Cloud Firewallトラフィック分析に関するFAQとソリューション、未知のアプリケーションからのトラフィックが大部分を占める、すべてのアクセスアクティビティの結果を表示するときにシステムが未知のISPからのトラフィックの大部分を表示する理由、ネットワーク接続障害のトラブルシューティング方法 -

このトピックでは、Cloud Firewallのネットワークトラフィック分析に関するよくある質問に対する回答を提供します。

未知のアプリケーションからのトラフィックは、トラフィック分析において大きな割合を占める。これは、Cloud Firewallがインターネットからトラフィックを生成するアプリケーションの種類を識別できないために発生しますか?
すべてのアクセス活動の結果を表示すると、システムは未知のISPからのトラフィックの大部分を表示します。これはなぜですか。
インテリジェンスタグは、アウトバウンド接続ページに表示されます。タグの意味は何ですか?
ネットワーク接続障害のトラブルシューティング方法?
トラフィックを保護するためにCloud Firewallで使用されるルールの優先順位は何ですか?
ビジネストラフィックの量がCloud Firewallの購入帯域幅を超えた場合はどうすればよいですか?

未知のアプリケーションからのトラフィックは、トラフィック分析において大きな割合を占める。これは、Cloud Firewallがインターネットからトラフィックを生成するアプリケーションの種類を識別できないために発生しますか?

考えられる原因:

大量のトラフィックがインターネットから生成され、トラフィックは標準プロトコルに準拠していません。その結果、Cloud Firewallはトラフィックのアプリケーションタイプを識別できません。
宛先サーバーはネットワークトラフィックをブロックし、多数のRSTパケットを返します。 RSTパケットは、インバウンドトラフィックまたはアウトバウンドトラフィックでカウントされます。多数のRSTパケットは、タイプが不明なアプリケーションからのトラフィックの大部分を引き起こす。

説明

[ログ監査] ページに移動し、[イベントログ] または [トラフィックログ] タブをクリックして、未知のアプリケーションからのトラフィックのソースと目的を表示できます。次に、トラフィックが正常かどうかを判断できます。

すべてのアクセス活動の結果を表示すると、システムは未知のISPからのトラフィックの大部分を表示します。これはなぜですか。

香港 (中国) 、マカオ (中国) 、台湾 (中国) 、または中国以外のリージョンからのインバウンドトラフィックの場合、システムには国またはリージョンの名前のみが表示されます。 Cloud Firewallは、インターネットサービスプロバイダー (ISP) のトラフィックを不明としてマークします。

[ログ監査] ページに移動し、[トラフィックログ] タブをクリックして、IPアドレスのリージョンとISPを表示します。

インテリジェンスタグは、アウトバウンド接続ページに表示されます。タグの意味は何ですか?

クラウドファイアウォールは、アウトバウンドアクティビティに関連するドメイン名または宛先IPアドレスに関するインターネット情報に基づいて、タグを自動的に追加します。タグには、Malicious download、Ore pooled、Threat Intelligence、New、Periodic、Popular website、DDoS Trojanが含まれます。インテリジェンスタグの詳細については、「送信接続」をご参照ください。

悪意のあるダウンロード、鉱石プール、または脅威インテリジェンス: クラウドファイアウォールは、アウトバウンドアクティビティを危険と見なします。
説明
最も早い機会にアウトバウンドアクティビティが偽陽性であるかどうかを確認する必要があります。アウトバウンドアクティビティが悪意のあるものである場合、関連するアクティビティを制限するようにアクセス制御ポリシーを設定することを推奨します。詳細については、「インターネットファイアウォールのアクセス制御ポリシーの作成」をご参照ください。
New: Cloud Firewallは、初めてアウトバウンドアクティビティを識別します。
定期的: アセットは、アウトバウンド接続でドメイン名または宛先IPアドレスと定期的に通信します。
人気のあるWebサイト: ドメイン名は、サーバーまたはビジネスによって頻繁にアクセスされます。
DDoSトロイの木馬: クラウドファイアウォールは、アウトバウンドアクティビティがDDoS攻撃を引き起こす可能性があると見なします。

ネットワーク接続障害のトラブルシューティング方法?

