流量分析页面发现流量日志和攻击日志不全怎么办？

CFW只记录云防火墙基础版开启阶段的用户流量日志和攻击日志，如果反复开启、关闭云防火墙，会导致关闭期间的日志无法记录。

因此，建议您避免反复执行开启、关闭CFW的操作。

配置了策略为什么没有生效？

配置了仅放行几条EIP的规则，为什么所有流量都能通过？

云防火墙开启EIP防护后，访问控制策略默认状态为放行。如您希望仅放行几条EIP，您需配置阻断全部流量的防护规则，并设为优先级最低，可按如下步骤进行：

1.登录天翼云控制中心。

2.在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。

3.在左侧导航栏中，选择“访问控制 > 访问策略管理”，进入“访问策略管理”页面。

4.配置全局阻断规则。

单击“添加规则”按钮，在弹出的“添加防护规则”对话框中，填写参数如下，其余参数可根据您的部署进行填写。

• “源地址”：0.0.0.0/0
• “目的地址”：0.0.0.0/0
• “源端口”：0-65535
• “目的端口”：0-65535
• “动作”：阻断

说明
建议您添加完所有规则后再开启“启用状态”。

5.配置放行规则。

单击“添加规则”按钮，在弹出的“添加防护规则”对话框中，填写新的防护信息，填写规则详见下表。

添加防护规则-互联网边界

参数名称
参数说明
取值样例
方向
选择防护方向：
外到内：外网访问内部服务器。
内到外：客户服务器访问外网。
内到外
名称
自定义规则名称。
test
源类型
选择IP地址、IP地址组或地域 。
IP  地址 ：支持设置单个IP地址、连续多个IP地址、地址段。
IP  地址组 ：支持多个IP地址的集合。
地域 ：支持地域防护，可在“源地址”中选择地区。
IP地址
源地址
设置访问流量中发送数据包的IP地址、IP地址组。
源IP地址支持以下输入格式：
单个IP地址，如：192.168.10.5
多个连续地址，中间使用“-”隔开，如：192.168.0.2-192.168.0.10
地址段，使用"/"隔开掩码，如：192.168.2.0/24
192.168.10.5
目的类型
选择IP地址、IP地址组。
IP  地址 ：支持设置单个IP地址、连续多个IP地址、地址段。
IP  地址组 ：支持多个IP地址的集合。
说明
“方向”为“内-外”时，支持选择“域名”类型。
IP地址
目的地址
设置访问流量中的接收数据包的IP地址、IP地址组。
目的IP地址支持以下输入格式：
单个IP地址，如：192.168.10.5
多个连续地址，中间使用“-”隔开，如：192.168.0.2-192.168.0.10
地址段，使用"/"隔开掩码，如：192.168.2.0/24
域名，支持多级别单域名（例如，一级域名example.com，二级域名www.example.com等），输入后需单击右侧“测试”，以测试域名有效性。
说明
配置“目的地址”为“域名”的防护规则后需进行DNS解析，请参见配置DNS解析。
192.168.10.6
服务类型
选择服务或服务组。
服务 ：支持设置单个服务。
服务组 ：支持多个服务的集合。
服务
协议类型
协议类型当前支持：TCP、UDP、ICMP、Any、ICMPV6。
TCP
源端口
设置需要开放或限制的源端口。支持设置单个端口，或者连续端口组，中间使用“-”隔开，如：80-443。
80
目的端口
设置需要开放或限制的目的端口。支持设置单个端口，或者连续端口组，中间使用“-”隔开，如：80-443。
443
是否支持长连接
选择“是”或“否”，设置是否配置长连接 。
是：设置长连接时长。
否：保留默认时长，各协议规则默认支持的连接时长如下：
TCP协议：1800s。
UDP/ICMP/Any/ICMPv6协议：60s。
说明
最大支持100条规则设置长连接。
是
长连接设置时长
“是否支持长连接”选择“是”时，需要配置此参数。
设置长连接时长。输入“时”、“分”、“秒”。
说明
支持时长设置为1秒~1000天。
60时60分60秒
动作
选择“放行”或者“阻断”。设置相应流量是否通过云防火墙。
放行
策略优先级
设置该策略的优先级：
置顶：表示将该策略设置为最优先级别。
移动至选中规则后：表示将该策略优先级设置到某一规则后。
说明
设置后，优先级数字越小，策略的优先级越高。
置顶
启用状态
设置该策略是否立即启用。
：表示立即启用，规则生效。
：表示立即关闭，规则不生效。
描述
标识该规则的使用场景和用途，以便后续运维时快速区分不同规则的作用。
-

