网络安全:源地址校验、ARP 绑定与攻击防护
本节介绍 DCIM 系统里与「网络安全」相关的全部功能,包括:交换机端口上的 ARP 绑定 与 源地址校验(ACL)、由专业抗攻击设备驱动的 安全事件(攻击事件) 总览与处置、以及对接外部安全平台的 安全数据源 概念。本节面向运营管理端(admin)。
阅读对象提示:本节会出现大量网络与安全术语(ARP、ACL、DDoS、黑洞、清洗、牵引、数据源、MO 等)。每个术语首次出现时都会用一句通俗的话解释清楚,遇到不熟悉的词不必紧张,按文中类比理解即可。
权限提示:本节中「安全事件」与「安全数据源」相关的所有页面,都属于同一项功能权限「安全事件管理」。若你打开「网络安全」菜单看不到内容或按钮是灰的,多半是当前账号未被授予该权限,请联系管理员开通。ARP 绑定 / 源地址校验则属于「交换机设备管理」权限(见下文)。
0. 为什么数据中心需要这些安全功能
把数据中心想象成一座大型「服务器公寓楼」:客户在这里租用一台台服务器,每台服务器分到一个或多个公网 IP 地址(相当于公寓楼里每户人家的门牌号)。这套环境里有两类典型的安全风险,本节的功能正是针对它们:
| 风险 | 通俗解释 | 对应的防护功能 |
|---|---|---|
| 内部「冒名顶替」 | 某台服务器偷偷使用不属于自己的 IP/MAC 上网,或冒充网关骗取邻居的流量 | ARP 绑定、源地址校验(ACL) |
| 外部「洪水攻击」 | 互联网上大量恶意流量涌向某个 IP,把带宽/服务器打瘫(DDoS 攻击) | 安全事件 / 攻击防护(黑洞、清洗、牵引),由外部 安全数据源 提供能力 |
简单记:ARP 绑定和源地址校验管「楼内秩序」(防止内部主机互相伪装),攻击防护管「楼外来犯」(抵御来自互联网的攻击)。
1. ARP 绑定(防 ARP 欺骗 / 防 IP-MAC 冒用)
1.1 它在防什么
- MAC 地址:每块网卡出厂自带的唯一硬件编号,相当于一台设备的「身份证号」,理论上不重复。
- IP 地址:设备在网络上的「门牌号」,由机房分配,可以变更。
- ARP(地址解析协议):网络里用来「根据门牌号(IP)找到对应身份证号(MAC)」的问答机制。它本身没有验证,谁回答得快就信谁——这就给了坏人可乘之机:一台恶意服务器可以谎称「某个 IP 是我的 MAC」,从而把本该发给别人的流量骗到自己这里(这叫 ARP 欺骗)。
ARP 绑定 就是在交换机端口上写死一条规则:「这个端口后面的服务器,它的 IP 和 MAC 必须是这一对固定组合,谁也别想冒充」。绑定后,交换机只认这对 IP-MAC,伪造的应答会被丢弃。
类比:相当于在公寓门口登记「这家人的门牌号 + 身份证号」是固定一对,保安只放行核对一致的人。
1.2 在哪里操作
ARP 绑定的开关不在「网络安全」菜单里,而是出现在与具体服务器/交换机端口绑定的地方:
- 服务器详情页:进入「服务器管理 > 点击某台服务器」,在详情中的交换机端口区块,可以看到每个端口的「ARP 绑定」开关。
- 交换机详情页:进入「设备管理 > 交换机管理 > 点击某台交换机 > 端口列表」,端口列表中有「ARP 绑定」列,每个端口一个开关。
📷 (界面截图待补充:服务器详情页交换机端口区块中「ARP绑定」与「源地址校验」两个开关,展示绑定/未绑定状态)
1.3 操作步骤
- 打开目标服务器(或交换机)详情页,找到对应端口的「ARP 绑定」开关。
- 点击开关由「未绑定」切换为「绑定」,确认后系统会把规则实时下发到交换机硬件。
- 绑定成功后开关变为已开启状态;同时会在该服务器与该交换机的操作日志中各留一条记录,并向当前管理员推送一条成功通知(解绑同理,会推送解绑通知)。
1.4 生效前提与常见错误
启用 ARP 绑定需要满足若干条件,否则系统会拒绝并提示对应错误(下表为系统实际提示文案):
| 前提条件 | 不满足时的实际提示 |
|---|---|
