工业防火墙的流量统计及监控

防火墙不仅可以检测流量，还可以检测内部网络和外部网络之间的连接启动，并进行大量的统计计算和分析。同时，专业分析软件可以对日志信息进行事后分析，并对防火墙进行统计分析。另一方面，防火墙系统本身可以执行一些分析功能，并具有一定的实时性。

例如，如果您正在分析外部网络中从内部网络开始的TCP/UDP连接数是否超过指定的阈值，则可以确定是应该限制此方向的新连接，还是限制从内部网络IP地址开始的新连接。

此图显示了一个典型防火墙应用程序的示例。如果启用了从外部网络到内部网络的基于IP地址的统计分析功能，并且从外部网络至Web服务器的TCP连接数超过了指定的阈值，则外部网络将被限制在连接数降至正常范围之前启动与服务器的新连接。

工业防火墙流量统计和监控方法：

1）系统级流量统计和监控

系统级流量统计和监控对于启用防火墙功能的系统中所有安全域之间的数据流是有效的。也就是说，该设备将统计所有安全域之间的ICMP、TCP、UDP和其他连接的数量。如果连接数超过配置的阈值，则设备将受到限制，直到连接数降至阈值以下。

2）基于安全区域的交通统计和监控

根据交通统计和安全区域监控，安全区域与其他安全区域之间的数据流是有效的。也就是说，设备在其安全区域和所有其他安全区域之间设置了TCP。计算UDP和其他连接的总数。如果此安全区域与所有其他安全域之间的连接总数或特定方向上的连接总数超过配置的阈值，则设备将采取措施限制连接数，直到连接数降至阈值以下。

3）基于IP地址的流量统计和监控

基于IP地址的流量统计和监控设备用于统计和监控由安全区域中的单个IP地址组成的TCP/UDP连接。通过分析源IP地址或目标地址接收的TCP或UDP连接的总数是否超过指定的阈值，可以防止恶意攻击或拒绝服务。您可以检查是否由于过度使用系统而限制新连接。

如果TCP/UDP连接数低于阈值，则可以从源IP地址或目标地址重新启动或批准TCP或UDP连接。