1.今天早上，觀察了下日志審計(jì)服務(wù)器，發(fā)現(xiàn)防火墻沒(méi)有日志，于是登陸防火墻查看，原來(lái)從9月10號(hào)起已經(jīng)沒(méi)有日志了。

2.順手往前翻了下，看到了8月30日還有日志，都是些啥日志呢？可以看到id=tos fw=TopsecOS op="null" result=2 recorder=SESSIONCOUNT msg="Host 124.193.100.170 have created 3000 sessions during last 5 seconds. 從上面的日志可以看出，當(dāng)來(lái)自某個(gè)IP地址在5秒時(shí)間內(nèi)創(chuàng)建大量的session的時(shí)候，會(huì)出現(xiàn)日志，因?yàn)橐话氵@種情況，要么是DDOS要么是掃描攻擊啥的

3.要知道，防火墻一般是作為路由器（配置公網(wǎng)地址+端口映射）使用的，更多的是因?yàn)榉阑饓υ谄髽I(yè)中處在一個(gè)邊界的位置。

4.而從上面的日志中可以看出，防火墻可以發(fā)現(xiàn)短時(shí)間內(nèi)創(chuàng)建大量session的能力，這一點(diǎn)在路由中是沒(méi)有見(jiàn)過(guò)的。