活动

天翼云最新优惠活动,涵盖免费试用,产品折扣等,助您降本增效!
查看全部活动
热门活动
  • 免费体验DeepSeek,上天翼云息壤 NEW 新老用户均可免费体验2500万Tokens,限时两周
  • 云上钜惠 HOT 爆款云主机全场特惠,更有万元锦鲤券等你来领!
  • 算力套餐 HOT 让算力触手可及
  • 天翼云脑AOne NEW 连接、保护、办公,All-in-One!
  • 一键部署Llama3大模型学习机 0代码一键部署,预装最新主流大模型Llama3与StableDiffusion
  • 中小企业应用上云专场 产品组合下单即享折上9折起,助力企业快速上云
  • 息壤高校钜惠活动 NEW 天翼云息壤杯高校AI大赛,数款产品享受线上订购超值特惠
  • 天翼云电脑专场 HOT 移动办公新选择,爆款4核8G畅享1年3.5折起,快来抢购!
  • 天翼云奖励推广计划 加入成为云推官,推荐新用户注册下单得现金奖励
免费活动
  • 免费试用中心 HOT 多款云产品免费试用,快来开启云上之旅
  • 天翼云用户体验官 NEW 您的洞察,重塑科技边界

智算服务

打造统一的产品能力,实现算网调度、训练推理、技术架构、资源管理一体化智算服务
智算云(DeepSeek专区)
科研助手
  • 算力商城
  • 应用商城
  • 开发机
  • 并行计算
算力互联调度平台
  • 应用市场
  • 算力市场
  • 算力调度推荐
一站式智算服务平台
  • 模型广场
  • 体验中心
  • 服务接入
智算一体机
  • 智算一体机
大模型
  • DeepSeek-R1-昇腾版(671B)
  • DeepSeek-R1-英伟达版(671B)
  • DeepSeek-V3-昇腾版(671B)
  • DeepSeek-R1-Distill-Llama-70B
  • DeepSeek-R1-Distill-Qwen-32B
  • Qwen2-72B-Instruct
  • StableDiffusion-V2.1
  • TeleChat-12B

应用商城

天翼云精选行业优秀合作伙伴及千余款商品,提供一站式云上应用服务
进入甄选商城进入云市场创新解决方案
办公协同
  • WPS云文档
  • 安全邮箱
  • EMM手机管家
  • 智能商业平台
财务管理
  • 工资条
  • 税务风控云
企业应用
  • 翼信息化运维服务
  • 翼视频云归档解决方案
工业能源
  • 智慧工厂_生产流程管理解决方案
  • 智慧工地
建站工具
  • SSL证书
  • 新域名服务
网络工具
  • 翼云加速
灾备迁移
  • 云管家2.0
  • 翼备份
资源管理
  • 全栈混合云敏捷版(软件)
  • 全栈混合云敏捷版(一体机)
行业应用
  • 翼电子教室
  • 翼智慧显示一体化解决方案

合作伙伴

天翼云携手合作伙伴,共创云上生态,合作共赢
天翼云生态合作中心
  • 天翼云生态合作中心
天翼云渠道合作伙伴
  • 天翼云代理渠道合作伙伴
天翼云服务合作伙伴
  • 天翼云集成商交付能力认证
天翼云应用合作伙伴
  • 天翼云云市场合作伙伴
  • 天翼云甄选商城合作伙伴
天翼云技术合作伙伴
  • 天翼云OpenAPI中心
  • 天翼云EasyCoding平台
天翼云培训认证
  • 天翼云学堂
  • 天翼云市场商学院
天翼云合作计划
  • 云汇计划
天翼云东升计划
  • 适配中心
  • 东升计划
  • 适配互认证

开发者

开发者相关功能入口汇聚
技术社区
  • 专栏文章
  • 互动问答
  • 技术视频
资源与工具
  • OpenAPI中心
开放能力
  • EasyCoding敏捷开发平台
培训与认证
  • 天翼云学堂
  • 天翼云认证
魔乐社区
  • 魔乐社区

支持与服务

为您提供全方位支持与服务,全流程技术保障,助您轻松上云,安全无忧
文档与工具
  • 文档中心
  • 新手上云
  • 自助服务
  • OpenAPI中心
定价
  • 价格计算器
  • 定价策略
基础服务
  • 售前咨询
  • 在线支持
  • 在线支持
  • 工单服务
  • 建议与反馈
  • 用户体验官
  • 服务保障
  • 客户公告
  • 会员中心
增值服务
  • 红心服务
  • 首保服务
  • 客户支持计划
  • 专家技术服务
  • 备案管家

了解天翼云

天翼云秉承央企使命,致力于成为数字经济主力军,投身科技强国伟大事业,为用户提供安全、普惠云服务
品牌介绍
  • 关于天翼云
  • 智算云
  • 天翼云4.0
  • 新闻资讯
  • 天翼云APP
基础设施
  • 全球基础设施
  • 信任中心
最佳实践
  • 精选案例
  • 超级探访
  • 云杂志
  • 分析师和白皮书
  • 天翼云·创新直播间
市场活动
  • 2025智能云生态大会
  • 2024智算云生态大会
  • 2023云生态大会
  • 2022云生态大会
  • 天翼云中国行
天翼云
  • 活动
  • 智算服务
  • 产品
  • 解决方案
  • 应用商城
  • 合作伙伴
  • 开发者
  • 支持与服务
  • 了解天翼云
    • 关系数据库SQL Server版
    • 企业主机安全
    • 云防火墙
    • CDN加速
    • 物理机
    • GPU云主机
    • 天翼云电脑(政企版)
    • 天翼云电脑(公众版)
    • 云主机备份
    • 弹性云主机
      搜索发现
      关系数据库SQL Server版企业主机安全云防火墙CDN加速物理机GPU云主机天翼云电脑(政企版)天翼云电脑(公众版)云主机备份弹性云主机
    • 文档
    • 控制中心
    • 备案
    • 管理中心
    • 登录
    • 免费注册

