业务流量异常怎么办?
当您的业务流量异常,可能被CFW中断时,可按照本节内容排查故障。
问题描述
业务流量异常,例如:
EIP无法访问公网
无法访问某个服务器
排查思路
| 序号 | 可能原因 | 处理措施 |
|---|---|---|
| 1 | 非CFW造成的流量中断 | 解决方法请参考“原因一:非CFW造成的流量中断”。 |
| 2 | 防护策略阻断流量 | 解决方法请参考“原因二:防护策略阻断流量”。 |
| 3 | 入侵防御阻断流量 | 解决方法请参考“原因三:入侵防御阻断流量”。 |
原因一:非CFW造成的流量中断
可以在云防火墙控制台,关闭防护,观察业务情况,如果业务仍未恢复,说明非CFW造成的流量中断。
关闭防护的方式如下:
EIP流量故障:关闭CFW对业务中断的EIP的防护,请参见“关闭EIP防护”。
SNAT或VPC间访问不通:关闭VPC边界防火墙的防护,请参见“开启/关闭VPC边界防火墙并确认流量经过云防火墙”。
如果业务仍未恢复,可参考常见的故障原因:
网络故障:路由配置错误,网元故障。
策略拦截:其它安全服务、网络ACL或安全组配置错误导致的误拦截。
原因二:防护策略阻断流量
可能是在访问控制策略中配置了阻断规则,或将正常的业务加入了黑名单,此时CFW会阻断相关会话,导致业务受损。
您可以采取以下措施:
在访问控制日志中,搜索被阻断IP/域名的日志记录
如果无记录,请参见原因三。
如果有记录,单击“规则”列跳转至匹配到的阻断策略。
阻断的是黑名单:
删除该条黑名单策略。
增加一条该IP/域名的白名单策略(白名单优先黑名单匹配,增加后黑名单策略失效,该流量将直接放行)。
阻断的是防护规则:
在访问控制规则列表中搜索相关IP/域名的阻断策略,将阻断该IP/域名策略停用。
修改对应的阻断策略的匹配条件,移除该IP/域名信息。
添加一条“动作”为“放行”用于放通该IP/域名的防护规则,优先级高于其它“阻断”规则,添加防护规则请参见“通过添加防护规则拦截/放行流量”。
原因三:入侵防御阻断流量
IPS等入侵防御功能防护模式设置粒度过细,阻断了正常流量。
您可以采取以下措施:
在“攻击事件日志”中,搜索被阻断IP/域名的日志记录。
如果无记录,请排查问题。
如果有记录,参考以下两种方式处理:
可复制“规则ID”列信息,在对应的模块(如IPS)中将动作设为观察,具体防护模块请参见“拦截网络攻击”。
将不需要防火墙防护的IP添加到白名单,配置白名单请参见“管理黑白名单”。
提交工单
如果上述方法均不能解决您的疑问,请寻求更多帮助。
流量日志和攻击日志不全怎么办?
CFW只记录云防火墙基础版开启阶段的用户流量日志和攻击日志,如果反复开启、关闭云防火墙,会导致关闭期间的日志无法记录。
因此,建议您避免反复执行开启、关闭CFW的操作。
防护规则没有生效怎么办?
配置了仅放行几条EIP的规则,为什么所有流量都能通过?
