文档中心>云防火墙>故障处理>云防火墙误报误拦截应急预案

云防火墙误报误拦截应急预案

最近更新时间:2024-04-24 17:51:21

我的收藏
本文档将为您介绍,当入侵防御误报,导致大量异常拦截,或因策略变更有误,导致流量出现异常下跌情况时,需要如何处理。

现象描述

IP 地址出现入侵防御误报导致的大量异常拦截,或因策略变更有误,导致流量出现异常下跌。

解决思路

当确认拦截的来源是云防火墙后,可以先止损(如关闭拦截功能)、再排查、最后交由产品安全团队人工处理。

处理步骤

步骤1:关闭拦截功能

1. 登录 云防火墙控制台,在左侧导航中,单击入侵防御
2. 在入侵防御页面,将防护模式切换为观察模式


3. 在拦截列表上方,关闭“启用拦截列表”的功能开关。



步骤2:手动处置

1. 登录 云防火墙控制台,在左侧导航栏中,单击告警中心,进入告警中心页面。
2. 在告警中心页面,选择阻断拦截统计 > 入站方向
3. 在入站方向页签,选择按拦截统计排序,找到误拦截的 IP。


4. 将误拦截 IP 加入白名单。
方式1:在误拦截 IP 右侧,单击放通,可将 IP 地址加入到白名单(忽略列表),放行该 IP 的后续访问。
方式2:在 入侵防御 页面,选择忽略列表 > 添加地址,将误报的 IP 地址批量加入到白名单。

5. 处理完成后,恢复 步骤1 的配置,观察流量是否正常。

步骤3:提交工单反馈误报

1. 若手动处置完毕,仍存在流量异常,可进入 提交工单 页面,提供 AppID 与误报的 IP 地址给安全团队确认。
2. 安全团队收到反馈后,会在规定时间内快速响应,调整检测规则。