    查看所有产品

    云防火墙

    云防火墙

    目录
      • 产品动态
      • 产品介绍
      • 产品定义
      • 相关概念
      • 服务版本差异
      • 使用限制
      • 功能特性
      • 应用场景
      • 产品优势
      • 等保合规能力说明
      • 用户权限
      • 与其它云服务的关系
      • 计费说明
      • 计费说明
      • 续订规则
      • 变配规则
      • 退订规则
      • 快速入门
      • 入门指引
      • 购买配额
      • 开启防护
      • 配置策略
      • 查看防护结果
      • 入门实践
      • 用户指南
      • 购买及变更云防火墙
      • 购买云防火墙
      • 升级云防火墙版本
      • 变更云防火墙扩展包数量
      • 查看防护总览
      • 开启互联网边界流量防护
      • 开启VPC边界流量防护
      • VPC边界防火墙概述
      • 企业路由器模式(新版)
      • 创建VPC边界防火墙
      • 配置企业路由器并将流量引至云防火墙
      • 开启/关闭VPC边界防火墙并确认流量经过云防火墙
      • 开启NAT网关流量防护
      • 配置访问控制策略管理流量
      • 访问控制策略概述
      • 通过配置防护规则拦截/放行流量
      • 通过添加防护规则拦截/放行流量
      • 示例一:放行入方向中指定IP的访问流量
      • 示例二:拦截某一地区的访问流量
      • 示例三:配置SNAT的防护规则
      • 通过添加黑白名单拦截/放行流量
      • 通过策略助手查看防护信息
      • 访问控制策略管理
      • 导入/导出防护策略
      • 调整防护规则的优先级
      • 管理防护规则
      • 管理黑/白名单
      • 管理时间计划
      • IP地址组
      • 添加自定义IP地址组和IP地址
      • 查看预定义地址组
      • 删除IP地址组
      • 域名组管理
      • 添加域名组
      • 删除域名组
      • 服务组管理
      • 添加自定义服务组和服务
      • 查看预定义服务组
      • 删除服务组
      • 拦截恶意攻击
      • 攻击防御功能概述
      • 拦截网络攻击
      • 拦截病毒文件
      • 通过安全看板查看攻击防御信息
      • IPS规则管理
      • 修改入侵防御规则的防护动作
      • 自定义IPS特征
      • 查看流量数据
      • 查看入云流量
      • 查看出云流量
      • 查看VPC间访问流量
      • 查看云防火墙防护日志
      • 防护日志概述
      • 日志查询
      • 日志管理
      • 配置日志
      • 更改日志存储时长
      • 日志字段说明
      • 系统管理
      • 告警通知
      • 安全报告管理
      • 创建安全报告
      • 查看/下载安全报告
      • 管理安全报告
      • DNS服务器配置
      • 使用CES监控CFW
      • 常见问题
      • 产品咨询类
      • 功能类
      • 故障排查类
      • 网络流量类
      • 计费类
      • 最佳实践
      • 云防火墙使用最佳实践
      • 配置IP地址组和服务组访问策略
      • 相关协议
      • 服务协议
      • 服务等级协议
      • 文档下载
        计算
        弹性云主机
        GPU云主机
        物理机
        镜像服务
        轻量型云主机
        弹性伸缩服务
        一体化计算加速平台·异构计算
        弹性高性能计算
        多活容灾服务
        CDN与边缘
        算力互联调度平台
        CDN加速
        边缘安全加速平台
        全站加速
        安全加速(文档停止维护)
        应用加速(文档停止维护)
        智能边缘云
        云电竞
        科研助手
        Serverless边缘容器
        边缘容器集群(ECK专有版)
        性能测试PTS
        边缘重保服务
        实时云渲染
        人工智能
        一站式智算服务平台
        天翼云息壤一体化智算服务平台
        智算一体机
        模型适配专家服务
        人脸识别
        内容审核
        印刷文字识别
        安全生产
        自然语言处理
        iBox边缘盒子
        企业应用
        云通信-短信
        一键登录(文档停止维护)
        管理工具
        统一身份认证(一类节点)
        统一身份认证(二类节点)
        企业项目管理
        甄选应用
        新域名服务
        天翼通达OA
        SSL证书
        智慧看店
        翼建站
        翼云快销
        云网安全运营中心
        安全邮箱
        天翼智慧工厂
        WPS云文档天翼云版
        智能商业平台
        翼企业服务
        电脑维护
        网管专家服务
        EMM手机管家
        中望CAD(央企)
        智能组网(东南区版)
        云网智慧管理平台
        翼云数据管理
        翼IT业务监控
        翼云素质教育平台
        翼微卡
        翼电子签
        翼安全邮箱
        新华融翼
        支持与服务
        专家技术服务
        基础服务
        备案管家
        网站备案
        备案指引
        客户支持计划
        服务等级目标
        存储
        云硬盘
        对象存储
        并行文件服务 HPFS
        海量文件服务 OceanFS
        弹性文件服务
        混合存储网关
        云备份
        云硬盘备份
        云主机备份
        云容灾
        云存储网关
        存储容灾服务
        云服务备份
        云空间
        容器与中间件
        Serverless容器引擎
        云容器引擎
        分布式容器云平台
        弹性容器实例
        容器镜像服务
        云容器引擎(旧版)
        函数工作流
        分布式消息服务RabbitMQ
        分布式消息服务RocketMQ
        分布式消息服务Kafka
        分布式消息服务MQTT
        微服务引擎
        微服务云应用平台
        应用编排服务
        应用服务网格
        应用性能监控
        云日志服务
        函数计算
        EasyCoding敏捷开发平台
        软件开发生产线CodeArts
        视频
        媒体存储
        极速直播
        视频直播
        云点播
        智能视图服务
        网络
        弹性IP
        对等连接
        NAT网关
        共享带宽
        虚拟私有云
        内网DNS
        弹性负载均衡
        VPC终端节点
        VPN连接
        天翼云SD-WAN
        天翼云SD-WAN(尊享版)
        云间高速(尊享版)
        云间高速(标准版)
        云专线
        云专线CDA
        云专线(福建)
        算力专网
        企业交换机
        数据库
        关系数据库MySQL版
        关系数据库PostgreSQL版
        云数据库GeminiDB
        云数据库GaussDB
        数据管理服务
        关系数据库SQL Server版
        云数据库TaurusDB
        分布式缓存服务Redis版
        分布式关系型数据库
        文档数据库服务
        数据库复制
        云数据库ClickHouse
        数据库专家服务
        分布式融合数据库HTAP
        数据传输服务DTS
        安全及管理
        服务器安全卫士
        Anti-DDoS流量清洗
        Web应用防火墙
        云解析
        数据库安全
        SSL VPN
        微隔离防火墙
        数据加密
        网页防篡改(原生版)
        DDoS高防IP
        云下一代防火墙
        渗透测试
        漏洞扫描
        终端杀毒
        域名无忧
        DDoS高防(边缘云版)
        企业主机安全
        Web应用防火墙(原生版)
        服务器安全卫士(原生版)
        Web应用防火墙(独享版)
        云审计
        云防火墙(原生版)
        态势感知(专业版)
        数据安全中心
        云防火墙
        云等保专区
        漏洞扫描(专业版)
        托管检测与响应服务(原生版)
        云堡垒机(原生版)
        日志审计(原生版)
        证书管理服务
        数据库审计
        容器安全卫士
        态势感知(专业版)(新版)
        云安全中心
        云密评专区
        安全体检
        密钥管理
        运维安全中心(云堡垒机)
        态势感知
        安全专区
        等保咨询
        Web应用防火墙(边缘云版)
        网站安全监测
        爬虫管理
        专属云与混合云
        专属云(计算独享型)
        专属云(存储独享型)
        专属云容器引擎
        专属云分布式消息服务Kafka
        专属云(关系型数据库MySQL)
        混合云一体机
        用户服务
        账号中心
        费用中心
        法律声明
        短信验证能力
        重点操作短信验证
        更多
        天翼云学堂
        天翼云APP
        合作伙伴认证
        云终端
        天翼云电脑(政企版)
        天翼云电脑(公众版)
        天翼云手机
        大数据
        数据仓库服务
        数据治理中心 DataArts Studio
        数据湖探索
        翼MapReduce
        云搜索服务
        大数据管理平台 DataWings
        迁移与管理
        应用运维管理
        云迁移工具RDA
        云监控服务
        应用性能管理
        主机迁移服务SMS
        API网关
        云迁移服务CMS
        创新能力专区
        存储资源盘活系统
        对象存储(经典版)I型

