配置全流量检测与响应(NDR)开关
1. 登录 云防火墙控制台,在左侧导航栏中,单击全流量检测与响应(NDR)。
2. 在全流量检测与响应(NDR)页面,容器集群支持根据节点启用全流量检测与响应(NDR)分析开关,CVM 支持根据资产启用全流量检测与响应(NDR)分析开关。
开启全流量检测与响应(NDR)分析开关后,云防火墙会镜像出/入服务器流量进行以下分析:
所有流量会经过入侵防御引擎,基于入侵防御规则进行检测分析并告警。
日志记录所有进出服务器的流量,包括数据包头(Header)、有效载荷(Payload)。其中对于非加密流量,会对 Payload 进行分析解读,还原协议与应用,每个报文最大记录1000字节。
3. 在全流量检测与响应(NDR)页面,单击右上角的全流量检测与响应(NDR)设置,支持新资产流量解析设置、全流量检测与响应(NDR)带宽设置及全流量检测与响应(NDR)超量处置设置。
新资产流量解析设置:支持设置新资产是否自动开启流量解析。
a. 资产类型设置为全部新资产时
自动开启流量解析开关开启时,发现新资产(公网资产与非公网资产)后会自动开启流量解析。
自动开启流量解析开关关闭时,发现新资产(公网资产与非公网资产)后不会自动开启流量解析。
b. 资产类型设置为仅新公网资产时
自动开启流量解析开关开启时,发现新公网资产后会自动开启流量解析,非公网资产不会自动开启流量解析。
自动开启流量解析开关关闭时,发现新资产(公网资产与非公网资产)后不会自动开启流量解析。
全流量检测与响应(NDR)带宽设置
a. 总流量 = 各实例的出入流量峰值之和,请确保流量分析带宽或弹性分析带宽大于总流量。
b. 弹性防护:支持设置弹性分析带宽,当流量小于弹性分析带宽时进行分析,当流量大于弹性分析带宽时,进行超量处置。
全流量检测与响应(NDR)超量处置:流量分析带宽超量不会导致客户业务流量丢包或影响流量速率,但将无法提供全流量检测与响应(NDR)功能。
a. 带宽规格超量限流与恢复机制
权重范围:0 - 100(默认 50),值越大优先级越高。
限流机制:实时带宽 > 购买规格时,系统优先自动关闭高权重解析(权重相同则按峰值带宽降序关闭),直至实时带宽降至购买规格内。
恢复机制:实时带宽 ≤ 购买规格时,系统优先自动开启高权重解析(权重相同则按峰值带宽降序开启),自动开启全流量检测与响应(NDR)开关。
b. 单机带宽过载自保护与恢复机制
冷却时间:30 - 1440 分钟(默认 60 分钟),支持自定义配置。
自保护机制:每隔30s检测服务器带宽使用率,当服务器带宽使用率 > 40%(因镜像流量,对应总带宽使用率 > 80%),系统关闭该服务器全流量检测与响应(NDR)开关。
恢复机制:每隔30s检测服务器带宽使用率,当服务器带宽使用率在冷却时间的最后2分钟内均 ≤ 40%,系统自动开启全流量检测与响应(NDR)开关。
c. 支持批量编辑权重。
d. 带宽规格超量会进行系统横幅提醒,超量告警及超量处置均会发送站内信、邮件、短信等通知。
查看全流量检测与响应(NDR)检出告警
新版告警中心
旧版告警中心
