概述
全流量检测与响应(NDR)新增加密流量检测能力,支持对云服务器(CVM)资产、容器资产、互联网边界流量资产和 VPC 边界流量资产的加密流量(如 HTTPS / TLS)进行解析与检测,全面提升对全流量的可视性及威胁检测能力。可通过本文了解该功能的配置与使用方法。
说明:
加密流量检测的前提是资产的 NDR 开关已处于"已开启"状态,未开启时对应行的加密流量检测开关将不可用,鼠标悬停会提示"请先开启 NDR 采集后,再开启加密流量检测"。开启 NDR 流量接入详情请参见 流量接入。
当前为公测版本,仅限受邀用户使用。非受邀用户如需体验,可 提交工单 申请。
在加密流量检测公测的基础上,VPC 边界流量页签需额外单独申请才可使用,可 提交工单 申请。
前提条件
需通过安全组规则配置,授权探针对网络流量的采集权限,以满足全流量检测与响应的数据输入要求。
目标资产需已安装并启用自动化助手(TAT)或主机安全 Agent,以确保系统能够通过可用通道自动部署 NDR Agent。
互联网边界流量资产对应 EIP,需先开启互联网边界防火墙的串行模式。
VPC 边界流量资产对应的云联网(CCN),需先接入 VPC 边界防火墙集群模式并开通对应白名单。
说明:
系统优先通过 TAT 通道部署终端探针,若 TAT 不可用则自动降级至主机通道完成安装。若两种通道均不可用,页面将展示横幅提示,告知当前实例不满足 Agent 安装条件。
方法一:企业安全组配置
2. 在企业安全组页面, 单击 IPv4 > 添加规则,按表中要求填写规则信息。
配置项 | 设置值 |
访问源 IP 地址 | 0.0.0.0/0 |
访问目的 IP 地址 | 9.9.9.199 |
目的端口 | 47891,47892,47893 |
协议类型 | UDP |
策略 | 允许 |
描述 | NDR 放通规则 |
3. 单击保存,规则将下发至关联实例。
方法二:单实例配置
1. 登录 云服务器控制台,选择实例。
2. 在实例页面,单击需开启加密流量检测的实例名称。
3. 在实例详情页面,选择安全组,单击已绑定安全组的安全组 ID/名称。
4. 单击添加规则,按表中要求填写规则信息。
配置项 | 设置值 |
类型 | 自定义 |
目标 | 9.9.9.199 |
协议端口 | UDP: 47891,47892,47893 |
策略 | 允许 |
备注 | NDR 放通规则 |
5. 单击确定,规则将下发至关联实例。
规格说明
规格说明包含了加密流量检测适用范围与能力、资源占用情况。
说明:
CVM 资产与容器资产的规格主要指主机与集群资源;GAAP 资产的规格则指其加速实例的性能指标;互联网边界流量与 VPC 边界流量场景下的资源占用与对应底层 CVM 一致。
查看规格说明
1. 登录 云防火墙控制台,在左侧导航栏中,单击全流量检测与响应。
2. 在全流量检测与响应页面,单击查看适用范围与能力、资源占用情况,在侧边窗查看详细的适用范围与能力、资源占用情况。
内核版本兼容性
Linux 内核版本 | 适用 | 不适用 |
低于4.18 | Curl 命令 Python 3.8.15 版本及以上 | OpenSSL 动态库 Java 程序 Golang 程序 |
大于等于4.18 | OpenSSL 动态库 Curl 命令 Python 3.8.15 版本及以上 GnuTLS 动态库 | Java 程序 Golang 程序 |
具体解密能力
协议兼容性:HTTPS、SMTPS、FTPS。
算法支持:TLS 1.2 / 1.3(RSA、ECDHE、DHE)。
长度:支持解密的单条加密流量报文长度上限为 64K。
性能:10 Gbps(支持动态扩容)。
资源占用
CVM 与 GAAP 加密流量检测
资源占用:在每秒 100 次新建 HTTPS 会话的流量压力下,加密流量检测 Agent 的资源占用情况如下所示。
CPU 占用:持续以每秒 100 次新建 HTTPS 会话的速率运行时,单核 CPU 占用率约为 10%;最高支持 60% 占用率,对应约每秒 600 次新建 HTTPS 会话。
内存占用:初始化占用 100 MB,随新建 HTTPS 会话数量增加而提升,最大占用至 500 MB。