6.将步骤4中全局阻断规则的“优先级”置为最低，具体操作请参见云防火墙用户指南中设置优先级。

7.启用所有规则。建议先开启“放行”规则，再开启“阻断”规则。

配置了全局阻断，为什么没有放行的IP还是能通过？

云防火墙中设置的防护策略是根据“弹性公网IP管理列表”执行的，若您已开启全局（0.0.0.0/0）阻断，但仍有未配置“放行”策略的EIP通过，需检查该IP是否在列表中，若不在，需进行资产同步操作，具体操作请参见开启弹性公网IP防护。

Apache Log4j远程代码执行漏洞攻击，云防火墙如何启用检测和防御？

Apache Log4j2存在一处远程代码执行漏洞（CVE-2021-44228），在引入Apache Log4j2处理日志时，会对用户输入的内容进行一些特殊的处理，攻击者可以构造特殊的请求，触发远程代码执行。目前POC已公开，风险较高。

12月16日，官方披露低于2.16.0版本除了存在拒绝服务漏洞外，还存在另一处远程代码执行漏洞（CVE-2021-45046）。

Apache Log4j2是一款业界广泛使用的基于Java的日志记录工具。天翼云提醒使用Apache Log4j2的用户尽快安排自检并做好安全加固。

云防火墙CFW已支持检测和拦截Apache Log4j2 远程代码执行漏洞。

漏洞名称

Apache Log4j 远程代码执行漏洞。

影响范围

• 影响版本：2.0-beat9 <= Apache Log4j 2.x < 2.16.0（2.12.2 版本不受影响）。

• 已知受影响的应用及组件：spring-boot-starter-log4j2/Apache Solr/Apache Flink/Apache Druid。

• 安全版本：

  • Apache Log4j 1.x 不受影响。
  • Apache Log4j 2.16.0。

防护建议

登录CFW控制中心，在CFW页面建议操作如下：

1. 需要购买云防火墙CFW服务的标准版，详细操作请参考购买云防火墙。
2. 启用入侵防御的基础防御功能，并开启拦截模式，详细操作请参考配置入侵检测策略。

Spring Framework远程代码执行漏洞攻击，云防火墙如何启用检测和防御？

Spring是一款主流的Java EE轻量级开源框架，面向服务器端开发设计。近日，Spring框架被曝出可导致RCE远程代码执行的漏洞（CVE-2022-22965），该漏洞攻击面较广，潜在危害严重，对JDK 9及以上版本皆有影响。

云防火墙CFW已支持检测和拦截Spring Framework远程代码执行的漏洞攻击。

漏洞名称

Spring Framework远程代码执行漏洞。

影响范围

• JDK 9及以上的。
• 使用了Spring框架或衍生框架。

防护建议

登录CFW控制中心，在CFW页面建议操作如下：

1. 需要购买云防火墙CFW服务的标准版，详细操作请参考购买云防火墙。
2. 启用入侵防御的基础防御功能，并开启拦截模式，详细操作请参考配置入侵检测策略。

访问控制日志没有数据怎么办？

访问控制日志展示的是ACL防护策略匹配到的流量，您需要配置ACL策略才能查看访问控制日志。

• 添加防护规则请参见添加防护规则。
• 通过云防火墙的所有流量记录请查看流量日志。