ファイアウォールを有効にすると、次の問題が発生する可能性があります。

サーバーにログオンできません。
サーバーで実行されるサービスにアクセスすることはできません。
サーバーはインターネットに接続できません。

上記の問題が発生した場合は、次のディメンション (インターネットファイアウォールと内部ファイアウォール) から問題をトラブルシューティングする必要があります。

インターネットファイアウォール

アセットに対してインターネットファイアウォールが有効になっているかどうかを確認します。
インターネットファイアウォールを有効にすると、トラフィックはクラウドファイアウォールを通過します。インターネットファイアウォールを有効にする方法の詳細については、「インターネットファイアウォール」をご参照ください。
説明
アセットのインターネットファイアウォールが無効になっている場合、トラフィックはクラウドファイアウォールを通過しません。この場合、ネットワーク接続障害などの他の問題が発生していないか確認する必要があります。
[トラフィックログ] タブでトラフィックログが生成されているかどうかを確認します。
- トラフィックログが見つからない場合、トラフィックはインターネットファイアウォールに到達する前に破棄されます。
- トラフィックログが見つかり、アクションが [破棄] の場合、トラフィックはインターネットファイアウォールによって破棄されます。この場合、[イベントログ] タブで関連するイベントを確認し、[モジュール] 列の情報に基づいて [破棄] アクションを実行するモジュールを確認できます。
  - アクセス制御モジュールによって破棄操作が実行された場合、設定したアクセス制御ポリシーに基づいてトラフィックが破棄されます。アクセス制御ポリシーを確認し、ビジネス要件に基づいて変更することを推奨します。
  - [基本保護] 、[仮想パッチ適用] 、または [脅威インテリジェンス] モジュールで [破棄] アクションが実行された場合、設定した侵入防止ポリシーに基づいてトラフィックが破棄されます。この場合、左側のナビゲーションウィンドウで [攻撃防止] > [侵入防止] を選択して、侵入防止ポリシーを無効にできます。
- トラフィックログが検出され、アクションが [許可] または [監視] の場合、トラフィックはインターネットファイアウォールによって破棄されません。セキュリティグループを確認する必要があります。

内部ファイアウォール (セキュリティグループ)

ECS コンソールにログインします。
左側のナビゲーションペインで [インスタンスとイメージ] > [インスタンス] を選択します。
ネットワーク接続障害が発生したElastic Compute Service (ECS) インスタンスを見つけてクリックします。 [セキュリティグループ] タブの [セキュリティグループ] タブで、必要なセキュリティグループルールの [操作] 列の値が [許可] であるかどうかを確認します。

トラフィックを保護するためにCloud Firewallで使用されるルールの優先順位は何ですか?

Cloud Firewallは、次のルールの優先順位に基づいて、トラフィックをルールと照合します。

アクセス制御ポリシーが有効になっていない場合、またはアクセス制御ポリシーが有効になっているが、トラフィックがアクセス制御ポリシーと一致しない場合、Cloud Firewallはトラフィックを脅威インテリジェンスのルールと照合し、次に基本保護、インテリジェント防御、仮想パッチのルールと照合します。
説明
トラフィックが脅威インテリジェンスのルールによってブロックされている場合、Cloud Firewallはトラフィックを他のルールと照合しなくなります。
アクセス制御ポリシーが有効になっていて、トラフィックが許可ポリシーまたはモニターポリシーと一致している場合、Cloud Firewallは脅威インテリジェンスのルールとは一致しませんが、基本保護、インテリジェント防御、および仮想パッチのルールとは一致します。
アクセス制御ポリシーが有効になっていて、トラフィックが [拒否] ポリシーと一致する場合、Cloud Firewallはトラフィックを他のルールと一致しなくなります。

説明

Cloud Firewallは、トラフィックを基本保護、インテリジェント防御、および仮想パッチ適用のルールと優先順位なしで照合します。

ビジネストラフィックの量がCloud Firewallの購入帯域幅を超えた場合はどうすればよいですか?