        本页目录

        选择产品所在区域 根据产品所在区域的不同,文档内容也会对应进行调整
        二类节点
        二类节点
        华东地区
        苏州
        华南地区
        广州4
        北方地区
        华北
        选择节点类型
        二类节点
        华东地区
        苏州
        华南地区
        广州4
        北方地区
        华北
        帮助中心 云防火墙 常见问题 故障排查类
        选择产品所在区域 根据产品所在区域的不同,文档内容也会对应进行调整
        二类节点
        二类节点
        华东地区
        苏州
        华南地区
        广州4
        北方地区
        华北
        选择节点类型
        二类节点
        华东地区
        苏州
        华南地区
        广州4
        北方地区
        华北
        故障排查类
        更新时间 2025-04-18 17:07:18
        • 新浪微博
        • 微信
          扫码分享
        • 复制链接
        最近更新时间: 2025-04-18 17:07:18
        下载本页

        故障排查类

        2025-04-18 09:07:18

        业务流量异常怎么办?

        当您的业务流量异常,可能被CFW中断时,可按照本节内容排查故障。

        问题描述

        业务流量异常,例如:

        • EIP无法访问公网

        • 无法访问某个服务器

        排查思路

        序号可能原因处理措施
        1非CFW造成的流量中断解决方法请参考“原因一:非CFW造成的流量中断”。
        2防护策略阻断流量解决方法请参考“原因二:防护策略阻断流量”。
        3入侵防御阻断流量解决方法请参考“原因三:入侵防御阻断流量”。

        原因一:非CFW造成的流量中断

        可以在云防火墙控制台,关闭防护,观察业务情况,如果业务仍未恢复,说明非CFW造成的流量中断。

        关闭防护的方式如下:

        • EIP流量故障:关闭CFW对业务中断的EIP的防护,请参见“关闭EIP防护”。

        • SNAT或VPC间访问不通:关闭VPC边界防火墙的防护,请参见“开启/关闭VPC边界防火墙并确认流量经过云防火墙”。

        如果业务仍未恢复,可参考常见的故障原因:

        • 网络故障:路由配置错误,网元故障。

        • 策略拦截:其它安全服务、网络ACL或安全组配置错误导致的误拦截。

        原因二:防护策略阻断流量

        可能是在访问控制策略中配置了阻断规则,或将正常的业务加入了黑名单,此时CFW会阻断相关会话,导致业务受损。

        您可以采取以下措施:

        在访问控制日志中,搜索被阻断IP/域名的日志记录

        • 如果无记录,请参见原因三。

        • 如果有记录,单击“规则”列跳转至匹配到的阻断策略。

          • 阻断的是黑名单:

            • 删除该条黑名单策略。

            • 增加一条该IP/域名的白名单策略(白名单优先黑名单匹配,增加后黑名单策略失效,该流量将直接放行)。

          • 阻断的是防护规则:

            • 在访问控制规则列表中搜索相关IP/域名的阻断策略,将阻断该IP/域名策略停用。

            • 修改对应的阻断策略的匹配条件,移除该IP/域名信息。

            • 添加一条“动作”为“放行”用于放通该IP/域名的防护规则,优先级高于其它“阻断”规则,添加防护规则请参见“通过添加防护规则拦截/放行流量”。

        原因三:入侵防御阻断流量

        IPS等入侵防御功能防护模式设置粒度过细,阻断了正常流量。

        您可以采取以下措施:

        在“攻击事件日志”中,搜索被阻断IP/域名的日志记录。

        • 如果无记录,请排查问题。

        • 如果有记录,参考以下两种方式处理:

          • 可复制“规则ID”列信息,在对应的模块(如IPS)中将动作设为观察,具体防护模块请参见“拦截网络攻击”。

          • 将不需要防火墙防护的IP添加到白名单,配置白名单请参见“管理黑白名单”。

        提交工单

        如果上述方法均不能解决您的疑问,请寻求更多帮助。

        流量日志和攻击日志不全怎么办?

