云防火墙全流量检测与响应开关

配置全流量检测与响应开关
1. 登录 云防火墙控制台，在左侧导航栏中，单击全流量检测与响应。
注意：
前往 云防火墙购买页，购买全流量检测与响应 功能。
如需试用，可 提交工单 申请试用全流量检测与响应 功能。
2. 在全流量检测与响应页面，容器集群支持根据节点启用全流量检测与响应分析开关，CVM、公网流量支持根据资产启用全流量检测与响应分析开关。
开启全流量检测与响应分析开关后，云防火墙会镜像出/入服务器流量进行以下分析：
所有流量会经过入侵防御引擎，基于入侵防御规则进行检测分析并告警。
日志记录所有进出服务器的流量，包括数据包头（Header）、有效载荷（Payload）。其中对于非加密流量，会对 Payload 进行分析解读，还原协议与应用，每个报文最大记录1000字节。
支持开启加密流量检测功能，可对加密流量进行分析检测。更多详情请参考 加密流量检测。
﻿
说明：
若需为公网流量 GAAP 资产开启全流量检测与响应，请先开启该资产对应的云防火墙开关。您可单击去开启，快速跳转至云防火墙控制台完成配置。
若开启全流量检测与响应分析开关失败，页面会显示​红色警示图标及异常信息​ ，提示当前检测不可用。异常信息及指引包括：
失败原因分类
解决方案
当前地域暂不支持流量分析服务
当前地域未部署流量分析服务，请 提交工单 确认区域支持情况，评估部署可行性。
资产实例子网 ID 不存在
检测到资产实例子网 ID 无效或已删除。请前往 VPC 边界防火墙核验子网信息，单击同步资产后重试。
资产实例 IP 地址格式无效
资产实例 IP 地址格式不符合规范。请前往 VPC 边界防火墙，单击同步资产后重试。
当前操作系统类型暂不支持
当前操作系统暂不支持，请前往 技术方案 确认兼容性。
未检测到终端自动化助手
实例未安装终端自动化助手。请参考 自动化助手部署指南 完成安装后重试。
网络带宽已达上限
实时带宽已达购买上限。建议：
1. 关闭非必要流量解析开关
2. 前往 续费中心 升级全流量检测规格或等待流量回落后再试。
资产实例开启数量已达上限
请 提交工单 申请调整资产实例开启上限。
单机带宽超载运行
当前服务器实时带宽使用率>40%（即实时带宽用量和镜像流量共占总带宽超过80%），系统已自动限制流量解析功能。建议：
1. 等待10分钟后重试。
2. 前往 CVM 升级实例规格。
当前实例机型不支持流量镜像模式
实例机型暂不支持流量镜像模式。请 提交工单 申请增加机型适配。
流量镜像功能尚未开通
当前账号未开通 VPC 流量镜像服务白名单，请 提交工单 申请（需注明 VPCID 及地域信息）。
已存在关联流量镜像资源
检测到已存在的流量镜像实例，请前往 镜像流量 删除采集弹性网卡后重试。
流量镜像数量超出配额限制
单个 VPC 默认支持5个流量镜像实例，如需扩容，请 提交工单 申请调整配额（需提供 VPCID 及需求数量）。
服务器开小差，请稍后重试
检测到服务器开小差，请等待5分钟后重试。持续异常请 提交工单 联系技术支持。
全流量检测与响应
基础设置
1. 在全流量检测与响应页面，单击右上角的全流量检测与响应设置，进入后选择基础设置。
2. 您可在此对新资产流量解析设置、全流量检测与响应带宽设置及全流量检测与响应超量处置进行配置。
新资产流量解析设置：支持设置新资产是否自动开启全流量检测与响应开关和自动启用加密流量解析。
资产类型设置为全部新资产时
自动开启全流量检测与响应开关开启时，发现新的公网与非公网的 CVM、容器，以及公网流量资产后，会自动开启流量解析。
自动开启全流量检测与响应开关关闭时，发现新资产（公网与非公网的 CVM、容器，以及公网流量资产）后，不会自动开启流量解析。
自动开启加密流量解析开关开启时，发现新的公网与非公网的 CVM、容器，以及公网流量资产后，会自动开启加密流量解析。
自动开启加密流量解析开关关闭时，发现新资产（公网与非公网的 CVM、容器，以及公网流量资产）后，不会自动开启加密流量解析。
资产类型设置为仅新公网资产时
自动开启全流量检测与响应开关开启时，发现新公网 CVM资产和公网流量资产后会自动开启流量解析，非公网资产不会自动开启流量解析。
自动开启全流量检测与响应开关关闭时，发现新资产（公网与非公网的 CVM、容器，以及公网流量资产）后不会自动开启流量解析。
自动开启加密流量解析开关开启时，发现新公网 CVM资产和公网流量资产后会自动开启流量解析，非公网资产不会自动开启加密流量解析。
自动开启加密流量解析开关关闭时，发现新资产（公网与非公网的 CVM、容器，以及公网流量资产）后不会自动开启加密流量解析。
全流量检测与响应带宽设置
总流量 = 各实例的出入流量峰值之和，请确保流量分析带宽或弹性分析带宽大于总流量。
弹性防护：支持设置弹性分析带宽，当流量小于弹性分析带宽时进行分析，当流量大于弹性分析带宽时，进行超量处置。计费及超量处置说明请详见 带宽相关。您可以根据需要调整弹性分析带宽数值。单击编辑进行修改，完成后单击确认调整保存设置。
﻿
全流量检测与响应超量处置：流量分析带宽超量不会导致客户业务流量丢包或影响流量速率，但将无法提供全流量检测与响应功能。
带宽规格超量限流与恢复机制
权重范围：0 - 100（默认 50），值越大优先级越高。
限流机制：实时带宽 > 购买规格时，系统优先自动关闭高权重解析（权重相同则按峰值带宽降序关闭），直至实时带宽降至购买规格内。
恢复机制：实时带宽 ≤ 购买规格时，系统优先自动开启高权重解析（权重相同则按峰值带宽降序开启），自动开启全流量检测与响应开关。
