このトピックでは、Cloud Firewallのネットワークトラフィック分析に関するよくある質問に対する回答を提供します。
未知のアプリケーションからのトラフィックは、トラフィック分析において大きな割合を占める。 これは、Cloud Firewallがインターネットからトラフィックを生成するアプリケーションの種類を識別できないために発生しますか?
考えられる原因:
大量のトラフィックがインターネットから生成され、トラフィックは標準プロトコルに準拠していません。 その結果、Cloud Firewallはトラフィックのアプリケーションタイプを識別できません。
宛先サーバーはネットワークトラフィックをブロックし、多数のRSTパケットを返します。 RSTパケットは、インバウンドトラフィックまたはアウトバウンドトラフィックでカウントされます。 多数のRSTパケットは、タイプが不明なアプリケーションからのトラフィックの大部分を引き起こす。
[ログ監査] ページに移動し、[イベントログ] または [トラフィックログ] タブをクリックして、未知のアプリケーションからのトラフィックのソースと目的を表示できます。 次に、トラフィックが正常かどうかを判断できます。
すべてのアクセス活動の結果を表示すると、システムは未知のISPからのトラフィックの大部分を表示します。 これはなぜですか。
香港 (中国) 、マカオ (中国) 、台湾 (中国) 、または中国以外のリージョンからのインバウンドトラフィックの場合、システムには国またはリージョンの名前のみが表示されます。 Cloud Firewallは、インターネットサービスプロバイダー (ISP) のトラフィックを不明としてマークします。
[ログ監査] ページに移動し、[トラフィックログ] タブをクリックして、IPアドレスのリージョンとISPを表示します。
インテリジェンスタグは、アウトバウンド接続ページに表示されます。 タグの意味は何ですか?
クラウドファイアウォールは、アウトバウンドアクティビティに関連するドメイン名または宛先IPアドレスに関するインターネット情報に基づいて、タグを自動的に追加します。 タグには、Malicious download、Miner Pool、Threat Intelligence、New、Periodic、Popular website、DDoS Trojanが含まれます。 インテリジェンスタグの詳細については、「送信接続」をご参照ください。
悪意のあるダウンロード、マイナープール、または脅威インテリジェンス: クラウドファイアウォールはアウトバウンドアクティビティを危険と見なします。
説明最も早い機会にアウトバウンドアクティビティが偽陽性であるかどうかを確認する必要があります。 アウトバウンドアクティビティが悪意のあるものである場合、関連するアクティビティを制限するようにアクセス制御ポリシーを設定することを推奨します。 詳細については、「インターネットファイアウォールのアクセス制御ポリシーの作成」をご参照ください。
New: Cloud Firewallは、初めてアウトバウンドアクティビティを識別します。
定期的: アセットは、アウトバウンド接続でドメイン名または宛先IPアドレスと定期的に通信します。
人気のあるWebサイト: ドメイン名は、サーバーまたはビジネスによって頻繁にアクセスされます。
DDoSトロイの木馬: クラウドファイアウォールは、アウトバウンドアクティビティがDDoS攻撃を引き起こす可能性があると見なします。
ネットワーク接続障害のトラブルシューティング方法?
