配置CFW防護策略后，業務無法訪問怎么辦？

問題描述

當您在CFW上配置防護策略后，業務流量出現異常，例如：

• EIP無法訪問公網

• 無法訪問某個服務器

• 無法訪問指定域名

排查思路

原因一：非CFW造成的流量中斷

可以在云防火墻控制臺，關閉防護，觀察業務情況，如果業務仍未恢復，說明非CFW造成的流量中斷。

關閉防護的方式如下：

• EIP流量故障：關閉CFW對業務中斷的EIP的防護，請參見“關閉EIP防護”。

• SNAT或VPC間訪問不通：關閉VPC邊界防火墻的防護，請參見“開啟/關閉VPC邊界防火墻并確認流量經過云防火墻”。

如果業務仍未恢復，可參考常見的故障原因：

• 網絡故障：路由配置錯誤，網元故障。

• 策略攔截：其它安全服務、網絡ACL或安全組配置錯誤導致的誤攔截。

原因二：防護策略阻斷流量

可能是在訪問控制策略中配置了阻斷規則，或將正常的業務加入了黑名單，此時CFW會阻斷相關會話，導致業務受損。

您可以采取以下措施：

在訪問控制日志中，搜索被阻斷IP/域名的日志記錄

• 如果無記錄，請參見原因三。

• 如果有記錄，單擊“規則”列跳轉至匹配到的阻斷策略。

  • 阻斷的是黑名單，您可以選擇任一方式執行：

    • 方式一：刪除該條黑名單策略。

    • 方式二：增加一條該IP/域名的白名單策略（白名單優先黑名單匹配，增加后黑名單策略失效，該流量將直接放行）。

  • 阻斷的是防護規則，您可以選擇任一方式執行：

    • 方式一：在訪問控制規則列表中搜索相關IP/域名的阻斷策略，將阻斷該IP/域名策略停用。

    • 方式二：修改對應的阻斷策略的匹配條件，移除該IP/域名信息。

    • 方式三：添加一條“動作”為“放行”用于放通該IP/域名的防護規則，優先級高于其它“阻斷”規則，添加防護規則請參見“通過添加防護規則攔截/放行流量”。

原因三：入侵防御阻斷流量

IPS等入侵防御功能防護模式設置粒度過細，阻斷了正常流量。

您可以采取以下措施：

在“攻擊事件日志”中，搜索被阻斷IP/域名的日志記錄。

• 如果無記錄，請排查問題。

• 如果有記錄，參考以下兩種方式處理：

  • 可復制“規則ID”列信息，在對應的模塊（如IPS）中將動作設為觀察，具體防護模塊請參見“攔截網絡攻擊”。

  • 將不需要防火墻防護的IP添加到白名單，配置白名單請參見“管理黑白名單”。

提交工單

如果上述方法均不能解決您的疑問，請尋求更多幫助。

流量日志和攻擊日志不全怎么辦？

CFW只記錄云防火墻基礎版開啟階段的用戶流量日志和攻擊日志，如果反復開啟、關閉云防火墻，會導致關閉期間的日志無法記錄。

因此，建議您避免反復執行開啟、關閉CFW的操作。

防護規則沒有生效怎么辦？

配置了僅放行幾條EIP的規則，為什么所有流量都能通過？

云防火墻開啟EIP防護后，訪問控制策略默認狀態為放行。如您希望僅放行幾條EIP，您需配置阻斷全部流量的防護規則，并設為優先級最低，可按如下步驟進行：

1. 登錄天翼云控制中心。

2. 在左側導航樹中，單擊左上方的“服務列表”，選擇“安全 > 云防火墻”，進入云防火墻的概覽頁面。

3. 在左側導航欄中，選擇“訪問控制 > 訪問策略管理”，進入“訪問策略管理”頁面。

4. 配置全局阻斷規則。

   單擊“添加規則”按鈕，在彈出的“添加防護規則”對話框中，填寫參數如下，其余參數可根據您的部署進行填寫。

   • “源地址”：0.0.0.0/0

   • “目的地址”：0.0.0.0/0

   • “源端口”：0-65535

   • “目的端口”：0-65535

   • “動作”：阻斷

   說明

   建議您添加完所有規則后再開啟“啟用狀態”。

5. 配置放行規則。

   單擊“添加規則”按鈕，在彈出的“添加防護規則”對話框中，填寫新的防護信息，填寫規則詳見下表。