云防火墙开启EIP防护后,访问控制策略默认状态为放行。如您希望仅放行几条EIP,您需配置阻断全部流量的防护规则,并设为优先级最低,可按如下步骤进行:
登录天翼云控制中心。
在左侧导航树中,单击左上方的“服务列表”,选择“安全 > 云防火墙”,进入云防火墙的概览页面。
在左侧导航栏中,选择“访问控制 > 访问策略管理”,进入“访问策略管理”页面。
配置全局阻断规则。
单击“添加规则”按钮,在弹出的“添加防护规则”对话框中,填写参数如下,其余参数可根据您的部署进行填写。
“源地址”:0.0.0.0/0
“目的地址”:0.0.0.0/0
“源端口”:0-65535
“目的端口”:0-65535
“动作”:阻断
说明
建议您添加完所有规则后再开启“启用状态”。
配置放行规则。
单击“添加规则”按钮,在弹出的“添加防护规则”对话框中,填写新的防护信息,填写规则详见下表。
参数名称 参数说明 取值样例 方向 选择防护方向:
- 外到内:外网访问内部服务器。
- 内到外:客户服务器访问外网。
内到外 名称 自定义规则名称。 test 源类型 选择IP地址、IP地址组或地域 。
- IP 地址 :支持设置单个IP地址、连续多个IP地址、地址段。
- IP 地址组 :支持多个IP地址的集合。
- 地域 :支持地域防护,可在“源地址”中选择地区。
IP地址 源地址 设置访问流量中发送数据包的IP地址、IP地址组。
源IP地址支持以下输入格式:
- 单个IP地址,如:192.168.10.5
- 多个连续地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10
- 地址段,使用"/"隔开掩码,如:192.168.2.0/24
192.168.10.5 目的类型 选择IP地址、IP地址组。
- IP 地址 :支持设置单个IP地址、连续多个IP地址、地址段。
- IP 地址组 :支持多个IP地址的集合。
说明
“方向”为“内-外”时,支持选择“域名”类型。
IP地址 目的地址 设置访问流量中的接收数据包的IP地址、IP地址组。
目的IP地址支持以下输入格式:
- 单个IP地址,如:192.168.10.5
- 多个连续地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10
- 地址段,使用"/"隔开掩码,如:192.168.2.0/24
- 域名,支持多级别单域名(例如,一级域名example.com,二级域名www.example.com等),输入后需单击右侧“测试”,以测试域名有效性。
说明
配置“目的地址”为“域名”的防护规则后需进行DNS解析,请参见配置DNS解析。
192.168.10.6 服务类型 选择服务或服务组。
- 服务 :支持设置单个服务。
- 服务组 :支持多个服务的集合。
服务 协议类型 协议类型当前支持:TCP、UDP、ICMP、Any、ICMPV6。 TCP 源端口 设置需要开放或限制的源端口。支持设置单个端口,或者连续端口组,中间使用“-”隔开,如:80-443。 80 目的端口 设置需要开放或限制的目的端口。支持设置单个端口,或者连续端口组,中间使用“-”隔开,如:80-443。 443 是否支持长连接 选择“是”或“否”,设置是否配置长连接 。
- 是:设置长连接时长。
- 否:保留默认时长,各协议规则默认支持的连接时长如下:
- TCP协议:1800s。
- UDP/ICMP/Any/ICMPv6协议:60s。
说明
最大支持100条规则设置长连接。
是 长连接设置时长 “是否支持长连接”选择“是”时,需要配置此参数。
设置长连接时长。输入“时”、“分”、“秒”。
说明
支持时长设置为1秒~1000天。
60时60分60秒 动作 选择“放行”或者“阻断”。设置相应流量是否通过云防火墙。 放行 策略优先级 设置该策略的优先级:
- 置顶:表示将该策略设置为最优先级别。
- 移动至选中规则后:表示将该策略优先级设置到某一规则后。
说明
设置后,优先级数字越小,策略的优先级越高。
置顶 启用状态 设置该策略是否立即启用。
:表示立即启用,规则生效。
:表示立即关闭,规则不生效。
描述 标识该规则的使用场景和用途,以便后续运维时快速区分不同规则的作用。 - 将步骤4中全局阻断规则的“优先级”置为最低,具体操作请参见云防火墙用户指南中设置优先级。
启用所有规则。建议先开启“放行”规则,再开启“阻断”规则。
配置了全局阻断,为什么没有放行的IP还是能通过?
