业务流量异常怎么办？

当您的业务流量异常，可能被CFW中断时，可按照本节内容排查故障。

问题描述

业务流量异常，例如：

• EIP无法访问公网

• 无法访问某个服务器

排查思路

原因一：非CFW造成的流量中断

可以在云防火墙控制台，关闭防护，观察业务情况，如果业务仍未恢复，说明非CFW造成的流量中断。

关闭防护的方式如下：

• EIP流量故障：关闭CFW对业务中断的EIP的防护，请参见“关闭EIP防护”。

• SNAT或VPC间访问不通：关闭VPC边界防火墙的防护，请参见“开启/关闭VPC边界防火墙并确认流量经过云防火墙”。

如果业务仍未恢复，可参考常见的故障原因：

• 网络故障：路由配置错误，网元故障。

• 策略拦截：其它安全服务、网络ACL或安全组配置错误导致的误拦截。

原因二：防护策略阻断流量

可能是在访问控制策略中配置了阻断规则，或将正常的业务加入了黑名单，此时CFW会阻断相关会话，导致业务受损。

您可以采取以下措施：

在访问控制日志中，搜索被阻断IP/域名的日志记录

• 如果无记录，请参见原因三。

• 如果有记录，单击“规则”列跳转至匹配到的阻断策略。

  • 阻断的是黑名单：

    • 删除该条黑名单策略。

    • 增加一条该IP/域名的白名单策略（白名单优先黑名单匹配，增加后黑名单策略失效，该流量将直接放行）。

  • 阻断的是防护规则：

    • 在访问控制规则列表中搜索相关IP/域名的阻断策略，将阻断该IP/域名策略停用。

    • 修改对应的阻断策略的匹配条件，移除该IP/域名信息。

    • 添加一条“动作”为“放行”用于放通该IP/域名的防护规则，优先级高于其它“阻断”规则，添加防护规则请参见“通过添加防护规则拦截/放行流量”。

原因三：入侵防御阻断流量

IPS等入侵防御功能防护模式设置粒度过细，阻断了正常流量。

您可以采取以下措施：

在“攻击事件日志”中，搜索被阻断IP/域名的日志记录。

• 如果无记录，请排查问题。

• 如果有记录，参考以下两种方式处理：

  • 可复制“规则ID”列信息，在对应的模块（如IPS）中将动作设为观察，具体防护模块请参见“拦截网络攻击”。

  • 将不需要防火墙防护的IP添加到白名单，配置白名单请参见“管理黑白名单”。

提交工单

如果上述方法均不能解决您的疑问，请寻求更多帮助。

流量日志和攻击日志不全怎么办？

CFW只记录云防火墙基础版开启阶段的用户流量日志和攻击日志，如果反复开启、关闭云防火墙，会导致关闭期间的日志无法记录。

因此，建议您避免反复执行开启、关闭CFW的操作。

防护规则没有生效怎么办？

配置了仅放行几条EIP的规则，为什么所有流量都能通过？

云防火墙开启EIP防护后，访问控制策略默认状态为放行。如您希望仅放行几条EIP，您需配置阻断全部流量的防护规则，并设为优先级最低，可按如下步骤进行：

1. 登录天翼云控制中心。

2. 在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。

3. 在左侧导航栏中，选择“访问控制 > 访问策略管理”，进入“访问策略管理”页面。

4. 配置全局阻断规则。

   单击“添加规则”按钮，在弹出的“添加防护规则”对话框中，填写参数如下，其余参数可根据您的部署进行填写。

   • “源地址”：0.0.0.0/0

   • “目的地址”：0.0.0.0/0

   • “源端口”：0-65535

   • “目的端口”：0-65535

   • “动作”：阻断

   说明

   建议您添加完所有规则后再开启“启用状态”。

5. 配置放行规则。

   单击“添加规则”按钮，在弹出的“添加防护规则”对话框中，填写新的防护信息，填写规则详见下表。

