文档

流量分析常见问题

更新时间:

本文介绍云防火墙流量分析常见问题的解决方案。

流量分析中Unknown应用类型占比较大,是产品无法识别公网的具体请求吗?

应用显示为Unknown可能存在以下原因。

  • 来自互联网入方向的流量很大时,该类流量大部分不是标准协议,因此无法识别为已知协议。

  • 网络流量可能被目的服务器阻断,发送大量的RST包。这类包会记录到出方向或入方向的流量中,如果数量较大,则相应的Unknown占比也较大。

说明

您可以访问日志审计页面,在事件日志流量日志页签,观察Unknown流量的具体来源与用途,判断出方向或入方向流量是否存在异常情况。

流量分析的全量活动搜索结果中流量访问Top中为什么出现很多未知运营商?

如果流量来自中国香港、中国澳门、中国台湾以及海外区域,入方向只展示对应的国家或地区名称。如果入方向存在很多来自中国香港、中国澳门、中国台湾以及海外区域的流量,运营商会被标识为未知。

您可以访问日志审计页面流量日志页签,观察具体IP对应的地区与运营商。

主动外联活动中展示的情报标签代表什么?

情报标签是云防火墙根据外联域名或目的IP的公网信息自动添加的属性,例如,恶意下载矿池威胁情报首次周期热门网站DDoS木马。更多情报标签,请访问主动外联页面

  • 恶意下载矿池威胁情报:云防火墙检测出的存在威胁的外联活动。

    说明

    请您及时排查此类标签对应的外联活动是否存在误报。如果确认是恶意行为,建议您配置访问控制策略进行管控。详细内容请参见互联网边界(出入双向流量)

  • 首次:云防火墙第一次发现该外联活动。

  • 周期:您的资产对该域名或目的IP存在周期性的外联活动。

  • 热门网站:您的服务器或您的业务经常访问的域名。

  • DDoS木马:云防火墙检测出的存在DDoS攻击威胁的外联活动。

流量不通时如何排查?

网络经过云防火墙时,可能会出现以下问题:

  • 无法登录服务器。

  • 无法访问服务器上的服务。

  • 服务器无法访问外网。

出现上述问题,您需要从互联网边界防火墙和主机边界防火墙两个维度进行排查:

互联网边界防火墙

  1. 确认资产是否开启了互联网边界防火墙。

    开启了互联网边界防火墙后,流量才会经过云防火墙。关于如何开启边界防火墙开关,请参见互联网边界防火墙

    说明

    如果资产未开启互联网边界防火墙,流量不会经过云防火墙,您需要排查是否存在其他问题,例如:网络不通等。

  2. 确认流量日志页签是否有相应的流量记录。

    • 如果不存在流量日志,说明流量还未到达防火墙就被丢弃。

    • 如果存在流量日志,且动作为丢弃,说明流量是在互联网边界防火墙处被丢弃,在事件日志列表中查询对应流量,根据判断来源列确认拦截该流量的指令来源。

      • 指令来源为访问控制:说明您配置的访问控制策略对该流量进行了拦截。建议您检查对应访问控制策略配置并进行修改。

      • 指令来源为基础防御虚拟补丁威胁情报:说明您设置的入侵防御策略对该流量进行了拦截。您可以前往攻击防护 > 入侵防御页面,关闭对应的入侵防御策略。

    • 如果存在流量日志,动作为放行观察,说明流量不是在互联网边界防火墙处被丢弃,需要继续排查主机防火墙(安全组)策略。

主机边界防火墙(安全组)

  1. 登录ECS控制台

  2. 在左侧导航栏,选择实例与镜像 > 实例

  3. 定位到网络不通的ECS实例,在安全组页签下的安全组列表页签,确认安全组是否放行(即授权策略设置为允许)。

云防火墙防护流量时的规则匹配顺序是什么?

云防火墙防护流量时,有以下规则匹配顺序:

  • 如果您未启用访问控制策略或已启用访问控制策略但流量未命中访问控制策略,流量会先匹配威胁情报,再匹配基础防御智能防御虚拟补丁

    说明

    如果流量匹配威胁情报时产生拦截动作,不会再匹配其他规则。

  • 如果您已启用访问控制策略且流量命中了动作为放行或观察的访问控制策略,流量不再匹配威胁情报规则,会匹配基础防御智能防御虚拟补丁

  • 如果您已启用访问控制策略且流量命中了动作为拒绝的访问控制策略,流量不再匹配其他规则。

image
说明

基础防御智能防御虚拟补丁规则不分先后顺序,流量都会匹配一遍。

业务流量超出云防火墙支持的带宽规格怎么办?

如果您的业务实际流量超出云防火墙提供的防护带宽,云防火墙将只对防护带宽范围内的流量提供防护。对于超出防护带宽的流量,云防火墙默认不提供防护。业务实际流量超过防护带宽时,您需要定位出哪些ECS的流量超了,并且根据实际业务判断是需要扩充防护带宽规格还是为超流量的ECS关闭云防火墙。关于扩充防护带宽的详细内容,请参见续费说明

当您的业务流量超出云防火墙提供的防护带宽时,为您提供以下建议:

  • 访问概览页面查看流量趋势。访问主动外联页面公网暴露页面VPC互访页面查看具体的流量信息,帮助您及时了解流量变化情况。然后再结合云防火墙的日志数据,定位出异常IP并排除风险。

    以下步骤以定位异常的公网IP为例,为您介绍如何排查。定位异常的VPC的操作跟异常的公网IP操作类似。

    1. 登录云防火墙控制台。在左侧导航栏,单击概览

    2. 概览页面的流量趋势区域,查看互联网边界防火墙页签下的流量趋势图。

    3. 将鼠标悬浮在入方向趋势图或者出方向趋势图的峰值,展示该时间点的流量明细。

    4. 根据互联网流量趋势图,判断是入方向峰值高还是出方向峰值高。

      • 入方向流量=公网暴露请求流量+公网暴露响应流量

        入方向峰值指公网暴露总流量峰值,因为云防火墙的流量采用时间段峰值聚合的数据,所以总流量峰值会小于等于请求与响应之和。

      • 出方向流量=主动外联请求流量+主动外联响应流量

        出方向峰值指主动外联总流量峰值,因为云防火墙的流量采用时间段峰值聚合的数据,所以总流量峰值会小于等于请求与响应之和。

      说明

      目前在云防火墙互联网边界防火墙仅能查看公网IP。如果您需要查看私网IP,需要先开启NAT防火墙。

    5. 单击入方向峰值或者出方向峰值右侧的详情图标。然后在显示的气泡中,单击公网暴露流量峰值主动外联流量峰值,跳转到主动外联页面公网暴露页面,查看具体的流量峰值信息。结合云防火墙的日志,定位出异常的公网IP。

  • 您的业务流量超出云防火墙提供的防护带宽后,云防火墙向您发送邮件通知。请您及时查看邮件,根据邮件信息进行相应的处理。

    说明

    预计您会在业务流量超出云防火墙防护带宽后的第二天收到邮件通知。

  • 本页导读 (1)
文档反馈