更新时间:2026-07-03 GMT+08:00
利用云防火墙日志审计出站流量的域名访问行为
概述与业务价值
通过云防火墙的流量日志(Traffic Logs),企业能够高效统计并审计内部资源向外发起连接(主动外联)的域名信息。该功能可帮助网络与安全团队:
- 识别业务基线:全面梳理内部各项业务主动访问的外部域名,构建合规的访问白名单。
- 发现可疑行为:将外联域名与业务基线或威胁情报进行比对,及时发现失陷主机或潜在的恶意向外连接(如C&C域名、恶意下载源)。
技术原理
云防火墙在深度解析出站流量的报文时,主要通过以下机制提取域名信息并记录至日志系统:
- HTTP流量:解析HTTP请求头(Request Header)中的Host字段。
- HTTPS流量:在TLS握手阶段,解析客户端发送的Client Hello报文中的SNI(Server Name Indication)扩展字段。
典型应用场景一:定向审计指定域名的访问轨迹
- 背景与需求:某企业网络管理员需要审计内部资产对特定云平台或第三方合作方域名的历史访问记录。
- 解决方案:
- 登录云防火墙控制台。
- 单击管理控制台左上角的
,选择区域。 - (可选)切换防火墙实例:如果有多个防火墙实例,可以在页面左上角的下拉框中进行切换。
- 在左侧导航树中,选择,选择“流量日志”页签,进入流量日志页面。
- 在时间筛选框中选择查询时间,并在条件筛选框中选择查询条件为“目的网址”和“等于 = ”,并输入目的域名,按“Enter”。
页面将展示目的域名的访问记录,包括源IP、开始时间、结束时间、流量字节数等全维度的日志详情。
图1 域名访问记录
- 效果:系统精准检索出所有相关的外联会话记录,包含源IP、访问时间、流量大小等全维度的日志详情。
典型应用场景二:异常外联行为排查与应急响应
- 背景与需求:网络管理员通过监控发现出站流量带宽或连接数出现异常激增。
- 解决方案:
- 看板分析:管理员通过云防火墙的可视化的流量看板/总览,观察近1小时内的外联流量排行(Top N域名)。
- 登录云防火墙控制台。
- 单击管理控制台左上角的
,选择区域。 - (可选)切换防火墙实例:如果有多个防火墙实例,可以在页面左上角的下拉框中进行切换。
- 在左侧导航栏中,选择,默认进入出云流量的“数据看板”页面。
数据看板中默认展示1小时内的外联流量信息。
- 在数据看板页面下方的“可视化统计”模块中查看“TOP访问域名”。
- 异常定位:单击看板上的域名访问次数,获取域名访问详细信息后,发现某单一内部业务向特定未知域名发起的高频请求(如1小时内超过500次),存在明显异常。
- 在“TOP访问域名”中,单击待查看域名的访问次数,弹出TOP访问域名的详细信息。 图2 TOP访问域名
- 在TOP访问域名页面中,查看详细信息时发现某单一内部业务向特定未知域名发起的高频请求(如1小时内超过500次),存在明显异常。 图3 TOP访问域名详细信息
- 在“TOP访问域名”中,单击待查看域名的访问次数,弹出TOP访问域名的详细信息。
- 联动处置:管理员立即协同业务团队核查系统运行状态,并联动安全团队进行威胁研判。
- 看板分析:管理员通过云防火墙的可视化的流量看板/总览,观察近1小时内的外联流量排行(Top N域名)。
- 效果:确认该高频外联为恶意失陷行为后,安全团队迅速响应,通过云防火墙的访问控制策略下发阻断规则,即时封堵对该恶意外联域名的访问,切断潜在的安全风险。
相关文档
- 查看出云流量
- 异常流量排查请参见在CFW上配置策略后,无法访问业务怎么办?
- 流量超出配额带宽的处理方式请参见业务流量超过防护带宽怎么办?