单机带宽过载自保护与恢复机制
冷却时间：默认 24 小时，最短 10 分钟，最长 7 天，支持自定义配置。
自保护机制：每隔 30s 检测服务器带宽使用率，当服务器带宽使用率 > 40%（因镜像流量，对应总带宽使用率 > 80%），系统关闭该服务器全流量检测与响应开关。
恢复机制：每隔 30s 检测服务器带宽使用率，当服务器带宽使用率在冷却时间的最后 2 分钟内均 ≤ 40%，系统自动开启全流量检测与响应开关。
您可以对权重进行批量编辑。
带宽规格超量会进行系统横幅提醒，超量告警及超量处置均会按照您在 通知设置 中的配置信息给您发送通知。
﻿
存储设置
1. 在全流量检测与响应页面，单击右上角的全流量检测与响应设置，进入后选择存储设置.
2. 您可在此对流量报文存储、流量日志存储及告警日志存储进行配置。
注意：
企业版及以上用户可以修改日志存储类型和存储时长，每 1 个月仅可修改 1 次，修改后预计10分钟内生效。
﻿
参数名称
﻿
参数说明
流量报文存储配置
原始流量包存储
支持设置 req_hex、rsp_hex、http_request_body、http_response_body 字段的存储长度，默认1024 字节。
可选值：64、128、256、512、1024 字节。
流量日志存储配置
流量日志存储时长
跳转至日志存储类型设置页面，默认180天。
可选值：7、30、60、90、180 天。
流量
流量日志存储类型
跳转至日志存储类型设置页面，可在入向流量、出向流量、东西向流量中进行多选。
﻿
Payload 存储
开启时：HTTP 解析数据全保存；
关闭时：只保留 HTTP 协议请求和响应头部，不保留 HTTP Payload 详情和 TCP 请求和响应包。
﻿
协议日志存储范围
设置存储 NDR 流量日志的网络协议范围。
基础协议类：ICMP、TCP、UDP
邮件类：SMTP、SMTPS
互联网类：HTTP、HTTPS、DNS
文件传输类：FTP、SMB、FTP-DATA
登录认证类：TLS
远程管理类：SSH、DCERPC
告警日志存储配置
告警/风险日志存储时长
跳转至日志存储类型设置页面，可设置日志保留天数为 7、30、60、90、180 天。
﻿
告警日志存储类型
跳转至日志存储类型设置页面，可在威胁情报、基础防御、虚拟补丁、封禁列表、安全基线、网络蜜罐中进行多选。
﻿
风险日志存储类型
全流量检测与响应风险日志不支持配置存储类型，默认为弱口令和 API 敏感信息传输，为勾选状态，不可修改。
文件检测设置
1. 在全流量检测与响应页面，单击右上角的全流量检测与响应设置，进入后选择文件检测设置。
2. 您可在此开启异常文件传输检测功能。异常文件传输检测功能能够对网络流量中传输的文件进行完整还原，并联动威胁情报与云沙箱动态行为检测引擎，对可疑文件进行深度扫描，从而精准识别和判定安全威胁。
﻿
风险策略设置
1. 在全流量检测与响应页面，单击右上角的全流量检测与响应设置，进入后选择风险策略设置。
2. 您可在此对端口风险、弱口令风险、敏感数据泄漏风险进行开关操作：
端口风险检测开关：实时发现高危端口暴露情况，精准定位访问源、目的 IP 和目的端口，辅助判断资产暴露面是否收敛。
弱口令风险检测开关：发现弱口令传输，定位低安全度账户。单击规则配置可查看具体检测规则。
敏感数据泄漏风险检测开关：实时分析敏感数据泄露风险，检测对外开放的 API 接口是否泄漏敏感信息、内对外访问 AI 应用是否泄漏敏感信息。单击策略配置可打开或关闭具体检测策略。
﻿
通知设置
1. 在全流量检测与响应页面，单击右上角的全流量检测与响应设置，进入后选择通知设置。
2. 您可在此对带宽规格超量及单机带宽过载进行设置：
接收通知：开启后将接收相关告警通知，关闭后不再接收。
告警对象：从子账户列表中勾选需通知的子账户，并可同时勾选主账号一并通知。
告警时段：设定告警推送的有效时间段，此时段外的告警将默认忽略，请谨慎设置。单个时间段最小间隔为1小时，最多可同时配置5个不同时段。
﻿
日志解析设置
1. 在全流量检测与响应页面，单击右上角的全流量检测与响应设置，进入后选择日志解析设置。
2. 在自定义解析字段列表中，选择目标自定义解析字段，单击编辑，即可对 HTTP Header 中的特殊字段进行自定义解析，并将其新增至流量日志中。当前最多支持解析 3 个自定义字段。
﻿
查看全流量检测与响应检出告警
在 告警中心页面，查看全流量检测与响应中发现的威胁告警，支持分析检测横向移动、主动外联等八类告警，支持攻击结果判定。
新版告警中心
﻿
旧版告警中心
﻿
查看全流量检测与响应检出日志
在 全流量检测与响应 页面，选择目标 CVM、容器集群或公网流量实例，在其操作栏中单击查看告警日志或查看流量日志，即可跳转至该实例对应的详细告警日志或流量日志界面。日志页面的具体操作指引请参见 查看全流量检测与响应日志。
您可在 ​日志审计 > 全流量检测与响应日志​ 页面，查看全流量检测与响应相关的核心日志信息，包括：流量分析日志、流量告警日志、流量风险日志、文件检测日志。该页面提供基础日志概览功能，具体操作指引请参见 查看全流量检测与响应日志。
在 ​日志分析​ 页面，您可获取过去存储的全部全流量检测与响应日志完整信息、基于自定义检索语句快速定位目标日志、通过报表与统计分析服务，对日志数据进行深度分析与价值洞察。该页面支持高级分析与可视化功能，具体操作指引请参见 日志分析。
﻿

