全部產品
Search

搜尋本產品

    Cloud Firewall:【公告】Cloud Firewall異常流量排查體驗最佳化和流量計量模型最佳化

    文件中心

    Cloud Firewall:【公告】Cloud Firewall異常流量排查體驗最佳化和流量計量模型最佳化

    更新時間:Jun 30, 2024

    尊敬的阿里雲使用者,您好:

    阿里雲Cloud Firewall計劃於2023年10月中下旬針對Cloud Firewall訂用帳戶版本的異常流量排查鏈路進行最佳化,提升使用者體驗。最佳化後,您可以針對整體流量趨勢中的突增突降或其他異常流量,快速定位到具體的業務資產,方便及時降低風險。

    解決的業務問題

    Cloud Firewall作為重要的網路流量安全產品,可以協助您實現業務流量安全的可管可控可視,並支援查看當前流量趨勢圖及資產流量詳細資料。同時,您可以通過Cloud Firewall提供的整體流量趨勢、突增突降等峰值流量資料,快速定位出異常資產。

    最佳化內容

    對比項

    最佳化前

    最佳化後

    互連網邊界流量統計模型

    Cloud Firewall處理互連網邊界的三層包頻寬,流入或者流出流量取較大值,包括攻擊防護、存取控制等。

    • 流入流量頻寬=主動外聯響應流量頻寬+公網暴露請求流量頻寬

    • 流出流量頻寬=主動外聯請求流量頻寬+公網暴露響應流量頻寬

    Cloud Firewall處理互連網邊界的四層會話頻寬,入方向或出方向取較大值,包括攻擊防護、存取控制等。

    • 入方向流量頻寬=公網暴露請求流量頻寬+公網暴露響應流量頻寬

    • 出方向流量頻寬=主動外聯請求流量頻寬+主動外聯響應流量頻寬

    說明

    最佳化前的流量峰值頻寬時間點和最佳化後的流量峰值頻寬時間點可能發生變化。

    流量異常或超量排查鏈路

    需要分別查看主動外聯和公網暴露的流量頻寬,根據流入流量頻寬和流出流量頻寬計算公式進行計算,才能大體定位到具體異常資產IP。

    通過概覽頁的流量峰值頻寬,根據公網暴露可視分析直接擷取入方向的流量頻寬資料,主動外聯可視分析直接擷取出方向的流量頻寬資料,對齊流量計算模型,可快速且準確地定位到異常資產IP。

    說明

    入方向流量峰值頻寬指公網暴露總流量峰值頻寬,出方向峰值頻寬指主動外聯總流量峰值頻寬。因為Cloud Firewall的流量峰值頻寬採用時間段彙總的資料,所以某個具體時間點的總流量峰值頻寬會小於等於請求流量峰值頻寬與響應流量峰值頻寬之和。