| 交换机必须已配置「适配脚本扩展库(lib)」 | 交换机未设置扩展库 |
| 交换机扩展库中必须实现了该绑定动作 | 交换机扩展库中未找到该动作 |
| 该端口必须连接的是服务器端口(端口类型为 Server) | Arp 绑定仅能作用于与服务器连接的端口 |
| 端口必须已采集到 MAC 地址 | 该端口未设定 Mac 地址, Arp 绑定不可用 |
| 该服务器必须至少有一个已分配的 IP | 服务器没有 IP 地址可用于 IP-MAC 绑定 |
提示:
- ARP 绑定动作是实时下发到交换机硬件的。若交换机暂时不可达或脚本执行失败,开关不会变为已开启,并会提示失败原因,同时写入失败日志、推送失败通知。
- 启用绑定时,系统会自动取出该服务器名下所有已分配的 IP,连同端口采集到的 MAC 一起下发,形成 IP-MAC 绑定关系。
- 系统还提供「强制」选项(force),用于在个别情况下覆盖交换机上已存在的绑定,请在了解后果后谨慎使用。
2. 源地址校验 / ACL(防 IP 伪造、防源地址欺骗)
2.1 它在防什么
- 源地址:每个上网数据包里都写着「我是从哪个 IP 发出去的」,这就是源地址。
- 源地址伪造:恶意主机把数据包的源地址改成别人的 IP(甚至随机的假 IP)发出去,用来发动攻击、逃避追踪,或者偷用别人的网络身份。
- ACL(Access Control List,访问控制列表):交换机上的一组「准入规则」。源地址校验 就是用 ACL 实现的一项规则——只允许「源地址是这台服务器名下真实分配的那些 IP」的数据包发出去,凡是源地址不在名单内的包一律丢弃。
简单说:ARP 绑定管「别人不能冒充你」,源地址校验管「你不能冒充别人」。两者配合,就能锁死端口的网络身份。
类比:源地址校验相当于公寓门口要求「寄信时寄件人地址必须填你自己的真实门牌号,填别人的一律不让寄出」。
2.2 在哪里操作
与 ARP 绑定在同一个位置:服务器详情页 / 交换机端口列表里,紧挨着 ARP 绑定开关的「源地址校验」开关。状态显示为「未开启 / 已开启」。
2.3 操作步骤
- 在端口上点击「源地址校验」开关,确认是否开启/关闭。
- 确认后,系统会自动计算该服务器名下所有「可用 IP」并下发到交换机:
- 如果某个 IP 段(一整段连续 IP)完整地属于这台服务器,系统会按整段(CIDR) 下发,更高效;
- 如果只是某段里的零散 IP 属于这台服务器,则按单个 IP 逐条下发。
- 下发成功后开关变为已开启,并写入操作日志、推送通知。
2.4 生效前提与常见错误
| 前提条件 | 不满足时的实际提示 |
|---|---|
| 交换机必须已配置适配脚本扩展库 | 交换机未设置扩展库 |
| 端口类型必须是服务器端口 | Acl 绑定仅能作用于与服务器连接的端口 |
| 交换机型号脚本必须实现「源地址校验」动作 | 提示该型号无法开启源地址校验(脚本未实现此能力) |
| 服务器必须有可用 IP | 服务器无可用IP,无法开启源地址校验 |
警告:开启源地址校验后,凡是源 IP 不在该服务器名下的数据包都会被交换机丢弃。如果客户业务确实需要使用未在系统中登记的 IP(例如某些特殊网络应用),请先在系统里把这些 IP 正确分配给该服务器,否则会出现「能 ping 通但部分流量被拦」的现象。
3. 安全事件(攻击事件):抵御外部 DDoS 攻击
前面两项防的是「楼内冒充」,本节起转向防「楼外攻击」。
3.1 基础术语
- DDoS 攻击(分布式拒绝服务攻击):互联网上成千上万台被控制的设备同时向某个 IP 发送海量垃圾流量,把目标的带宽或服务器资源占满,导致正常用户无法访问。相当于无数人同时挤进一家小店把门堵死。
- 系统提供三种**处置动作(action)**来应对攻击,由对接的专业抗攻击设备执行:
| 动作(系统内部值) | 中文 | 通俗解释 |
|---|---|---|
