本文档将指导您通过入侵防御功能,识别访问控制规则以外的未知风险,并对公网 IP 的南北向流量进行入侵防御规则检测,同时避免云服务器中的漏洞暴露在互联网中。
选择防护模式
1. 登录 云防火墙控制台,在左侧导航栏中,单击入侵防御。
2. 在入侵防御页面,找到“防护模式”模块,进行防护模式设置,防护模式共分为观察模式、拦截模式及严格模式三种。
说明:
系统默认选择的防护模式是观察模式。
选择“观察模式”,威胁情报、基础防御、虚拟补丁均为检测模式,针对发现的恶意访问或网络攻击行为,只告警,不自动阻断连接。
选择“拦截模式”,自动拦截高置信度的网络攻击或恶意访问,威胁情报支持自动拦截出站恶意访问,基础防御支持自动拦截高置信度规则告警,虚拟补丁支持自动拦截所有被检测为漏洞利用的流量。
选择“严格模式”,威胁情报(出站域名威胁情报检测除外)、基础防御、虚拟补丁均为全局拦截模式,针对任何检测到的告警,自动阻断连接,可能产生误报,适用于重保或攻防场景。
3. 在防护模式右侧,单击高级设置,将进入高级设置弹窗。
4. 在高级设置弹窗中,用户在互联网边界、NAT 边界、VPC 边界防火墙选择单个资产进行模式的更改,例如:部分资产可以设置为观察模式,部分资产为拦截模式,部分资产为严格模式。
功能动态
1. 登录 云防火墙控制台,在左侧导航栏中,单击入侵防御。
2. 在入侵防御页面右侧功能动态模块中,通过滑动鼠标滚轮可倒序查看规则动态与漏洞动态记录。
3. 单击更新历史,可查看详细的规则动态与漏洞动态记录。
支持通过动态类型、攻击类型、风险等级进行筛选,快速定位目标记录。
单击查看详情,将呼出规则详情弹窗或跳转至对应的漏洞查询页面。
管理列表
1. 登录 云防火墙控制台,在左侧导航栏中,单击入侵防御。
2. 在入侵防御页面下方可查看“封禁列表”、“白名单策略”和“隔离列表”。
封禁列表
查看封禁列表
1. 单击封禁列表,进入封禁列表页面。
2. 在封禁列表下,可以查看在 告警中心 > 攻击告警事件中,处置状态为“已封禁”的 IP 及其相关信息,或者可以手动将 IP 添加进封禁列表。
停用封禁列表
1. 当遇到紧急情况时,可单击
2. 在定位并修复故障原因后,可单击
管理封禁列表的生效时间
在封禁列表内,当某一个 IP 的生效时间到期后,列表会自动删除该 IP,此时该 IP 后续的流量访问将不会被防火墙封禁。因此,为了避免黑名单自动移除存在安全隐患的 IP,可以在列表右侧操作栏,单击编辑,对需要操作的 IP 的失效时间进行修改。
说明:
管理封禁列表规格信息
1. 单击规格信息,即可查看当前提供的总列表配额以及剩余配额信息。
2. 当剩余配额不足时,可单击升级扩容,购买封禁列表配额。
白名单策略
查看白名单策略
1. 在入侵防御页面,单击白名单策略,进入白名单管理页面。
2. 在白名单策略页签中,可以看到在 告警中心 > 攻击告警事件中,处置状态为“已加白”的 IP 及其相关信息,或者可以手动添加地址到白名单列表。
新增白名单策略
1. 在白名单策略页面,单击添加策略,进入配置策略界面,配置相关参数。
字段说明:
策略名称:支持自定义策略名称,最长50个字符。
生效范围:勾选当前策略的生效范围,至少选择一个生效范围,默认全选。
匹配条件:当前策略的匹配条件。多个条件之间为 “且” 逻辑关系。所选生效范围将决定支持的匹配条件范围,具体对应关系请参见下表:
匹配条件 | 互联网串行防火墙 | 互联网旁路防火墙 | NAT 边界防火墙 | VPC 边界防火墙 | 全流量检测与响应 |
源 IP | 支持 | 支持 | 支持 | 支持 | 支持 |
源 IP + 目的 IP | | | | | |
源 IP + 目的 IP + 目的端口 | | 不支持 | | | |
