您可以通过主动外联数据报表,查看业务资产访问互联网的情况,包括出方向异常流量溯源、资产访问的互联网目的地址、公网资产主动外联、私网资产主动外联等数据,帮助您排查可疑资产,保障业务安全。
前提条件
已开启互联网边界防火墙开关。具体操作,请参见互联网边界防火墙。
可视分析
可视分析页签展示所有私网IP和公网IP的总流量峰值及全部流量趋势图、出方向流量访问Top统计数据,帮助您实时关注资产出方向的流量详情。
登录云防火墙控制台。在左侧导航栏,选择 。
在主动外联页面右上角的时间范围下拉框,设置查询时间,单击可视分析。
在可视分析页签,查看如下信息。
数据
说明
支持的操作
IP流量
私网IP(NAT边界防火墙引流的流量):展示查询时间范围内所有ECS的私网IP(ECS所在VPC必须绑定NAT网关)的响应总流量峰值,按照响应流量从高到低排序。
使用IP流量表搜索工具,指定一个公网IP或私网IP,查看目标IP的IP类型和总流量峰值。
单击公网IP或者私网IP右侧图标,右侧流量趋势图为您展示目标IP出方向的流量趋势。
在公网IP页签,单击公网IP,查看该公网IP对应的私网IP的总流量峰值。
例如,您单击的是ECS公网IP,查看ECS对应私网IP的总流量峰值;您单击的是NAT EIP,查看经过NAT EIP的每个私网IP的总流量峰值。
在私网IP页签,单击NAT网关,查看经过该NAT网关的每个私网IP的总流量峰值,以及该NAT网关的名称和ID。
在私网IP页签,单击NAT防火墙,查看经过该NAT防火墙的每个私网IP的总流量峰值,以及该NAT防火墙的名称和ID。
单击指定IP右侧图标,跳转到日志审计查看该IP的流量日志。
单击指定IP右侧图标,跳转到查看外联数据查看该IP的外联明细数据。
单击图标,可导出私网IP和公网IP的流量数据。
公网IP(互联网边界防火墙引流的流量):展示查询时间范围内所有公网IP(例如ECS公网IP或者NAT EIP)的响应总流量峰值,按照响应流量从高到低排序。
出方向流量趋势
实时展示全部或者指定的网络资产上的总请求和响应峰值流量趋势。
鼠标悬浮在趋势图上任意时刻,展示当前时刻的请求和响应峰值流量。单击出方向流量趋势图横轴上任意时刻,刷新IP流量表,查看当前时刻的IP流量排序。
流量访问Top
统计出方向排名前十的目的地区、目的运营商、会话占比和端口数据。
无。
您可以单击列表右上角查看日志,跳转到日志审计页面的流量日志页签,查看互联网边界防火墙的流量日志。更多内容,请参见日志审计。
查看外联数据
主动外联的统计数据区域,能够快速帮助您了解目前资产出方向正常流量和异常流量数据。根据统计到的异常流量数据,您可以在外联明细页签有针对性地进行排查,及时保障资产出方向的流量安全。
登录云防火墙控制台。在左侧导航栏,选择 。
在主动外联页面右上角的时间范围下拉框,设置查询时间,在统计数据区域和外联明细页签查看如下信息。
您也可以在外联明细页签,自定义查询7日范围内的所有流量数据。
数据
说明
支持的操作
外联域名
统计业务资产主动访问互联网域名时,存在风险的域名数量和全部域名的数量。
在数据统计区域,单击外联域名和外联目的IP区域跳转到
和 页签。您可以根据业务需要,对识别到有风险的域名或者目的IP执行如下操作,来保障您的资产安全。
配置出方向访问控制策略,拦截资产主动外联的流量
单击配置ACL策略,跳转到访问控制的互联网边界防火墙。具体操作,请参见配置互联网边界访问控制策略。
查看外联域名或者外联目的IP的情报画像,了解业务资产外联的域名和外联目的IP
单击查看情报画像,展示该域名或者目的IP的分析数据。具体信息,请参见查看外联域名和外联目的IP的情报画像。
查看外联域名详情,判断是否为业务需要的流量
单击外联的域名,查看外联域名的详细信息。
在外联公网资产、外联私网资产页签,查看外联ECS的信息。单击查看日志,进一步查看日志审计页面的流量日志。具体操作,请参见日志审计。
加入地址簿,统一管理域名和目的IP
单击图标,再单击加入地址簿,跳转到地址簿管理页面。具体操作,请参见地址簿管理。
标记为关注,将该条数据设置为重点关注
单击图标,再单击标注为关注,为该条数据标记星号。
取消关注
单击列表右上方的关注名单,在关注名单面板,对指定的目的域名、目的IP、公网资产IP、私网资产IP取消关注。
加入白名单,直接放行该流量
单击图标,再单击加入白名单,将该条数据加入白名单,即不再分析该数据,该数据也不会出现在列表中。
当前最多支持添加100个白名单。云防火墙主动外联白名单不支持通配符域名(不生效),只支持精确域名。
例如,您将通配符域名(*.example.com)添加到主动外联白名单,云防火墙对业务资产外联该域名的流量仍然存在告警,建议您在白名单中配置精确域名。
取消白名单
单击列表右上方的白名单,在白名单面板,对目的域名或者IP取消加白,取消后,该数据会显示在列表中。
查看流量日志详情,进一步判断是否为业务需要的流量
单击图标,再单击查看日志,跳转到日志审计的流量日志页签。具体操作,请参见日志审计。
外联目的IP
统计业务资产主动访问互联网IP时,存在风险的目的IP的数量和全部目的IP的数量。
公网外联资产
统计业务资产通过公网IP(例如EIP)主动访问互联网时,发起有风险的资产数量和全部资产的数量。
在数据统计区域,单击公网外联资产和私网外联资产区域跳转到
、 页签,查看详细信息。标记为关注,将该条数据设置为重点关注
单击标注为关注,为该条数据标记星号。
取消关注
单击列表右上方的关注名单,在关注名单面板,对指定的目的域名、目的IP、公网资产IP、私网资产IP取消关注。
查看流量日志详情,进一步判断是否为业务需要的流量
单击查看日志,跳转到日志审计的流量日志页签。具体操作,请参见日志审计。
私网外联资产
统计业务资产通过NAT网关主动访问互联网时,发起有风险的私网资产数量和全部私网资产的数量。
外联协议
统计业务资产通过应用协议主动访问互联网时,未识别协议和全部协议的数量及占比。
在数据统计区域,单击外联协议分析区域跳转到
页签,查看详细信息。查看流量日志详情,进一步判断是否为业务需要的流量:单击查看日志,跳转到日志审计的流量日志页签。具体操作,请参见日志审计。
查看外联域名和外联目的IP的情报画像
在外联域名或者外联目的IP页签,单击查看情报画像,展示详细的分析数据。帮您判断业务资产外联域名或者外联目的IP的情报标签是否准确。
如果不准确,您可以单击IOC反馈上报问题。
导出主动外联数据
在外联明细页签,单击列表右上角的图标,将外联域名、外联目的IP、公网外联资产、私网外联资产、外联协议数据以CSV格式下载到本地计算机,方便您对数据进行查看和分析。
相关文档
如果您需要查看互联网访问业务资产(入方向)的流量明细,请参见公网暴露。