blackhole | 黑洞 | 把被攻击 IP 的所有流量直接「丢进黑洞」全部丢弃。代价是被攻击 IP 暂时完全无法访问,但能保护其他客户和整个机房带宽不被拖垮 |
cleanTraffic | 清洗 | 把流量牵引到「清洗设备」过滤掉恶意流量,再把正常流量送回目标。攻击被挡住、正常业务尽量不受影响 |
divertTraffic | 牵引 | 把目标流量改道引流到指定的处理设备,作为清洗/分析的前置动作 |
- 事件类型(type):分为
Layer4(针对网络传输层的攻击,如 SYN Flood 等)和Layer7(针对应用层的攻击,如 HTTP 请求洪水)。两者粗略对应「攻击打在网络管道层」还是「攻击打在应用程序层」。手动创建时,可选的类型与动作取决于所选数据源驱动支持的能力。
3.2 进入页面
进入「网络管理 > 网络安全」,安全事件列表展示系统中记录的全部攻击事件。
📷 (界面截图待补充:安全事件列表页,含发生时间、事件类型、事件动作(黑洞/清洗/牵引)、关联IP、数据源、带宽、pps、协议、操作者、状态等列)
3.3 列表字段说明
| 列名 | 含义 |
|---|---|
| ID | 事件编号 |
| 发生时间 | 攻击事件被记录的时间 |
| 结束时间 | 事件被结束/处置完成的时间(进行中时为空) |
| 事件类型 | Layer4 / Layer7 |
| 事件动作 | 黑洞 / 清洗 / 牵引(见上表) |
| 事件关联 IP | 被攻击的目标 IP(系统内若能匹配到,会显示其所属 IP 段及关联设备) |
| 数据源名称 | 是哪个安全数据源上报/执行了这次处置(见第 4 节) |
| IP 所属段 | 该 IP 属于哪个 IP 段(网段) |
| IP 关联设备 | 该 IP 关联到的服务器或交换机,可点击跳转到设备详情 |
| 带宽 | 攻击峰值带宽(自动换算为合适单位,如 Mbps/Gbps) |
| pps | 每秒数据包数(packets per second,衡量攻击强度的另一指标) |
| 协议 | 攻击使用的网络协议(如 TCP/UDP 等,兼容不同数据源上报的字段) |
| 操作者 | 手动创建该事件的管理员(自动上报的事件此列为空),可点击查看 |
| 事件状态 | 进行中 / 已结束 / 已取消 / 已删除(见下) |
事件状态(status)取值:
| 状态(系统内部值) | 中文 | 含义 |
|---|---|---|
ongoing | 进行中 | 处置正在生效中,被攻击 IP 当前处于黑洞/清洗/牵引状态 |
finish | 已结束 | 处置已撤销/解除,IP 恢复正常 |
canceled | 已取消 | 事件被取消 |
deleted | 已删除 | 事件已被删除(仍可在「事件状态」筛选里筛出,但不再参与处置) |
说明:列表默认会把「进行中」的事件排在最前面(其次按编号倒序),方便管理员优先处理仍在生效的处置。顶部筛选区可按数据源名称、事件状态等条件过滤。
3.4 手动创建安全事件(手动封堵一个 IP)
大多数攻击事件由对接的安全设备自动上报,但管理员也可以手动对某个 IP 立即下发处置(例如收到投诉后临时封堵)。
操作步骤:
- 在安全事件列表点击右上角「添 加」。
- 在弹窗中填写:
| 字段 | 说明 | 必填 |
|---|---|---|
| 数据源 | 以复选框形式勾选要在哪些安全数据源上执行本次处置(多选,默认全选所有可用数据源) | 是 |
| 类型 | Layer4 / Layer7。可选项由所勾选的多个数据源共同支持的范围取交集决定 | 是 |
| 动作 | 黑洞 / 清洗 / 牵引。可选项同样取所勾选数据源共同支持范围的交集 | 是 |
| IP 地址 | 要处置的目标 IP。必须是系统中已登记存在的 IPv4 地址,否则提示「ip地址不存在」;目前仅支持 IPv4 | 是 |
| 备注 | 自由填写的说明文字 | 否 |
