FAQ analisis traffic dan masalah operasional - Cloud Firewall

Topik ini menjelaskan solusi untuk masalah umum terkait analisis lalu lintas jaringan Cloud Firewall.

Mengapa persentase jenis aplikasi Unknown dalam analisis lalu lintas jaringan sangat tinggi?
Mengapa banyak ISP yang tidak dikenal muncul dalam hasil traffic teratas untuk semua aktivitas akses?
Apa arti tag intelijen dalam koneksi keluar?
Bagaimana cara melakukan troubleshooting masalah traffic?
Apa urutan pencocokan aturan untuk perlindungan traffic di Cloud Firewall?
Bagaimana Cloud Firewall mendeteksi Eksposur Internet?

Masalah kelebihan traffic layanan:

Apa yang harus saya lakukan jika traffic layanan melebihi bandwidth yang didukung oleh Cloud Firewall?
Bagaimana cara mengatur notifikasi untuk kelebihan bandwidth perlindungan jaringan publik di Cloud Firewall?
Apa yang harus saya lakukan jika tidak dapat menangani kelebihan traffic secara tepat waktu?
Berapa spesifikasi maksimum untuk bandwidth elastis di Cloud Firewall?

Apakah persentase besar jenis aplikasi Unknown dalam analisis lalu lintas jaringan menunjukkan bahwa produk tidak dapat mengidentifikasi permintaan Internet tertentu?

Aplikasi dapat ditampilkan sebagai Unknown karena alasan berikut:

Sejumlah besar lalu lintas inbound dari Internet mungkin tidak menggunakan protokol standar. Akibatnya, traffic tersebut tidak dapat diidentifikasi sebagai protokol yang dikenal.
Server tujuan mungkin memblokir lalu lintas jaringan dan mengirim banyak paket RST sebagai respons. Paket-paket ini dicatat sebagai traffic outbound atau inbound. Volume tinggi paket tersebut meningkatkan persentase traffic Unknown.

Catatan

Anda dapat membuka halaman Log Audit dan membuka tab Event Logs atau Traffic Logs untuk memeriksa sumber dan tujuan traffic Unknown serta menentukan apakah traffic inbound atau outbound Anda tidak normal.

Mengapa banyak ISP yang tidak dikenal muncul dalam hasil akses traffic teratas dari semua aktivitas akses?

Untuk lalu lintas inbound dari Hong Kong (China), Makau (China), Taiwan (China), atau wilayah di luar China, Cloud Firewall hanya menampilkan nama negara atau wilayah, bukan ISP spesifik. Oleh karena itu, jika terdapat volume besar lalu lintas inbound dari lokasi-lokasi tersebut, ISP akan ditandai sebagai unknown.

Anda dapat mengakses halaman Log Audit, lalu buka tab Traffic Logs untuk melihat wilayah dan ISP untuk alamat IP tertentu.

Apa arti tag intelijen dalam koneksi keluar?

Tag intelijen adalah atribut yang secara otomatis diberikan oleh Cloud Firewall kepada domain keluar atau alamat IP tujuan berdasarkan informasi jaringan publik. Contohnya termasuk Malicious Download, Miner Pool, Threat Intelligence, First Time, epoch, Popular website, dan DDoS Trojan. Untuk informasi lebih lanjut tentang tag intelijen, lihat Halaman Koneksi Keluar.

Cloud Firewall mendeteksi aktivitas keluar yang menimbulkan ancaman, termasuk yang terkait dengan Malicious Download, Miner Pool, dan Threat Intelligence.
Catatan
Periksa koneksi keluar yang terkait dengan tag-tag tersebut untuk kemungkinan false positive. Jika Anda memastikan aktivitas tersebut berbahaya, konfigurasikan kebijakan kontrol akses untuk mengelolanya. Untuk informasi lebih lanjut, lihat Konfigurasikan kebijakan kontrol akses untuk Firewall internet.
First Time: Cloud Firewall mendeteksi aktivitas keluar ini untuk pertama kalinya.
Periodic access: Aset Anda membuat koneksi keluar secara berkala ke nama domain atau alamat IP tujuan ini.
Popular website: Nama domain yang sering diakses oleh server atau layanan Anda.
DDoS Trojan: Koneksi keluar yang dideteksi Cloud Firewall sebagai ancaman serangan DDoS.

Bagaimana cara melakukan troubleshooting masalah traffic?

Saat lalu lintas jaringan melewati Cloud Firewall, masalah berikut dapat terjadi:

Anda tidak dapat login ke server.
Anda tidak dapat mengakses layanan di server.
Server tidak dapat mengakses Internet.