超限暂停:
触发条件:当 CPU 或内存超出上限时,Agent 自动暂停加密流量分析功能。
影响范围:其他基础功能不受影响,Agent 不会对现有业务连接造成中断,但不会生成新的加密流量分析结果。
恢复机制:每 10 分钟自动尝试恢复分析;若恢复后仍超限,将继续暂停,直至资源回落至阈值以内。
容器加密流量检测
开启容器解密功能后,系统会在对应容器服务的工作负载 > DaemonSet 中创建用于加密流量检测的 Agent Pod,其资源占用限制如下:
整体限制:单个 Agent Pod 最大占用单核 CPU 的 50%,内存 500 MB。
CPU 占用:
每个开启加密流量检测的节点会独立创建对应的 Agent Pod,该 Pod 的运行不会影响同一节点上其他业务 Pod 的正常运行;
容器服务平台会对 DaemonSet Pod 的 CPU 和内存占用进行强制限制。若 Pod 的资源使用仍超出限制(如因异常情况突破 50% CPU 或 500 MB 内存),平台将自动销毁该 Pod 并重建新的实例,此过程不会影响同一节点上的其他业务 Pod。
互联网边界流量与 VPC 边界流量场景
互联网边界流量场景:加密流量检测 Agent 仍部署在底层 CVM 上,资源占用与 CVM 加密流量检测一致;GAAP 资产的资源占用以加速实例的性能指标为准。NAT 网关的加密流量检测下沉至其下挂的 CVM,按 CVM 维度独立计算资源占用。
VPC 边界流量场景:CCN 实例本身不部署 Agent,加密流量检测下沉至其关联的 CVM,资源占用规格与 CVM 加密流量检测保持一致。
开启加密流量检测
说明:
需先开启 NDR 开关后,才可开启加密流量检测。未开启 NDR 开关时,鼠标悬停在加密流量检测开关上会提示"请先开启 NDR 采集后,再开启加密流量检测"。开启 NDR 开关详情请参见 流量接入。
同一台 CVM 资产若同时被 CVM、互联网边界流量、VPC 边界流量 等多个页签纳管,加密流量检测在各页签下相互独立、独立计费、独立采集,请按业务需要选择。
前置检查
在开启加密流量检测前,系统会自动拉取并校验账号、地域、实例、网络、配额、带宽、Agent、容器权限、边界防火墙接入状态等,并根据校验结果将资产分为以下三种状态:
可开启:所有检查项均通过,可正常开启加密流量检测。
可开启(有风险):存在一定风险(如带宽余量不足),但仍可开启,系统会展示风险提示信息。
不可开启:存在阻断性问题(如地域不支持、操作系统不兼容、配额不足、未接入对应边界防火墙等),需根据引导解决所有问题后才可开启。
检查维度 | 检查方式 | 检查内容 |
区域与产品可用性 | 预先检查 | 地域是否支持流量分析服务 |
资源存在性与基础信息 | 预先检查 / 触发检查 | 实例子网 ID 有效、实例无冲突镜像绑定 |
实例与操作系统兼容性 | 预先检查 | 实例机型是否支持镜像模式;操作系统是否在支持列表 |
网络与带宽健康度 | 触发检查 | 实例实时带宽与阈值;账户购买的带宽上限 |
配额与资源上限 | 预先检查 | 实例开启数量上限 |
容器场景与权限 | 预先检查 | 容器集群 KubeConfig 访问权限;DaemonSet 状态与 Pod 健康 |
账号与白名单 | 预先检查 | 是否已开通 VPC 流量镜像白名单 |
实例终端自动化助手 / Agent 状态 | 预先检查 | 是否已安装终端自动化助手 |
边界防火墙接入状态 | 预先检查 / 触发检查 | 互联网边界场景下,资产对应 EIP 是否已开启互联网边界串行防火墙 VPC 边界场景下,云联网(CCN)是否已接入 VPC 边界防火墙集群模式且开通对应白名单 |
说明:
预先检查:系统每 5 分钟自动检测一次资产是否满足开启条件。
触发检查:用户选择资产后开启 NDR 开关或加密流量检测开关时触发校验,校验完成后同步更新前置检测状态。
CVM 资产
单个开关:在目标资产所在行的操作列中,单击开启加密流量即可启用加密流量检测功能;再次单击可停止加密流量检测功能。