        CFW只记录云防火墙基础版开启阶段的用户流量日志和攻击日志,如果反复开启、关闭云防火墙,会导致关闭期间的日志无法记录。

        因此,建议您避免反复执行开启、关闭CFW的操作。

        防护规则没有生效怎么办?

        配置了仅放行几条EIP的规则,为什么所有流量都能通过?

        云防火墙开启EIP防护后,访问控制策略默认状态为放行。如您希望仅放行几条EIP,您需配置阻断全部流量的防护规则,并设为优先级最低,可按如下步骤进行:

        1. 登录天翼云控制中心。

        2. 在左侧导航树中,单击左上方的“服务列表”,选择“安全 > 云防火墙”,进入云防火墙的概览页面。

        3. 在左侧导航栏中,选择“访问控制 > 访问策略管理”,进入“访问策略管理”页面。

        4. 配置全局阻断规则。

          单击“添加规则”按钮,在弹出的“添加防护规则”对话框中,填写参数如下,其余参数可根据您的部署进行填写。

          • “源地址”:0.0.0.0/0

          • “目的地址”:0.0.0.0/0

          • “源端口”:0-65535

          • “目的端口”:0-65535

          • “动作”:阻断

          说明

          建议您添加完所有规则后再开启“启用状态”。

        5. 配置放行规则。

          单击“添加规则”按钮,在弹出的“添加防护规则”对话框中,填写新的防护信息,填写规则详见下表。

          参数名称参数说明取值样例
          方向

          选择防护方向:

          • 外到内:外网访问内部服务器。
          • 内到外:客户服务器访问外网。
          内到外
          名称自定义规则名称。test
          源类型

          选择IP地址、IP地址组或地域 。

          • IP  地址 :支持设置单个IP地址、连续多个IP地址、地址段。
          • IP  地址组 :支持多个IP地址的集合。
          • 地域 :支持地域防护,可在“源地址”中选择地区。
          IP地址
          源地址

          设置访问流量中发送数据包的IP地址、IP地址组。

          源IP地址支持以下输入格式:

          • 单个IP地址,如:192.168.10.5
          • 多个连续地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10
          • 地址段,使用"/"隔开掩码,如:192.168.2.0/24
          192.168.10.5
          目的类型

          选择IP地址、IP地址组。

          • IP  地址 :支持设置单个IP地址、连续多个IP地址、地址段。
          • IP  地址组 :支持多个IP地址的集合。

          说明

          “方向”为“内-外”时,支持选择“域名”类型。

          IP地址
          目的地址

          设置访问流量中的接收数据包的IP地址、IP地址组。

          目的IP地址支持以下输入格式:

          • 单个IP地址,如:192.168.10.5
          • 多个连续地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10
          • 地址段,使用"/"隔开掩码,如:192.168.2.0/24
          • 域名,支持多级别单域名(例如,一级域名example.com,二级域名www.example.com等),输入后需单击右侧“测试”,以测试域名有效性。

          说明

          配置“目的地址”为“域名”的防护规则后需进行DNS解析,请参见配置DNS解析。

          192.168.10.6
          服务类型

          选择服务或服务组。

          • 服务 :支持设置单个服务。
          • 服务组 :支持多个服务的集合。
          服务
          协议类型协议类型当前支持:TCP、UDP、ICMP、Any、ICMPV6。TCP
          源端口设置需要开放或限制的源端口。支持设置单个端口,或者连续端口组,中间使用“-”隔开,如:80-443。80
          目的端口设置需要开放或限制的目的端口。支持设置单个端口,或者连续端口组,中间使用“-”隔开,如:80-443。443
          是否支持长连接

          选择“是”或“否”,设置是否配置长连接 。

          • 是:设置长连接时长。
          • 否:保留默认时长,各协议规则默认支持的连接时长如下:
          • TCP协议:1800s。
          • UDP/ICMP/Any/ICMPv6协议:60s。

          说明

          最大支持100条规则设置长连接。

          是
          长连接设置时长

          “是否支持长连接”选择“是”时,需要配置此参数。

          设置长连接时长。输入“时”、“分”、“秒”。

          说明

          支持时长设置为1秒~1000天。

          60时60分60秒
          动作选择“放行”或者“阻断”。设置相应流量是否通过云防火墙。放行
          策略优先级

          设置该策略的优先级:

          • 置顶:表示将该策略设置为最优先级别。
          • 移动至选中规则后:表示将该策略优先级设置到某一规则后。

          说明

          设置后,优先级数字越小,策略的优先级越高。

          置顶
          启用状态

          设置该策略是否立即启用。

          • 启停.png:表示立即启用,规则生效。
          • 启停2.png:表示立即关闭,规则不生效。
          启停.png
          描述标识该规则的使用场景和用途,以便后续运维时快速区分不同规则的作用。-
        6. 将步骤4中全局阻断规则的“优先级”置为最低,具体操作请参见云防火墙用户指南中设置优先级。

        7. 启用所有规则。建议先开启“放行”规则,再开启“阻断”规则。

        配置了全局阻断,为什么没有放行的IP还是能通过?

        云防火墙中设置的防护策略是根据“弹性公网IP管理列表”执行的,若您已开启全局(0.0.0.0/0)阻断,但仍有未配置“放行”策略的EIP通过,需检查该IP是否在列表中,若不在,需进行资产同步操作,具体操作请参见开启弹性公网IP防护。

        IPS拦截了正常业务如何处理?