Jika masalah ini terjadi, lakukan troubleshooting dengan memeriksa firewall internet dan firewall internal:

Firewall internet

Pastikan firewall internet diaktifkan untuk aset tersebut.
Lalu lintas hanya melewati Cloud Firewall setelah firewall internet diaktifkan. Untuk informasi tentang cara mengaktifkan firewall, lihat Firewall internet.
Catatan
Jika firewall internet tidak diaktifkan untuk aset tersebut, lalu lintas tidak melewati Cloud Firewall. Anda harus memeriksa masalah lain, seperti gangguan konektivitas jaringan.
Verifikasi bahwa catatan traffic yang sesuai muncul di tab Traffic Logs.
- Jika tidak ada log traffic, lalu lintas tersebut dibuang sebelum mencapai firewall.
- Jika entri di Traffic Logs menunjukkan bahwa aksi adalah Discard, artinya lalu lintas tersebut dibuang oleh firewall internet. Untuk mengidentifikasi aturan yang memblokir lalu lintas tersebut, kueri traffic yang sesuai di daftar Event Logs dan periksa kolom Judgement Source.
  - Instruksi ini berasal dari Access Control, yang menunjukkan bahwa kebijakan kontrol akses yang Anda konfigurasikan telah memblokir lalu lintas ini. Kami menyarankan Anda memeriksa dan memodifikasi konfigurasi kebijakan kontrol akses tersebut.
  - Jika sumber instruksi adalah Basic Protection, Virtual Patching, atau Threat Intelligence, artinya kebijakan Pencegahan Intrusi Anda memblokir lalu lintas tersebut. Anda dapat membuka halaman Attack Prevention > IPS dan menonaktifkan kebijakan yang sesuai.
- Jika log traffic tersedia dan aksinya adalah Allow atau Monitor, artinya lalu lintas tersebut tidak dibuang di firewall internet. Anda harus melanjutkan troubleshooting kebijakan firewall internal (security group).

Firewall internal (security group)

Login ke Konsol ECS.
Di panel navigasi sebelah kiri, pilih Instances & Images > Instance.
Temukan instance ECS yang mengalami masalah konektivitas jaringan, lalu di tab Security Group, klik tab Security Group List untuk memastikan security group mengizinkan lalu lintas tersebut (kebijakan Authorization policy diatur ke Allow).

Apa urutan pencocokan aturan untuk perlindungan traffic di Cloud Firewall?

Di Cloud Firewall, aturan lalu lintas jaringan dicocokkan dalam urutan berikut:

Kebijakan kontrol akses (ACL)
Jika Anda mengaktifkan kontrol akses, sistem terlebih dahulu mencocokkan lalu lintas dengan aturan ACL Anda:
- Jika lalu lintas cocok dengan aturan yang memiliki aksi Deny, lalu lintas tersebut langsung diblokir. Tidak ada pemeriksaan lebih lanjut.
- Jika lalu lintas cocok dengan aturan yang memiliki aksi Allow atau Monitor, atau jika tidak cocok dengan aturan ACL apa pun, sistem melanjutkan ke pemeriksaan berikutnya.
Threat Intelligence (TI)
Mencocokkan lalu lintas dengan feed intelijen ancaman:
- Jika lalu lintas cocok dengan aturan dan aksinya adalah Block, proses pencocokan berhenti.
- Jika tidak, sistem melanjutkan ke pemeriksaan berikutnya.
Modul Intrusion Prevention System (IPS)
Lalu lintas diproses secara berurutan oleh tiga jenis aturan: Basic Protection, Intelligent Defense, dan Virtual Patching. Ketiga jenis aturan ini tidak memiliki urutan prioritas, dan sistem mengevaluasi semuanya terhadap lalu lintas tersebut. Jika salah satu aturan memicu aksi block, lalu lintas tersebut diblokir; jika tidak, lalu lintas diizinkan setelah semua evaluasi selesai.

Catatan

Modul ACL, TI, dan IPS bersifat independen dan menggunakan mekanisme pencocokan berurutan. Proses pencocokan berhenti segera setelah suatu modul memblokir lalu lintas. Dalam semua kasus lain, pemeriksaan selanjutnya tetap dilanjutkan.

Bagaimana Cloud Firewall mendeteksi Eksposur Internet?