   参数名称	参数说明	取值样例
   方向	选择防护方向： 外到内：外网访问内部服务器。 内到外：客户服务器访问外网。	内到外
   名称	自定义规则名称。	test
   源类型	选择IP地址、IP地址组或地域 。 IP  地址 ：支持设置单个IP地址、连续多个IP地址、地址段。 IP  地址组 ：支持多个IP地址的集合。 地域 ：支持地域防护，可在“源地址”中选择地区。	IP地址
   源地址	设置访问流量中发送数据包的IP地址、IP地址组。 源IP地址支持以下输入格式： 单个IP地址，如：192.168.10.5 多个连续地址，中间使用“-”隔开，如：192.168.0.2-192.168.0.10 地址段，使用"/"隔开掩码，如：192.168.2.0/24	192.168.10.5
   目的类型	选择IP地址、IP地址组。 IP  地址 ：支持设置单个IP地址、连续多个IP地址、地址段。 IP  地址组 ：支持多个IP地址的集合。 说明 “方向”为“内-外”时，支持选择“域名”类型。	IP地址
   目的地址	设置访问流量中的接收数据包的IP地址、IP地址组。 目的IP地址支持以下输入格式： 单个IP地址，如：192.168.10.5 多个连续地址，中间使用“-”隔开，如：192.168.0.2-192.168.0.10 地址段，使用"/"隔开掩码，如：192.168.2.0/24 域名，支持多级别单域名（例如，一级域名example.com，二级域名www.example.com等），输入后需单击右侧“测试”，以测试域名有效性。 说明 配置“目的地址”为“域名”的防护规则后需进行DNS解析，请参见配置DNS解析。	192.168.10.6
   服务类型	选择服务或服务组。 服务 ：支持设置单个服务。 服务组 ：支持多个服务的集合。	服务
   协议类型	协议类型当前支持：TCP、UDP、ICMP、Any、ICMPV6。	TCP
   源端口	设置需要开放或限制的源端口。支持设置单个端口，或者连续端口组，中间使用“-”隔开，如：80-443。	80
   目的端口	设置需要开放或限制的目的端口。支持设置单个端口，或者连续端口组，中间使用“-”隔开，如：80-443。	443
   是否支持长连接	选择“是”或“否”，设置是否配置长连接 。 是：设置长连接时长。 否：保留默认时长，各协议规则默认支持的连接时长如下： TCP协议：1800s。 UDP/ICMP/Any/ICMPv6协议：60s。 说明 最大支持100条规则设置长连接。	是
   长连接设置时长	“是否支持长连接”选择“是”时，需要配置此参数。 设置长连接时长。输入“时”、“分”、“秒”。 说明 支持时长设置为1秒~1000天。	60时60分60秒
   动作	选择“放行”或者“阻断”。设置相应流量是否通过云防火墙。	放行
   策略优先级	设置该策略的优先级： 置顶：表示将该策略设置为最优先级别。 移动至选中规则后：表示将该策略优先级设置到某一规则后。 说明 设置后，优先级数字越小，策略的优先级越高。	置顶
   启用状态	设置该策略是否立即启用。 ：表示立即启用，规则生效。 ：表示立即关闭，规则不生效。
   描述	标识该规则的使用场景和用途，以便后续运维时快速区分不同规则的作用。	-

6. 将步骤4中全局阻断规则的“优先级”置为最低，具体操作请参见云防火墙用户指南中设置优先级。

7. 启用所有规则。建议先开启“放行”规则，再开启“阻断”规则。

配置了全局阻断，为什么没有放行的IP还是能通过？

云防火墙中设置的防护策略是根据“弹性公网IP管理列表”执行的，若您已开启全局（0.0.0.0/0）阻断，但仍有未配置“放行”策略的EIP通过，需检查该IP是否在列表中，若不在，需进行资产同步操作，具体操作请参见开启弹性公网IP防护。