| 自动完成时间 | 处置自动解除的时长。先填数字,再在右侧选择单位(秒 / 分钟 / 小时 / 天)。到时后系统会自动结束该处置 | 否 |
- 点击「确定」。系统会逐个数据源下发处置:只要其中任意一个数据源校验或下发失败,会立即提示失败原因并停止(已成功下发的数据源会保留对应事件,下发失败的数据源会写入失败日志)。
📷 (界面截图待补充:新增安全事件弹窗,含数据源多选复选框、类型、动作、IP地址、备注、自动完成时间(数字+单位下拉))
注意:
- 选中已禁用的数据源会被拒绝,提示「选中的数据源为禁用状态:<名称>」。
- 创建时只能填写系统中已存在的 IPv4 地址,目的是确保处置的目标是机房真实在用的 IP。
- 目前不支持 IPv6 的手动安全事件创建,提交非 IPv4 地址会被拒绝(提示「暂不支持」)。
3.5 结束(解除)与删除一个安全事件
系统对「进行中」的事件提供两种收尾方式,且按钮位置不同,效果也不同,请务必区分:
- 结束(标记完成):列表中每一行「操作」列上的「结束」按钮。点击后系统会向对应数据源下发「解除处置」指令,成功后事件状态变为 已结束(finish),并记录结束时间,被处置 IP 恢复正常。这是日常「攻击结束、放行 IP」的标准做法。
- 批量结束(实为删除):列表底部那个「结束」按钮(先勾选若干行再点击)。它执行的是删除操作,会把所勾选的「进行中」事件状态置为 已删除(deleted),相当于从常规处理流程中移除该记录。
通俗区分:行内「结束」= 真正去通知抗攻击设备「解除封堵、放行」;底部批量「结束」= 在系统里把这些记录划掉(标记为已删除)。需要让 IP 真正恢复访问时,请使用行内「结束」。
操作步骤(行内结束):
- 在列表中找到状态为「进行中」的事件,点击该行「操作」列的「结束」按钮。
- 系统弹出「确定要结束此安全事件」确认框,确认后向对应数据源下发解除指令。
- 成功后事件状态变为「已结束」,并记录结束时间。
限制:
- 只有「进行中」的事件才会显示「结束」按钮;底部批量按钮也只对勾选项中「进行中」的事件生效。
- 若该事件所属数据源已被禁用,无法结束/删除,系统会提示「数据源为禁用状态:<名称>」。
- 若对应数据源的适配驱动不支持解除处置动作,结束时会提示「该攻击事件不支持设置为完成」(底层原因:该数据源不支持结束)。
4. 安全数据源(Datasource):攻击防护能力的来源
4.1 什么是「数据源」
系统本身并不直接拥有抗 DDoS 的硬件能力,这些能力来自机房部署的专业抗攻击设备/平台(俗称流量清洗系统)。「安全数据源」就是 DCIM 系统与这些外部设备之间的「连接配置」——配置好之后,DCIM 才能:① 接收它们上报的攻击告警;② 向它们下发黑洞/清洗/牵引等处置指令。
类比:数据源就像你手机里和某家「保安公司」的对接账号。配好账号后,保安公司一发现有人闹事就通知你,你也能一键让保安去处理。
进入「网络管理 > 网络安全 > 安全数据源」,页面以三个标签页区分三类数据源:
| 标签页 | 工作方式 | 通俗解释 |
|---|---|---|
| 回调式数据源 | 外部设备主动「回调」推送事件给 DCIM | 保安发现情况会主动打电话通知你(事件驱动、实时上报) |
| 轮询式数据源 | DCIM 定期主动去外部平台「拉取」数据 | 你每隔一段时间主动打电话问保安「有情况吗」 |
| Cloudflare | 对接 Cloudflare 云安全平台 | 一类特殊的云端防护数据源(详见专门章节) |
📷 (界面截图待补充:安全数据源页面的三个标签页:回调式数据源、轮询式数据源、Cloudflare)
4.2 回调式数据源(事件驱动)
这是最常见的一类,对接如 Andrisoft Wanguard、FastNetMon Advanced 等专业抗攻击系统(具体可选驱动以系统实际安装的适配模块为准)。
列表字段:
| 列名 | 含义 |
|---|---|
| ID | 数据源编号 |
