全部產品
Search

搜尋本產品

    Cloud Firewall:流量分析常見問題

    文件中心

    Cloud Firewall:流量分析常見問題

    更新時間:Jun 24, 2025

    本文介紹Cloud Firewall流量分析常見問題的解決方案。

    業務流量超額相關:

    流量分析中Unknown應用類型佔比較大,是產品無法識別公網的具體請求嗎?

    應用顯示為Unknown可能存在以下原因。

    • 來自互連網入方向的流量很大時,該類流量大部分不是標準協議,因此無法識別為已知協議。

    • 網路流量可能被目的伺服器阻斷,發送大量的RST包。這類包會記錄到出方向或入方向的流量中,如果數量較大,則相應的Unknown佔比也較大。

    說明

    您可以訪問日誌審計頁面,在事件記錄流量日誌頁簽,觀察Unknown流量的具體來源與用途,判斷出方向或入方向流量是否存在異常情況。

    流量分析的全量活動搜尋結果中流量訪問Top中為什麼出現很多未知電訊廠商?

    如果流量來自中國香港、中國澳門、中國台灣以及海外地區,入方向只展示對應的國家或地區名稱。如果入方向存在很多來自中國香港、中國澳門、中國台灣以及海外地區的流量,電訊廠商會被標識為未知。

    您可以訪問日誌審計頁面流量日誌頁簽,觀察具體IP對應的地區與電訊廠商。

    主動外聯活動中展示的情報標籤代表什嗎?

    情報標籤是Cloud Firewall根據外聯網域名稱或目的IP的公網資訊自動添加的屬性,例如,惡意下載礦池威脅情報首次周期熱門網站DDoS木馬。更多情報標籤,請訪問主動外聯頁面

    • 惡意下載礦池威脅情報:Cloud Firewall檢測出的存在威脅的外聯活動。

      說明

      請您及時排查此類標籤對應的外聯活動是否存在誤判。如果確認是惡意行為,建議您配置存取控制策略進行管控。詳細內容請參見配置互連網邊界存取控制策略

    • 首次:Cloud Firewall第一次發現該外聯活動。

    • 周期:您的資產對該網域名稱或目的IP存在周期性的外聯活動。

    • 熱門網站:您的伺服器或您的業務經常訪問的網域名稱。

    • DDoS木馬:Cloud Firewall檢測出的存在DDoS攻擊威脅的外聯活動。

    流量不通時如何排查?

    網路經過Cloud Firewall時,可能會出現以下問題:

    • 無法登入伺服器。

    • 無法訪問伺服器上的服務。

    • 伺服器無法訪問外網。

    出現上述問題,您需要從互連網邊界防火牆和主機邊界防火牆兩個維度進行排查:

    互連網邊界防火牆

    1. 確認資產是否開啟了互連網邊界防火牆。

      開啟了互連網邊界防火牆後,流量才會經過Cloud Firewall。關於如何開啟邊界防火牆開關,請參見互連網邊界防火牆

      說明

      如果資產未開啟互連網邊界防火牆,流量不會經過Cloud Firewall,您需要排查是否存在其他問題,例如:網路不通等。

    2. 確認流量日誌頁簽是否有相應的流量記錄。

      • 如果不存在流量日誌,說明流量還未到達防火牆就被丟棄。

      • 如果存在流量日誌,且動作為丟棄,說明流量是在互連網邊界防火牆處被丟棄,在事件記錄列表中查詢對應流量,根據判斷來源列確認攔截該流量的指令來源。

        • 指令來源為存取控制:說明您配置的存取控制策略對該流量進行了攔截。建議您檢查對應存取控制策略配置並進行修改。

        • 指令來源為基礎防禦虛擬補丁威脅情報:說明您設定的入侵防禦策略對該流量進行了攔截。您可以前往攻擊防護 > 入侵防禦頁面,關閉對應的入侵防禦策略。

      • 如果存在流量日誌,動作為允許存取觀察,說明流量不是在互連網邊界防火牆處被丟棄,需要繼續排查主機防火牆(安全性群組)策略。

    主機邊界防火牆(安全性群組)

    1. 登入ECS控制台

    2. 在左側導覽列,選擇執行個體與鏡像 > 執行個體

    3. 定位到網路不通的ECS執行個體,在安全性群組頁簽下的安全性群組列表頁簽,確認安全性群組是否允許存取(即授權策略設定為允許)。

    Cloud Firewall防護流量時的規則匹配順序是什嗎?

