FAQ dan solusi untuk analisis lalu lintas jaringan Cloud Firewall - Cloud Firewall

Topik ini memberikan jawaban atas pertanyaan yang sering diajukan mengenai analisis lalu lintas jaringan di Cloud Firewall.

Lalu lintas dari aplikasi yang tidak dikenal mencakup proporsi besar dalam analisis lalu lintas. Apakah ini terjadi karena Cloud Firewall tidak dapat mengidentifikasi jenis aplikasi yang menghasilkan lalu lintas dari Internet?
Ketika saya melihat hasil dari semua aktivitas akses, sistem menampilkan proporsi besar lalu lintas dari ISP yang tidak dikenal. Mengapa?
Tag intelijen ditampilkan di Halaman Koneksi Keluar. Apa arti dari tag tersebut?
Bagaimana cara memecahkan masalah kegagalan koneksi jaringan?
Apa prioritas aturan yang digunakan oleh Cloud Firewall untuk melindungi lalu lintas?
Apa prinsip deteksi eksposur publik Cloud Firewall?

Isu terkait lalu lintas layanan yang melebihi batas:

Apa yang harus saya lakukan jika lalu lintas layanan saya melebihi spesifikasi bandwidth yang didukung oleh Cloud Firewall?
Bagaimana cara mengatur notifikasi untuk lalu lintas bandwidth perlindungan jaringan publik Cloud Firewall yang melebihi batas?
Apa yang harus saya lakukan jika saya tidak dapat menangani lalu lintas yang melebihi batas tepat waktu?
Berapa spesifikasi maksimum yang dapat diskalakan oleh lalu lintas elastis Cloud Firewall?

Lalu lintas dari aplikasi yang tidak dikenal mencakup proporsi besar dalam analisis lalu lintas. Apakah ini terjadi karena Cloud Firewall tidak dapat mengidentifikasi jenis aplikasi yang menghasilkan lalu lintas dari Internet?

Aplikasi yang ditampilkan sebagai Unknown mungkin disebabkan oleh alasan berikut:

Volume lalu lintas yang besar berasal dari Internet, dan lalu lintas tersebut tidak sesuai dengan protokol standar. Akibatnya, Cloud Firewall tidak dapat mengidentifikasi jenis aplikasi untuk lalu lintas tersebut.
Server tujuan memblokir lalu lintas jaringan dan mengembalikan banyak paket RST. Paket-paket ini dicatat dalam lalu lintas arah keluar atau masuk. Jika jumlah paketnya besar, proporsi lalu lintas Unknown juga besar.

Catatan

Anda dapat mengunjungi halaman Log Audit, lalu pada tab Event Logs atau Traffic Logs, amati sumber dan tujuan spesifik dari lalu lintas Unknown untuk menentukan apakah lalu lintas arah keluar atau masuk tidak normal.

Ketika saya melihat hasil dari semua aktivitas akses, sistem menampilkan proporsi besar lalu lintas dari ISP yang tidak dikenal. Mengapa?

Untuk lalu lintas masuk dari Hong Kong (Tiongkok), Makau (Tiongkok), Taiwan (Tiongkok), atau wilayah di luar Tiongkok, sistem hanya menampilkan nama negara atau wilayah tersebut. Cloud Firewall menandai penyedia layanan internet (ISP) dari lalu lintas tersebut sebagai tidak dikenal.

Anda dapat mengunjungi halaman Log Audit dan membuka tab Traffic Logs untuk mengamati wilayah dan ISP yang sesuai dengan alamat IP tertentu.

Tag intelijen ditampilkan di Halaman Koneksi Keluar. Apa arti dari tag tersebut?

Tag intelijen adalah atribut yang secara otomatis ditambahkan oleh Cloud Firewall berdasarkan informasi publik mengenai domain arah keluar atau alamat IP tujuan, seperti Malicious Download, Miner Pool, Threat Intelligence, First, Epoch, Popular Website, dan DDoS Trojan. Untuk tag intelijen lainnya, kunjungi halaman Outbound Connection.

Malicious Download, Miner Pool, dan Threat Intelligence: aktivitas arah keluar dengan ancaman yang terdeteksi oleh Cloud Firewall.
Catatan
Anda harus segera memeriksa apakah aktivitas arah keluar tersebut merupakan positif palsu. Jika aktivitas tersebut bersifat berbahaya, kami menyarankan Anda mengonfigurasi kebijakan kontrol akses untuk membatasi aktivitas terkait. Untuk informasi selengkapnya, lihat Konfigurasi kebijakan kontrol akses untuk Firewall internet.
First: Cloud Firewall mendeteksi aktivitas arah keluar ini untuk pertama kalinya.
Epoch: Aset Anda memiliki aktivitas arah keluar periodik ke domain atau alamat IP tujuan tersebut.
Popular Website: domain yang sering dikunjungi oleh server atau bisnis Anda.
DDoS Trojan: aktivitas arah keluar dengan ancaman serangan DDoS yang terdeteksi oleh Cloud Firewall.