失败原因分类	解决方案
当前地域暂不支持流量分析服务	当前地域未部署流量分析服务，请提交工单确认区域支持情况，评估部署可行性。
资产实例子网 ID 不存在	检测到资产实例子网 ID 无效或已删除。请前往 VPC 边界防火墙核验子网信息，单击同步资产后重试。
资产实例 IP 地址格式无效	资产实例 IP 地址格式不符合规范。请前往 VPC 边界防火墙，单击同步资产后重试。
当前操作系统类型暂不支持	当前操作系统暂不支持，请前往技术方案确认兼容性。
未检测到终端自动化助手	实例未安装终端自动化助手。请参考自动化助手部署指南完成安装后重试。
网络带宽已达上限	实时带宽已达购买上限。建议： 1. 关闭非必要流量解析开关 2. 前往续费中心升级全流量检测规格或等待流量回落后再试。
资产实例开启数量已达上限	请提交工单申请调整资产实例开启上限。
单机带宽超载运行	当前服务器实时带宽使用率>40%（即实时带宽用量和镜像流量共占总带宽超过80%），系统已自动限制流量解析功能。建议： 1. 等待10分钟后重试。 2. 前往 CVM 升级实例规格。
当前实例机型不支持流量镜像模式	实例机型暂不支持流量镜像模式。请提交工单申请增加机型适配。
流量镜像功能尚未开通	当前账号未开通 VPC 流量镜像服务白名单，请提交工单申请（需注明 VPCID 及地域信息）。
已存在关联流量镜像资源	检测到已存在的流量镜像实例，请前往镜像流量删除采集弹性网卡后重试。
流量镜像数量超出配额限制	单个 VPC 默认支持5个流量镜像实例，如需扩容，请提交工单申请调整配额（需提供 VPCID 及需求数量）。
服务器开小差，请稍后重试	检测到服务器开小差，请等待5分钟后重试。持续异常请提交工单联系技术支持。

