文档首页/ 云防火墙 CFW/ 最佳实践/ 利用云防火墙实现NAT网关环境下风险私网IP的精准溯源
更新时间:2026-07-03 GMT+08:00
分享

利用云防火墙实现NAT网关环境下风险私网IP的精准溯源

方案背景

在企业通过NAT网关实现私网资产访问互联网的场景下,私网IP会被统一转换为公网EIP。传统的边界防护往往只能看到EIP的访问记录,导致安全团队在面对异常流量时,难以快速识别并定位到具体的风险内网资产。

核心原理

通过创建VPC边界防火墙,并借助企业路由器(ER)将云防火墙串联在业务VPC与NAT网关所在VPC之间。此时,云防火墙能够捕获到SNAT转换前的原始私网流量,从而让每一条攻击日志都能直接关联到真实的私网IP。

开启NAT网关流量防护请参见开启NAT网关流量防护

案例演练:某制造企业应对隐蔽挖矿木马的溯源实战

本部分将以一个具体案例进行介绍。

背景描述

某智能制造企业在华为云部署了研发系统,需要通过NAT网关定期访问互联网更新开源组件。某勒索软件组织通过劫持第三方更新源,在监控组件中植入了高度隐蔽的挖矿木马。企业安全团队需要在威胁扩散前,迅速定位受感染资产并阻断风险。

步骤一:防御前置,开启严格拦截

企业安全团队预先配置了云防火墙入侵防御(Intrusion Prevention System,IPS)功能,并开启了严格模式。该模式能基于指纹和行为特征,自动拦截已知的恶意扫描和木马回连。具体步骤如下:

  1. 登录云防火墙控制台
  2. 单击管理控制台左上角的,选择区域。
  3. (可选)切换防火墙实例:如果有多个防火墙实例,可以在页面左上角的下拉框中进行切换。
  4. 在左侧导航栏中,选择攻击防御 > 入侵防御,进入入侵防御界面。
  5. 保持“基础防御”右侧开关开启,并在“防护模式”栏中,选择防护模式为“拦截模式-严格”
    图1 入侵防御

步骤二:实时告警,锁定风险源头

运维人员收到系统发出的“致命”级别告警短信。通过如下步骤查看日志记录:

  1. 在云防火墙控制台的左侧导航栏选择日志审计 > 日志查询,默认进入攻击事件日志(互联网边界防火墙)页面。
  2. 查看“攻击事件日志”中发现的一条记录:
    图2 攻击事件日志
    • 源地址:10.1.3.157(精准识别内网私网IP)
    • 风险等级:致命
    • 攻击类型:特洛伊木马

步骤三:深度分析,确认攻击特征

通过查看日志详情,分析攻击Payload。

  1. 在攻击事件日志(互联网边界防火墙)页面中,单击目标日志操作列的“查看”
  2. 在日志详情页面中,分析攻击Payload。

    运维人员在报文片段中发现了典型的矿池注册(Login/Submit)协议指纹。据此判定:该主机已感染木马,正尝试与外部矿池通信。

步骤四:一键阻断,防止威胁扩散

为防止木马进一步下载恶意脚本或在内网横向渗透,运维人员立即采取措施:

  1. 外部隔离:将识别到的恶意外部目标IP直接加入云防火墙黑名单,切断所有资产与该风险地址的通信。
  2. 内部策略:优化出方向过滤策略,仅允许必要的更新源访问。

调整防护策略详细操作请参见访问控制策略

步骤五:闭环处置,清理受感染主机

安全团队根据日志提供的IP(10.1.3.157)登录目标主机进行取证分析。在确认隐藏木马文件后,立即执行清除工作,并对同一网段的其他资产进行全量扫描。经排查,由于云防火墙及时拦截并精准定位,该威胁已被成功遏制在萌芽状态。

方案价值

  • 溯源无死角:解决NAT场景下EIP掩盖真实私网IP的痛点。
  • 响应分钟级:从发现告警到定位受害主机,无需翻阅复杂的NAT转换日志。
  • 精细化防御:配合IPS严格模式,实现自动化阻断与手动闭环的高效结合。

相关文档