主动外联是指您的主机主动访问外部域名或 IP 的行为。开启云防火墙防护后,其主动外联分析功能可以帮助您监控主机的外联行为,及时发现可疑主机。您可以采取相应的措施,例如限制外联、封禁 IP 地址等,防止服务器成为僵尸网络的一部分,对外发动攻击。
前提条件
您必须先开启防火墙开关,主动外联页面才会展示对应的流量分析数据。关于如何开启互联网边界防火墙开关,请参见互联网边界防火墙。
查看外联域名分析数据
外联域名指主机主动对外访问域名的行为。您可以在外联域名页面查看资产外联域名的数量、流量大小及访问次数等信息。
- 登录云防火墙控制台。
- 在页面左侧,选择防护分析>主动外联分析。
- 单击外联域名页签,查看外联域名详情,支持按资产和时间筛选。
概况:显示主动外联域名总数和风险域名数量,当外联访问的域名被云防火墙威胁情报引擎检测为恶意域名时,则会被防火墙识别并标记为风险域名。
外联域名 TOP 5:显示主动外联访问次数最多的前 5 个域名信息及其对应访问次数。
外联域名列表:显示主动外联的域名信息,支持按域名查找。
参数
说明
域名
外联域名的信息,可能为网站的域名,也可能显示为该域名解析的 IP 地址。
风险等级
当外联访问的域名被云防火墙威胁情报命中时为恶意域名,并展示其风险等级,当域名没有被威胁情报引擎命中时等级为【未知】
我的资产
发起主动外联动作的主机资产,包括该资产的 IP 和资产名称信息。
访问次数
账号下资产访问该域名的次数总和。
访问时间
账号下资产访问该域名的起止时间。
操作
单击访问详情可跳转查看对应资产的访问流量日志。
说明
外联域名列表中仅展示最近1000条会话数据,更多完整数据请到日志管理-高级模式中查询分析。
查看外联 IP 分析数据
外联 IP 指主机主动访问互联网 IP 的行为。您可以在外联 IP 页面查看资产外联 IP 的数量、端口及访问次数等信息。
- 登录云防火墙控制台。
- 在页面左侧,选择防护分析>主动外联分析。
- 单击外联 IP 页签,查看外联 IP 详情,支持按资产和时间筛选。
概况:显示主动外联 IP 总数和风险 IP 数量,当外联访问的IP被云防火墙威胁引擎命中恶意IP时,则会被防火墙识别并标记为风险IP。
外联 IP TOP 5:显示主动外联访问次数最多的前 5 个 IP 地址及其对应访问次数。
外联 IP 列表:显示主动外联的 IP 信息,支持按 IP 查找。
参数
说明
外联 IP
外联目的 IP 地址。
风险等级
当外联访问的IP被云防火墙威胁情报命中时为恶意IP,并展示其风险等级,当域名没有被威胁情报引擎命中时等级为【未知】
外联端口
外联目的端口。
我的资产
发起主动外联动作的主机资产,包括该资产的 IP 和资产名称信息。
访问次数
账号下资产访问该域名的次数总和。
访问时间
账号下资产访问该域名的起止时间。
操作
单击访问详情可跳转查看对应资产的访问流量日志。
说明
外联IP列表中仅展示最近1000条会话数据,更多完整数据请到日志管理-高级模式中查询分析。