   參數名稱	參數說明	取值樣例
   方向	選擇防護方向： 外到內：外網訪問內部服務器。 內到外：客戶服務器訪問外網。	內到外
   名稱	自定義規則名稱。	test
   源類型	選擇IP地址、IP地址組或地域 。 IP  地址 ：支持設置單個IP地址、連續多個IP地址、地址段。 IP  地址組 ：支持多個IP地址的集合。 地域 ：支持地域防護，可在“源地址”中選擇地區。	IP地址
   源地址	設置訪問流量中發送數據包的IP地址、IP地址組。 源IP地址支持以下輸入格式： 單個IP地址，如：192.168.10.5 多個連續地址，中間使用“-”隔開，如：192.168.0.2-192.168.0.10 地址段，使用"/"隔開掩碼，如：192.168.2.0/24	192.168.10.5
   目的類型	選擇IP地址、IP地址組。 IP  地址 ：支持設置單個IP地址、連續多個IP地址、地址段。 IP  地址組 ：支持多個IP地址的集合。 說明 “方向”為“內-外”時，支持選擇“域名”類型。	IP地址
   目的地址	設置訪問流量中的接收數據包的IP地址、IP地址組。 目的IP地址支持以下輸入格式： 單個IP地址，如：192.168.10.5 多個連續地址，中間使用“-”隔開，如：192.168.0.2-192.168.0.10 地址段，使用"/"隔開掩碼，如：192.168.2.0/24 域名，支持多級別單域名（例如，一級域名example.com，二級域名www.example.com等），輸入后需單擊右側“測試”，以測試域名有效性。 說明 配置“目的地址”為“域名”的防護規則后需進行DNS解析，請參見DNS服務器配置。	192.168.10.6
   服務類型	選擇服務或服務組。 服務 ：支持設置單個服務。 服務組 ：支持多個服務的集合。	服務
   協議類型	協議類型當前支持：TCP、UDP、ICMP、Any、ICMPV6。	TCP
   源端口	設置需要開放或限制的源端口。支持設置單個端口，或者連續端口組，中間使用“-”隔開，如：80-443。	80
   目的端口	設置需要開放或限制的目的端口。支持設置單個端口，或者連續端口組，中間使用“-”隔開，如：80-443。	443
   是否支持長連接	選擇“是”或“否”，設置是否配置長連接 。 是：設置長連接時長。 否：保留默認時長，各協議規則默認支持的連接時長如下： TCP協議：1800s。 UDP/ICMP/Any/ICMPv6協議：60s。 說明 最大支持100條規則設置長連接。	是
   長連接設置時長	“是否支持長連接”選擇“是”時，需要配置此參數。 設置長連接時長。輸入“時”、“分”、“秒”。 說明 支持時長設置為1秒~1000天。	60時60分60秒
   動作	選擇“放行”或者“阻斷”。設置相應流量是否通過云防火墻。	放行
   策略優先級	設置該策略的優先級： 置頂：表示將該策略設置為最優先級別。 移動至選中規則后：表示將該策略優先級設置到某一規則后。 說明 設置后，優先級數字越小，策略的優先級越高。	置頂
   啟用狀態	設置該策略是否立即啟用。 ：表示立即啟用，規則生效。 ：表示立即關閉，規則不生效。
   描述	標識該規則的使用場景和用途，以便后續運維時快速區分不同規則的作用。	-

6. 將步驟4中全局阻斷規則的“優先級”置為最低，具體操作請參見云防火墻用戶指南中設置優先級。

7. 啟用所有規則。建議先開啟“放行”規則，再開啟“阻斷”規則。

配置了全局阻斷，為什么沒有放行的IP還是能通過？

云防火墻中設置的防護策略是根據“彈性公網IP管理列表”執行的，若您已開啟全局（0.0.0.0/0）阻斷，但仍有未配置“放行”策略的EIP通過，需檢查該IP是否在列表中，若不在，需進行資產同步操作，具體操作請參見開啟彈性公網IP防護。