    Cloud Firewall防護流量時,有以下規則匹配順序:

    • 如果您未啟用存取控制策略或已啟用存取控制策略但流量未命中存取控制策略,流量會先匹配威脅情報,再匹配基礎防禦智能防禦虛擬補丁

      說明

      如果流量匹配威脅情報時產生攔截動作,不會再匹配其他規則。

    • 如果您已啟用存取控制策略且流量命中了動作為允許存取或觀察的存取控制策略,流量不再匹配威脅情報規則,會匹配基礎防禦智能防禦虛擬補丁

    • 如果您已啟用存取控制策略且流量命中了動作為拒絕的存取控制策略,流量不再匹配其他規則。

    說明

    基礎防禦智能防禦虛擬補丁規則不分先後順序,流量都會匹配一遍。

    Cloud Firewall公網暴露檢測原理是什嗎?

    Cloud Firewall會根據入向流量資料,檢測是否存在異常流量、業務資產開放公網IP、開放連接埠、開放應用、雲產品的公網IP等。查看公網暴露的具體操作,請參見公網暴露

    業務流量超出額度相關問題

    業務流量超出Cloud Firewall支援的頻寬規格怎麼辦?

    如果您的業務流量超過已購Cloud Firewall流量處理規格,則不能保證產品SLA,可能觸發包括但不限於安全能力失效(ACL、IPS、日誌審計)、TOP超量資產關閉防火牆、限速丟包等超量降級規則。

    Cloud Firewall公網防護頻寬流量超額如何設定通知?

    流量超額分為流量超額通知流量超額預警兩種:

    • 流量超額通知:即時統計,統計當天當前邊界流量(互連網邊界、VPC邊界和NAT邊界)超量情況。

      • 觸發邏輯:超量發送,會有10分鐘延遲,警示時間不區分白天晚上24h通知。

      • 發送邏輯:一天發且僅發送一次。

        • 注意訂用帳戶客戶開啟彈性流量處理能力後,不會再發送流量超額通知。

        • 如果超量的10分鐘以內就完成了擴容,則不會觸發超量警示。

    • 流量超額預警:超量預警即時統計(會有10分鐘延遲),目前僅支援互連網邊界 流量超額預警,暫不支援NAT邊界流量超額預警。

      • 觸發邏輯:當前流量超出設定的預警閾值。

      • 預警文案資料統計邏輯:統計目前時間過去24h內的峰值和超過預警的次數,次數的定義是按照半小時為粒度,每個半小時內如果有超過,就算一次。

      • 發送邏輯:每天只發送一次,如果已經發送過流量超額通知就不會再發預警。

        • 開啟彈性流量處理能力使用者不發送。

        • 24小時發送

      • 您可以在警示通知中瞭解通知支援類型和設定通知的操作步驟。

    流量超額後無法及時處理怎麼辦?

    如果您預計到業務流量可能出現短期業務流量突發上漲,且無法及時處理的情況,可以使用Cloud Firewall的訂用帳戶彈性流量後付費能力。

    訂用帳戶彈性流量後付費能力是指當使用者的流量超過了訂用帳戶套餐內包含的流量額度後,對於超出部分的流量採取的一種後付費模式。這種模式允許使用者在不改變原有訂用帳戶計費方式的基礎上,對超出預定流量限額的部分按照實際使用量進行付費。詳細說明,請參見訂用帳戶彈性流量後付費

    隨用隨付版的流量全部為後付費模式,無需考慮此種情況。

    Cloud Firewall的彈性流量規格最多支援彈到多少規格

    每日處理預設上限1000000 GB,注意Cloud Firewall只有流量頻寬規格的限制,不涉及QPS和串連數的概念。詳細說明,請參見:訂用帳戶彈性流量後付費-計費說明