本文介绍云防火墙流量分析常见问题的解决方案。
流量分析中Unknown应用类型占比较大,是产品无法识别公网的具体请求吗?
应用显示为Unknown可能存在以下原因。
来自互联网入方向的流量很大时,该类流量大部分不是标准协议,因此无法识别为已知协议。
网络流量可能被目的服务器阻断,发送大量的RST包。这类包会记录到出方向或入方向的流量中,如果数量较大,则相应的Unknown占比也较大。
您可以访问日志审计页面,在事件日志或流量日志页签,观察Unknown流量的具体来源与用途,判断出方向或入方向流量是否存在异常情况。
流量分析的全量活动搜索结果中流量访问Top中为什么出现很多未知运营商?
如果流量来自中国香港、中国澳门、中国台湾以及海外区域,入方向只展示对应的国家或地区名称。如果入方向存在很多来自中国香港、中国澳门、中国台湾以及海外区域的流量,运营商会被标识为未知。
您可以访问日志审计页面的流量日志页签,观察具体IP对应的地区与运营商。
主动外联活动中展示的情报标签代表什么?
情报标签是云防火墙根据外联域名或目的IP的公网信息自动添加的属性,例如,恶意下载、矿池、威胁情报、首次、周期、热门网站、DDoS木马。更多情报标签,请访问主动外联页面。
恶意下载、矿池、威胁情报:云防火墙检测出的存在威胁的外联活动。
说明请您及时排查此类标签对应的外联活动是否存在误报。如果确认是恶意行为,建议您配置访问控制策略进行管控。详细内容请参见互联网边界(出入双向流量)。
首次:云防火墙第一次发现该外联活动。
周期:您的资产对该域名或目的IP存在周期性的外联活动。
热门网站:您的服务器或您的业务经常访问的域名。
DDoS木马:云防火墙检测出的存在DDoS攻击威胁的外联活动。
流量不通时如何排查?
网络经过云防火墙时,可能会出现以下问题:
无法登录服务器。
无法访问服务器上的服务。
服务器无法访问外网。
出现上述问题,您需要从互联网边界防火墙和主机边界防火墙两个维度进行排查:
互联网边界防火墙
确认资产是否开启了互联网边界防火墙。
开启了互联网边界防火墙后,流量才会经过云防火墙。关于如何开启边界防火墙开关,请参见互联网边界防火墙。
说明如果资产未开启互联网边界防火墙,流量不会经过云防火墙,您需要排查是否存在其他问题,例如:网络不通等。
确认流量日志页签是否有相应的流量记录。
如果不存在流量日志,说明流量还未到达防火墙就被丢弃。
如果存在流量日志,且动作为丢弃,说明流量是在互联网边界防火墙处被丢弃,在事件日志列表中查询对应流量,根据判断来源列确认拦截该流量的指令来源。
指令来源为访问控制:说明您配置的访问控制策略对该流量进行了拦截。建议您检查对应访问控制策略配置并进行修改。
指令来源为基础防御、虚拟补丁或威胁情报:说明您设置的入侵防御策略对该流量进行了拦截。您可以前往
页面,关闭对应的入侵防御策略。
如果存在流量日志,动作为放行或观察,说明流量不是在互联网边界防火墙处被丢弃,需要继续排查主机防火墙(安全组)策略。
主机边界防火墙(安全组)
登录ECS控制台。
在左侧导航栏,选择
。定位到网络不通的ECS实例,在安全组页签下的安全组列表页签,确认安全组是否放行(即授权策略设置为允许)。
云防火墙防护流量时的规则匹配顺序是什么?
云防火墙防护流量时,有以下规则匹配顺序:
如果您未启用访问控制策略或已启用访问控制策略但流量未命中访问控制策略,流量会先匹配威胁情报,再匹配基础防御、智能防御、虚拟补丁。
说明如果流量匹配威胁情报时产生拦截动作,不会再匹配其他规则。
如果您已启用访问控制策略且流量命中了动作为放行或观察的访问控制策略,流量不再匹配威胁情报规则,会匹配基础防御、智能防御、虚拟补丁。
如果您已启用访问控制策略且流量命中了动作为拒绝的访问控制策略,流量不再匹配其他规则。
基础防御、智能防御、虚拟补丁规则不分先后顺序,流量都会匹配一遍。
业务流量超出云防火墙支持的带宽规格怎么办?
如果您的业务实际流量超出云防火墙提供的防护带宽,云防火墙将只对防护带宽范围内的流量提供防护。对于超出防护带宽的流量,云防火墙默认不提供防护,直接放行,所以,业务实际流量超过防护带宽时,可能会影响业务的安全性,建议您及时定位出哪些ECS的流量超了,并且根据实际业务判断是需要扩充防护带宽规格还是为超流量的ECS关闭云防火墙。
排查异常流量的具体操作,请参见互联网边界异常流量的排查指导。
扩充防护带宽的具体操作,请参见续费说明。