【公告】云防火墙异常流量排查体验优化和流量计量模型优化
尊敬的阿里云用户,您好:
阿里云云防火墙计划于2023年10月中下旬针对云防火墙包年包月版本的异常流量排查链路进行优化,提升用户体验。优化后,您可以针对整体流量趋势中的突增突降或其他异常流量,快速定位到具体的业务资产,方便及时降低风险。
解决的业务问题
云防火墙作为重要的网络流量安全产品,可以帮助您实现业务流量安全的可管可控可视,并支持查看当前流量趋势图及资产流量明细数据。同时,您可以通过云防火墙提供的整体流量趋势、突增突降等峰值流量数据,快速定位出异常资产。
优化内容
对比项 | 优化前 | 优化后 |
互联网边界流量统计模型 | 云防火墙处理互联网边界的三层包带宽,流入或者流出流量取较大值,包括攻击防护、访问控制等。
| 云防火墙处理互联网边界的四层会话带宽,入方向或出方向取较大值,包括攻击防护、访问控制等。
说明 优化前的流量峰值带宽时间点和优化后的流量峰值带宽时间点可能发生变化。 |
流量异常或超量排查链路 | 需要分别查看主动外联和公网暴露的流量带宽,根据流入流量带宽和流出流量带宽计算公式进行计算,才能大体定位到具体异常资产IP。 | 通过概览页的流量峰值带宽,根据公网暴露可视分析直接获取入方向的流量带宽数据,主动外联可视分析直接获取出方向的流量带宽数据,对齐流量计算模型,可快速且准确地定位到异常资产IP。 说明 入方向流量峰值带宽指公网暴露总流量峰值带宽,出方向峰值带宽指主动外联总流量峰值带宽。因为云防火墙的流量峰值带宽采用时间段聚合的数据,所以某个具体时间点的总流量峰值带宽会小于等于请求流量峰值带宽与响应流量峰值带宽之和。 |
影响说明
本次优化对当前费用无影响
流量排查监控链路更简单、高效、准确
优化前流量排查链路
优化后流量排查链路
以下以排查入方向峰值带宽异常为例。如果您需要排查流出的异常峰值带宽,步骤相同。只是流出峰值带宽是主动外联请求峰值带宽和公网暴露响应峰值带宽之和。
以下以排查出方向峰值带宽异常为例。如果您需要查看入方向的异常峰值带宽,步骤相同。只是入方向峰值带宽在公网暴露页面查看。
流量计量模型计算示例
示例一
某企业在云上主要提供公网访问服务业务。某时刻经过云防火墙的流量数据如下:
流量方向
请求流量峰值带宽
响应流量峰值带宽
入方向(公网暴露)
300 Mbps
500 Mbps
出方向(主动外联)
200 Mbps
150 Mbps
云防火墙处理总流量峰值带宽为1150 Mbps。
优化前:流入峰值带宽=300 Mbps+150 Mbps=450 Mbps;流出峰值带宽=200 Mbps+500 Mbps=700 Mbps。云防火墙统计的流量峰值带宽取较大值:700 Mbps。
优化后:入方向峰值带宽=300 Mbps+500 Mbps=800 Mbps;出方向峰值带宽=200 Mbps+150 Mbps=350 Mbps。云防火墙统计的流量峰值带宽取较大值:800 Mbps。
综上,优化后流量峰值带宽较优化前上升。
示例二
某企业在云上主要为生产环境,对外访问服务较多。某时刻经过云防火墙的流量数据如下:
流量方向
请求流量峰值带宽
响应流量峰值带宽
入方向(公网暴露)
250 Mbps
150 Mbps
出方向(主动外联)
100 Mbps
200 Mbps
云防火墙处理总流量峰值带宽为700 Mbps。
优化前:流入峰值带宽=250 Mbps+200 Mbp=450 Mbps;流出峰值带宽=100 Mbps+150 Gbps=250 Mbps。云防火墙统计的流量峰值带宽取较大值:450 Mbps。
优化后:入方向峰值带宽=250 Mbps+150 Mbps=400 Mbps;出方向峰值带宽=100 Mbps+200 Mbps=300 Mbps。云防火墙统计的流量峰值带宽取较大值:400 Mbps。
综上,优化后流量峰值带宽较优化前下降。
示例三
某企业在云上出向与入向业务访问相对均衡。某时刻经过云防火墙的流量数据如下:
流量方向
请求流量峰值带宽
响应流量峰值带宽
入方向(公网暴露)
400 Mbps
300 Mbps
出方向(主动外联)
250 Mbps
300 Mbps
云防火墙处理总流量峰值带宽为1250 Mbps。
优化前:流入峰值带宽=400 Mbps+300 Mbp=700 Mbps;流出峰值带宽=250 Mbps+300 Gbps=550 Mbps。云防火墙统计的流量峰值带宽取较大值:700 Mbps。
优化后:入方向峰值带宽=400 Mbps+300 Mbps=700 Mbps;出方向峰值带宽=250 Mbps+300 Mbps=550 Mbps。云防火墙统计的流量峰值带宽取较大值:700 Mbps。
综上,优化后流量峰值带宽较优化前不变。