流量分析中Unknown应用类型占比较大,是产品无法识别外网的具体请求吗?

应用显示为Unknown可能存在以下原因。
  • 来自互联网入方向的流量很大时,该类流量大部分不是标准协议,因此无法识别为已知协议。
  • 网络流量可能被目的服务器阻断,发送大量的rst回包。这类包会记录到出方向或入方向的流量中,如果数量较大,则相应的Unknown占比也较大。
说明 您可以在云防火墙控制台的左侧导航栏选择日志分析 > 日志审计,然后单击事件日志流量日志页签,观察Unknown流量的具体来源与用途,判断出方向或入方向流量是否存在异常情况。
您可以在云防火墙控制台以下页面看到Unknown数据。
  • 互联网访问活动

    在左侧导航栏,选择流量分析 > 互联网访问活动。在下方列表的应用类型下拉菜单,选择Unknown

    筛选后,您可以查看Unknown应用类型的互联网访问活动。

    互联网访问活动
  • 全量活动搜索

    在左侧导航栏,选择流量分析 > 全量活动搜索。在流量访问Top区域,您可以查看入方向和出方向应用中的Unknown应用类型。

    全量活动搜索
  • 日志审计

    在左侧导航栏,选择日志分析 > 日志审计,然后选择事件日志流量日志页面的互联网边界防火墙VPC边界防火墙页签。在日志列表的应用列,查看Unknown应用类型。

  • 日志分析

    在左侧导航栏,选择日志分析 > 日志分析 > 报表。在流入分布流出分布区域,您可以查看入方向和出方向Top 10应用和拦截应用中的Unknown应用类型。

    • 流入分布日志分析-流入分布
    • 流出分布日志分析-流出分布
      说明 单击每个功能区域右上角的详情图标图标,您可以进行调整时间范围、下载图表数据、下载图表等操作。

流量分析的全量活动搜索结果中流量访问Top中为什么出现很多未知运营商?

来自中国以外地区的流量的入方向地区只展示国家名称,如果入方向存在很多来自中国以外的流量,运营商会被标识为未知。

您可在云防火墙控制台的左侧导航栏选择日志分析 > 日志审计 > 流量日志,观察具体IP对应的地区与运营商。

主动外联活动中会展示域名的标签,这些标签代表什么?

标签是云防火墙根据外联域名或目的IP的公网信息自动添加的属性,包括:首次周期恶意下载热门网站矿池威胁情报DDoS木马主动外联活动-标签
  • 首次:云防火墙第一次发现该外联活动。
  • 周期:您的资产对该域名或目的IP存在周期性的外联活动。
  • 恶意下载矿池威胁情报:云防火墙检测出的存在威胁的外联活动。请您及时排查此类标签对应的外联活动是否存在误报,如果确认是恶意行为,建议您配置访问控制策略进行管控。详细内容请参见互联网边界(内外双向流量)
  • 热门网站:您的服务器或您的业务经常访问的域名。
  • DDoS木马:云防火墙检测出的存在DDoS攻击威胁的外联活动。