概述
全流量检测与响应(NDR)通过镜像出入服务器的网络流量,结合入侵防御引擎进行实时检测分析与告警,并记录完整的流量日志(包括数据包头与有效载荷)。支持按资产粒度灵活接入流量,接入入口分为以下几类页签:
CVM:CVM 资产。
容器集群:容器集群节点。
互联网边界流量:通过互联网边界防火墙接入的 GAAP、CVM、NAT 网关、CLB 等资产。
接入前,系统会自动校验地域、实例、配额、Agent、边界防火墙接入状态等前置条件。完成流量接入后,可针对 HTTPS 等加密流量进一步开启 加密流量检测。 本文档介绍流量接入的开关管理、资产状态查看,以及流量采集配置、超量处置配置、新增资产自动防护等接入设置。威胁检测、文件沙箱检测、流量风险分析、资产指纹识别、协议解析与存储等能力详情请参见 全流量检测与响应能力。 注意:
如需试用全流量检测与响应功能,请 提交工单 申请。 流量接入
登录 云防火墙控制台,在左侧导航栏中,选择全流量检测与响应 > 流量接入。 互联网边界流量的资产(GAAP/CVM/NAT 网关/CLB),需先在云防火墙控制台开启对应 EIP 的互联网边界串行防火墙。未满足上述前置条件时,对应行 NDR 开关将显示为不可开启,鼠标悬停可查看具体原因,并可单击去开启快速跳转至云防火墙控制台完成配置。
前置检查
在接入流量前,系统会自动拉取并校验账号、地域、实例、网络、配额、带宽、Agent、容器权限、边界防火墙接入状态等,并根据校验结果将资产分为以下三种状态:
可开启:所有检查项均通过,可正常开启 NDR。
可开启(有风险):存在一定风险(如带宽余量不足),但仍可开启,系统会展示风险提示信息。
不可开启:存在阻断性问题(如地域不支持、操作系统不兼容、配额不足、未接入对应边界防火墙等),需根据引导解决所有问题后才可开启。
系统会从以下维度进行检查。若前置检查未通过,资产的 NDR 开关状态将显示为不可开启或可开启 - 有风险。具体的异常原因及解决方案详情请参见 资产状态说明。 |
区域与产品可用性 | 预先检查 | 地域是否支持流量分析服务 |
资源存在性与基础信息 | 预先检查 / 触发检查 | 实例子网 ID 有效、实例无冲突镜像绑定 |
实例与操作系统兼容性 | 预先检查 | 实例机型是否支持镜像模式;操作系统是否在支持列表 |
网络与带宽健康度 | 触发检查 | 实例实时带宽与阈值;账户购买的带宽上限 |
配额与资源上限 | 预先检查 | 实例开启数量上限 |
容器场景与权限 | 预先检查 | 容器集群 KubeConfig 访问权限;DaemonSet 状态与 Pod 健康 |
账号与白名单 | 预先检查 | 是否已开通 VPC 流量镜像白名单 |
实例终端自动化助手 / Agent 状态 | 预先检查 | 是否已安装终端自动化助手 |
边界防火墙接入状态 | 预先检查 / 触发检查 | 互联网边界场景下,资产对应 EIP 是否已开启互联网边界串行防火墙 |
说明:
预先检查:系统每 5 分钟自动检测一次资产是否满足开启条件。
触发检查:用户选择资产后开启 NDR 开关或加密流量检测开关时触发校验,校验完成后同步更新前置检测状态。
对互联网边界流量资产,前置检查同样适用。未通过前置检查时,对应行的 NDR 开关统一显示为不可开启,鼠标悬停可查看阻塞项及处置指引。
CVM 资产
在 全流量检测与响应 > 流量接入 > CVM 页面,根据接入粒度选择对应操作: 单个开关:在目标资产所在行的操作列中,单击开启 NDR 开关即可启用全流量检测与响应功能;再次单击可停止全流量检测与响应功能。
全部开关:单击页面顶部的全部开启或全部关闭,可开启或关闭所有 CVM 资产的全流量检测与响应开关。
说明:
全部开启时,系统会对每个资产执行前置检查。前置检查状态为不可开启的资产将被跳过,系统会提示跳过原因。
批量开关:若只需对部分资产操作:
1.1 勾选目标 CVM 资产。
1.2 单击页面顶部的批量开启或批量关闭。
若需要对新资产自动开启全流量检测与响应,详情请参见 新资产自动防护 。 容器集群资产
在 全流量检测与响应 > 流量接入 > 容器集群页面,根据接入粒度选择对应操作: 单个开关:在目标集群或节点所在行操作列中,单击开启 NDR 开关或全部开启即可启用全流量检测与响应功能;再次单击或单击全部关闭可停止全流量检测与响应功能。
全部开关:单击页面顶部的全部开启或全部关闭,可开启或关闭所有容器集群资产的全流量检测与响应开关。
说明:
全部开启时,系统会对每个资产执行前置检查。前置检查状态为不可开启的资产将被跳过,系统会提示跳过原因。
批量开关:若只需对部分资产操作:
1.1 勾选目标集群或节点。
1.2 单击页面顶部的批量开启或批量关闭。
若需要对新资产自动开启全流量检测与响应,详情请参见 新资产自动防护 。 互联网边界流量资产
在 全流量检测与响应 > 流量接入 > 互联网边界流量页面,根据接入粒度选择对应操作: 说明:
同一台 CVM 资产若同时接入了 CVM 和互联网边界流量,两者将分别独立计费、独立采集。请根据实际业务需求选择合适的接入方式。
单个开关:在目标资产所在行操作列中,单击开启 NDR 开关即可启用全流量检测与响应功能;再次单击可停止全流量检测与响应功能。
全部开关:单击页面顶部的全部开启或全部关闭,可开启或关闭所有互联网边界流量资产的全流量检测与响应开关。
说明:
全部开启时,系统会对每个资产执行前置检查。前置检查状态为不可开启的资产将被跳过,系统会提示跳过原因。
批量开关:若只需对部分资产操作:
1.1 勾选目标互联网边界流量资产。
1.2 单击页面顶部的批量开启或批量关闭。
资产状态说明
在 全流量检测与响应 > 流量接入页面,系统通过 NDR 开关状态列展示资产的实时运行状态。该状态综合反映了前置检查结果与运行时状况: |
NDR 开关状态 | 已开启、已关闭、可开启-有风险、不可开启、开启失败、开启中、关闭中 | 展示 NDR 流量采集的开启状态及异常情况。 |
说明:
前置检查未通过的资产,NDR 开关统一展示为不可开启,鼠标悬停可在气泡中查看具体阻塞项及对应的去开启跳转入口。
当状态为异常时(如开启失败、不可开启、终端 Agent 异常等),页面会显示红色警示图标及异常信息 ,提示当前检测不可用。鼠标悬停在状态上可查看具体原因和操作指引,异常信息及指引包括:
|
当前地域暂不支持流量分析服务 | 当前地域未部署流量分析服务,请 提交工单 确认区域支持情况,评估部署可行性。 |
资产实例子网 ID 不存在 | 检测到资产实例子网 ID 无效或已删除。请前往 VPC 边界防火墙 核验子网信息,单击同步资产后重试。 |
资产实例 IP 地址格式无效 | 资产实例 IP 地址格式不符合规范。请前往 VPC 边界防火墙 核验子网信息,单击同步资产后重试。 |
当前操作系统类型暂不支持 | 当前操作系统暂不支持,请前往 技术方案 确认兼容性。 |
未检测到终端自动化助手 | |
网络带宽已达上限 | 实时带宽已达购买上限。建议: 1. 关闭非必要流量接入 2. 前往 续费中心 升级全流量检测规格或等待流量回落后再试。 |
资产实例接入数量已达上限 | |
单机带宽超载运行 | 当前服务器实时带宽使用率>40%(即实时带宽用量和镜像流量共占总带宽超过80%),系统已自动限制流量接入功能。建议: 1. 等待10分钟后重试。 |
当前实例机型不支持流量镜像模式 | 实例机型暂不支持流量镜像模式。请 提交工单 申请增加机型适配。 |
流量镜像功能尚未开通 | 当前账号未开通 VPC 流量镜像服务白名单,请 提交工单 申请(需注明 VPC ID 及地域信息)。 |
已存在关联流量镜像资源 | 检测到已存在的流量镜像实例,请前往 镜像流量 页面删除采集弹性网卡后重试。 |
流量镜像数量超出配额限制 | 单个 VPC 默认支持5个流量镜像实例,如需扩容,请 提交工单(需提供 VPC ID 及需求数量)。 |
未开启互联网边界串行防火墙(互联网边界流量资产) | 当前 EIP 尚未开启互联网边界串行防火墙,无法采集互联网边界流量。鼠标悬停 NDR 开关,单击气泡中的去开启 跳转 互联网边界防火墙 完成串行模式接入后重试。 |
服务器开小差,请稍后重试 | 检测到服务器开小差,请等待5分钟后重试。持续异常请 提交工单 联系技术支持。 |
终端 Agent 装载异常 | Agent 部署过程中出现装载异常,请稍后重试。持续异常请 提交工单 联系技术支持。 |
终端 Agent 异常 | 1. Agent 网络可能存在异常,请检查 安全组 等是否放通。 2. Agent 进程运行可能存在异常,请确认操作系统运行情况。 |
资产性能监控
在 全流量检测与响应 > 流量接入页面,单击资产对应的图标,系统将在侧边窗口展示该资产的机器资源使用情况,具体包括以下指标: |
带宽占用 | 展示资产的实时带宽使用情况。 | 超过 40% 时展示限制红线。 |
CPU 占用 | 展示资产的 CPU 使用率。 | - |
内存使用量 | 展示资产的内存使用情况。 | - |
