首页 云防火墙 产品概述 动态与公告 产品公告 【公告】云防火墙异常流量排查体验优化和流量计量模型优化

【公告】云防火墙异常流量排查体验优化和流量计量模型优化

更新时间: 2023-10-12 18:34:18

尊敬的阿里云用户,您好:

阿里云云防火墙计划于2023年10月中下旬针对云防火墙包年包月版本的异常流量排查链路进行优化,提升用户体验。优化后,您可以针对整体流量趋势中的突增突降或其他异常流量,快速定位到具体的业务资产,方便及时降低风险。

解决的业务问题

云防火墙作为重要的网络流量安全产品,可以帮助您实现业务流量安全的可管可控可视,并支持查看当前流量趋势图及资产流量明细数据。同时,您可以通过云防火墙提供的整体流量趋势、突增突降等峰值流量数据,快速定位出异常资产。

优化内容

对比项

优化前

优化后

互联网边界流量统计模型

云防火墙处理互联网边界的三层包带宽,流入或者流出流量取较大值,包括攻击防护、访问控制等。

  • 流入流量带宽=主动外联响应流量带宽+公网暴露请求流量带宽

  • 流出流量带宽=主动外联请求流量带宽+公网暴露响应流量带宽

云防火墙处理互联网边界的四层会话带宽,入方向或出方向取较大值,包括攻击防护、访问控制等。

  • 入方向流量带宽=公网暴露请求流量带宽+公网暴露响应流量带宽

  • 出方向流量带宽=主动外联请求流量带宽+主动外联响应流量带宽

说明

优化前的流量峰值带宽时间点和优化后的流量峰值带宽时间点可能发生变化。

流量异常或超量排查链路

需要分别查看主动外联和公网暴露的流量带宽,根据流入流量带宽和流出流量带宽计算公式进行计算,才能大体定位到具体异常资产IP。

通过概览页的流量峰值带宽,根据公网暴露可视分析直接获取入方向的流量带宽数据,主动外联可视分析直接获取出方向的流量带宽数据,对齐流量计算模型,可快速且准确地定位到异常资产IP。

说明

入方向流量峰值带宽指公网暴露总流量峰值带宽,出方向峰值带宽指主动外联总流量峰值带宽。因为云防火墙的流量峰值带宽采用时间段聚合的数据,所以某个具体时间点的总流量峰值带宽会小于等于请求流量峰值带宽与响应流量峰值带宽之和。

影响说明

  • 本次优化对当前费用无影响

  • 流量排查监控链路更简单、高效、准确

    优化前流量排查链路

    优化后流量排查链路

    以下以排查入方向峰值带宽异常为例。如果您需要排查流出的异常峰值带宽,步骤相同。只是流出峰值带宽是主动外联请求峰值带宽和公网暴露响应峰值带宽之和。

    1. 访问概览页面查看流量趋势,发现某个时刻存在流入异常峰值带宽,需要定位异常资产IP,判断进一步的处置动作。

      image.png
    2. 访问主动外联页面,查看该时刻的响应峰值带宽,定位出可能异常的Top流量资产。

      image.png
    3. 访问公网暴露页面,查看该时刻的请求峰值带宽,定位出可能异常的Top流量资产。

      image.png
    4. 根据主动外联的响应峰值带宽和公网暴露的请求峰值带宽之和,计算出可能存在流量异常的资产IP。

    5. 说明

      根据公式计算出的流入峰值带宽和概览页的流入峰值带宽可能不一致,因此定位出的异常资产IP也可能不精确,需要您再结合日志进一步排查。

    6. 再结合日志审计页面,进一步排查是需要阻断某些源IP还是需要提高购买带宽。

      image.png

    以下以排查出方向峰值带宽异常为例。如果您需要查看入方向的异常峰值带宽,步骤相同。只是入方向峰值带宽在公网暴露页面查看。

    1. 访问概览页面查看流量趋势,发现某个时刻存在出方向异常峰值带宽,需要定位异常资产IP,判断进一步的处置动作。

      image.png
    2. 访问主动外联页面,查看该时刻的出方向峰值带宽,定位出异常资产IP,且可查看该IP对应的请求和响应值。

      image.png

      单击该异常资产IP,可进一步查看该资产的流量趋势和请求响应峰值带宽。

      image.png
    3. 如果您需要进一步查看该资产IP外联了哪些域名或IP,可以结合日志审计页面,排查是需要阻断某些源IP还是需要提高购买带宽。

      image.png
  • 流量计量模型计算示例

    示例一

    某企业在云上主要提供公网访问服务业务。某时刻经过云防火墙的流量数据如下:

    流量方向

    请求流量峰值带宽

    响应流量峰值带宽

    入方向(公网暴露)

    300 Mbps

    500 Mbps

    出方向(主动外联)

    200 Mbps

    150 Mbps

    云防火墙处理总流量峰值带宽为1150 Mbps。

    优化前:流入峰值带宽=300 Mbps+150 Mbps=450 Mbps;流出峰值带宽=200 Mbps+500 Mbps=700 Mbps。云防火墙统计的流量峰值带宽取较大值:700 Mbps。

    优化后:入方向峰值带宽=300 Mbps+500 Mbps=800 Mbps;出方向峰值带宽=200 Mbps+150 Mbps=350 Mbps。云防火墙统计的流量峰值带宽取较大值:800 Mbps。

    综上,优化后流量峰值带宽较优化前上升。

    示例二

    某企业在云上主要为生产环境,对外访问服务较多。某时刻经过云防火墙的流量数据如下:

    流量方向

    请求流量峰值带宽

    响应流量峰值带宽

    入方向(公网暴露)

    250 Mbps

    150 Mbps

    出方向(主动外联)

    100 Mbps

    200 Mbps

    云防火墙处理总流量峰值带宽为700 Mbps。

    优化前:流入峰值带宽=250 Mbps+200 Mbp=450 Mbps;流出峰值带宽=100 Mbps+150 Gbps=250 Mbps。云防火墙统计的流量峰值带宽取较大值:450 Mbps。

    优化后:入方向峰值带宽=250 Mbps+150 Mbps=400 Mbps;出方向峰值带宽=100 Mbps+200 Mbps=300 Mbps。云防火墙统计的流量峰值带宽取较大值:400 Mbps。

    综上,优化后流量峰值带宽较优化前下降。

    示例三

    某企业在云上出向与入向业务访问相对均衡。某时刻经过云防火墙的流量数据如下:

    流量方向

    请求流量峰值带宽

    响应流量峰值带宽

    入方向(公网暴露)

    400 Mbps

    300 Mbps

    出方向(主动外联)

    250 Mbps

    300 Mbps

    云防火墙处理总流量峰值带宽为1250 Mbps。

    优化前:流入峰值带宽=400 Mbps+300 Mbp=700 Mbps;流出峰值带宽=250 Mbps+300 Gbps=550 Mbps。云防火墙统计的流量峰值带宽取较大值:700 Mbps。

    优化后:入方向峰值带宽=400 Mbps+300 Mbps=700 Mbps;出方向峰值带宽=250 Mbps+300 Mbps=550 Mbps。云防火墙统计的流量峰值带宽取较大值:700 Mbps。

    综上,优化后流量峰值带宽较优化前不变

上一篇: 2023年11月之前 下一篇: 云防火墙攻防情报
阿里云首页 云防火墙 相关技术圈