Bagaimana cara saya memecahkan masalah kegagalan koneksi jaringan?

Setelah mengaktifkan firewall, masalah berikut mungkin terjadi:

Anda tidak dapat masuk ke server Anda.
Anda tidak dapat mengakses layanan yang berjalan di server Anda.
Server Anda tidak dapat terhubung ke Internet.

Jika masalah di atas terjadi, Anda harus memecahkan masalah tersebut dari dimensi berikut: Firewall internet dan firewall internal:

Firewall internet

Periksa apakah firewall internet diaktifkan untuk aset Anda.
Setelah Anda mengaktifkan firewall internet, lalu lintas melewati Cloud Firewall. Untuk informasi selengkapnya, lihat Firewall internet.
Catatan
Jika firewall internet tidak diaktifkan untuk aset Anda, lalu lintas tidak melewati Cloud Firewall. Dalam kasus ini, Anda harus memeriksa apakah terdapat masalah lain seperti kegagalan koneksi jaringan.
Periksa apakah catatan lalu lintas dihasilkan di tab Traffic Logs.
- Jika tidak ada catatan lalu lintas yang ditemukan, lalu lintas dibuang sebelum mencapai firewall internet.
- Jika ditemukan log lalu lintas dan aksinya adalah Block, lalu lintas dibuang oleh firewall internet. Dalam kasus ini, Anda dapat mencari lalu lintas tersebut dalam daftar Event Logs dan memeriksa sumber instruksi yang memblokir lalu lintas pada kolom Source.
  - Jika sumbernya adalah Access Control, lalu lintas diblokir oleh kebijakan kontrol akses yang Anda konfigurasi. Kami menyarankan Anda memeriksa kebijakan kontrol akses dan memodifikasinya sesuai kebutuhan bisnis Anda.
  - Jika sumbernya adalah Basic Protection, Virtual Patches, atau Threat Intelligence, lalu lintas diblokir oleh kebijakan pencegahan intrusi yang Anda konfigurasi. Anda dapat membuka halaman Attack Prevention > Intrusion Prevention dan menonaktifkan kebijakan pencegahan intrusi yang sesuai.
- Jika ditemukan log lalu lintas dan aksinya adalah Allow atau Monitor, lalu lintas tidak dibuang oleh firewall internet. Dalam kasus ini, Anda harus memeriksa kebijakan firewall internal (grup keamanan).

Firewall internal (grup keamanan)

Masuk ke Konsol ECS.
Di panel navigasi di sebelah kiri, pilih Instances & Images > Instances.
Temukan instance ECS yang mengalami kegagalan koneksi jaringan. Pada tab Security Groups, klik tab Security Group List. Lalu, periksa apakah grup keamanan mengizinkan lalu lintas tersebut (Authorization Policy diatur ke Allow).

Apa prioritas aturan yang digunakan oleh Cloud Firewall untuk melindungi lalu lintas?

Cloud Firewall mencocokkan lalu lintas terhadap aturan berdasarkan prioritas berikut:

Jika kebijakan kontrol akses tidak diaktifkan atau kebijakan kontrol akses diaktifkan tetapi lalu lintas tidak cocok dengan kebijakan kontrol akses apa pun, Cloud Firewall pertama-tama mencocokkan lalu lintas terhadap aturan Threat Intelligence, lalu mencocokkannya terhadap aturan Basic Protection, Intelligent Defense, dan Virtual Patching.
Catatan
Jika lalu lintas cocok dengan aturan Threat Intelligence dan aksinya adalah Block, Cloud Firewall tidak lagi mencocokkan lalu lintas tersebut terhadap aturan lainnya.
Jika kebijakan kontrol akses diaktifkan dan lalu lintas cocok dengan kebijakan Allow atau Monitor, Cloud Firewall tidak lagi mencocokkan lalu lintas tersebut terhadap aturan Threat Intelligence. Sebaliknya, Cloud Firewall mencocokkan lalu lintas tersebut terhadap aturan Basic Protection, Intelligent Defense, dan Virtual Patching.
Jika kebijakan kontrol akses diaktifkan dan lalu lintas cocok dengan kebijakan Tolak, Cloud Firewall tidak lagi mencocokkan lalu lintas dengan aturan lain.

Catatan

Aturan Basic Protection, Intelligent Defense, dan Virtual Patching tidak memiliki prioritas. Lalu lintas dicocokkan terhadap semua aturan ini.

Apa prinsip deteksi eksposur publik Cloud Firewall?

Cloud Firewall mendeteksi lalu lintas tidak biasa, Alamat IP Publik Terbuka, Port Terbuka, Aplikasi Terbuka, dan alamat IP publik layanan cloud berdasarkan data lalu lintas masuk. Untuk informasi selengkapnya, lihat Eksposur Internet.