Cloud Firewall menganalisis data lalu lintas inbound untuk mendeteksi lalu lintas anomali, alamat IP publik aset Anda yang terpapar, port terbuka, aplikasi terbuka, dan alamat IP publik produk cloud Anda. Untuk informasi tentang cara melihat Eksposur Internet, lihat Eksposur Internet.

Masalah kelebihan traffic layanan

Apa yang harus dilakukan jika traffic layanan melebihi bandwidth yang didukung oleh Cloud Firewall?

Jika traffic layanan Anda melebihi bandwidth instans Cloud Firewall Anda, Service-Level Agreement (SLA) tidak dijamin. Hal ini dapat menyebabkan penurunan layanan, termasuk kegagalan fitur keamanan seperti kontrol akses, IPS, dan audit log, firewall dinonaktifkan untuk aset dengan traffic tertinggi, pembatasan laju, atau kehilangan paket.

Jika traffic layanan Anda berisiko melebihi batas, lihat Bayar sesuai penggunaan untuk bandwidth elastis instansi langganan.
Untuk informasi tentang cara melakukan troubleshooting traffic anomali, lihat Troubleshooting traffic anomali di Batas Internet.
Untuk informasi tentang cara memperluas bandwidth perlindungan Anda, lihat Kebijakan perpanjangan.

Bagaimana cara mengatur notifikasi untuk kelebihan bandwidth perlindungan jaringan publik di Cloud Firewall?

Terdapat dua jenis notifikasi kelebihan traffic: notifikasi kelebihan traffic dan alert kelebihan traffic.

Notifikasi kelebihan traffic: Memberikan statistik real-time tentang kelebihan traffic hari ini untuk setiap border (Batas Internet, border VPC, dan border NAT).
- Logika pemicu: Notifikasi dikirim saat traffic melebihi batas. Terdapat penundaan 10 menit. Notifikasi dikirim 24/7.
- Logika pengiriman: Hanya dikirim sekali per hari.
  - Perhatikan bahwa pelanggan langganan yang mengaktifkan bandwidth elastis tidak akan lagi menerima notifikasi kelebihan traffic.
  - Jika Anda memperluas bandwidth dalam waktu 10 menit setelah kelebihan, alert tidak dipicu.
Alert kelebihan traffic: Memberikan statistik real-time untuk alert kelebihan dengan penundaan 10 menit. Saat ini, alert hanya didukung untuk Batas Internet. Alert tidak didukung untuk border NAT.
- Logika pemicu: Traffic saat ini melebihi ambang batas alert yang dikonfigurasi.
- Logika konten alert: Alert mencakup statistik traffic puncak dan jumlah kali ambang batas dilampaui dalam 24 jam terakhir. Kelebihan dihitung sekali per interval 30 menit jika traffic melebihi ambang batas selama interval tersebut.
- Logika pengiriman: Hanya dikirim sekali per hari. Jika notifikasi kelebihan traffic sudah dikirim, alert tidak dikirim.
  - Saat kemampuan pemrosesan traffic elastis diaktifkan, pengguna dicegah mengirim traffic.
  - Dikirim 24/7.
- Untuk informasi tentang jenis notifikasi yang didukung dan cara mengonfigurasinya, lihat Notifikasi alert.

Apa yang harus dilakukan jika Anda tidak dapat menangani kelebihan traffic secara tepat waktu?

Jika Anda memperkirakan lonjakan traffic layanan jangka pendek yang tidak dapat ditangani secara tepat waktu, Anda dapat menggunakan fitur traffic elastis berbasis langganan dengan model bayar sesuai penggunaan dari Cloud Firewall.

Bayar sesuai penggunaan untuk bandwidth elastis adalah model penagihan untuk traffic yang melebihi kuota paket langganan Anda. Model ini memungkinkan Anda membayar traffic berlebih berdasarkan penggunaan aktual tanpa mengubah metode penagihan langganan awal Anda. Untuk informasi lebih lanjut, lihat Bayar sesuai penggunaan untuk bandwidth elastis instansi langganan.

Untuk instans pay-as-you-go, semua traffic ditagih berdasarkan model bayar sesuai penggunaan, sehingga masalah ini tidak berlaku.

Berapa spesifikasi maksimum untuk bandwidth elastis di Cloud Firewall?

Batas pemrosesan harian default adalah 1.000.000 GB. Perhatikan bahwa Cloud Firewall memiliki batasan pada bandwidth, tetapi tidak pada permintaan per detik (QPS) atau jumlah koneksi. Untuk informasi lebih lanjut, lihat Penagihan bayar sesuai penggunaan untuk bandwidth elastis instansi langganan.