在“查詢統(tǒng)計(jì)->上網(wǎng)記錄”中進(jìn)行查詢。

如果你開(kāi)啟了連接明細(xì)的記錄功能，還可以在“連接明細(xì)”中進(jìn)行查找。

3. 自定義入侵防御規(guī)則

你還可以自定義入侵防御規(guī)則，自定義的規(guī)則可以檢測(cè)到指定IP的訪問(wèn)，一旦觸發(fā)規(guī)則就會(huì)記錄事件并且進(jìn)行禁網(wǎng)等操作。如下圖：

如上圖，自定義規(guī)則里面輸入：

alert tcp $HOME_NET any -> 120.55.165.132 any (msg:"120.55.165.132 connection attempt"; sid:1000003; rev:1;)

這句話的意思就是從本地局域網(wǎng)（HOME_NET）的任意本地端口（any）到IP地址120.55.165.132的任意端口（any）的tcp方式訪問(wèn)，都會(huì)觸發(fā)規(guī)則并且記錄"120.55.165.132 connection attempt"。

綜上所述，通過(guò)上述的各種方式，可以查詢相關(guān)日志，還可以自定義規(guī)則來(lái)進(jìn)行檢測(cè)和告警。就可以很輕松的定位到內(nèi)網(wǎng)的可疑終端。