        如果确认拦截的为正常业务流量,您可按照以下两种方式处理:

        • 查询拦截该业务流量的规则ID,并在IPS规则库中修改对应规则的防护动作,操作步骤请参见“查询命中规则及修改防护动作”。

        • 降低IPS防护模式的拦截程度,IPS防护模式说明请参见《云防火墙用户指南》中“配置入侵防御策略”。

        查询命中规则及修改防护动作

        1. 登录管理控制台。

        2. 在左侧导航栏中,单击左上方的,选择“安全> 云防火墙”,进入云防火墙的总览页面。

        3. (可选)当前账号下仅存在单个防火墙实例时,自动进入防火墙详情页面,存在多个防火墙实例时,单击防火墙列表“操作”列的“查看”,进入防火墙详情页面。

        4. 在左侧导航树中,选择“日志审计> 日志查询”。进入“攻击事件日志”页面,记录拦截该业务流量的“规则ID”。

        5. 单击“基础防御”中的“查看生效中的规则”,进入“基础防御规则”页面。

        6. 在搜索框中输入“规则ID”搜索,并在“操作”修改为“观察”或“禁用”。

          • 观察:修改为“观察”状态,修改后防火墙对匹配当前防御规则的流量,记录至日志中,不做拦截。

          • 禁用:修改为“禁用”状态,修改后防火墙对匹配当前防御规则的流量,不记录、不拦截。

        Apache Log4j远程代码执行漏洞攻击,云防火墙如何启用检测和防御?

        Apache Log4j2存在一处远程代码执行漏洞(CVE-2021-44228),在引入Apache Log4j2处理日志时,会对用户输入的内容进行一些特殊的处理,攻击者可以构造特殊的请求,触发远程代码执行。目前POC已公开,风险较高。

        12月16日,官方披露低于2.16.0版本除了存在拒绝服务漏洞外,还存在另一处远程代码执行漏洞(CVE-2021-45046)。

        Apache Log4j2是一款业界广泛使用的基于Java的日志记录工具。天翼云提醒使用Apache Log4j2的用户尽快安排自检并做好安全加固。

        云防火墙CFW已支持检测和拦截Apache Log4j2 远程代码执行漏洞。

        漏洞名称

        Apache Log4j 远程代码执行漏洞。

        影响范围

        • 影响版本:2.0-beat9 <= Apache Log4j 2.x < 2.16.0(2.12.2 版本不受影响)。

        • 已知受影响的应用及组件:spring-boot-starter-log4j2/Apache Solr/Apache Flink/Apache Druid。

        • 安全版本:

          • Apache Log4j 1.x 不受影响。

          • Apache Log4j 2.16.0。

        防护建议

        登录CFW控制中心,在CFW页面建议操作如下:

        1. 需要购买云防火墙CFW服务的标准版,详细操作请参考购买云防火墙。

        2. 启用入侵防御的基础防御功能,并开启拦截模式,详细操作请参考配置入侵检测策略。

        Spring Framework远程代码执行漏洞攻击,云防火墙如何启用检测和防御?

        Spring是一款主流的Java EE轻量级开源框架,面向服务器端开发设计。近日,Spring框架被曝出可导致RCE远程代码执行的漏洞(CVE-2022-22965),该漏洞攻击面较广,潜在危害严重,对JDK 9及以上版本皆有影响。

        云防火墙CFW已支持检测和拦截Spring Framework远程代码执行的漏洞攻击。

        漏洞名称

        Spring Framework远程代码执行漏洞。

        影响范围

        • JDK 9及以上的。

        • 使用了Spring框架或衍生框架。

        防护建议

        登录CFW控制中心,在CFW页面建议操作如下:

        1. 需要购买云防火墙CFW服务的标准版,详细操作请参考购买云防火墙。

        2. 启用入侵防御的基础防御功能,并开启拦截模式,详细操作请参考配置入侵检测策略。

        为什么访问控制日志页面数据为空?

        访问控制日志展示的是ACL防护策略匹配到的流量,您需要配置ACL策略才能查看访问控制日志。

        • 添加防护规则请参见通过添加防护规则拦截/放行流量。

        • 通过云防火墙的所有流量记录请查看流量日志。

        • 攻击事件记录请查看“攻击事件日志”。

        分享文章
        • 新浪微博
        • 微信
          扫码分享
        • 复制链接
        本小节为云防火墙故障排查类常见问题。

        业务流量异常怎么办?

        当您的业务流量异常,可能被CFW中断时,可按照本节内容排查故障。

        问题描述

        业务流量异常,例如:

        • EIP无法访问公网

        • 无法访问某个服务器

        排查思路

        序号可能原因处理措施
        1非CFW造成的流量中断解决方法请参考“原因一:非CFW造成的流量中断”。
        2防护策略阻断流量解决方法请参考“原因二:防护策略阻断流量”。
        3入侵防御阻断流量解决方法请参考“原因三:入侵防御阻断流量”。
        序号可能原因处理措施

        原因一:非CFW造成的流量中断

        可以在云防火墙控制台,关闭防护,观察业务情况,如果业务仍未恢复,说明非CFW造成的流量中断。

        关闭防护的方式如下:

        • EIP流量故障:关闭CFW对业务中断的EIP的防护,请参见“关闭EIP防护”。

        • SNAT或VPC间访问不通:关闭VPC边界防火墙的防护,请参见“开启/关闭VPC边界防火墙并确认流量经过云防火墙”。

        如果业务仍未恢复,可参考常见的故障原因:

        • 网络故障:路由配置错误,网元故障。

        • 策略拦截:其它安全服务、网络ACL或安全组配置错误导致的误拦截。

        原因二:防护策略阻断流量

        可能是在访问控制策略中配置了阻断规则,或将正常的业务加入了黑名单,此时CFW会阻断相关会话,导致业务受损。

        您可以采取以下措施:

        在访问控制日志中,搜索被阻断IP/域名的日志记录

        • 如果无记录,请参见原因三。

        • 如果有记录,单击“规则”列跳转至匹配到的阻断策略。

          • 阻断的是黑名单:

            • 删除该条黑名单策略。

            • 增加一条该IP/域名的白名单策略(白名单优先黑名单匹配,增加后黑名单策略失效,该流量将直接放行)。

          • 阻断的是防护规则:

            • 在访问控制规则列表中搜索相关IP/域名的阻断策略,将阻断该IP/域名策略停用。

            • 修改对应的阻断策略的匹配条件,移除该IP/域名信息。

            • 添加一条“动作”为“放行”用于放通该IP/域名的防护规则,优先级高于其它“阻断”规则,添加防护规则请参见“通过添加防护规则拦截/放行流量”。

        原因三:入侵防御阻断流量

        IPS等入侵防御功能防护模式设置粒度过细,阻断了正常流量。

        您可以采取以下措施:

        在“攻击事件日志”中,搜索被阻断IP/域名的日志记录。

        • 如果无记录,请排查问题。

        • 如果有记录,参考以下两种方式处理:

          • 可复制“规则ID”列信息,在对应的模块(如IPS)中将动作设为观察,具体防护模块请参见“拦截网络攻击”。

          • 将不需要防火墙防护的IP添加到白名单,配置白名单请参见“管理黑白名单”。

        提交工单

        如果上述方法均不能解决您的疑问,请寻求更多帮助。

        流量日志和攻击日志不全怎么办?