ファイアウォールを有効にすると、次の問題が発生する可能性があります。
サーバーにログオンできません。
サーバーで実行されるサービスにアクセスすることはできません。
サーバーはインターネットに接続できません。
上記の問題が発生した場合は、次のディメンション (インターネットファイアウォールと内部ファイアウォール) から問題をトラブルシューティングする必要があります。
インターネットファイアウォール
アセットに対してインターネットファイアウォールが有効になっているかどうかを確認します。
インターネットファイアウォールを有効にすると、トラフィックはクラウドファイアウォールを通過します。 インターネットファイアウォールを有効にする方法の詳細については、「インターネットファイアウォール」をご参照ください。
説明アセットのインターネットファイアウォールが無効になっている場合、トラフィックはクラウドファイアウォールを通過しません。 この場合、ネットワーク接続障害などの他の問題が発生していないか確認する必要があります。
[トラフィックログ] タブでトラフィックログが生成されているかどうかを確認します。
トラフィックログが見つからない場合、トラフィックはインターネットファイアウォールに到達する前に破棄されます。
トラフィックログが見つかり、アクションが [破棄] の場合、トラフィックはインターネットファイアウォールによって破棄されます。 この場合、[イベントログ] タブで関連するイベントを確認し、[モジュール] 列の情報に基づいて [破棄] アクションを実行するモジュールを確認できます。
アクセス制御モジュールによって破棄操作が実行された場合、設定したアクセス制御ポリシーに基づいてトラフィックが破棄されます。 アクセス制御ポリシーを確認し、ビジネス要件に基づいて変更することを推奨します。
[基本保護] 、[仮想パッチ適用] 、または [脅威インテリジェンス] モジュールで [破棄] アクションが実行された場合、設定した侵入防止ポリシーに基づいてトラフィックが破棄されます。 この場合、左側のナビゲーションウィンドウで を選択して、侵入防御ポリシーを無効にできます。
トラフィックログが検出され、アクションが [許可] または [監視] の場合、トラフィックはインターネットファイアウォールによって破棄されません。 セキュリティグループを確認する必要があります。
内部ファイアウォール (セキュリティグループ)
ECS コンソールにログインします。
左側のナビゲーションペインで を選択します。
ネットワーク接続に失敗している Elastic Compute Service (ECS) インスタンスを見つけてクリックします。[インスタンスの詳細] ページで、[セキュリティグループ] タブの [セキュリティグループリスト] タブで、ターゲットセキュリティグループを見つけてクリックします。表示されるページで、ターゲットセキュリティグループルールの [権限付与ポリシー] 列の値が [許可] であるかどうかを確認します。
トラフィックを保護するためにCloud Firewallで使用されるルールの優先順位は何ですか?
Cloud Firewallは、次のルールの優先順位に基づいて、トラフィックをルールと照合します。
アクセス制御ポリシーが有効になっていない場合、またはアクセス制御ポリシーが有効になっているが、トラフィックがアクセス制御ポリシーと一致しない場合、Cloud Firewallはトラフィックを脅威インテリジェンスのルールと照合し、次に基本保護、インテリジェント防御、仮想パッチのルールと照合します。
説明トラフィックが脅威インテリジェンスのルールによってブロックされている場合、Cloud Firewallはトラフィックを他のルールと照合しなくなります。
アクセス制御ポリシーが有効になっていて、トラフィックが許可ポリシーまたはモニターポリシーと一致している場合、Cloud Firewallは脅威インテリジェンスのルールとは一致しませんが、基本保護、インテリジェント防御、および仮想パッチのルールとは一致します。
アクセス制御ポリシーが有効になっていて、トラフィックが [拒否] ポリシーと一致する場合、Cloud Firewallはトラフィックを他のルールと一致しなくなります。
Cloud Firewallは、トラフィックを基本保護、インテリジェント防御、および仮想パッチ適用のルールと優先順位なしで照合します。
ビジネストラフィックの量がCloud Firewallの購入帯域幅を超えた場合はどうすればよいですか?
ビジネストラフィックの量が購入した帯域幅を超える場合、過剰なトラフィックはCloud Firewallによって保護されず、直接許可されます。 ビジネストラフィックの量が購入した帯域幅を超えると、ビジネスセキュリティが影響を受ける可能性があります。 トラフィックが帯域幅を超えるECSインスタンスを特定し、追加の帯域幅を購入するか、ECSインスタンスのファイアウォールを無効にするかを決定することを推奨します。
インターネット境界で異常なトラフィックを識別する方法の詳細については、「インターネット境界で異常なトラフィックを識別する」をご参照ください。
帯域幅を増やす方法の詳細については、「更新」をご参照ください。
Cloud Firewallが提供するインターネット露出検出の原則は何ですか?
Cloud Firewallは、インバウンドトラフィックに関する情報 (異常なトラフィック、サービスアセットの公開パブリックIPアドレス、オープンポート、オープンアプリケーション、クラウドサービスのパブリックIPアドレスに関する情報など) に基づいて、インターネットエクスポージャーを検出します。 インターネット公開を表示する方法の詳細については、「インターネット公開」をご参照ください。