本文档将指导您通过入侵防御功能,识别访问控制规则以外的未知风险,并对公网 IP 的南北向流量进行入侵防御规则检测,同时避免云服务器中的漏洞暴露在互联网中。
选择防护模式
1. 登录 云防火墙控制台,在左侧导航栏中,单击入侵防御。
2. 在入侵防御页面,找到“防护模式”模块,进行防护模式设置,防护模式共分为观察模式、拦截模式及严格模式三种。
说明:
系统默认选择的防护模式是观察模式。
选择“观察模式”,威胁情报、基础防御、虚拟补丁均为检测模式,针对发现的恶意访问或网络攻击行为,只告警,不自动阻断连接。
选择“拦截模式”,自动拦截高置信度的网络攻击或恶意访问,威胁情报支持自动拦截出站恶意访问,基础防御支持自动拦截高置信度规则告警,虚拟补丁支持自动拦截所有被检测为漏洞利用的流量。
选择“严格模式”,威胁情报(出站域名威胁情报检测除外)、基础防御、虚拟补丁均为全局拦截模式,针对任何检测到的告警,自动阻断连接,可能产生误报,适用于重保或攻防场景。
3. 在防护模式右侧,单击高级设置,将进入高级设置弹窗。
4. 在高级设置弹窗中,用户在互联网边界、NAT 边界、VPC 边界防火墙选择单个资产进行模式的更改,例如:部分资产可以设置为观察模式,部分资产为拦截模式,部分资产为严格模式。
管理列表
1. 登录 云防火墙控制台,在左侧导航栏中,单击入侵防御。
2. 在入侵防御页面下方可查看“封禁列表”、“白名单策略”和“隔离列表”。
封禁列表
查看封禁列表
1. 单击封禁列表,进入封禁列表页面。
2. 在封禁列表下,可以查看在 告警中心 > 攻击告警事件中,处置状态为“已封禁”的 IP 及其相关信息,或者可以手动将 IP 添加进封禁列表。
停用封禁列表
1. 当遇到紧急情况时,可单击
2. 在定位并修复故障原因后,可单击
管理封禁列表的生效时间
在封禁列表内,当某一个 IP 的生效时间到期后,列表会自动删除该 IP,此时该 IP 后续的流量访问将不会被防火墙封禁。因此,为了避免黑名单自动移除存在安全隐患的 IP,可以在列表右侧操作栏,单击编辑,对需要操作的 IP 的失效时间进行修改。
说明:
管理封禁列表规格信息
1. 单击规格信息,即可查看当前提供的总列表配额以及剩余配额信息。
2. 当剩余配额不足时,可单击升级扩容,购买封禁列表配额。
白名单策略
查看白名单策略
1. 在入侵防御页面,单击白名单策略,进入白名单管理页面。
2. 在白名单策略页签中,可以看到在 告警中心 > 攻击告警事件中,处置状态为“已加白”的 IP 及其相关信息,或者可以手动添加地址到白名单列表。
新增白名单策略
加白类型 | 说明 |
IP 地址 | 针对公网访问或内网访问基于 IP 地址匹配定向放行流量。 |
资产实例 | 针对内网方向基于资产实例匹配定向放行流量。 |
域名 | 针对公网出向或内网出向基于访问域名匹配定向放行流量。 |
威胁情报地址 | 添加后将不再匹配情报类型告警,严格模式下不会自动拉黑这些 IP,但基础防御规则继续生效。 |
自定义策略 | 针对特定访问源、访问目的、入侵防御规则精准匹配定向放行流量。 如果需要下发至互联网边界防火墙,访问源和访问目的均需要填写公网 IP。 如果需要下发至NAT边界防火墙,访问源和访问目的需要一个为公网IP另一个为内网 IP。 如果需要下发至 VPC 边界防火墙,访问源和访问目的均需要填写内网 IP。 若所选入侵防御规则的生效范围与下发策略的生效范围不一致将不会命中。 自定义策略最多支持添加 10 条,如果更多需求请提交工单评估。 |
隔离列表
查看隔离列表
1. 单击隔离列表,进入隔离列表页面。
2. 在隔离列表中,可以看到在 告警中心 > 攻击告警事件 > 主机失陷事件中,处置状态为“已隔离”的 IP 及其相关信息。
查看规则
失陷主机 IP 的隔离是通过安全组来实现的,单击查看规则,可以跳转到企业安全组页面,查看详细的规则信息。
管理隔离列表的生效时间
在隔离列表内,当某一个 IP 的生效时间到期后,列表会自动删除该 IP,此时该 IP 的安全组规则也会被删除。因此,为了避免已失陷的 IP 被自动移出隔离名单,可以在列表右侧操作栏,单击编辑,对需要操作的 IP 的终止时间和日期进行修改。
策略备份与回滚
单击规则备份,即可将现有的封禁列表和白名单策略规则进行备份,同时当规则发生了很大的变化之后,单击备份文件右侧的回滚,即可将规则进行复原。
1. 在策略备份与回滚页面,单击新增备份,在旁边的下拉框选择封禁列表或者是白名单策略,输入描述,单击确定,完成规则备份。
2. 规则回滚,单击备份列表最右侧的回滚,将规则进行还原。
