本文介绍互联网边界业务的整体流量存在超出购买的防护带宽、以及发生突增、突降或其他异常情况时,如何快速定位到具体的业务资产,方便您对业务资产进行精细化管理。
云防火墙互联网边界如何计算流量
云防火墙处理互联网边界流量时,在公网入方向和出方向的总流量峰值带宽中取较大值。公网入方向和出方向的总流量带宽计算公式如下:
入方向流量带宽=公网暴露请求流量带宽+公网暴露响应流量带宽
出方向流量带宽=主动外联请求流量带宽+主动外联响应流量带宽
因为云防火墙的流量峰值带宽采用时间段聚合的数据,即总流量带宽是同一时间点请求和响应流量带宽之和。但是请求和响应流量峰值带宽分别取聚合时间段内的流量峰值,可以是同一时间点,也可以是不同时间点,所以某个具体时间点的总流量峰值带宽会小于等于请求流量峰值带宽与响应流量峰值带宽之和。
什么场景需要排查异常流量
业务流量发现异常峰值或峰谷时,需要定位具体异常资产IP,以及了解详细业务访问情况。例如,您的业务实际流量超出购买的防护带宽,需要排查定位具体资产IP。
如何排查异常流量
步骤一:定位总流量异常峰值的方向
登录云防火墙控制台。在左侧导航栏,单击总览。
在总览页面,查看流量趋势,发现某个时间点存在出方向或者入方向异常峰值带宽。
如下图,可判断出10/10 15:00出方向和入方向峰值均超过购买带宽。
说明超过购买的防护带宽时,趋势图上会显示已购公网流量处理能力的,方便您了解流量超过防护带宽多少。
步骤二:根据入方向或者出方向流量的请求和响应峰值,定位异常IP
以下以排查入方向流量为例,出方向流量的排查思路和入方向一样。唯一区别是入方向是在页签查看流量趋势图,出方向是在页签查看流量趋势图。
在总览页面的流量趋势区域,单击入方向峰值数值,进入页签,查看10/10 15:00入方向峰值带宽。
单击10/10 15:00时间轴,在公网IP列表查看10/10 15:00当前账号下所有业务资产的总流量排序。根据流量排序,定位异常资产。
重要建议设置排查时间范围为24小时内,获取更准确的分钟级别流量数据。
如下图,定位出异常业务资产的IP为:182.92.XX.XX。因为在10/10 15:00只有该资产的总流量远高于其他资产。
如果您需要进一步查看异常资产IP流量数据。单击该资产IP,右侧趋势图为您展示该资产请求和响应(流入和流出)的流量数据。
步骤三:结合日志审计数据,判断异常流量是否符合业务需要
在公网IP列表选择,在页签,因为是排查的入方向,所以查询目的IP为182.92.XX.XX,时间为10/10 15:00的流量日志。
根据日志查询结果,查看源IP、源端口和目的端口,判断异常流量是否符合业务需要。
根据实际业务做进一步操作。
扩充云防火墙防护带宽
具体操作,请参见续费说明。
优化业务部署
为不需要防护的IP关闭云防火墙
具体操作,请参见关闭互联网边界防火墙。
如何使用SQL语句查询异常流量
如果您需要快速查询异常资产的所有流量,可以在页面,使用SQL语句进行查询。
查询异常资产IP主动外联的所有目的IP端口,并对流量按从大到小排序
log_type:internet_log and src_ip:182.92.XX.XX | select dst_ip,dst_port,app_name,sum(in_packet_bytes) as in_B,sum(out_packet_bytes) as out_B,sum(total_packet_bytes) as total_B,array_agg(distinct if(url='', domain, url)) as url group by dst_ip,dst_port,app_name order by total_B desc其中,182.92.XX.XX为客户资产IP。
查询异常资产IP公网暴露的所有源IP端口,并对流量按从大到小排序
log_type:internet_log and dst_ip:182.92.XX.XX | select src_ip,dst_port,app_name,sum(in_packet_bytes) as in_B,sum(out_packet_bytes) as out_B,sum(total_packet_bytes) as total_B,array_agg(distinct url) as url group by src_ip,dst_port,app_name order by total_B desc其中,182.92.XX.XX为客户资产IP。