通过网络流量分析,您可以实时查看主机上发生的威胁事件、网络活动、流量趋势、 入侵防御阻断访问和主机主动外联活动等。

背景信息

网络流量分析是配置访问控制策略的基础。建议您在配置访问控制策略前全面了解您资产的网络流量情况。

主动外联活动

主动外联活动页面主要展示ECS(包括SNAT IP)主动对外请求流量大小、IP地址、端口、域名等信息,帮助您及时发现可疑主机。

您可根据主动外联活动的数据配置访问控制策略。

  1. 登录云防火墙控制台
  2. 在左侧导航栏,单击网络流量分析 > 主动外联活动
  3. 主动外联活动页面,查看您资产最近1小时、最近24小时、最近7日内或自定义时间范围内的主动外联活动情况。
    详细操作说明参见主动外联活动

互联网访问活动

互联网访问活动页面为您展示ECS对外提供的服务情况和来自互联网对服务访问情况的分析,包括开放的端口、应用、IP地址,帮助您区分正常访问流量和扫描。您可以根据互联网活动页面提供的数据和信息对内-外流量访问控制策略进行配置。

  1. 登录云防火墙控制台
  2. 在左侧导航栏,单击网络流量分析 > 互联网访问活动
  3. 互联网访问活动页面,查看您资产的开放公网IP、开放端口、开放应用等详细信息。

VPC访问活动

VPC访问活动页面为您展示VPC专有网络之间的流量信息,帮助您实时获取VPC网络流量信息,及时发现和排查异常流量,从而更快地发现和检测出攻击。

  1. 登录云防火墙控制台
  2. 在左侧导航栏,单击网络流量分析 > VPC访问活动
  3. VPC访问活动页面,查看VPC间流量访问、VPC间会话TOP排行、流量访问的开放端口和资产等信息。

入侵检测

入侵检测页面为您展示资产被扫描和入侵的情况。支持对入侵检测事件进行一键防御。

  1. 登录云防火墙控制台
  2. 在左侧导航栏,单击网络流量分析 > 入侵检测
  3. 入检测页面,您可以进行以下操作。
    • 在入侵检测页面可查看指定时间段内的威胁活动情况和威胁事件的详细信息。
    • 可通过筛选威胁分类、处理状态和检测时间定位到相关威胁事件。
    • 单击忽略,被忽略的IP地址将不再纳入入侵检测范围内。
    • 单击详情查看入侵事件列表中入侵事件详情及后续建议。

IPS拦截记录

IPS拦截记录页面实时为您展示1小时、1天、7天、1个月内或自定义时间范围内入侵防御模块的拦截情况,包括入侵来源区域、入侵应用分布和详细的事件日志。

  1. 登录云防火墙控制台
  2. 在左侧导航栏,单击网络流量分析 > IPS拦截记录
  3. IPS拦截记录页面,您可以进行以下操作。
    • IPS拦截记录页面单击页面查看1小时、1天、7天、1个月内或自定义时间范围内的拦截活动情况。
    • 阻断数据模块中单击入方向出方向,显示入方向/出方向被阻断的流量分布区域及对应的百分比。
    • 详细数据模块中单击详情查看该事件的详细信息。
    • 在阻断事件列表中可查看阻断目的IP地址、被阻断的应用以及阻断来源。
    • 在阻断事件列表中,可通过筛选判断来源类型、方向、防御状态、检测时间以及源IP搜索相关阻断事件的详细信息。

全量活动搜索

全量活动搜索为您实时展示外部请求IP或资产IP的流量情况。

  1. 登录云防火墙控制台
  2. 在左侧导航栏,单击网络流量分析 > 全量活动搜索
  3. 全量活动搜索页面,您可以进行以下操作。
    • 查看15分钟、1小时、4小时、1天、1周或自定义时间范围内的全部威胁活动情况和趋势图。
      说明 自定义时间范围不限。
    • 单击条件下拉框选择对应的查询条件并输入/选择该条件的详细信息,查询对应的流量访问活动的历史趋势。
    • 流量访问TOP模块,您可查看TOP 10流量访问活动的入方向来源地区及应用占比数据、出方向应用及应用占比数据、TOP 10会话地址等信息。