ビジネストラフィックの量が購入した帯域幅を超える場合、過剰なトラフィックはCloud Firewallによって保護されません。 Cloud Firewallは、ボリュームが帯域幅を超えないトラフィックのみを保護できます。ビジネストラフィックのボリュームが購入した帯域幅を超える場合、トラフィックが帯域幅を超えるECSインスタンスを見つけ、追加の帯域幅を購入するか、ECSインスタンスのファイアウォールを無効にするかを判断する必要があります。帯域幅を増やす方法の詳細については、「更新」をご参照ください。

ビジネストラフィックの量が購入した帯域幅を超える場合は、次の操作を実行することを推奨します。

[概要] ページに移動して、トラフィックの傾向を表示します。 [アウトバウンド接続] 、[インターネット公開] 、および [VPCアクセス] ページでトラフィックの変更を表示できます。これにより、Cloud Firewallログに基づいて疑わしいIPアドレスを特定し、リスクを処理できます。
疑わしいパブリックIPアドレスを特定するには、次の手順を実行します。不審なVPCを見つける操作は、不審なパブリックIPアドレスを見つける操作と似ています。
1. Cloud Firewallコンソールにログインします。左側のナビゲーションウィンドウで、[概要] をクリックします。
2. [概要] ページの [トラフィックトレンド] セクションで、[インターネットボーダー] タブをクリックしてトラフィックトレンドチャートを表示します。
3. トレンドチャートの上にポインターを移動すると、指定した時点での受信および送信のピークトラフィックの詳細が表示されます。
4. トレンドチャートに基づいて、インバウンドトラフィックとアウトバウンドトラフィックのどちらのピーク値が高いかを判断します。
  - インバウンドトラフィック=インターネット上で公開されるリクエストのトラフィック + インターネット上で公開されるレスポンスのトラフィック
    Peak Inbound Trafficは、インターネット上で公開されるすべてのトラフィックのピークを指定します。ピークは、要求トラフィックと応答トラフィックの合計以下です。これは、Cloud Firewallが指定された期間内の集計されたピーク値に基づいてトラフィック統計を計算するためです。
  - アウトバウンドトラフィック=アウトバウンド接続のリクエストのトラフィック + アウトバウンド接続のレスポンスのトラフィック
    Peak Outbound Trafficは、アウトバウンド接続を介して流れるすべてのトラフィックのピークを指定します。ピークは、要求トラフィックと応答トラフィックの合計以下です。これは、Cloud Firewallが指定された期間内の集計されたピーク値に基づいてトラフィック統計を計算するためです。
5. [ピーク受信トラフィック] または [ピーク送信トラフィック] の右側にあるアイコンをクリックします。表示されるツールチップで、[インターネットで公開された応答のピークトラフィック] または [アウトバウンドリクエストのピークトラフィック] をクリックし、[アウトバウンド接続] または [インターネット公開] ページに移動してピークトラフィックの詳細を表示します。次に、Cloud Firewallログに基づいて疑わしいパブリックIPアドレスを特定できます。
ビジネストラフィックの量が購入した帯域幅を超えると、Cloud Firewallから通知メールが送信されます。定期的にメールをチェックし、メールに記載されている情報に基づいて問題を処理することをお勧めします。
説明
ビジネストラフィックの量が購入した帯域幅を超える場合、Cloud Firewallは24時間以内に通知メールを送信します。

すべてのアクセス活動の結果を表示すると、システムは未知のISPからのトラフィックの大部分を表示します。 これはなぜですか。

インテリジェンスタグは、アウトバウンド接続ページに表示されます。 タグの意味は何ですか?