云防火墙中设置的防护策略是根据“弹性公网IP管理列表”执行的,若您已开启全局(0.0.0.0/0)阻断,但仍有未配置“放行”策略的EIP通过,需检查该IP是否在列表中,若不在,需进行资产同步操作,具体操作请参见开启弹性公网IP防护。
IPS拦截了正常业务如何处理?
如果确认拦截的为正常业务流量,您可按照以下两种方式处理:
查询拦截该业务流量的规则ID,并在IPS规则库中修改对应规则的防护动作,操作步骤请参见“查询命中规则及修改防护动作”。
降低IPS防护模式的拦截程度,IPS防护模式说明请参见《云防火墙用户指南》中“配置入侵防御策略”。
查询命中规则及修改防护动作
登录管理控制台。
在左侧导航栏中,单击左上方的
,选择“安全> 云防火墙”,进入云防火墙的总览页面。
(可选)当前账号下仅存在单个防火墙实例时,自动进入防火墙详情页面,存在多个防火墙实例时,单击防火墙列表“操作”列的“查看”,进入防火墙详情页面。
在左侧导航树中,选择“日志审计> 日志查询”。进入“攻击事件日志”页面,记录拦截该业务流量的“规则ID”。
单击“基础防御”中的“查看生效中的规则”,进入“基础防御规则”页面。
在搜索框中输入“规则ID”搜索,并在“操作”修改为“观察”或“禁用”。
观察:修改为“观察”状态,修改后防火墙对匹配当前防御规则的流量,记录至日志中,不做拦截。
禁用:修改为“禁用”状态,修改后防火墙对匹配当前防御规则的流量,不记录、不拦截。
Apache Log4j远程代码执行漏洞攻击,云防火墙如何启用检测和防御?
Apache Log4j2存在一处远程代码执行漏洞(CVE-2021-44228),在引入Apache Log4j2处理日志时,会对用户输入的内容进行一些特殊的处理,攻击者可以构造特殊的请求,触发远程代码执行。目前POC已公开,风险较高。
12月16日,官方披露低于2.16.0版本除了存在拒绝服务漏洞外,还存在另一处远程代码执行漏洞(CVE-2021-45046)。
Apache Log4j2是一款业界广泛使用的基于Java的日志记录工具。天翼云提醒使用Apache Log4j2的用户尽快安排自检并做好安全加固。
云防火墙CFW已支持检测和拦截Apache Log4j2 远程代码执行漏洞。
漏洞名称
Apache Log4j 远程代码执行漏洞。
影响范围
影响版本:2.0-beat9 <= Apache Log4j 2.x < 2.16.0(2.12.2 版本不受影响)。
已知受影响的应用及组件:spring-boot-starter-log4j2/Apache Solr/Apache Flink/Apache Druid。
安全版本:
Apache Log4j 1.x 不受影响。
Apache Log4j 2.16.0。
防护建议
登录CFW控制中心,在CFW页面建议操作如下:
Spring Framework远程代码执行漏洞攻击,云防火墙如何启用检测和防御?
Spring是一款主流的Java EE轻量级开源框架,面向服务器端开发设计。近日,Spring框架被曝出可导致RCE远程代码执行的漏洞(CVE-2022-22965),该漏洞攻击面较广,潜在危害严重,对JDK 9及以上版本皆有影响。
云防火墙CFW已支持检测和拦截Spring Framework远程代码执行的漏洞攻击。
漏洞名称
Spring Framework远程代码执行漏洞。
影响范围
JDK 9及以上的。
使用了Spring框架或衍生框架。
防护建议
登录CFW控制中心,在CFW页面建议操作如下:
为什么访问控制日志页面数据为空?
访问控制日志展示的是ACL防护策略匹配到的流量,您需要配置ACL策略才能查看访问控制日志。
添加防护规则请参见通过添加防护规则拦截/放行流量。
通过云防火墙的所有流量记录请查看流量日志。
攻击事件记录请查看“攻击事件日志”。
:表示立即启用,规则生效。
:表示立即关闭,规则不生效。