| 名称 | 自定义名称 |
| 地址 | 对接的外部系统地址(点击可在新窗口打开该地址) |
| 回调设置 | 一个「设置 / 重设」按钮,用于配置「回调密钥」(外部系统推送事件时用于验证身份的密钥) |
| 事件驱动 | 所用适配器(驱动)的友好名称,如 Andrisoft Wanguard / FastNetMon Advanced |
| 策略获取类型 | 固定显示为「自动」 |
| 上次策略获取时间 | 最近一次更新/同步的时间 |
| 启用 | 该数据源是否启用的开关(开启/暂停,切换前会二次确认) |
| 操作 | 修改 / 删除 |
新增 / 编辑数据源(点击「添 加」):
- 名称:给数据源起一个便于识别的名字(必填,名称不可与已有数据源重复)。
- 数据中心:选择该数据源覆盖哪些数据中心(多选,必填)。一个数据源只对所选数据中心内的 IP 生效。
- 适配器:选择对接的设备类型(即驱动,必填)。
- 是否启用:开关。
- 选定适配器后,下方会按该适配器要求动态展示连接参数(如服务地址、API 密钥/Token、账号等;密码类参数以密文显示,部分参数旁提供「刷新」按钮可从远端拉取候选值)。填写后点「确定」,系统会先测试连接,通过才会保存;缺少必填的基础连接参数或连接测试失败都会被拒绝并提示原因。
回调密钥(callback_key):在列表「回调设置」处点击「设置 / 重设」。确认后系统会生成一份**回调密钥(KEY)与一条回调地址(URL)**并弹窗展示,请妥善保存(弹窗提示「请自行保存 key 和 url」)。把这两项配置到外部抗攻击系统里,外部系统就能凭密钥向 DCIM 推送攻击事件,并证明「确实是它本人」,防止伪造事件。重设会生成新的密钥,旧密钥随即失效。
启用 / 暂停:通过「启用」列开关切换。暂停后该数据源不再参与事件创建与处置,已存在事件也无法通过它结束。
删除提示:删除一个数据源时,系统会连带删除该数据源名下的攻击事件记录,请谨慎操作。可单条删除,也可勾选多条后用列表底部「删除」按钮批量删除。
📷 (界面截图待补充:新增回调式数据源弹窗,含名称、数据中心多选、适配器下拉、是否启用,以及选定适配器后动态出现的连接参数表单)
4.3 轮询式数据源(定时拉取)
进入「轮询式数据源」标签页。这类数据源由 DCIM 定时主动去拉取,目前内置支持的类型有:
| 类型(系统内部值) | 名称 | 连接配置字段 |
|---|---|---|
antiddos_portal | AntiDDoS Portal | 接口地址(endpoint)、API Token(token) |
aodun | 傲盾 | 接口地址(endpoint)、API Key(api_key)、API Secret(api_secret) |
列表字段:ID、名称、类型、状态、操作。
- 名称:点击可进入该数据源详情页。
- 类型:显示类型的中文名(如 AntiDDoS Portal / 傲盾)。
- 状态:是一个「检查状态」按钮(一个感叹号图标),点击后会即时测试与该平台的连接,成功显示绿色对勾、失败显示红色叉号,并弹出「连接正常 / 连接失败」提示。它不是启用/停用开关。
- 操作:修改 / 删除;其中编辑弹窗里有「类型」(新建时可选、编辑时锁定)和是否启用开关,并可在保存前点「测试连接」校验配置。
进入某个轮询式数据源的详情页(点击名称),包含以下子标签:
- 客户 MO:默认标签。MO 可理解为「被监控对象」(Managed Object),即该平台上一个个受保护的客户/IP 组。
- 告警列表:展示该平台上报的攻击告警明细。
- IP 处置:仅当类型为 AntiDDoS Portal 时显示。对某客户的 IP 执行/撤销处置,并可查询历史处置记录。
📷 (界面截图待补充:轮询式数据源详情页,展示客户MO/告警列表/IP处置三个子标签)
4.3.1 客户 MO
