云防火墙全流量检测与响应(NDR) 是一个云原生网络检测与响应功能。全流量检测与响应(NDR)功能可以实时收集、存储和分析网络中的全部流量数据,发现网络攻击威胁,还原传输文件提高网络安全性。
应用场景
云上流量全审计、网络安全监控、针对 APT 等高级威胁分析。
技术方案
通过旁路镜像网络流量,进行异步检测,对业务流量无影响;特殊场景下也支持 Agent 终端采集模式检测流量。
模式 | 说明 |
流量镜像模式 | 使用弹性网卡镜像流量至防火墙集群进行分析,对业务无影响,消耗服务器内网带宽。 |
终端采集模式 | 在服务器上安装终端探针采集流量,消耗 CPU 性能以及内网带宽。 支持操作系统类型:Tlinux、Ubuntu、CentOS(内核版本3.2以上)。 需安装自动化助手,操作详情请参见 安装自动化助手客户端。 |
全流量检测与响应(NDR)带宽超量与恢复机制说明
流量分析带宽超量不会导致客户业务流量丢包或影响流量速率,但将无法提供全流量检测与响应(NDR)功能。
带宽规格超量限流与恢复机制
权重范围:0 - 100(默认 50),值越大优先级越高。
限流机制:实时带宽 > 购买规格时,系统优先自动关闭高权重解析(权重相同则按峰值带宽降序关闭),直至实时带宽降至购买规格内。
恢复机制:实时带宽 ≤ 购买规格时,系统优先自动开启高权重解析(权重相同则按峰值带宽降序开启),自动开启全流量检测与响应(NDR)开关。
单机带宽过载自保护与恢复机制
冷却时间:30 - 1440 分钟(默认 60 分钟),支持自定义配置。
自保护机制:每隔30s检测服务器带宽使用率,当服务器带宽使用率 > 40%(因镜像流量,对应总带宽使用率 > 80%),系统关闭该服务器全流量检测与响应(NDR)开关。
恢复机制:每隔30s检测服务器带宽使用率,当服务器带宽使用率在冷却时间的最后2分钟内均 ≤ 40%,系统自动开启全流量检测与响应(NDR)开关。
