全部产品
Search

搜索本产品

    Cloud Firewall:Identifikasi trafik tidak biasa di batas internet

    文档中心

    Cloud Firewall:Identifikasi trafik tidak biasa di batas internet

    更新时间:Jul 06, 2025

    Topik ini menjelaskan cara dengan cepat mengidentifikasi aset tertentu ketika terjadi anomali. Contohnya, volume trafik bisnis Anda di Batas Internet melebihi bandwidth perlindungan yang dibeli, dan terjadi lonjakan serta penurunan bandwidth secara tiba-tiba. Hal ini membantu Anda mengelola aset secara lebih rinci.

    Perhitungan trafik di batas internet

    Ketika Cloud Firewall memproses trafik di Batas Internet, nilai terbesar antara puncak trafik masuk dan puncak trafik keluar digunakan untuk pengumpulan statistik. Berikut adalah rumus yang digunakan untuk menghitung total trafik masuk dan keluar:

    • Trafik masuk = Trafik permintaan yang diekspos di internet + Trafik respons yang diekspos di internet

    • Trafik keluar = Trafik permintaan dalam koneksi keluar + Trafik respons dalam koneksi keluar

    Puncak trafik Cloud Firewall diagregasi dalam periode waktu tertentu. Total trafik pada titik waktu tertentu adalah jumlah trafik permintaan dan trafik respons saat itu. Puncak trafik permintaan dan puncak trafik respons dikumpulkan dalam periode waktu tertentu. Kedua nilai puncak tersebut dapat terjadi pada saat yang sama atau pada waktu yang berbeda. Oleh karena itu, total trafik pada titik waktu tertentu kurang dari atau sama dengan jumlah puncak trafik permintaan dan puncak trafik respons.

    Skenario di mana identifikasi trafik tidak biasa diperlukan

    Jika terjadi anomali pada puncak atau dasar trafik, Anda perlu menemukan alamat IP aset abnormal dan mempelajari detail akses layanan. Contohnya, volume trafik bisnis Anda melebihi bandwidth perlindungan yang dibeli, dan Anda perlu menemukan alamat IP aset tertentu.

    Prosedur

    Langkah 1: Periksa arah puncak trafik tidak biasa di antara total trafik

    1. Masuk ke Konsol Cloud Firewall. Di panel navigasi sebelah kiri, klik Overview.

    2. Di halaman Overview, lihat tren trafik dan temukan titik waktu di mana terdapat puncak trafik masuk atau keluar yang tidak biasa.

      Contohnya, gambar berikut menunjukkan bahwa volume puncak trafik masuk dan keluar pada pukul 15:00 tanggal 10 Oktober melebihi bandwidth perlindungan yang dibeli.

      Catatan

      Jika bandwidth perlindungan yang dibeli dilampaui, hal ini akan ditampilkan pada grafik tren. Ini memungkinkan Anda mengidentifikasi trafik yang berlebihan.

      image.png

    Langkah 2: Temukan alamat IP aset abnormal berdasarkan puncak trafik permintaan dan puncak trafik respons dalam arah masuk atau keluar

    Contoh berikut menunjukkan cara mengidentifikasi trafik masuk yang tidak biasa. Anda dapat mengidentifikasi trafik keluar yang tidak biasa dengan cara yang sama. Satu-satunya perbedaan adalah posisi grafik tren untuk trafik masuk dan keluar bervariasi. Grafik tren trafik masuk ditampilkan di tab Internet Exposure > Visualized Analysis. Grafik tren trafik keluar ditampilkan di tab Outbound Connection > Visualized Analysis.

    1. Di bagian Traffic Trend halaman Overview, klik nilai Puncak Trafik Masuk untuk pergi ke tab Internet Exposure > Visualized Analysis. Di tab ini, lihat puncak trafik masuk pada pukul 15:00 tanggal 10 Oktober.

    2. Klik titik waktu pukul 15:00 tanggal 10 Oktober pada grafik tren untuk melihat peringkat trafik aset bisnis Anda pada saat itu. Anda dapat menemukan aset abnormal berdasarkan hasil peringkat trafik.

      Penting

      Disarankan untuk menentukan rentang waktu dalam 24 jam terakhir. Ini memungkinkan Cloud Firewall menampilkan statistik trafik dengan granularitas per menit.