「客户 IP 信息列表」展示每个 MO(受保护客户),列包括:客户名称、IPv4 地址段、IPv6 地址段(每列点「查看详情」可在右侧抽屉里看到该 MO 名下完整的 IP 列表)。可按客户名称或 IP 地址筛选。每行右侧有两个操作:
- 迁移:把当前 MO 名下选中的若干 IP 迁移到另一个目标 MO(多选 IP,选择目标客户后提交)。用于客户调整、IP 归属变更等场景。
- 源 IP 黑白名单:打开「源 IP 黑白名单管理」弹窗(见 4.3.2)。
此外,在「查看详情」抽屉里还可以管理 MO 白名单 IP:
- 顶部可按「全部 / 白名单 / 普通 IP」筛选、按关键字搜索 IP。
- 「添加白名单」:从该 MO 现有 IP 中勾选若干,加入白名单。
- 「修改白名单」:调整白名单 IP 集合(白名单内 IP 默认选中)。
- 「删除白名单」:移除选中的白名单 IP(有二次确认,操作不可撤销)。
名词区分:这里的「MO 白名单」是指该客户自己名下哪些 IP 被标为白名单(受信任、始终放行);下面 4.3.2 的「源 IP 黑白名单」则是针对**来访方(外部来源 IP)**的黑/白名单。两者作用对象不同,注意别混。
📷 (界面截图待补充:客户MO列表,含客户名称/IPv4地址段/IPv6地址段列与「迁移」「源IP黑白名单」操作,及查看详情抽屉里的白名单管理)
4.3.2 源 IP 黑白名单
在「客户 MO」某行点击「源 IP 黑白名单」打开管理弹窗,用于管理针对来访来源 IP的黑/白名单:
- 黑名单:把指定来源 IP 直接拉黑,禁止其访问被保护对象(坏人名单)。
- 白名单:把指定来源 IP 设为始终放行(信任名单)。
弹窗顶部可按 IP 地址、IP 类型(IPv4 / IPv6)、名单类型(黑名单 / 白名单)、状态(生效 / 失效) 组合筛选。点击「添加源 IP」时填写:
| 字段 | 说明 |
|---|---|
| IP 地址 | 支持单个 IP,也支持 CIDR 网段(如 192.168.1.1/24);多个用英文分号 ; 分隔 |
| IP 类型 | IPv4 / IPv6 |
| 名单类型 | 黑名单 / 白名单 |
| 生效天数 | 永久生效 / 7 天 / 30 天 / 365 天 |
列表每行展示 IP、IP 类型、创建时间、生效天数、到期时间、状态(生效/失效),并可「删除」单条。
📷 (界面截图待补充:源IP黑白名单管理弹窗:筛选条件、列表(IP/类型/生效天数/到期时间/状态)、与「添加源IP」对话框(含名单类型与生效天数))
4.3.3 IP 处置(仅 AntiDDoS Portal)
「IP 处置」标签用于对客户 IP 主动下发或撤销处置,并查询历史。可按 IP 地址、处置状态(生效/过期)、处置类型(封堵/清洗)、生效类型(常驻处置/限时处置)、时间范围 筛选。
处置列表字段:目标 IP、MO 对象、处置类型(封堵 / 清洗)、最大 BPS、最大 PPS、BPS 阈值、PPS 阈值、生效类型(常驻 / 限时)、状态(生效 / 过期)、开始时间、处置时长,行末可「撤销」(仅对生效中的处置可用)。
新增处置:点「新增处置」,依次选择 MO 对象、勾选要处置的 IP(支持多选/全选)、处置类型(封堵 / 清洗),填写处置时长(秒):
处置时长规则:封堵 300–86400 秒;清洗 0–86400 秒。还可勾选「定时执行」(具体执行时间由系统定时任务设置决定)。
📷 (界面截图待补充:IP处置列表(目标IP/处置类型封堵清洗/BPS-PPS阈值/生效类型/状态/撤销)与「新增处置」对话框)
4.3.4 告警列表
「告警列表」展示该平台上报的攻击告警,可按 IP/IP 段、开始时间、结束时间筛选。字段包括:告警 ID、MO 客户名称、被攻击 IP、攻击类型、告警级别、告警状态、开始时间、结束时间、持续时间、最大 BPS、最大 PPS,行末「详情」可查看单条告警的完整信息。
4.4 Cloudflare 数据源(铺垫)
