云防火墙全流量分析 NDR 是一个云原生网络检测与响应功能。流量分析 NDR 功能可以实时收集、存储和分析网络中的全部流量数据,发现网络攻击威胁,还原传输文件提高网络安全性。
注意:
应用场景
云上流量全审计、网络安全监控、针对 APT 等高级威胁分析。
技术方案
通过旁路镜像网络流量,进行异步检测,对业务流量无影响;特殊场景下也支持 Agent 终端采集模式检测流量。
模式 | 说明 |
流量镜像模式 | 使用弹性网卡镜像流量至防火墙集群进行分析,对业务无影响,消耗服务器内网带宽。 |
终端采集模式 | 在服务器上安装终端探针采集流量,消耗 CPU 性能以及内网带宽。 |
使用教程
提交工单 申请试用流量分析 NDR 功能。
在云防火墙控制台-流量分析,打开服务器对应的流量分析开关,云防火墙会镜像出/入服务器流量进行以下分析:
所有流量会经过入侵防御引擎,基于入侵防御规则进行检测,分析入侵威胁和横向移动并告警。
日志记录所有进出服务器的流量,包括数据包头(Header)、有效载荷(Payload)。其中对于非加密流量,会对 Payload 进行分析解读,还原协议与应用,每个报文最大记录1000字节。
在云防火墙控制台-告警中心,查看流量分析中发现的威胁告警,支持分析检测横向移动、主机失陷等7类告警。
在云防火墙控制台-日志审计-流量日志,查看流量分析日志(包括完整流量日志和检出文件)。
资源说明
流量分析 NDR 公开测试期间,可申请测试资源如下:
流量分析带宽超量处置
流量分析带宽超量不会导致客户业务流量丢包或影响流量速率,但将无法提供流量分析功能。
1. 当业务带宽超过购买的流量分析带宽规格后,将会触发 Bypass 策略。会自动关闭部分流量解析开关,使得流量下降至带宽规格内。
当业务带宽下降至购买的流量分析带宽规格内时,会自动打开流量解析开关。
2. 支持配置流量解析开关权重,设置自动关闭流量解析开关的优先级。
初始权重默认为50,最大为100,最小为0,权重越大优先级越高。即业务带宽超带宽规格后,权重大的优先关闭解析;业务带宽低于带宽规格后,权重大的优先开启解析。