Agent CPU 占用 | 展示 NDR Agent 的 CPU 使用率(开启加密流量检测时可见)。 | 超过 50% 时展示限制红线。 |
Agent 内存占用 | 展示 NDR Agent 的内存使用情况(开启加密流量检测时可见)。 | 超过 600 MB 时展示限制红线。 |
说明:
当监控指标超出限制阈值时,系统会在监控图表中展示对应的风险提示,帮助及时发现和处理潜在的资源瓶颈问题。
流量接入设置
流量采集配置
用于配置 NDR 流量采集的基础参数。详细字段说明与操作步骤请参见 流量采集范围配置。 超量处置配置
用于管理流量接入在带宽超量与单机过载场景下的限流、恢复与通知策略,包括带宽设置、超量处置策略、超量通知三部分。
2. 可在此对带宽设置、超量处置策略、超量通知三类配置进行管理:
带宽设置
总流量 = 各实例的出入流量峰值之和,请确保流量分析带宽或弹性分析带宽大于总流量。
弹性防护:支持设置弹性分析带宽,当流量小于弹性分析带宽时进行分析,当流量大于弹性分析带宽时,进行超量处置。计费及超量处置说明请详见 带宽相关。根据需要调整弹性分析带宽数值。单击编辑进行修改,完成后单击确认调整保存设置。 超量处置:流量分析带宽超量不会导致客户业务流量丢包或影响流量速率,但将无法提供全流量检测与响应功能。
带宽规格超量限流与恢复机制
权重范围:0 - 100(默认 50),值越大优先级越高。
限流机制:实时带宽 > 购买规格时,系统优先自动关闭高权重解析(权重相同则按峰值带宽降序关闭),直至实时带宽降至购买规格内。
恢复机制:实时带宽 ≤ 购买规格时,系统优先自动开启高权重解析(权重相同则按峰值带宽降序开启),自动接入流量。
单机带宽过载自保护与恢复机制
冷却时间:默认 24 小时,最短 10 分钟,最长 7 天,支持自定义配置。
自保护机制:每隔 30s 检测服务器带宽使用率,当服务器带宽使用率 > 40%(因镜像流量,对应总带宽使用率 > 80%),系统关闭该服务器流量接入。
恢复机制:每隔 30s 检测服务器带宽使用率,当服务器带宽使用率在冷却时间的最后 2 分钟内均 ≤ 40%,系统自动恢复流量接入。
支持对权重进行批量编辑。
超量通知设置:带宽规格超量和单机带宽过载会进行系统横幅提醒,告警通知、超量通知及恢复通知均会按照此处的通知配置发送通知。
接收通知:开启后将接收相关告警通知,关闭后不再接收。
告警对象:从子账户列表中勾选需通知的子账户,并可同时勾选主账号一并通知。
告警时段:设定告警推送的有效时间段,此时段外的告警将默认忽略,请谨慎设置。单个时间段最小间隔为 1 小时,最多可同时配置 5 个不同时段。
新增资产自动防护
用于配置发现新资产时是否自动接入流量与开启加密流量解析,避免每次新增资产后都需手动操作。
说明:
新增资产自动防护仅对 CVM 与容器集群生效,对互联网边界流量与 VPC 边界流量暂不适用,相关资产需在对应页面下手动接入。
2. 支持设置新资产是否自动接入流量(即自动开启全流量检测与响应开关)和自动启用加密流量解析(即自动开启加密流量检测)。
资产类型设置为全部新资产时
自动接入流量开启时,发现新的公网与非公网的 CVM、容器后,会自动接入流量。
自动接入流量关闭时,发现新资产(公网与非公网的 CVM、容器)后,不会自动接入流量。
自动开启加密流量解析开启时,发现新的公网与非公网的 CVM、容器后,会自动开启加密流量解析。
自动开启加密流量解析关闭时,发现新资产(公网与非公网的 CVM、容器)后,不会自动开启加密流量解析。
资产类型设置为仅新公网资产时
自动接入流量开启时,发现新公网 CVM 资产后会自动接入流量,非公网资产不会自动接入。
自动接入流量关闭时,发现新资产(公网与非公网的 CVM、容器)后不会自动接入流量。
自动开启加密流量解析开启时,发现新公网 CVM 资产后会自动开启加密流量解析,非公网资产不会自动开启。
自动开启加密流量解析关闭时,发现新资产(公网与非公网的 CVM、容器)后不会自动开启加密流量解析。
全流量检测与响应检出告警
在 告警中心页面,可查看流量接入发现的横向移动、主动外联等多类威胁告警,并支持判定攻击是否成功。 新版告警中心
旧版告警中心
全流量检测与响应检出日志
在 日志分析 页面,可获取过去存储的全部全流量检测与响应日志完整信息、基于自定义检索语句快速定位目标日志、通过报表与统计分析服务,对日志数据进行深度分析与价值洞察。该页面支持高级分析与可视化功能,具体操作指引请参见 日志分析。