源 IP + 目的 CIDR | | | | | |
源 IP + 目的 CIDR + 目的端口 | | | | | |
源 CIDR | 支持 | 支持 | 支持 | 支持 | 支持 |
源 CIDR + 目的 IP | | 不支持 | | | |
源 CIDR + 目的 IP + 目的端口 | | | | | |
源 CIDR + 目的 CIDR | | | | | |
源 CIDR + 目的 CIDR + 目的端口 | | | | | |
目的 IP | 支持 | 支持 | 支持 | 支持 | 支持 |
目的 IP + 目的端口 | | 不支持 | | | |
目的 CIDR | | 支持 | | | |
目的 CIDR + 目的端口 | | 不支持 | | | |
域名 | 支持 | 支持 | 支持 | 支持 | 支持 |
威胁情报 IP + 威胁情报域名 | 不支持 | 支持 | 不支持 | 不支持 | 不涉及 |
资产实例 | 不支持 | 不支持 | 不支持 | 支持 | 支持 |
源 IP + 目的 IP + 入侵防御规则 | 支持 | 支持 | 支持 | 支持 | 支持 |
源 IP + 目的 IP: 端口 + User-Agent + URL + XFF + Hostname + 文件名 + 文件 MD5 | 不支持 | 不支持 | 不支持 | 不支持 | 支持 |
| | | | | |
| | | | | |
| | | | | |
不支持 | | | | | |
| | | | | |
生效时间:选择永久生效或自行设定策略的生效截止日期。
备注:支持自定义备注,最长200个字符。
冲突处理:勾选“删除封禁列表冲突地址并继续添加”后,在执行添加操作遇到与封禁列表中存在冲突的地址时,系统会自动移除封禁列表中的冲突地址,并继续完成后续的添加任务。
2. 单击下一步,进入规则预览页面。您可在此页面查看您的"剩余规则数" 和"本次预计新增",并预览您刚才编辑的白名单策略,确认无误后单击确定完成策略添加。
说明:
在条件内容中填写多个 IP、XFF、MD5、URL、域名、hostname、文件名等时,系统将按实际条目数拆分计算规则条数。例如:当条件类型选择”源IP“并填写3个独立IP 地址时,保存后将自动拆分为3条独立白名单策略,占3个规则条数。
单次拆分生成的总规则条数不得超过 100条 ,超出限制时将提示:”规则过于复杂,解析后超过100规格数,请拆开创建多条白名单“。
当 "本次预计新增" + 此次新增规则条数 > "剩余规则数" 时,系统将提示:“可用规则数量不足,请购买通用规则拓展额度”,您可单击升级扩容进行扩容操作。
隔离列表
查看隔离列表
1. 单击隔离列表,进入隔离列表页面。
2. 在隔离列表中,可以看到在 告警中心 > 攻击告警事件 > 主机失陷事件中,处置状态为“已隔离”的 IP 及其相关信息。
查看规则
失陷主机 IP 的隔离是通过安全组来实现的,单击查看规则,可以跳转到企业安全组页面,查看详细的规则信息。
管理隔离列表的生效时间
在隔离列表内,当某一个 IP 的生效时间到期后,列表会自动删除该 IP,此时该 IP 的安全组规则也会被删除。因此,为了避免已失陷的 IP 被自动移出隔离名单,可以在列表右侧操作栏,单击编辑,对需要操作的 IP 的终止时间和日期进行修改。
策略备份与回滚
单击规则备份,即可将现有的封禁列表和白名单策略规则进行备份,同时当规则发生了很大的变化之后,单击备份文件右侧的回滚,即可将规则进行复原。
1. 在策略备份与回滚页面,单击新增备份,在旁边的下拉框选择封禁列表或者是白名单策略,输入描述,单击确定,完成规则备份。
2. 规则回滚,单击备份列表最右侧的回滚,将规则进行还原。