    影響說明

    • 本次最佳化對當前費用無影響

    • 流量排查監控鏈路更簡單、高效、準確

      最佳化前流量排查鏈路

      最佳化後流量排查鏈路

      以下以排查入方向峰值頻寬異常為例。如果您需要排查流出的異常峰值頻寬,步驟相同。只是流出峰值頻寬是主動外聯請求峰值頻寬和公網暴露響應峰值頻寬之和。

      1. 訪問概覽頁面查看流量趨勢,發現某個時刻存在流入異常峰值頻寬,需要定位異常資產IP,判斷進一步的處置動作。

        image.png

      2. 訪問主動外聯頁面,查看該時刻的響應峰值頻寬,定位出可能異常的Top流量資產。

        image.png

      3. 訪問公網暴露頁面,查看該時刻的請求峰值頻寬,定位出可能異常的Top流量資產。

        image.png

      4. 根據主動外聯的響應峰值頻寬和公網暴露的請求峰值頻寬之和,計算出可能存在流量異常的資產IP。

        5. 說明

        根據公式計算出的流入峰值頻寬和概覽頁的流入峰值頻寬可能不一致,因此定位出的異常資產IP也可能不精確,需要您再結合日誌進一步排查。

      5. 再結合日誌審計頁面,進一步排查是需要阻斷某些源IP還是需要提高購買頻寬。

        image.png

      以下以排查出方向峰值頻寬異常為例。如果您需要查看入方向的異常峰值頻寬,步驟相同。只是入方向峰值頻寬在公網暴露頁面查看。

      1. 訪問概覽頁面查看流量趨勢,發現某個時刻存在出方向異常峰值頻寬,需要定位異常資產IP,判斷進一步的處置動作。

        image.png

      2. 訪問主動外聯頁面,查看該時刻的出方向峰值頻寬,定位出異常資產IP,且可查看該IP對應的請求和響應值。

        image.png

        單擊該異常資產IP,可進一步查看該資產的流量趨勢和請求響應峰值頻寬。

        image.png

      3. 如果您需要進一步查看該資產IP外聯了哪些網域名稱或IP,可以結合日誌審計頁面,排查是需要阻斷某些源IP還是需要提高購買頻寬。

        image.png

    • 流量計量模型計算樣本

      樣本一

      某企業在雲上主要提供公網訪問服務業務。某時刻經過Cloud Firewall的流量資料如下:

      流量方向

      請求流量峰值頻寬

      響應流量峰值頻寬

      入方向(公網暴露)

      300 Mbps

      500 Mbps

      出方向(主動外聯)

      200 Mbps

      150 Mbps

      Cloud Firewall處理總流量峰值頻寬為1150 Mbps。

      最佳化前:流入峰值頻寬=300 Mbps+150 Mbps=450 Mbps;流出峰值頻寬=200 Mbps+500 Mbps=700 Mbps。Cloud Firewall統計的流量峰值頻寬取較大值:700 Mbps。

      最佳化後:入方向峰值頻寬=300 Mbps+500 Mbps=800 Mbps;出方向峰值頻寬=200 Mbps+150 Mbps=350 Mbps。Cloud Firewall統計的流量峰值頻寬取較大值:800 Mbps。

      綜上,最佳化後流量峰值頻寬較最佳化前上升。

      樣本二

      某企業在雲上主要為生產環境,對外訪問服務較多。某時刻經過Cloud Firewall的流量資料如下:

      流量方向

      請求流量峰值頻寬

      響應流量峰值頻寬

      入方向(公網暴露)

      250 Mbps

      150 Mbps

      出方向(主動外聯)

      100 Mbps

      200 Mbps

      Cloud Firewall處理總流量峰值頻寬為700 Mbps。

      最佳化前:流入峰值頻寬=250 Mbps+200 Mbp=450 Mbps;流出峰值頻寬=100 Mbps+150 Gbps=250 Mbps。Cloud Firewall統計的流量峰值頻寬取較大值:450 Mbps。

      最佳化後:入方向峰值頻寬=250 Mbps+150 Mbps=400 Mbps;出方向峰值頻寬=100 Mbps+200 Mbps=300 Mbps。Cloud Firewall統計的流量峰值頻寬取較大值:400 Mbps。

      綜上,最佳化後流量峰值頻寬較最佳化前下降。

      樣本三

      某企業在雲上出向與入向業務訪問相對均衡。某時刻經過Cloud Firewall的流量資料如下:

      流量方向

      請求流量峰值頻寬

      響應流量峰值頻寬

      入方向(公網暴露)

      400 Mbps

      300 Mbps

      出方向(主動外聯)

      250 Mbps

      300 Mbps

      Cloud Firewall處理總流量峰值頻寬為1250 Mbps。

      最佳化前:流入峰值頻寬=400 Mbps+300 Mbp=700 Mbps;流出峰值頻寬=250 Mbps+300 Gbps=550 Mbps。Cloud Firewall統計的流量峰值頻寬取較大值:700 Mbps。

      最佳化後:入方向峰值頻寬=400 Mbps+300 Mbps=700 Mbps;出方向峰值頻寬=250 Mbps+300 Mbps=550 Mbps。Cloud Firewall統計的流量峰值頻寬取較大值:700 Mbps。

      綜上,最佳化後流量峰值頻寬較最佳化前不變