IPS拦截了正常业务如何处理？

如果确认拦截的为正常业务流量，您可按照以下两种方式处理：

• 查询拦截该业务流量的规则ID，并在IPS规则库中修改对应规则的防护动作，操作步骤请参见“查询命中规则及修改防护动作”。

• 降低IPS防护模式的拦截程度，IPS防护模式说明请参见《云防火墙用户指南》中“配置入侵防御策略”。

查询命中规则及修改防护动作

1. 登录管理控制台。

2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。

3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。

4. 在左侧导航树中，选择“日志审计> 日志查询”。进入“攻击事件日志”页面，记录拦截该业务流量的“规则ID”。

5. 单击“基础防御”中的“查看生效中的规则”，进入“基础防御规则”页面。

6. 在搜索框中输入“规则ID”搜索，并在“操作”修改为“观察”或“禁用”。

   • 观察：修改为“观察”状态，修改后防火墙对匹配当前防御规则的流量，记录至日志中，不做拦截。

   • 禁用：修改为“禁用”状态，修改后防火墙对匹配当前防御规则的流量，不记录、不拦截。

Apache Log4j远程代码执行漏洞攻击，云防火墙如何启用检测和防御？

Apache Log4j2存在一处远程代码执行漏洞（CVE-2021-44228），在引入Apache Log4j2处理日志时，会对用户输入的内容进行一些特殊的处理，攻击者可以构造特殊的请求，触发远程代码执行。目前POC已公开，风险较高。

12月16日，官方披露低于2.16.0版本除了存在拒绝服务漏洞外，还存在另一处远程代码执行漏洞（CVE-2021-45046）。

Apache Log4j2是一款业界广泛使用的基于Java的日志记录工具。天翼云提醒使用Apache Log4j2的用户尽快安排自检并做好安全加固。

云防火墙CFW已支持检测和拦截Apache Log4j2 远程代码执行漏洞。

漏洞名称

Apache Log4j 远程代码执行漏洞。

影响范围

• 影响版本：2.0-beat9 <= Apache Log4j 2.x < 2.16.0（2.12.2 版本不受影响）。

• 已知受影响的应用及组件：spring-boot-starter-log4j2/Apache Solr/Apache Flink/Apache Druid。

• 安全版本：

  • Apache Log4j 1.x 不受影响。

  • Apache Log4j 2.16.0。

防护建议

登录CFW控制中心，在CFW页面建议操作如下：

1. 需要购买云防火墙CFW服务的标准版，详细操作请参考购买云防火墙。

2. 启用入侵防御的基础防御功能，并开启拦截模式，详细操作请参考配置入侵检测策略。

Spring Framework远程代码执行漏洞攻击，云防火墙如何启用检测和防御？

Spring是一款主流的Java EE轻量级开源框架，面向服务器端开发设计。近日，Spring框架被曝出可导致RCE远程代码执行的漏洞（CVE-2022-22965），该漏洞攻击面较广，潜在危害严重，对JDK 9及以上版本皆有影响。

云防火墙CFW已支持检测和拦截Spring Framework远程代码执行的漏洞攻击。

漏洞名称

Spring Framework远程代码执行漏洞。

影响范围

• JDK 9及以上的。

• 使用了Spring框架或衍生框架。

防护建议

登录CFW控制中心，在CFW页面建议操作如下：

1. 需要购买云防火墙CFW服务的标准版，详细操作请参考购买云防火墙。

2. 启用入侵防御的基础防御功能，并开启拦截模式，详细操作请参考配置入侵检测策略。

为什么访问控制日志页面数据为空？

访问控制日志展示的是ACL防护策略匹配到的流量，您需要配置ACL策略才能查看访问控制日志。

• 添加防护规则请参见通过添加防护规则拦截/放行流量。

• 通过云防火墙的所有流量记录请查看流量日志。

• 攻击事件记录请查看“攻击事件日志”。