Pertanyaan terkait lalu lintas layanan yang melebihi batas

Apa yang harus saya lakukan jika lalu lintas layanan saya melebihi spesifikasi bandwidth yang didukung oleh Cloud Firewall?

Jika lalu lintas layanan Anda melebihi spesifikasi pemrosesan lalu lintas dari Cloud Firewall yang telah Anda beli, Perjanjian Tingkat Layanan (SLA) tidak dapat dijamin. Hal ini dapat memicu aturan degradasi termasuk namun tidak terbatas pada kegagalan kemampuan keamanan (ACL, IPS, audit log), penonaktifan firewall untuk aset yang kelebihan beban, serta pembatasan laju dengan kehilangan paket.

Jika lalu lintas layanan Anda berisiko melebihi batas, kami menyarankan Anda merujuk ke Langganan lalu lintas elastis bayar sesuai penggunaan.
Untuk informasi tentang cara memecahkan masalah lalu lintas tidak biasa, lihat Panduan pemecahan masalah lalu lintas tidak biasa di batas Internet.
Untuk informasi tentang cara memperluas bandwidth perlindungan, lihat Kebijakan perpanjangan.

Bagaimana cara mengatur notifikasi untuk lalu lintas bandwidth perlindungan jaringan publik Cloud Firewall yang melebihi batas?

Lalu lintas yang melebihi batas dibagi menjadi dua jenis: Traffic Exceeding Notification dan Traffic Exceeding Warning:

Traffic Exceeding Notification: Statistik real-time lalu lintas batas saat ini (batas Internet, batas VPC, dan batas NAT) yang melebihi batas untuk hari tersebut.
- Logika pemicu: Dikirim saat melebihi batas, dengan penundaan 10 menit. Peringatan dikirim 24 jam sehari tanpa memandang siang atau malam.
- Logika pengiriman: Dikirim satu kali saja per hari.
  - Perhatikan bahwa pelanggan langganan yang mengaktifkan kemampuan pemrosesan lalu lintas elastis tidak akan lagi menerima notifikasi melebihi batas lalu lintas.
  - Jika ekspansi kapasitas selesai dalam waktu 10 menit setelah melebihi batas, peringatan melebihi batas tidak akan dipicu.
Traffic Exceeding Warning: Statistik real-time untuk peringatan melebihi batas (dengan penundaan 10 menit). Saat ini hanya mendukung peringatan lalu lintas melebihi batas di batas Internet, dan tidak mendukung peringatan lalu lintas melebihi batas di batas NAT.
- Logika pemicu: Lalu lintas saat ini melebihi ambang peringatan yang ditetapkan.
- Logika statistik data teks peringatan: Statistik nilai puncak dan jumlah kali melebihi ambang peringatan dalam 24 jam terakhir dari waktu saat ini. Definisi "jumlah kali" didasarkan pada granularitas setengah jam. Jika terjadi kelebihan dalam setiap periode setengah jam, dihitung sebagai satu kali.
- Logika pengiriman: Hanya dikirim satu kali per hari. Jika Traffic Exceeding Notification sudah dikirim, peringatan tidak akan dikirim.
  - Tidak dikirim kepada pengguna yang telah mengaktifkan kemampuan pemrosesan lalu lintas elastis.
  - Dikirim 24 jam.
- Anda dapat mempelajari jenis notifikasi yang didukung dan langkah-langkah untuk mengatur notifikasi di Peringatan.

Apa yang harus saya lakukan jika saya tidak dapat menangani lalu lintas yang melebihi batas tepat waktu?

Jika Anda memperkirakan bahwa lalu lintas layanan Anda mungkin mengalami lonjakan lalu lintas jangka pendek yang tidak dapat Anda tangani tepat waktu, Anda dapat menggunakan kemampuan langganan lalu lintas elastis bayar sesuai penggunaan dari Cloud Firewall.

Kemampuan langganan lalu lintas elastis bayar sesuai penggunaan mengacu pada model bayar sesuai penggunaan untuk lalu lintas yang melebihi kuota lalu lintas yang termasuk dalam paket langganan. Model ini memungkinkan pengguna membayar lalu lintas berlebih berdasarkan penggunaan aktual tanpa mengubah metode penagihan langganan asli. Untuk informasi selengkapnya, lihat Langganan lalu lintas elastis bayar sesuai penggunaan.

Untuk versi bayar sesuai penggunaan, semua lalu lintas ditagih dalam mode bayar sesuai penggunaan, sehingga situasi ini tidak perlu dipertimbangkan.

Berapa spesifikasi maksimum yang dapat diskalakan oleh lalu lintas elastis Cloud Firewall?

Batas pemrosesan harian default adalah 1.000.000 GB. Perhatikan bahwa Cloud Firewall hanya memiliki batas spesifikasi bandwidth lalu lintas dan tidak melibatkan konsep permintaan per detik (QPS) atau jumlah koneksi. Untuk informasi selengkapnya, lihat: Langganan lalu lintas elastis bayar sesuai penggunaan - Deskripsi penagihan.