流量分析常见问题

应用显示为Unknown可能存在以下原因。

• 来自互联网入方向的流量很大时，该类流量大部分不是标准协议，因此无法识别为已知协议。

• 网络流量可能被目的服务器阻断，发送大量的RST包。这类包会记录到出方向或入方向的流量中，如果数量较大，则相应的Unknown占比也较大。

情报标签是云防火墙根据外联域名或目的IP的公网信息自动添加的属性，例如，恶意下载、矿池、威胁情报、首次、周期、热门网站、DDoS木马。更多情报标签，请访问主动外联页面。

• 恶意下载、矿池、威胁情报：云防火墙检测出的存在威胁的外联活动。

  说明

  请您及时排查此类标签对应的外联活动是否存在误报。如果确认是恶意行为，建议您配置访问控制策略进行管控。详细内容请参见互联网边界（出入双向流量）。

• 首次：云防火墙第一次发现该外联活动。

• 周期：您的资产对该域名或目的IP存在周期性的外联活动。

• 热门网站：您的服务器或您的业务经常访问的域名。

• DDoS木马：云防火墙检测出的存在DDoS攻击威胁的外联活动。

网络经过云防火墙时，可能会出现以下问题：

• 无法登录服务器。

• 无法访问服务器上的服务。

• 服务器无法访问外网。

云防火墙防护流量时，有以下规则匹配顺序：

• 如果您未启用访问控制策略或已启用访问控制策略但流量未命中访问控制策略，流量会先匹配威胁情报，再匹配基础防御、智能防御、虚拟补丁。

  说明

  如果流量匹配威胁情报时产生拦截动作，不会再匹配其他规则。

• 如果您已启用访问控制策略且流量命中了动作为放行或观察的访问控制策略，流量不再匹配威胁情报规则，会匹配基础防御、智能防御、虚拟补丁。

• 如果您已启用访问控制策略且流量命中了动作为拒绝的访问控制策略，流量不再匹配其他规则。

当您的业务流量超出云防火墙提供的防护带宽时，为您提供以下建议：

• 访问概览页面查看流量趋势。访问主动外联页面、公网暴露页面、VPC互访页面查看具体的流量信息，帮助您及时了解流量变化情况。然后再结合云防火墙的日志数据，定位出异常IP并排除风险。

  以下步骤以定位异常的公网IP为例，为您介绍如何排查。定位异常的VPC的操作跟异常的公网IP操作类似。

  1. 登录云防火墙控制台。在左侧导航栏，单击概览。

  2. 在概览页面的流量趋势区域，查看互联网边界防火墙页签下的流量趋势图。

  3. 将鼠标悬浮在入方向趋势图或者出方向趋势图的峰值，展示该时间点的流量明细。

  4. 根据互联网流量趋势图，判断是入方向峰值高还是出方向峰值高。

     • 入方向流量=公网暴露请求流量+公网暴露响应流量

       入方向峰值指公网暴露总流量峰值，因为云防火墙的流量采用时间段峰值聚合的数据，所以总流量峰值会小于等于请求与响应之和。

     • 出方向流量=主动外联请求流量+主动外联响应流量

       出方向峰值指主动外联总流量峰值，因为云防火墙的流量采用时间段峰值聚合的数据，所以总流量峰值会小于等于请求与响应之和。

     说明

     目前在云防火墙互联网边界防火墙仅能查看公网IP。如果您需要查看私网IP，需要先开启NAT防火墙。

  5. 单击入方向峰值或者出方向峰值右侧的图标。然后在显示的气泡中，单击公网暴露流量峰值和主动外联流量峰值，跳转到主动外联页面和公网暴露页面，查看具体的流量峰值信息。结合云防火墙的日志，定位出异常的公网IP。

• 您的业务流量超出云防火墙提供的防护带宽后，云防火墙向您发送邮件通知。请您及时查看邮件，根据邮件信息进行相应的处理。

  说明

  预计您会在业务流量超出云防火墙防护带宽后的第二天收到邮件通知。