功能概述
全流量检测与响应(NDR)支持自定义流量采集范围,将指定资产的流量接入 NDR 分析。
说明:
仅 CVM 和容器集群支持配置流量采集范围。
操作步骤
1. 登录 云防火墙控制台,在左侧导航栏中,选择全流量检测与响应 > 流量接入。
2. 在流量接入页面,单击流量采集配置。
3. 在流量采集范围管理页面,单击新建筛选条件,配置流量采集范围。
4. 在新建筛选条件中,填写基本信息和规则配置,单击确定保存,流量采集范围立即生效。
参数名称 | 参数说明 | |
基本信息 | 名称 | 流量采集范围规则名称。 |
| 应用资产 | 从 CVM 资产和容器集群资产中选择应用此规则的资产。 |
规则配置 | 优先级 | 按策略类型自动分配,不可手动编辑。排除策略优先级为 0,采集策略优先级为 1,系统兜底排除策略优先级为 2。数字越小优先级越高。 |
| 协议 | 支持 TCP、UDP、ICMP 协议,选 ALL 为全部支持。 |
| 访问源 | 仅支持 CIDR 格式,如: 10.0.0.0/16。 |
| 源端口 | 端口范围为 0~65535,支持以下格式: 全部端口: -1/-1。单端口:例如 22。端口范围:例如 80~88。多个端口:例如 22/80。 |
| 访问目的 | 仅支持 CIDR 格式,如: 10.0.0.0/16。 |
| 目的端口 | 端口范围为 0~65535,支持以下格式: 全部端口: -1/-1。单端口:例如 22。端口范围:例如 80~88。多个端口:例如 22/80。 |
| 策略 | 规则支持采集与排除两种策略类型: 采集:策略命中的流量接入 NDR 分析。 排除:策略命中的流量不接入 NDR 分析。 |
说明:
系统自动提供一条兜底排除规则,不可删除或编辑。
规则配置最多支持5条,系统兜底排除规则不计入配额。
5. 规则保存后,可在 全流量检测与响应 > 流量接入页面 的 CVM 与容器集群资产列表中,查看采集范围规则是否已生效。
未配置流量采集范围时,流量采集范围显示全采集,采集所有出向和入向的镜像流量。
已配置流量采集范围时,流量采集范围显示已配置的流量采集范围规则名称,流量按策略类型优先级匹配规则。单击规则名称可查看具体的筛选条件详情。