tencent cloud

文档反馈

云防火墙误报误拦截应急预案

最后更新时间:2024-07-09 16:26:55
    本文档将为您介绍,当入侵防御误报,导致大量异常拦截,或因策略变更有误,导致流量出现异常下跌情况时,需要如何处理。

    现象描述

    IP 地址出现入侵防御误报导致的大量异常拦截,或因策略变更有误,导致流量出现异常下跌。

    解决思路

    当确认拦截的来源是云防火墙后,可以先止损(如关闭拦截功能)、再排查、最后交由产品安全团队人工处理。

    处理步骤

    步骤1:关闭拦截功能

    1. 登录 云防火墙控制台,在左侧导航中,单击入侵防御
    2. 在入侵防御页面,将防护模式切换为观察模式
    
    3. 在拦截列表上方,关闭”启用拦截列表“的功能开关。
    

    步骤2:手动处置

    1. 登录 云防火墙控制台,在左侧导航栏中,单击告警中心,进入告警中心页面。
    2. 在告警中心页面,选择阻断拦截统计 > 入站方向
    3. 在入站方向页签内容,选择按拦截统计排序,找到误拦截的 IP。
    
    4. 将误拦截 IP 加入白名单。
    方式1:在误拦截 IP 右侧,单击放通,可将 IP 地址加入到白名单(忽略列表),放行该 IP 的后续访问。
    方式2:在 入侵防御 页面,选择忽略列表 > 添加地址,将误报的 IP 地址批量加入到白名单。
    
    5. 处理完成后,恢复 步骤1 的配置,观察流量是否正常。

    步骤3:提交工单反馈误报

    1. 若手动处置完毕,仍存在流量异常,可进入 提交工单 页面,提供 AppID 与误报的 IP 地址给安全团队确认。
    2. 安全团队收到反馈后,会在规定时间内快速响应,调整检测规则。
    联系我们

    联系我们,为您的业务提供专属服务。

    技术支持

    如果你想寻求进一步的帮助,通过工单与我们进行联络。我们提供7x24的工单服务。

    7x24 电话支持