IPS攔截了正常業務如何處理？

入侵防御（IPS）功能結合多年攻防積累的經驗規則，針對訪問流量進行檢測與防護，覆蓋多種常見的網絡攻擊，有效保護您的資產。

如果已經在“攻擊事件日志”中確認攔截的為正常業務流量，您可按照以下兩種方式處理：

• 查詢攔截該業務流量的規則ID，并在IPS規則庫中修改對應規則的防護動作，操作步驟請參見“查詢命中規則及修改防護動作”。

• 降低IPS防護模式的攔截程度，IPS防護模式說明請參見《云防火墻用戶指南》中“配置入侵防御策略”。

查詢命中規則及修改防護動作

1. 登錄管理控制臺。

2. 在左側導航欄中，單擊左上方的，選擇“安全> 云防火墻”，進入云防火墻的總覽頁面。

3. （可選）當前賬號下僅存在單個防火墻實例時，自動進入防火墻詳情頁面，存在多個防火墻實例時，單擊防火墻列表“操作”列的“查看”，進入防火墻詳情頁面。

4. 在左側導航樹中，選擇“日志審計> 日志查詢”。進入“攻擊事件日志”頁面，記錄攔截該業務流量的“規則ID”。

5. 單擊“基礎防御”中的“查看生效中的規則”，進入“基礎防御規則”頁面。

6. 在搜索框中輸入“規則ID”搜索，并在“操作”修改為“觀察”或“禁用”。

   • 觀察：修改為“觀察”狀態，修改后防火墻對匹配當前防御規則的流量，記錄至日志中，不做攔截。

   • 禁用：修改為“禁用”狀態，修改后防火墻對匹配當前防御規則的流量，不記錄、不攔截。

Apache Log4j遠程代碼執行漏洞攻擊，云防火墻如何啟用檢測和防御？

Apache Log4j2存在一處遠程代碼執行漏洞（CVE-2021-44228），在引入Apache Log4j2處理日志時，會對用戶輸入的內容進行一些特殊的處理，攻擊者可以構造特殊的請求，觸發遠程代碼執行。目前POC已公開，風險較高。

12月16日，官方披露低于2.16.0版本除了存在拒絕服務漏洞外，還存在另一處遠程代碼執行漏洞（CVE-2021-45046）。

Apache Log4j2是一款業界廣泛使用的基于Java的日志記錄工具。天翼云提醒使用Apache Log4j2的用戶盡快安排自檢并做好安全加固。

云防火墻CFW已支持檢測和攔截Apache Log4j2 遠程代碼執行漏洞。

漏洞名稱

Apache Log4j 遠程代碼執行漏洞。

影響范圍

• 影響版本：2.0-beat9 <= Apache Log4j 2.x < 2.16.0（2.12.2 版本不受影響）。

• 已知受影響的應用及組件：spring-boot-starter-log4j2/Apache Solr/Apache Flink/Apache Druid。

• 安全版本：

  • Apache Log4j 1.x 不受影響。

  • Apache Log4j 2.16.0。

防護建議

登錄CFW控制中心，在CFW頁面建議操作如下：

1. 需要購買云防火墻CFW服務的標準版，詳細操作請參考購買云防火墻。

2. 啟用入侵防御的基礎防御功能，并開啟攔截模式，詳細操作請參考配置入侵檢測策略。

Spring Framework遠程代碼執行漏洞攻擊，云防火墻如何啟用檢測和防御？

Spring是一款主流的Java EE輕量級開源框架，面向服務器端開發設計。近日，Spring框架被曝出可導致RCE遠程代碼執行的漏洞（CVE-2022-22965），該漏洞攻擊面較廣，潛在危害嚴重，對JDK 9及以上版本皆有影響。

云防火墻CFW已支持檢測和攔截Spring Framework遠程代碼執行的漏洞攻擊。

漏洞名稱

Spring Framework遠程代碼執行漏洞。

影響范圍

• JDK 9及以上的。

• 使用了Spring框架或衍生框架。

防護建議

登錄CFW控制中心，在CFW頁面建議操作如下：

1. 需要購買云防火墻CFW服務的標準版，詳細操作請參考購買云防火墻。

2. 啟用入侵防御的基礎防御功能，并開啟攔截模式，詳細操作請參考配置入侵檢測策略。

為什么訪問控制日志頁面數據為空？

訪問控制日志展示的是ACL防護策略匹配到的流量，您需要配置ACL策略才能查看訪問控制日志。

• 添加防護規則請參見通過添加防護規則攔截/放行流量。

• 通過云防火墻的所有流量記錄請查看流量日志。

• 攻擊事件記錄請查看攻擊事件日志。

配置LTS日志時提示權限不足怎么辦？

在“日志管理”頁面，完成日志配置后，提示“您的權限不足”，此時需要添加“LTS FullAccess”權限。

問題描述

“日志管理”頁面，提示“您的權限不足”。

問題原因

“日志管理”頁面，是將日志轉儲到云日志服務（Log Tank Service，簡稱LTS）中，此頁面的所有操作，需要調用LTS服務的接口，依賴LTS服務權限。

解決方法

由主賬號給子賬號添加“LTS FullAccess”權限，授權操作請參見《云日志服務用戶指南》中“授權IAM用戶使用云日志服務LTS”章節。

開啟了EIP自動防護但不生效怎么辦？

問題描述

在“資產管理> 彈性公網IP管理”頁面，開啟了“新增EIP自動防護”，但新購買的EIP未被CFW防護，即“防護狀態”是“未防護”。

問題原因

“新增EIP自動防護”開啟后，CFW會在整點自動同步EIP資源至列表中，同步后才會對新增的EIP開啟防護。

解決方法

您可以等待CFW自動開啟防護或者手動開啟EIP防護，手動開啟防護操作請參見開啟互聯網邊界流量防護。