        CFW只记录云防火墙基础版开启阶段的用户流量日志和攻击日志,如果反复开启、关闭云防火墙,会导致关闭期间的日志无法记录。

        因此,建议您避免反复执行开启、关闭CFW的操作。

        防护规则没有生效怎么办?

        配置了仅放行几条EIP的规则,为什么所有流量都能通过?

        云防火墙开启EIP防护后,访问控制策略默认状态为放行。如您希望仅放行几条EIP,您需配置阻断全部流量的防护规则,并设为优先级最低,可按如下步骤进行:

        1. 登录天翼云控制中心。

        2. 在左侧导航树中,单击左上方的“服务列表”,选择“安全 > 云防火墙”,进入云防火墙的概览页面。

        3. 在左侧导航栏中,选择“访问控制 > 访问策略管理”,进入“访问策略管理”页面。

        4. 配置全局阻断规则。

          单击“添加规则”按钮,在弹出的“添加防护规则”对话框中,填写参数如下,其余参数可根据您的部署进行填写。

          • “源地址”:0.0.0.0/0

          • “目的地址”:0.0.0.0/0

          • “源端口”:0-65535

          • “目的端口”:0-65535

          • “动作”:阻断

          说明

          建议您添加完所有规则后再开启“启用状态”。

        5. 配置放行规则。

          单击“添加规则”按钮,在弹出的“添加防护规则”对话框中,填写新的防护信息,填写规则详见下表。

          参数名称参数说明取值样例
          方向

          选择防护方向:

          • 外到内:外网访问内部服务器。
          • 内到外:客户服务器访问外网。
          内到外
          名称自定义规则名称。test
          源类型

          选择IP地址、IP地址组或地域 。

          • IP  地址 :支持设置单个IP地址、连续多个IP地址、地址段。
          • IP  地址组 :支持多个IP地址的集合。
          • 地域 :支持地域防护,可在“源地址”中选择地区。
          IP地址
          源地址

          设置访问流量中发送数据包的IP地址、IP地址组。

          源IP地址支持以下输入格式:

          • 单个IP地址,如:192.168.10.5
          • 多个连续地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10
          • 地址段,使用"/"隔开掩码,如:192.168.2.0/24
          192.168.10.5
          目的类型

          选择IP地址、IP地址组。

          • IP  地址 :支持设置单个IP地址、连续多个IP地址、地址段。
          • IP  地址组 :支持多个IP地址的集合。

          说明

          “方向”为“内-外”时,支持选择“域名”类型。

          IP地址
          目的地址

          设置访问流量中的接收数据包的IP地址、IP地址组。

          目的IP地址支持以下输入格式:

          • 单个IP地址,如:192.168.10.5
          • 多个连续地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10
          • 地址段,使用"/"隔开掩码,如:192.168.2.0/24
          • 域名,支持多级别单域名(例如,一级域名example.com,二级域名www.example.com等),输入后需单击右侧“测试”,以测试域名有效性。

          说明

          配置“目的地址”为“域名”的防护规则后需进行DNS解析,请参见配置DNS解析。

          192.168.10.6
          服务类型

          选择服务或服务组。

          • 服务 :支持设置单个服务。
          • 服务组 :支持多个服务的集合。
          服务
          协议类型协议类型当前支持:TCP、UDP、ICMP、Any、ICMPV6。TCP
          源端口设置需要开放或限制的源端口。支持设置单个端口,或者连续端口组,中间使用“-”隔开,如:80-443。80
          目的端口设置需要开放或限制的目的端口。支持设置单个端口,或者连续端口组,中间使用“-”隔开,如:80-443。443
          是否支持长连接

          选择“是”或“否”,设置是否配置长连接 。

          • 是:设置长连接时长。
          • 否:保留默认时长,各协议规则默认支持的连接时长如下:
          • TCP协议:1800s。
          • UDP/ICMP/Any/ICMPv6协议:60s。

          说明

          最大支持100条规则设置长连接。

          是
          长连接设置时长

          “是否支持长连接”选择“是”时,需要配置此参数。

          设置长连接时长。输入“时”、“分”、“秒”。

          说明

          支持时长设置为1秒~1000天。

          60时60分60秒
          动作选择“放行”或者“阻断”。设置相应流量是否通过云防火墙。放行
          策略优先级

          设置该策略的优先级:

          • 置顶:表示将该策略设置为最优先级别。
          • 移动至选中规则后:表示将该策略优先级设置到某一规则后。

          说明

          设置后,优先级数字越小,策略的优先级越高。

          置顶
          启用状态

          设置该策略是否立即启用。

          • 启停.png:表示立即启用,规则生效。
          • 启停2.png:表示立即关闭,规则不生效。
          启停.png
          描述标识该规则的使用场景和用途,以便后续运维时快速区分不同规则的作用。-
          参数名称参数说明取值样例
        6. 将步骤4中全局阻断规则的“优先级”置为最低,具体操作请参见云防火墙用户指南中设置优先级。

        7. 启用所有规则。建议先开启“放行”规则,再开启“阻断”规则。

        配置了全局阻断,为什么没有放行的IP还是能通过?

        云防火墙中设置的防护策略是根据“弹性公网IP管理列表”执行的,若您已开启全局(0.0.0.0/0)阻断,但仍有未配置“放行”策略的EIP通过,需检查该IP是否在列表中,若不在,需进行资产同步操作,具体操作请参见开启弹性公网IP防护。

        IPS拦截了正常业务如何处理?

