网络流量中应用Unknown占比不小,是产品无法识别外网的具体请求吗?

应用显示为Unknown可能存在以下原因:
  • 来自互联网入方向的流量很大时,该类流量大部分不是标准协议,因此无法识别为已知协议。
  • 网络流量可能被目的服务器阻断,发送大量的rst回包。这类包会记录到出方向或入方向的流量中,如果数量较大,则相应的Unknown占比也较大。
说明 您可通过日志 > 流量日志日志 > 事件日志来观察Unknown流量的具体来源与用途,判断出方向或入方向流量是否存在异常情况。
您可以在云防火墙控制台以下页面中看到Unknow数据:
  • 互联网访问活动页面中的应用类型互联网访问活动
  • IPS拦截记录页面的攻击应用类型IPS拦截记录
  • 全量活动搜索页面流量访问Top区域的应用类型全量活动搜索

网络流量分析的全量活动搜索结果中流量访问Top中为什么出现很多未知运营商?

来自中国以外地区的流量的入方向地区只展示国家名称,如果入方向存在很多来自中国以外的流量,运营商会被标识为未知。您可通过日志 > 流量日志观察到具体IP对应的地区与运营商。

主动外联活动中会展示域名的标签,这些标签代表什么?

标签是云防火墙根据外联域名或目的IP的公网信息自动添加的属性,包括:首次周期恶意下载热门网站矿池威胁情报主动外联活动
  • 首次:云防火墙第一次发现该外联活动。
  • 周期:您的资产对该域名或目的IP存在周期性的外联活动。
  • 恶意下载矿池威胁情报:云防火墙检测出的存在威胁的外联活动。请您及时排查此类标签对应的外联活动是否存在误报,如果确认是恶意行为,建议您配置访问控制策略进行管控。详细内容请参见互联网边界防火墙(内外双向流量)
  • 热门网站:您的服务器或您的业务经常访问的域名。