云防火墙是否支持经典网络?

南北向防火墙和威胁入侵检测(IPS)功能支持经典网络。东西向微隔离功能可支持VPC,对经典网络不支持。

云防火墙是否支持海外国际站点?

目前版本只支持中国大陆和香港站点,不支持海外国际站点。

是否支持对公网SLB的访问?

对入方向公网SLB的防护,由于网络架构原因暂时不能防御。建议规避方案:采用 DNAT + 内网SLB方案。采用云防火墙后,数据流为: 云防火墙 – DNAT(EIP) – 内网SLB。

是否支持对私网地址的出方向访问控制?

对于出方向的流量,只能针对DNAT或EIP的公网地址进行策略控制,无法对NAT前的私网源IP进行访问控制。

建议规避方案:如需对某个私网地址单独做访问控制,建议针对需要控制的私网源IP地址,单独绑定一个EIP,针对这个EIP做针对性的访问控制策略即可。

是否能针对IPSec的报文进行访问控制?

IPsec 解密后的报文,南北向控制点无法防护。

规避方案:把Ipsec解密的流量当做是东西向流量,采用云防火墙的东西向策略来控制。

是否支持对高速通道的访问控制?

目前云防火墙不支持。可通过安全组来实现对高速通道的访问控制。

网络流量中入方向应用Unknown占比不小,是产品无法识别外网的具体请求吗?

来自互联网的扫描流量很大,该类流量大部分不是标准协议故无法识别为已知协议,显示为unknown。

用户可通过日志 > 流量日志日志 > 事件日志来观察unknown流量的具体来源与用途。

网络流量分析的全量活动搜索结果中流量访问Top中为什么出现很多未知运营商?

来自海外地区的流量只提供国家级别的识别,如果出入方向存在很多来去海外的流量,运营商会被标识为未知。用户可通过日志 > 流量日志观察到具体IP对应的地区与运营商。

网络流量中出方向应用Unknown占比不小,是否是防火墙不能识别的协议?

出方向的流量可能被目的服务器阻断,发送大量的rst回包,这类包会记录到出方向流量中,如果数量较大,则相应的Unknown占比也较大。遇到这类问题,可以通过日志 > 流量日志来观察unknown流量,来确定是否是出方向流量业务上存在异常行为。