        如果确认拦截的为正常业务流量,您可按照以下两种方式处理:

        • 查询拦截该业务流量的规则ID,并在IPS规则库中修改对应规则的防护动作,操作步骤请参见“查询命中规则及修改防护动作”。

        • 降低IPS防护模式的拦截程度,IPS防护模式说明请参见《云防火墙用户指南》中“配置入侵防御策略”。

        查询命中规则及修改防护动作

        1. 登录管理控制台。

        2. 在左侧导航栏中,单击左上方的,选择“安全> 云防火墙”,进入云防火墙的总览页面。

        3. (可选)当前账号下仅存在单个防火墙实例时,自动进入防火墙详情页面,存在多个防火墙实例时,单击防火墙列表“操作”列的“查看”,进入防火墙详情页面。

        4. 在左侧导航树中,选择“日志审计> 日志查询”。进入“攻击事件日志”页面,记录拦截该业务流量的“规则ID”。

        5. 单击“基础防御”中的“查看生效中的规则”,进入“基础防御规则”页面。

        6. 在搜索框中输入“规则ID”搜索,并在“操作”修改为“观察”或“禁用”。

          • 观察:修改为“观察”状态,修改后防火墙对匹配当前防御规则的流量,记录至日志中,不做拦截。

          • 禁用:修改为“禁用”状态,修改后防火墙对匹配当前防御规则的流量,不记录、不拦截。

        Apache Log4j远程代码执行漏洞攻击,云防火墙如何启用检测和防御?

        Apache Log4j2存在一处远程代码执行漏洞(CVE-2021-44228),在引入Apache Log4j2处理日志时,会对用户输入的内容进行一些特殊的处理,攻击者可以构造特殊的请求,触发远程代码执行。目前POC已公开,风险较高。

        12月16日,官方披露低于2.16.0版本除了存在拒绝服务漏洞外,还存在另一处远程代码执行漏洞(CVE-2021-45046)。

        Apache Log4j2是一款业界广泛使用的基于Java的日志记录工具。天翼云提醒使用Apache Log4j2的用户尽快安排自检并做好安全加固。

        云防火墙CFW已支持检测和拦截Apache Log4j2 远程代码执行漏洞。

        漏洞名称

        Apache Log4j 远程代码执行漏洞。

        影响范围

        • 影响版本:2.0-beat9 <= Apache Log4j 2.x < 2.16.0(2.12.2 版本不受影响)。

        • 已知受影响的应用及组件:spring-boot-starter-log4j2/Apache Solr/Apache Flink/Apache Druid。

        • 安全版本:

          • Apache Log4j 1.x 不受影响。

          • Apache Log4j 2.16.0。

        防护建议

        登录CFW控制中心,在CFW页面建议操作如下:

        1. 需要购买云防火墙CFW服务的标准版,详细操作请参考购买云防火墙。

        2. 启用入侵防御的基础防御功能,并开启拦截模式,详细操作请参考配置入侵检测策略。

        Spring Framework远程代码执行漏洞攻击,云防火墙如何启用检测和防御?

        Spring是一款主流的Java EE轻量级开源框架,面向服务器端开发设计。近日,Spring框架被曝出可导致RCE远程代码执行的漏洞(CVE-2022-22965),该漏洞攻击面较广,潜在危害严重,对JDK 9及以上版本皆有影响。

        云防火墙CFW已支持检测和拦截Spring Framework远程代码执行的漏洞攻击。

        漏洞名称

        Spring Framework远程代码执行漏洞。

        影响范围

        • JDK 9及以上的。

        • 使用了Spring框架或衍生框架。

        防护建议

        登录CFW控制中心,在CFW页面建议操作如下:

        1. 需要购买云防火墙CFW服务的标准版,详细操作请参考购买云防火墙。

        2. 启用入侵防御的基础防御功能,并开启拦截模式,详细操作请参考配置入侵检测策略。

        为什么访问控制日志页面数据为空?

        访问控制日志展示的是ACL防护策略匹配到的流量,您需要配置ACL策略才能查看访问控制日志。

        • 添加防护规则请参见通过添加防护规则拦截/放行流量。

        • 通过云防火墙的所有流量记录请查看流量日志。

        • 攻击事件记录请查看“攻击事件日志”。

        上一篇 :  功能类
        下一篇 :  网络流量类
        相关文档
        产品咨询类
        拦截网络攻击
        删除黑/白名单
        查看VPC间访问流量
        删除域名组
        更改日志存储时长
        建议与反馈
        以上内容是否对您有帮助?
        有 没有
        感谢您的反馈,您的支持是我们前进的动力!
        您的操作过于频繁,清稍后再试
        文档反馈

