全部产品
Search
文档中心

云防火墙:业务资产主动访问互联网的流量数据

更新时间:Nov 08, 2024

您可以通过主动外联数据报表,查看业务资产访问互联网的情况,包括出方向异常流量溯源、资产访问的互联网目的地址、公网资产主动外联、私网资产主动外联等数据,帮助您排查可疑资产,保障业务安全。

前提条件

已开启互联网边界防火墙开关。具体操作,请参见互联网边界防火墙

可视分析

可视分析页签展示所有私网IP和公网IP的总流量峰值及全部流量趋势图、出方向流量访问Top统计数据,帮助您实时关注资产出方向的流量详情。

  1. 登录云防火墙控制台。在左侧导航栏,选择流量分析 > 主动外联

  2. 主动外联页面右上角的时间范围下拉框,设置查询时间,单击可视分析

  3. 可视分析页签,查看如下信息。

    image

    数据

    说明

    支持的操作

    IP流量

    私网IP(NAT边界防火墙引流的流量):展示查询时间范围内所有ECS的私网IP(ECS所在VPC必须绑定NAT网关)的响应总流量峰值,按照响应流量从高到低排序。

    • 使用IP流量表搜索工具,指定一个公网IP或私网IP,查看目标IP的IP类型和总流量峰值。

    • 单击公网IP或者私网IP右侧image.png图标,右侧流量趋势图为您展示目标IP出方向的流量趋势。

    • 公网IP页签,单击公网IP,查看该公网IP对应的私网IP的总流量峰值。

      例如,您单击的是ECS公网IP,查看ECS对应私网IP的总流量峰值;您单击的是NAT EIP,查看经过NAT EIP的每个私网IP的总流量峰值。

    • 私网IP页签,单击NAT网关,查看经过该NAT网关的每个私网IP的总流量峰值,以及该NAT网关的名称和ID。

    • 私网IP页签,单击NAT防火墙,查看经过该NAT防火墙的每个私网IP的总流量峰值,以及该NAT防火墙的名称和ID。

    • 单击指定IP右侧image.png图标,跳转到日志审计查看该IP的流量日志。

    • 单击指定IP右侧image图标,跳转到查看外联数据查看该IP的外联明细数据。

    • 单击image图标,可导出私网IP和公网IP的流量数据。

    公网IP(互联网边界防火墙引流的流量):展示查询时间范围内所有公网IP(例如ECS公网IP或者NAT EIP)的响应总流量峰值,按照响应流量从高到低排序。

    出方向流量趋势

    实时展示全部或者指定的网络资产上的总请求和响应峰值流量趋势。

    鼠标悬浮在趋势图上任意时刻,展示当前时刻的请求和响应峰值流量。单击出方向流量趋势图横轴上任意时刻,刷新IP流量表,查看当前时刻的IP流量排序。

    流量访问Top

    统计出方向排名前十的目的地区、目的运营商、会话占比和端口数据。

    无。

    您可以单击列表右上角查看日志,跳转到日志审计页面的流量日志页签,查看互联网边界防火墙的流量日志。更多内容,请参见日志审计

查看外联数据

主动外联的统计数据区域,能够快速帮助您了解目前资产出方向正常流量和异常流量数据。根据统计到的异常流量数据,您可以在外联明细页签有针对性地进行排查,及时保障资产出方向的流量安全。