第三个标签页「Cloudflare」用于对接 Cloudflare 云安全平台,可管理其 Zone(站点)、Access Rules(访问规则,即云端的 IP 黑白名单)与告警。由于配置项较多,本系统为其设计了独立的管理与详情页面,详见后续《Cloudflare 安全数据源》专门章节,此处仅作概念铺垫:它同样属于「安全数据源」家族,作用是把云端的防护能力接入 DCIM 统一查看与管理。
5. 概览统计(Overview)
系统提供安全事件的概览统计能力,用于快速了解攻击态势,包括:
- 今日攻击事件数 与 近 7 天攻击事件数;
- 近 7 天涉及的被攻击 IP 地址数量与被攻击 IP 段数量统计;
- 「按 IP 地址 / 按 IP 段」的被攻击次数 TOP10 排行,可按起止时间区间查询。
说明:统计的「一天」以早上 08:00 为分界(08:00 至次日 07:59),这与机房常用的运维周期约定一致。该概览数据由后端统计接口提供,具体在界面上的展示位置以实际部署的页面为准(视部署配置而定)。
6. 几种防护的对照速记
| 功能 | 防的是 | 作用对象 | 在哪里操作 | 生效机制 |
|---|---|---|---|---|
| ARP 绑定 | 内部主机被冒充 / ARP 欺骗 | 交换机服务器端口 | 服务器详情 / 交换机端口 | 锁定 IP-MAC 一一对应 |
| 源地址校验(ACL) | 内部主机冒充别人 / 源 IP 伪造 | 交换机服务器端口 | 服务器详情 / 交换机端口 | 只放行本机名下真实 IP 的出向流量 |
| 安全事件(黑洞/清洗/牵引) | 外部 DDoS 攻击 | 被攻击的 IP | 网络管理 > 网络安全 > 安全事件 | 调用安全数据源对 IP 下发处置 |
| 安全数据源 | —(能力来源/对接配置) | 外部抗攻击平台 | 网络管理 > 网络安全 > 安全数据源 | 接收上报 + 下发处置指令 |
7. 常见问题(FAQ)
Q1:ARP 绑定 / 源地址校验的开关为什么点不动或下发失败?
常见原因:该端口不是服务器端口、交换机未设置扩展库(或扩展库未实现对应动作)、端口未采集到 MAC(ARP)、服务器无可用 IP。请按 1.4 / 2.4 的前提逐项核对;此外该操作需要「交换机设备管理」权限。
Q2:开启源地址校验后,客户反映部分流量不通了?
源地址校验只放行该服务器名下登记的 IP。请检查客户实际使用的 IP 是否都已在系统中分配给这台服务器;补登后重新开启即可。
Q3:手动创建安全事件时提示「ip地址不存在」?
手动创建只接受系统中已登记的 IPv4 地址。请先确认该 IP 已在 IPv4 管理中存在并分配,再创建事件;目前不支持 IPv6。
Q4:为什么有的安全事件「结束」点了报错?
可能是该事件所属数据源被禁用(提示「数据源为禁用状态」),或该数据源的驱动不支持「解除处置」动作(提示「该攻击事件不支持设置为完成」)。请先启用数据源,或确认对接设备具备解除能力。
Q5:列表底部的「结束」按钮和行内的「结束」按钮有什么区别?
行内「结束」会真正通知抗攻击设备解除处置、放行 IP,状态变为「已结束」;底部批量「结束」实际是把勾选的事件标记为「已删除」(从处理流程移除)。要让 IP 恢复访问,请用行内「结束」。
Q6:回调式和轮询式数据源有什么区别,该选哪个?
取决于你对接的抗攻击设备的工作方式:支持主动推送事件的用「回调式」(更实时),只能被定时拉取的用「轮询式」。具体以设备厂商支持的对接方式为准。
术语回顾:ARP(IP 找 MAC 的问答机制)、MAC(网卡身份证号)、ACL(交换机准入名单)、DDoS(海量垃圾流量攻击)、黑洞 / 清洗 / 牵引(三种处置动作)、数据源(与外部抗攻击平台的对接配置)、MO(被监控对象/受保护客户)、CIDR(带掩码的 IP 网段写法,如 192.168.1.0/24)。更多术语可参见《IDC 术语速查表》。