        建议您登录后反馈,可在建议与反馈里查看问题处理进度

        鼠标选中文档,精准反馈问题

        选中存在疑惑的内容,即可快速反馈问题,我们会跟进处理

        知道了

         文本反馈

        本页目录

        业务流量异常怎么办?
        问题描述
        排查思路
        原因一:非CFW造成的流量中断
        原因二:防护策略阻断流量
        原因三:入侵防御阻断流量
        提交工单
        流量日志和攻击日志不全怎么办?
        防护规则没有生效怎么办?
        配置了仅放行几条EIP的规则,为什么所有流量都能通过?
        配置了全局阻断,为什么没有放行的IP还是能通过?
        IPS拦截了正常业务如何处理?
        查询命中规则及修改防护动作
        Apache Log4j远程代码执行漏洞攻击,云防火墙如何启用检测和防御?
        漏洞名称
        影响范围
        防护建议
        Spring Framework远程代码执行漏洞攻击,云防火墙如何启用检测和防御?
        漏洞名称
        影响范围
        防护建议
        为什么访问控制日志页面数据为空?
        搜索
          计算
          弹性云主机
          GPU云主机
          物理机
          镜像服务
          轻量型云主机
          弹性伸缩服务
          一体化计算加速平台·异构计算
          弹性高性能计算
          多活容灾服务
          CDN与边缘
          算力互联调度平台
          CDN加速
          边缘安全加速平台
          全站加速
          安全加速(文档停止维护)
          应用加速(文档停止维护)
          智能边缘云
          云电竞
          科研助手
          Serverless边缘容器
          边缘容器集群(ECK专有版)
          性能测试PTS
          边缘重保服务
          实时云渲染
          人工智能
          一站式智算服务平台
          天翼云息壤一体化智算服务平台
          智算一体机
          模型适配专家服务
          人脸识别
          内容审核
          印刷文字识别
          安全生产
          自然语言处理
          iBox边缘盒子
          企业应用
          云通信-短信
          一键登录(文档停止维护)
          管理工具
          统一身份认证(一类节点)
          统一身份认证(二类节点)
          企业项目管理
          甄选应用
          新域名服务
          天翼通达OA
          SSL证书
          智慧看店
          翼建站
          翼云快销
          云网安全运营中心
          安全邮箱
          天翼智慧工厂
          WPS云文档天翼云版
          智能商业平台
          翼企业服务
          电脑维护
          网管专家服务
          EMM手机管家
          中望CAD(央企)
          智能组网(东南区版)
          云网智慧管理平台
          翼云数据管理
          翼IT业务监控
          翼云素质教育平台
          翼微卡
          翼电子签
          翼安全邮箱
          新华融翼
          支持与服务
          专家技术服务
          基础服务
          备案管家
          网站备案
          备案指引
          客户支持计划
          服务等级目标
          存储
          云硬盘
          对象存储
          并行文件服务 HPFS
          海量文件服务 OceanFS
          弹性文件服务
          混合存储网关
          云备份
          云硬盘备份
          云主机备份
          云容灾
          云存储网关
          存储容灾服务
          云服务备份
          云空间
          容器与中间件
          Serverless容器引擎
          云容器引擎
          分布式容器云平台
          弹性容器实例
          容器镜像服务
          云容器引擎(旧版)
          函数工作流
          分布式消息服务RabbitMQ
          分布式消息服务RocketMQ
          分布式消息服务Kafka
          分布式消息服务MQTT
          微服务引擎
          微服务云应用平台
          应用编排服务
          应用服务网格
          应用性能监控
          云日志服务
          函数计算
          EasyCoding敏捷开发平台
          软件开发生产线CodeArts
          视频
          媒体存储
          极速直播
          视频直播
          云点播
          智能视图服务
          网络
          弹性IP
          对等连接
          NAT网关
          共享带宽
          虚拟私有云
          内网DNS
          弹性负载均衡
          VPC终端节点
          VPN连接
          天翼云SD-WAN
          天翼云SD-WAN(尊享版)
          云间高速(尊享版)
          云间高速(标准版)
          云专线
          云专线CDA
          云专线(福建)
          算力专网
          企业交换机
          数据库
          关系数据库MySQL版
          关系数据库PostgreSQL版
          云数据库GeminiDB
          云数据库GaussDB
          数据管理服务
          关系数据库SQL Server版
          云数据库TaurusDB
          分布式缓存服务Redis版
          分布式关系型数据库
          文档数据库服务
          数据库复制
          云数据库ClickHouse
          数据库专家服务
          分布式融合数据库HTAP
          数据传输服务DTS
          安全及管理
          服务器安全卫士
          Anti-DDoS流量清洗
          Web应用防火墙
          云解析
          数据库安全
          SSL VPN
          微隔离防火墙
          数据加密
          网页防篡改(原生版)
          DDoS高防IP
          云下一代防火墙
          渗透测试
          漏洞扫描
          终端杀毒
          域名无忧
          DDoS高防(边缘云版)
          企业主机安全
          Web应用防火墙(原生版)
          服务器安全卫士(原生版)
          Web应用防火墙(独享版)
          云审计
          云防火墙(原生版)
          态势感知(专业版)
          数据安全中心
          云防火墙
          云等保专区
          漏洞扫描(专业版)
          托管检测与响应服务(原生版)
          云堡垒机(原生版)
          日志审计(原生版)
          证书管理服务
          数据库审计
          容器安全卫士
          态势感知(专业版)(新版)
          云安全中心
          云密评专区
          安全体检
          密钥管理
          运维安全中心(云堡垒机)
          态势感知
          安全专区
          等保咨询
          Web应用防火墙(边缘云版)
          网站安全监测
          爬虫管理
          专属云与混合云
          专属云(计算独享型)
          专属云(存储独享型)
          专属云容器引擎
          专属云分布式消息服务Kafka
          专属云(关系型数据库MySQL)
          混合云一体机
          用户服务
          账号中心
          费用中心
          法律声明
          短信验证能力
          重点操作短信验证
          更多
          天翼云学堂
          天翼云APP
          合作伙伴认证
          云终端
          天翼云电脑(政企版)
          天翼云电脑(公众版)
          天翼云手机
          大数据
          数据仓库服务
          数据治理中心 DataArts Studio
          数据湖探索
          翼MapReduce
          云搜索服务
          大数据管理平台 DataWings
          迁移与管理
          应用运维管理
          云迁移工具RDA
          云监控服务
          应用性能管理
          主机迁移服务SMS
          API网关
          云迁移服务CMS
          创新能力专区
          存储资源盘活系统
          对象存储(经典版)I型
          ©2025 天翼云科技有限公司版权所有 增值电信业务经营许可证A2.B1.B2-20090001
          公司地址:北京市东城区青龙胡同甲1号、3号2幢2层205-32室
          备案 京公网安备11010802043424号 京ICP备 2021034386号
          ©2025天翼云科技有限公司版权所有
          京ICP备 2021034386号
          备案 京公网安备11010802043424号
          增值电信业务经营许可证A2.B1.B2-20090001
          用户协议 隐私政策 法律声明
          • 智能客服
            7*24小时不间断售后保障
          • 服务咨询
            400-810-9889
          • 建议与反馈
            天翼云与您共创优质云平台

          您对此文档页面满意吗?

          非常不满意 非常满意
          0 1 2 3 4 5 6 7 8 9 10
          操作失败,请您稍后再试