  1. 登录云防火墙控制台。在左侧导航栏,选择流量分析 > 主动外联

  2. 主动外联页面右上角的时间范围下拉框,设置查询时间,在统计数据区域和外联明细页签查看如下信息。

    image

    您也可以在外联明细页签,自定义查询7日范围内的所有流量数据。

    数据

    说明

    支持的操作

    外联域名

    统计业务资产主动访问互联网域名时,存在风险的域名数量和全部域名的数量。

    数据统计区域,单击外联域名外联目的IP区域跳转到外联明细 > 外联域名外联明细 > 外联目的IP页签。

    您可以根据业务需要,对识别到有风险的域名或者目的IP执行如下操作,来保障您的资产安全。

    • 配置出方向访问控制策略,拦截资产主动外联的流量

      单击配置ACL策略,跳转到访问控制的互联网边界防火墙。具体操作,请参见配置互联网边界访问控制策略

    • 查看外联域名或者外联目的IP的情报画像,了解业务资产外联的域名和外联目的IP

      单击查看情报画像,展示该域名或者目的IP的分析数据。具体信息,请参见查看外联域名和外联目的IP的情报画像

    • 查看外联域名详情,判断是否为业务需要的流量

      单击外联的域名,查看外联域名的详细信息。

      外联公网资产外联私网资产页签,查看外联ECS的信息。单击查看日志,进一步查看日志审计页面的流量日志。具体操作,请参见日志审计

    • 加入地址簿,统一管理域名和目的IP

      单击1图标,再单击加入地址簿,跳转到地址簿管理页面。具体操作,请参见地址簿管理

    • 标记为关注,将该条数据设置为重点关注

      单击1图标,再单击标注为关注,为该条数据标记星号。

    • 取消关注

      单击列表右上方的关注名单,在关注名单面板,对指定的目的域名、目的IP、公网资产IP、私网资产IP取消关注。

    • 加入白名单,直接放行该流量

      单击1图标,再单击加入白名单,将该条数据加入白名单,即不再分析该数据,该数据也不会出现在列表中。

      当前最多支持添加100个白名单。云防火墙主动外联白名单不支持通配符域名(不生效),只支持精确域名。

      例如,您将通配符域名(*.example.com)添加到主动外联白名单,云防火墙对业务资产外联该域名的流量仍然存在告警,建议您在白名单中配置精确域名。

    • 取消白名单

      单击列表右上方的白名单,在白名单面板,对目的域名或者IP取消加白,取消后,该数据会显示在列表中。

    • 查看流量日志详情,进一步判断是否为业务需要的流量

      单击1图标,再单击查看日志,跳转到日志审计的流量日志页签。具体操作,请参见日志审计

    外联目的IP

    统计业务资产主动访问互联网IP时,存在风险的目的IP的数量和全部目的IP的数量。

    公网外联资产

    统计业务资产通过公网IP(例如EIP)主动访问互联网时,发起有风险的资产数量和全部资产的数量。

    数据统计区域,单击公网外联资产私网外联资产区域跳转到外联明细 > 公网外联资产外联明细 > 私网外联资产页签,查看详细信息。

    • 标记为关注,将该条数据设置为重点关注

      单击标注为关注,为该条数据标记星号。

    • 取消关注

      单击列表右上方的关注名单,在关注名单面板,对指定的目的域名、目的IP、公网资产IP、私网资产IP取消关注。

    • 查看流量日志详情,进一步判断是否为业务需要的流量

      单击查看日志,跳转到日志审计的流量日志页签。具体操作,请参见日志审计

    私网外联资产

    统计业务资产通过NAT网关主动访问互联网时,发起有风险的私网资产数量和全部私网资产的数量。

    外联协议

    统计业务资产通过应用协议主动访问互联网时,未识别协议和全部协议的数量及占比。

    数据统计区域,单击外联协议分析区域跳转到外联明细 > 外联协议页签,查看详细信息。

    查看流量日志详情,进一步判断是否为业务需要的流量:单击查看日志,跳转到日志审计的流量日志页签。具体操作,请参见日志审计

查看外联域名和外联目的IP的情报画像

外联域名或者外联目的IP页签,单击查看情报画像,展示详细的分析数据。帮您判断业务资产外联域名或者外联目的IP的情报标签是否准确。

如果不准确,您可以单击IOC反馈上报问题。

image

导出主动外联数据

外联明细页签,单击列表右上角的下载图标,将外联域名、外联目的IP、公网外联资产、私网外联资产、外联协议数据以CSV格式下载到本地计算机,方便您对数据进行查看和分析。

相关文档