本文介紹Cloud Firewall流量分析常見問題的解決方案。
流量分析中Unknown應用類型佔比較大,是產品無法識別公網的具體請求嗎?
應用顯示為Unknown可能存在以下原因。
來自互連網入方向的流量很大時,該類流量大部分不是標準協議,因此無法識別為已知協議。
網路流量可能被目的伺服器阻斷,發送大量的RST包。這類包會記錄到出方向或入方向的流量中,如果數量較大,則相應的Unknown佔比也較大。
您可以訪問日誌審計頁面,在事件記錄或流量日誌頁簽,觀察Unknown流量的具體來源與用途,判斷出方向或入方向流量是否存在異常情況。
流量分析的全量活動搜尋結果中流量訪問Top中為什麼出現很多未知電訊廠商?
如果流量來自中國香港、中國澳門、中國台灣以及海外地區,入方向只展示對應的國家或地區名稱。如果入方向存在很多來自中國香港、中國澳門、中國台灣以及海外地區的流量,電訊廠商會被標識為未知。
您可以訪問日誌審計頁面的流量日誌頁簽,觀察具體IP對應的地區與電訊廠商。
主動外聯活動中展示的情報標籤代表什嗎?
情報標籤是Cloud Firewall根據外聯網域名稱或目的IP的公網資訊自動添加的屬性,例如,惡意下載、礦池、威脅情報、首次、周期、熱門網站、DDoS木馬。更多情報標籤,請訪問主動外聯頁面。
惡意下載、礦池、威脅情報:Cloud Firewall檢測出的存在威脅的外聯活動。
說明請您及時排查此類標籤對應的外聯活動是否存在誤判。如果確認是惡意行為,建議您配置存取控制策略進行管控。詳細內容請參見配置互連網邊界存取控制策略。
首次:Cloud Firewall第一次發現該外聯活動。
周期:您的資產對該網域名稱或目的IP存在周期性的外聯活動。
熱門網站:您的伺服器或您的業務經常訪問的網域名稱。
DDoS木馬:Cloud Firewall檢測出的存在DDoS攻擊威脅的外聯活動。
流量不通時如何排查?
網路經過Cloud Firewall時,可能會出現以下問題:
無法登入伺服器。
無法訪問伺服器上的服務。
伺服器無法訪問外網。
出現上述問題,您需要從互連網邊界防火牆和主機邊界防火牆兩個維度進行排查:
互連網邊界防火牆
確認資產是否開啟了互連網邊界防火牆。
開啟了互連網邊界防火牆後,流量才會經過Cloud Firewall。關於如何開啟邊界防火牆開關,請參見互連網邊界防火牆。
說明如果資產未開啟互連網邊界防火牆,流量不會經過Cloud Firewall,您需要排查是否存在其他問題,例如:網路不通等。
確認流量日誌頁簽是否有相應的流量記錄。
如果不存在流量日誌,說明流量還未到達防火牆就被丟棄。
如果存在流量日誌,且動作為丟棄,說明流量是在互連網邊界防火牆處被丟棄,在事件記錄列表中查詢對應流量,根據判斷來源列確認攔截該流量的指令來源。
指令來源為存取控制:說明您配置的存取控制策略對該流量進行了攔截。建議您檢查對應存取控制策略配置並進行修改。
指令來源為基礎防禦、虛擬補丁或威脅情報:說明您設定的入侵防禦策略對該流量進行了攔截。您可以前往頁面,關閉對應的入侵防禦策略。
如果存在流量日誌,動作為允許存取或觀察,說明流量不是在互連網邊界防火牆處被丟棄,需要繼續排查主機防火牆(安全性群組)策略。
主機邊界防火牆(安全性群組)
登入ECS控制台。
在左側導覽列,選擇。
定位到網路不通的ECS執行個體,在安全性群組頁簽下的安全性群組列表頁簽,確認安全性群組是否允許存取(即授權策略設定為允許)。
Cloud Firewall防護流量時的規則匹配順序是什嗎?
Cloud Firewall防護流量時,有以下規則匹配順序:
如果您未啟用存取控制策略或已啟用存取控制策略但流量未命中存取控制策略,流量會先匹配威脅情報,再匹配基礎防禦、智能防禦、虛擬補丁。
說明如果流量匹配威脅情報時產生攔截動作,不會再匹配其他規則。
如果您已啟用存取控制策略且流量命中了動作為允許存取或觀察的存取控制策略,流量不再匹配威脅情報規則,會匹配基礎防禦、智能防禦、虛擬補丁。
如果您已啟用存取控制策略且流量命中了動作為拒絕的存取控制策略,流量不再匹配其他規則。
基礎防禦、智能防禦、虛擬補丁規則不分先後順序,流量都會匹配一遍。
業務流量超出Cloud Firewall支援的頻寬規格怎麼辦?
如果您的業務實際流量超出Cloud Firewall提供的防護頻寬,Cloud Firewall將只對防護頻寬範圍內的流量提供防護。對於超出防護頻寬的流量,Cloud Firewall預設不提供防護,直接允許存取,所以,業務實際流量超過防護頻寬時,可能會影響業務的安全性,建議您及時定位出哪些ECS的流量超了,並且根據實際業務判斷是需要擴充防護頻寬規格還是為超流量的ECS關閉Cloud Firewall。
排查異常流量的具體操作,請參見互連網邊界異常流量的排查指導。
擴充防護頻寬的具體操作,請參見續約說明。