本文介绍云防火墙流量分析常见问题的解决方案。

流量分析中Unknown应用类型占比较大,是产品无法识别公网的具体请求吗?

应用显示为Unknown可能存在以下原因。
  • 来自互联网入方向的流量很大时,该类流量大部分不是标准协议,因此无法识别为已知协议。
  • 网络流量可能被目的服务器阻断,发送大量的RST包。这类包会记录到出方向或入方向的流量中,如果数量较大,则相应的Unknown占比也较大。
说明 您可以访问日志审计页面,在事件日志流量日志页签,观察Unknown流量的具体来源与用途,判断出方向或入方向流量是否存在异常情况。

流量分析的全量活动搜索结果中流量访问Top中为什么出现很多未知运营商?

如果流量来自中国香港、中国澳门、中国台湾以及海外区域,入方向只展示对应的国家或地区名称。如果入方向存在很多来自中国香港、中国澳门、中国台湾以及海外区域的流量,运营商会被标识为未知。

您可以访问日志审计页面流量日志页签,观察具体IP对应的地区与运营商。

主动外联活动中展示的域名标签代表什么?

标签是云防火墙根据外联域名或目的IP的公网信息自动添加的属性,包括:恶意下载矿池威胁情报首次周期热门网站DDoS木马
  • 恶意下载矿池威胁情报:云防火墙检测出的存在威胁的外联活动。
    说明 请您及时排查此类标签对应的外联活动是否存在误报。如果确认是恶意行为,建议您配置访问控制策略进行管控。详细内容请参见互联网边界防火墙(内外双向流量)
  • 首次:云防火墙第一次发现该外联活动。
  • 周期:您的资产对该域名或目的IP存在周期性的外联活动。
  • 热门网站:您的服务器或您的业务经常访问的域名。
  • DDoS木马:云防火墙检测出的存在DDoS攻击威胁的外联活动。

流量不通时如何排查?

网络经过云防火墙时,可能会出现以下问题:
  • 无法登录服务器。
  • 无法访问服务器上的服务。
  • 服务器无法访问外网。

出现上述问题,您需要从互联网边界防火墙和主机边界防火墙两个维度进行排查:

互联网边界防火墙

  1. 确认资产是否开启了互联网边界防火墙。

    开启了互联网边界防火墙后,流量才会经过云防火墙。关于如何开启边界防火墙开关,请参见互联网边界防火墙

    说明 如果资产未开启互联网边界防火墙,流量不会经过云防火墙,您需要排查是否存在其他问题,例如:网络不通等。
  2. 确认流量日志页签是否有相应的流量记录。
    • 如果不存在流量日志,说明流量还未到达防火墙就被丢弃。
    • 如果存在流量日志,且动作为丢弃,说明流量是在互联网边界防火墙处被丢弃,在事件日志列表中查询对应流量,根据判断来源列确认拦截该流量的指令来源。
      • 指令来源为访问控制:说明您配置的访问控制策略对该流量进行了拦截。建议您检查对应访问控制策略配置并进行修改。
      • 指令来源为基础防御虚拟补丁威胁情报:说明您设置的入侵防御策略对该流量进行了拦截。您可以前往攻击防护 > 入侵防御页面,关闭对应的入侵防御策略。
    • 如果存在流量日志,动作为放行观察,说明流量不是在互联网边界防火墙处被丢弃,需要继续排查主机防火墙(安全组)策略。

主机边界防火墙(安全组)

  1. 登录ECS控制台
  2. 在左侧导航栏,选择实例与镜像 > 实例
  3. 定位到网络不通的ECS实例,在安全组页签下的安全组列表页签,确认安全组是否放行(即授权策略设置为允许)。

如果上述步骤还不能解决您的问题,请提交工单

云防火墙防护流量时的规则匹配顺序是什么?

云防火墙防护流量时,有以下规则匹配顺序:
  • 如果您未启用访问控制策略或已启用访问控制策略但流量未命中访问控制策略,流量会先匹配威胁情报,再匹配基础防御智能防御虚拟补丁
    说明 如果流量匹配威胁情报时产生拦截动作,不会再匹配其他规则。
  • 如果您已启用访问控制策略且流量命中了动作为放行或观察的访问控制策略,流量不再匹配威胁情报规则,会匹配基础防御智能防御虚拟补丁
  • 如果您已启用访问控制策略且流量命中了动作为拒绝的访问控制策略,流量不再匹配其他规则。
流量的规则匹配图
说明 基础防御智能防御虚拟补丁规则不分先后顺序,流量都会匹配一遍。

业务流量超出云防火墙支持的带宽规格怎么办?

如果您的业务实际流量超出云防火墙提供的防护带宽,云防火墙将只对防护带宽范围内的流量提供防护。对于超出防护带宽的流量,云防火墙默认不提供防护。业务实际流量超过防护带宽时,您必须扩充防护带宽规格。关于扩充防护带宽的详细内容,请参见续费说明

当您的业务流量超出云防火墙提供的防护带宽时,为您提供以下建议:
  • 访问概览页面查看流量趋势。访问主动外联活动页面互联网访问活动页面VPC访问活动页面查看具体的流量信息,帮助您及时了解流量变化情况。然后再结合云防火墙的日志数据,定位出异常IP并排除风险。

    以下步骤以定位异常的公网IP为例,为您介绍如何排查。

    1. 登录云防火墙控制台。在左侧导航栏,单击概览
    2. 概览页面的流量趋势区域,分别查看互联网边界防火墙VPC边界防火墙页签下的流量趋势图。
    3. 将鼠标悬浮在流入趋势图或者流出趋势图的峰值,展示该时间点的流量明细。
    4. 根据互联网流量趋势图,判断是流入峰值高还是流出峰值高。假如流入峰值高。
      • 互联网流量的流入峰值=主动外联响应峰值+互联网访问请求峰值
      • 互联网流量的流出峰值=主动外联请求峰值+互联网访问响应峰值
      说明 目前在云防火墙互联网边界防火墙仅能查看公网IP。如果您需要查看私网IP,需要先开启NAT防火墙。
    5. 单击流入峰值和流出峰值右侧的详情图标。然后在显示的气泡中,单击主动外联响应峰值互联网访问峰值,跳转到主动外联活动页面互联网访问活动页面,查看具体的流量峰值信息。结合云防火墙的日志,定位出异常的公网IP。
  • 您的业务流量超出云防火墙提供的防护带宽后,云防火墙向您发送邮件通知。请您及时查看邮件,根据邮件信息进行相应的处理。
    说明 预计您会在业务流量超出云防火墙防护带宽后的第二天收到邮件通知。