参数名称			参数说明
流量报文存储配置	原始流量包存储	支持设置 req_hex、rsp_hex、http_request_body、http_response_body 字段的存储长度，默认1024 字节。可选值：64、128、256、512、1024 字节。
流量日志存储配置	流量日志存储时长	跳转至日志存储类型设置页面，默认180天。可选值：7、30、60、90、180 天。
	流量	流量日志存储类型	跳转至日志存储类型设置页面，可在入向流量、出向流量、东西向流量中进行多选。
		Payload 存储	开启时：HTTP 解析数据全保存；关闭时：只保留 HTTP 协议请求和响应头部，不保留 HTTP Payload 详情和 TCP 请求和响应包。
		协议日志存储范围	设置存储 NDR 流量日志的网络协议范围。基础协议类：ICMP、TCP、UDP 邮件类：SMTP、SMTPS 互联网类：HTTP、HTTPS、DNS 文件传输类：FTP、SMB、FTP-DATA 登录认证类：TLS 远程管理类：SSH、DCERPC
告警日志存储配置	告警/风险日志存储时长	跳转至日志存储类型设置页面，可设置日志保留天数为 7、30、60、90、180 天。
		告警日志存储类型	跳转至日志存储类型设置页面，可在威胁情报、基础防御、虚拟补丁、封禁列表、安全基线、网络蜜罐中进行多选。
		风险日志存储类型	全流量检测与响应风险日志不支持配置存储类型，默认为弱口令和 API 敏感信息传输，为勾选状态，不可修改。

全流量检测与响应开关

本页目录：

配置全流量检测与响应开关

全流量检测与响应

基础设置

存储设置

文件检测设置

风险策略设置

通知设置

日志解析设置

查看全流量检测与响应检出告警

查看全流量检测与响应检出日志