      Aset dengan alamat IP 182.92.XX.XX diidentifikasi sebagai abnormal, seperti yang ditunjukkan pada gambar berikut. Aset tersebut diidentifikasi sebagai abnormal karena total trafik aset tersebut pada saat itu jauh lebih tinggi daripada trafik aset lainnya.

      image.png

    3. Jika Anda ingin melihat detail trafik aset yang diidentifikasi sebagai abnormal, klik alamat IP aset tersebut. Grafik tren di sebelah kanan menampilkan statistik trafik permintaan dan respons untuk aset ini.

      image.png

    Langkah 3: Gunakan hasil audit log untuk memeriksa apakah trafik tidak biasa memenuhi persyaratan bisnis Anda

    1. Dalam daftar peringkat alamat IP publik, temukan alamat IP dan pilih More > View Logs. Di tab Log Audit > Traffic Logs > Internet Border, tentukan 182.92.XX.XX sebagai alamat IP tujuan dan pilih 15:00, 10 Oktober di pemilih waktu dan tanggal.

    2. Dalam hasil audit log, lihat source IP address, source port, dan destination port, dan tentukan apakah trafik tersebut diperlukan dalam beban kerja Anda.

      image.png

    3. Anda dapat melakukan operasi berikut:

      • Tingkatkan Bandwidth Perlindungan Cloud Firewall

        Untuk informasi lebih lanjut, lihat Renewal.

      • Optimalkan Penyebaran Bisnis

        Sebagai contoh, jika bisnis Anda perlu mengakses Object Storage Service (OSS) atau Simple Log Service, kami merekomendasikan Anda menggunakan endpoint internal untuk mengurangi konsumsi sumber daya bandwidth internet. Untuk informasi lebih lanjut, lihat Regions and Endpoints dan Endpoints.

      • Nonaktifkan Firewall untuk Alamat IP yang Tidak Lagi Ingin Anda Lindungi

        Untuk informasi lebih lanjut, lihat Disable the Internet Firewall.

    Bagaimana cara saya memeriksa trafik tidak biasa menggunakan pernyataan SQL?

    Jika Anda ingin memeriksa semua trafik aset abnormal, Anda dapat menjalankan pernyataan SQL di tab Log Analysis > Logs.

    • Memeriksa semua alamat IP tujuan dan port yang diakses oleh alamat IP abnormal, dan urutkan hasil pencarian berdasarkan trafik dalam urutan menurun

      log_type:internet_log and src_ip:182.92.XX.XX | select dst_ip,dst_port,app_name,sum(in_packet_bytes) as in_B,sum(out_packet_bytes) as out_B,sum(total_packet_bytes) as total_B,array_agg(distinct if(url='', domain, url)) as url group by dst_ip,dst_port,app_name order by total_B desc

      Dalam contoh ini, 182.92.XX.XX adalah alamat IP abnormal.

    • Memeriksa semua alamat IP sumber dan port yang mengakses alamat IP abnormal melalui internet, dan urutkan hasil pencarian berdasarkan trafik dalam urutan menurun

      log_type:internet_log and dst_ip:182.92.XX.XX | select src_ip,dst_port,app_name,sum(in_packet_bytes) as in_B,sum(out_packet_bytes) as out_B,sum(total_packet_bytes) as total_B,array_agg(distinct url) as url group by src_ip,dst_port,app_name order by total_B desc

      Dalam contoh ini, 182.92.XX.XX adalah alamat IP abnormal.

    Apa yang harus dilakukan selanjutnya

    • Lihat tren total trafik aset Anda, dan periksa apakah total trafik melebihi ruang lingkup perlindungan Cloud Firewall. Untuk informasi lebih lanjut, lihat Overview.

    • Lihat informasi tentang trafik dari aset Anda ke internet, termasuk informasi jejak tentang trafik keluar yang tidak biasa, alamat tujuan, dan data koneksi keluar aset yang menghadap internet dan internal. Untuk informasi lebih lanjut, lihat Outbound Connection.

    • Lihat informasi tentang trafik dari internet ke aset Anda, termasuk informasi jejak tentang trafik masuk yang tidak biasa, alamat IP publik terbuka dari aset Anda, port terbuka, aplikasi terbuka, dan jumlah alamat IP publik untuk layanan cloud. Untuk informasi lebih lanjut, lihat Internet Exposure.

    • Lihat informasi tentang trafik di batas internet, termasuk alamat IP sumber, port tujuan, protokol, tindakan kebijakan, jumlah byte, dan jumlah paket. Untuk informasi lebih lanjut, lihat Log Audit.

    • Periksa log mentah trafik di batas internet menggunakan pernyataan SQL. Untuk informasi lebih lanjut, lihat Query Logs.