【版本升级】腾讯云防火墙2.3.0版本正式发布！

大家好，我是腾讯云防火墙的产品经理jojen，过去几个月在实战中我们发现，就业务系统的脆弱性而言，漏洞、弱口令以及影子资产是最大的三个因素。作为安全产品团队，我们借此机会复盘分析了云上业务所面临的安全风险。

一、从实战中来，到实战中去

我们抽样统计分析了近半年云上服务器失陷案例，并逐一溯源攻击手法，可以看到：

1. 约56%的攻击成功案例都源自于SSH登录与暴力破解成功；
2. 约27%攻击成功案例来源于服务器漏洞的利用。

基于上述结论，我们希望警醒每一个腾讯云用户，业务上云时请务必做好远程运维管控与漏洞防护！你可以通过安全组 / 防火墙设备来对22、3389端口进行权限管控，也可以通过主机安全等EDR产品来修复服务器漏洞。同时我们在腾讯云防火墙最新的版本2.3.0中做了一个重要的决定：将以上两种能力融合到IPS版本中，最低只需每日30元一杯STARBUCKS，便可以一站式防护公有云的暴破攻击与远程漏洞利用。

二、THINK DIFFERENT：微信扫码登录服务器

过去几年，网络安全解决方案都在不断地从“面向IP的静态策略”到“面向ID的动态策略”升级，我们都知道IP协议的发展和应用使得“因特网”几乎成为了“互联网”的代名词，但是随着网络规模的不断发展，IP地址也会导致以下几个网络安全领域的痛点问题：

1、出口IP无法封禁：IPv4地址资源面临枯竭，为了提升地址使用效率，网络先驱们发明了NAT地址转换技术，但也使得出口IP地址成为多数网络黑客藏匿的屏障，面对出口IP 发起的网络攻击，防守者只能寄希望于入侵检测规则足够准确；

2、IP地址是会变的：IP地址不等于设备，更不等于人，面向IP的安全策略永远是静态的，被动的，攻击者只需更换一个IP地址，也许就可以继续为所欲为；而基于IP地址配置白名单策略，也无法应对正常用户IP地址变化的问题。

目前市面上基于身份的安全产品和管理工具如同雨后春笋一般涌现，但是我个人认为面向ID的产品需要解决一个本质问题：是否需要强迫用户创建一个新的身份ID，否则会导致每个用户都需要同时维护多套设施的账号和密码，好比旧时代的居名服务，日用水、家用电、燃气都需要不同的账号...直到后来，微信的出现，通过城市服务打通了几乎所有日常会用到的账号系统，进而微信也成为了每个人都会有的一种【身份ID】：我有码，你呢？

那是否可以通过微信来登录服务器呢？

这一天阿鑫来到公司上班，看到写字楼下电梯又排起了长龙，于是决定去旁边的汉京中心SOMA商场先吃个早餐，来到星巴克咖啡，点了一杯冰美式坐下，优雅的拿出2021款16寸的Macbook pro，带上第二代AirPods Pro，熟练的打开终端敲出登录命令，随后神奇的一幕出现了，Xshell客户端上赫然出现了一个二维码，这一现象惊呆了店内其他气氛组成员，阿鑫对于这种关注的目光早就习以为常甚至有一些不以为然，忍俊不禁但仍然举止镇定的掏出了刚还了两期的iPhone 12 pro max并呼出绿色小软件 ，只听‘滴’的一声，他登录成功了！！！

那么这个过程大概是下面这个样子的：

既不需要用户注册新的身份，也可以免去企业管理员部署系统的工作量，做到了“不加ID，零部署、免代理、无客户端”的改变游戏规则的体验。早在今年的2月份我们变发布了这个功能，由于用户还不够多，并且在最新的2.3.0版本中有了新的突破：

1. 支持通过NAT边界防火墙直接运维管理内网资产：一码在手，天下我有；
2. 支持自定义登录端口：阿鑫喜欢自己的幸运数字 49，他坚持要用这个端口登录；
3. 支持企业管理员托管密码/密钥：阿鑫甚至不知道登录密码；
4. 支持RDP和远程桌面：是的，阿鑫换成windows也是可以的；
5. 支持根据时间管理登录权限：如果阿鑫只是个访客，那么他只能在有限的时间内登录。

面对暴力破解攻击，要么针对性检测，要么实时拦截，但是我们认为最好的办法，是不提供非法用户尝试登录的机会。故事中的阿鑫不是别人，正是我们腾讯云防火墙的首席架构师 / 技术专家 dihin，他实现了自己的理想（加入星巴克气氛组），他做到了

三、JUST DO IT：不用停机的漏洞补丁

“如果破洞裤是时尚，那么奶奶会让你在外面套一层秋裤”

阿荃出门遇到了自己的奶奶，奶奶看见心爱的孙子的裤子上居然有好几个破洞，于是当场掏出针线想给阿荃缝补，但是阿荃是个靓仔，他不想在外面脱下裤子，僵持之下街边卖秋裤的阿辉看到了商机：“不用脱不用脱，穿上这个就看不到洞了，just do it”...于是阿辉赚到了钱，奶奶不再担心，阿荃也成了时下最时尚的高街风靓仔，同时也很好的预防了关节炎和风湿的危害，避免了破洞造成的走光风险。

在上面这个故事中，我想说很多时候破洞并不是时尚，而是很多企业的现状和痛点，系统和组件漏洞无法避免，但是业务上线后，很难找到机会停机去修复漏洞，更何况还会有修复漏洞后无法启动的风险，因此实际上，很多客户对于漏洞暴露束手无策。

那是否有一种“网络安全秋裤”，既时尚又能堵住漏洞呢？

虚拟补丁技术其实在业界早已不是新鲜事物，在用户的后端业务存在漏洞暴露且无法及时修复的情况下，我们也可以在网络流量侧，针对漏洞利用的行为和攻击进行检测和拦截。这样一来，企业便可以正常对外运行业务，只要找到一个合适的机会修复漏洞即可。

在云防火墙的IPS版本中就已经具备了虚拟补丁的功能，能够对常见的、高危的、以及最新的漏洞的利用与攻击行为进行实时检测和拦截，我罗列一下腾讯云防火墙虚拟补丁功能的几大优势：

1、资产风险与漏洞梳理：结合漏洞扫描能力，探测云上业务对外暴露的组件与漏洞，帮助用户梳理风险暴露面。你知道你的裤子有几个洞吗？

2、无需停机/重启业务：随时随地，即开即用的热补丁功能，穿脱自如

3、0-day漏洞敏捷响应：专属安全运营团队小时级别响应新增漏洞，快速研制检测规则，并自动更新发布，无需任何切换。今天扭秧歌不小心咧开了新的洞也不带怕

4、无需配置的拦截模式：极简操作，一键开启拦截模式，针对高置信度规则直接拦截检测到的漏洞利用与漏洞攻击行为。‘皇帝的新裤’？

即便破洞裤出门，也能防止其他人看到，进而从源头避免不法分子利用破洞‘摸一把’的行为。阿辉是我们腾讯云防火墙的产品专家 / 首席文案法师，你是阿荃吗？