全部开关:单击页面顶部的更多操作,选择全部检测加密流量或全部不检测加密流量,可开启或关闭所有 CVM 资产的加密流量检测开关。
说明:
全部开启时,系统会对每个资产执行前置检查。前置检查状态为不可开启的资产将被跳过,系统会提示跳过原因。
批量开关:若只需对部分资产操作:
1.1 勾选需要配置的 CVM 资产。(仅状态为可开启或可开启 - 有风险的资产支持勾选)。
1.2 单击更多操作,选择批量检测加密流量或批量不检测加密流量。
若需要对新资产自动开启加密流量检测,详情请参见 流量接入 。
容器集群资产
单个开关:在目标节点所在行操作列中,单击开启加密流量即可启用加密流量检测功能;再次单击可停止加密流量检测功能。
全部开关:单击页面顶部的更多操作,选择全部检测加密流量或全部不检测加密流量,可开启或关闭所有容器集群资产的加密流量检测开关。
说明:
全部开启时,系统会对每个资产执行前置检查。前置检查状态为不可开启的资产将被跳过,系统会提示跳过原因。
批量开关:若只需对部分资产操作:
1.1 勾选需要目标集群或节点。
1.2 单击更多操作,选择批量检测加密流量或批量不检测加密流量。
若需要对新资产自动开启加密流量检测,详情请参见 流量接入 。
互联网边界流量资产
说明:
通过互联网边界防火墙串行模式接入的资产,按 EIP 维度展示。其中 GAAP / CVM 在行内直接开关,NAT 网关需展开二级菜单按 CVM 粒度管理,CLB 暂不支持加密流量检测。
互联网边界流量资产需先在云防火墙控制台开启对应 EIP 的 互联网边界串行防火墙;未开启时,加密流量检测开关将不可用,鼠标悬停可单击 去开启 跳转配置。
单个开关:在目标资产所在行操作列中,单击开启加密流量即可启用加密流量检测功能;再次单击可停止加密流量检测功能。
全部开关:单击页面顶部的更多操作,选择全部检测加密流量或全部不检测加密流量,可开启或关闭所有互联网边界流量资产的加密流量检测开关。
说明:
全部开启时,系统会对每个资产执行前置检查。前置检查状态为不可开启的资产将被跳过,系统会提示跳过原因。
批量开关:若只需对部分资产操作:
1.1 勾选目标资产。
1.2 单击更多操作,选择批量检测加密流量或批量不检测加密流量。
VPC 边界流量资产
说明:
VPC 边界流量页签需在加密流量检测公测的基础上额外单独申请才可使用,默认不可用。若您想体验此功能,请向云防火墙 提交工单 申请。
通过 VPC 边界防火墙集群模式接入的云联网(CCN)实例,CCN 行不直接提供加密流量开关,需展开二级菜单按 CVM 粒度管理。
单个开关:在目标资产所在行操作列中,单击开启加密流量即可启用加密流量检测功能;再次单击可停止加密流量检测功能。
批量开关:若只需对部分资产操作:
1.1 勾选目标资产。
1.2 单击批量检测加密流量或批量不检测加密流量。
资产状态说明
在各页签的资产列表中,系统通过加密流量检测状态 列展示资产的实时运行状态:
状态列 | 可能的状态值 | 说明 |
加密流量检测状态 | 已开启、已关闭、自动关闭、关闭中、开启中、开启失败、可开启-有风险、不可开启、终端 Agent 装载异常、终端 Agent 异常 | 展示加密流量检测的开启状态及异常情况。 |
当状态为异常时(如开启失败、不可开启、终端 Agent 异常等),页面会显示红色警示图标及异常信息,提示当前检测不可用。鼠标悬停在状态上可查看具体原因和操作指引,异常信息及指引包括:
状态监控
系统在状态监控模块中新增了加密流量专项统计面板,帮助实时掌握当前加密流量检测的运行状态与整体规模,核心监控指标包括以下三项:
加密流量累计解析量:统计已解析的加密流量总量。
加密检测资产实例数量:显示当前启用加密流量检测的资产实例数量(覆盖 CVM、容器节点、互联网边界流量与 VPC 边界流量场景下的所有资产)。
加密流量累计趋势图:展示近七天加密流量解析量的动态变化趋势。
加密协议流量日志
在日志审计 > 全流量检测与响应日志 > 流量分析日志 或 流量告警日志页面,针对 HTTPS、SMTPS、FTPS 等加密协议的流量日志,会先将其还原出明文内容(如请求头、响应体等字段),并在旁边标注解密检测;还可通过勾选只看解密检测选项,快速筛选查看所有加密流量检测相关日志。
