本文介绍云防火墙流量分析常见问题的解决方案。
业务流量超额相关:
流量分析中Unknown应用类型占比较大,是产品无法识别公网的具体请求吗?
应用显示为Unknown可能存在以下原因。
来自互联网入方向的流量很大时,该类流量大部分不是标准协议,因此无法识别为已知协议。
网络流量可能被目的服务器阻断,发送大量的RST包。这类包会记录到出方向或入方向的流量中,如果数量较大,则相应的Unknown占比也较大。
您可以访问日志审计页面,在事件日志或流量日志页签,观察Unknown流量的具体来源与用途,判断出方向或入方向流量是否存在异常情况。
流量分析的全量活动搜索结果中流量访问Top中为什么出现很多未知运营商?
如果流量来自中国香港、中国澳门、中国台湾以及海外区域,入方向只展示对应的国家或地区名称。如果入方向存在很多来自中国香港、中国澳门、中国台湾以及海外区域的流量,运营商会被标识为未知。
您可以访问日志审计页面的流量日志页签,观察具体IP对应的地区与运营商。
主动外联活动中展示的情报标签代表什么?
情报标签是云防火墙根据外联域名或目的IP的公网信息自动添加的属性,例如,恶意下载、矿池、威胁情报、首次、周期、热门网站、DDoS木马。更多情报标签,请访问主动外联页面。
恶意下载、矿池、威胁情报:云防火墙检测出的存在威胁的外联活动。
说明请您及时排查此类标签对应的外联活动是否存在误报。如果确认是恶意行为,建议您配置访问控制策略进行管控。详细内容请参见配置互联网边界访问控制策略。
首次:云防火墙第一次发现该外联活动。
周期:您的资产对该域名或目的IP存在周期性的外联活动。
热门网站:您的服务器或您的业务经常访问的域名。
DDoS木马:云防火墙检测出的存在DDoS攻击威胁的外联活动。
流量不通时如何排查?
网络经过云防火墙时,可能会出现以下问题:
无法登录服务器。
无法访问服务器上的服务。
服务器无法访问外网。
出现上述问题,您需要从互联网边界防火墙和主机边界防火墙两个维度进行排查:
互联网边界防火墙
确认资产是否开启了互联网边界防火墙。
开启了互联网边界防火墙后,流量才会经过云防火墙。关于如何开启边界防火墙开关,请参见互联网边界防火墙。
说明如果资产未开启互联网边界防火墙,流量不会经过云防火墙,您需要排查是否存在其他问题,例如:网络不通等。
确认流量日志页签是否有相应的流量记录。
如果不存在流量日志,说明流量还未到达防火墙就被丢弃。
如果存在流量日志,且动作为丢弃,说明流量是在互联网边界防火墙处被丢弃,在事件日志列表中查询对应流量,根据判断来源列确认拦截该流量的指令来源。
指令来源为访问控制:说明您配置的访问控制策略对该流量进行了拦截。建议您检查对应访问控制策略配置并进行修改。
指令来源为基础防御、虚拟补丁或威胁情报:说明您设置的入侵防御策略对该流量进行了拦截。您可以前往页面,关闭对应的入侵防御策略。
如果存在流量日志,动作为放行或观察,说明流量不是在互联网边界防火墙处被丢弃,需要继续排查主机防火墙(安全组)策略。
主机边界防火墙(安全组)
登录ECS控制台。
在左侧导航栏,选择。
定位到网络不通的ECS实例,在安全组页签下的安全组列表页签,确认安全组是否放行(即授权策略设置为允许)。
云防火墙防护流量时的规则匹配顺序是什么?
云防火墙防护流量时,有以下规则匹配顺序:
如果您未启用访问控制策略或已启用访问控制策略但流量未命中访问控制策略,流量会先匹配威胁情报,再匹配基础防御、智能防御、虚拟补丁。
说明如果流量匹配威胁情报时产生拦截动作,不会再匹配其他规则。
如果您已启用访问控制策略且流量命中了动作为放行或观察的访问控制策略,流量不再匹配威胁情报规则,会匹配基础防御、智能防御、虚拟补丁。
如果您已启用访问控制策略且流量命中了动作为拒绝的访问控制策略,流量不再匹配其他规则。
基础防御、智能防御、虚拟补丁规则不分先后顺序,流量都会匹配一遍。
云防火墙公网暴露检测原理是什么?
云防火墙会根据入向流量数据,检测是否存在异常流量、业务资产开放公网IP、开放端口、开放应用、云产品的公网IP等。查看公网暴露的具体操作,请参见公网暴露。
业务流量超出额度相关问题
业务流量超出云防火墙支持的带宽规格怎么办?
如果您的业务流量超过已购云防火墙流量处理规格,则不能保证产品SLA,可能触发包括但不限于安全能力失效(ACL、IPS、日志审计)、TOP超量资产关闭防火墙、限速丢包等超量降级规则。
若您的业务流量可能有超量风险,建议参考包年包月弹性流量后付费。
排查异常流量的具体操作,请参见互联网边界异常流量的排查指导。
扩充防护带宽的具体操作,请参见续费说明。
云防火墙公网防护带宽流量超额如何设置通知?
流量超额分为流量超额通知和流量超额预警两种:
流量超额通知:实时统计,统计当天当前边界流量(互联网边界、VPC边界和NAT边界)超量情况。
触发逻辑:超量发送,会有10分钟延迟,告警时间不区分白天晚上24h通知。
发送逻辑:一天发且仅发送一次。
注意包年包月客户开启弹性流量处理能力后,不会再发送流量超额通知。
如果超量的10分钟以内就完成了扩容,则不会触发超量告警。
流量超额预警:超量预警实时统计(会有10分钟延迟),目前仅支持互联网边界和VPC边界 流量超额预警,暂不支持NAT边界流量超额预警。
触发逻辑:当前流量超出设定的预警阈值。
预警文案数据统计逻辑:统计当前时间过去24h内的峰值和超过预警的次数,次数的定义是按照半小时为粒度,每个半小时内如果有超过,就算一次。
发送逻辑:每天只发送一次,如果已经发送过流量超额通知就不会再发预警。
开启弹性流量处理能力用户不发送。
8-20点间统计发送。
您可以在告警通知中了解通知支持类型和设置通知的操作步骤。
流量超额后无法及时处理怎么办?
如果您预计到业务流量可能出现短期业务流量突发上涨,且无法及时处理的情况,可以使用云防火墙的包年包月弹性流量后付费能力。
包年包月弹性流量后付费能力是指当用户的流量超过了包年包月套餐内包含的流量额度后,对于超出部分的流量采取的一种后付费模式。这种模式允许用户在不改变原有包年包月计费方式的基础上,对超出预定流量限额的部分按照实际使用量进行付费。详细说明,请参见包年包月弹性流量后付费。
按量付费版的流量全部为后付费模式,无需考虑此种情况。
云防火墙的弹性流量规格最多支持弹到多少规格
每日处理默认上限1000000 GB,注意云防火墙只有流量带宽规格的限制,不涉及QPS和连接数的概念。详细说明,请参见:包年包月弹性流量后付费-计费说明。