使用安全基线

最近更新时间:2024-04-22 17:25:32

我的收藏
本文档将为您介绍云防火墙安全基线的基本概念及运行流程,及如何通过云防火墙控制台使用安全基线功能,维护产品健康稳定。

背景信息

什么是云防火墙的安全基线

安全基线指云防火墙通过观察一定时间范围内的流量访问情况,形成一个初步的 IP 地址或域名访问列表,用户可以根据安全评分、关联安全事件以及网络访问情况,通过添加或删除 IP 地址或域名,维护基线列表,从而形成最终的 安全基线
当安全基线设置完成后,每新增一个在基线之外的 IP 地址或域名访问都会触发安全告警。用户可以在告警列表中对 IP 地址或域名进行处理,安全基线适用于重保期间的流量基线防护。

安全基线运行原理

安全基线运行原理如下图所示:

安全基线通过学习流量日志,结合访问情况并关联告警记录,生成初步的安全基线列表,用户可以在该基线列表中,通过智能清理,添加地址,删除地址和清空基线功能维护基线列表,提升基线评分,生成最终的 IP 访问白名单(即安全基线列表)。
安全基线建立完成后,后续访问的 IP 地址若属于安全基线内,则被判定为信任 IP,归并到日志审计的 流量日志 中。若在基线之外,将均被判定为恶意地址触发告警,归并到告警中心中,用户可以在 告警中心 的安全事件告警页面,将安全基线告警的 IP 地址进行“拦截”或“忽略”,完成安全事件处置。

前提条件

安全基线仅对旗舰版用户开放,请确保您 升级为旗舰版用户 后开始配置。

操作步骤

步骤1:配置安全基线规则

1. 登录 云防火墙控制台,在左侧导航栏中,单击入侵防御,进入入侵防御页面。
2. 在入侵防御页面,找到安全基线模块,单击查看规则,进入安全基线页面。

3. 首次进入安全基线页面,需配置安全基线规则。

字段说明:
开始时间:安全基线开始流量观察的时间,单击“日历”,可自定义起始时间,最早可以选择30天之前的0点。
结束时间:安全基线完成流量观察的时间,单击“日历”,可自定义终止时间,最晚可以选择30天之后的23:59:59。
注意:
可分析时间范围从防火墙使用日期起至未来30天数据。
流量类型:选择建立安全基线的流量方向。
说明:
流量类型默认仅选择出站方向。如有特殊需求,请 提交工单 联系我们。
剔除资产:被剔除资产下的相关流量,将不被计入安全基线的分析对象。
4. 单击确认,即可配置成功。

步骤2:执行安全基线学习任务

1. 配置安全基线规则 后,页面会自动开始执行基线学习,用户可以通过右下角查看基线学习进度。
说明:
后台会根据剔除后的资产进行基线学习,后续也仅针对基线内的资产触发警告。
分析任务需要一定的时间(根据网络情况而定),可通过右下角任务状态查看进度。
可单击结束任务,强制结束安全基线分析,并根据已分析列表作为安全基线。

2. 学习结束后,安全基线会根据用户所选时间范围对该时间段流量进行学习,提炼信息,为用户生成统计结果 ,并在当前页面下方建立一个访问详情列表。
基线评分:是根据列表中恶意 IP 地址占比,对当前访问环境进行的评估,为用户后续的安全基线维护提供参考指标,引导用户不断提升基线安全。
访问详情列表:则包含外部访问和主动外联两个方向的IP/域名。用户可以选择基线学习时间/基线检测时间来查看不同时间范围内的安全基线中的IP信息。
基线学习时间:加入基线时间到基线结束时间范围内的统计数据。
基线检测时间:加入基线时间到当前时间范围内的统计数据。


步骤3:编辑和维护安全基线

学习进程结束后,用户可以根据基线评分 ,通过智能清理,手动添加或删除来提高当前基线列表的安全指数 ,可通过如下两种方式维护安全基线:
用户可以在安全基线页面,通过单击智能清理添加地址,自动或手动编辑安全基线列表。

在安全基线列表中,选择基线地址或域名,单击清空基线或者删除,来删除安全基线列表中的 IP 地址或域名。

下面将为您详细介绍如何使用 智能清理添加地址删除地址清空基线 功能:

智能清理

一键清除基线列表中的恶意地址。云防火墙将自动对流量基线中的入侵防御告警进行关联统计,并将标有“未信任的”的恶意 IP 或域名从基线中删除,后续访问将触发警告。
注意:
当外部访问和主动外联列表中,所有地址或域名均拥有信任标签后,智能清理功能将不能使用。
1. 登录 云防火墙控制台,在左侧导航栏中,单击入侵防御,进入入侵防御页面。
2. 在入侵防御页面,找到安全基线模块,单击查看规则,进入安全基线页面。

3. 在“基线评分”模块,单击智能清理,将弹出“智能清理安全基线”弹窗。
4. 在“智能清理安全基线”弹窗中,选择系统监测到的基线类型以及 IP 数量。

5. 单击确定,系统将开始自动清除基线列表中,标有“未信任的”IP 或域名。

添加地址

自定义安全基线白名单,如果有特定的信任 IP 地址或域名,可以手动添加该 IP 地址或域名,将其加入安全基线列表中,则该 IP 后续访问将直接归入日志审计的 流量日志 中。
1. 登录 云防火墙控制台,在左侧导航栏中,单击入侵防御,进入入侵防御页面。
2. 在入侵防御页面,找到安全基线模块,单击查看规则,进入安全基线页面。

3. 在“基线评分”模块,单击添加地址,将弹出“添加基线地址/域名”弹窗。
4. 在“添加基线地址/域名”弹窗中,选择将 IP 地址添加到全部、外部访问或主动外联的安全基线列表中,并手动输入信任的 IP 或域名。
说明:
由于在配置安全基线规则时,流量类型 默认仅选择出站方向,因此基线类型仅支持选择“主动外联”,如有特殊需求,请 提交工单 联系我们。
全部:该地址将被同时加入外部访问和主动外联的安全基线列表中。
外部访问:该地址将只加入下方外部访问列表中。
主动外联:该地址将只加入下方主动外联列表中。



5. 单击确定,该 IP 将自动添加到所选基线类型列表中。

删除地址

用户可以直接在安全基线列表中,手动删除认为访问有异常的 IP 地址。如果后续需要恢复该地址,可以在 告警中心 中选择将该地址忽略,则地址又会回到基线列表中。
1. 登录 云防火墙控制台,在左侧导航栏中,单击入侵防御,进入入侵防御页面。
2. 在入侵防御页面,找到安全基线模块,单击查看规则,进入安全基线页面。


3. 在安全基线页面下方,单击外部访问主动外联
4. 选择不信任的 IP 地址,在右侧操作栏,单击删除
image-20200821100245632


5. 在删除确认框中,单击确定,该 IP 地址将从安全基线列表中移除,后续该 IP 地址访问将会触发警告。

清空基线

如需停用安全基线功能,清除外部访问或主动外联列表中所有 IP 地址或域名,可使用清空基线功能,将清理掉所有安全基线内的 IP 地址和域名。
1. 登录 云防火墙控制台,在左侧导航栏中,单击入侵防御,进入入侵防御页面。
2. 在入侵防御页面,找到安全基线模块,单击查看规则,进入安全基线页面。


3. 在安全基线页面下方,单击外部访问主动外联
4. 在列表上方,单击清空基线,将弹出确认弹窗。


5. 单击确定,则安全基线所有 IP 地址和域名将被清空,同时关闭警告基线开关。
注意:
清空基线并不会删除日志中的原 IP 地址或域名记录,仅删除选中的安全基线列表。




步骤4:启动安全基线管控

打开基线警告开关

安全基线建立完成后,用户需要打开基线告警开关,后续 IP 地址或域名访问,若不在安全基线中,将一律触发告警。
1. 登录 云防火墙控制台,在左侧导航栏中,单击入侵防御,进入入侵防御页面。
2. 在入侵防御页面,找到安全基线模块,单击查看规则,进入安全基线页面。


3. 在“基线评分”模块,选择需要警告的流量方向。


开启外部访问时:针对入站方向流量,出现不属于基线内的访问时,将会触发安全告警。
开启主动外联时:针对出站方向流量,出现不属于基线内的访问时,将会触发安全告警。

查看安全告警追溯流量记录

基线警告开关开启后,云防火墙将基于安全基线列表,将流量归为信任 IP 和不信任 IP 两类,分别归并到 流量日志告警中心 中,用户可以在对应的页面查找相应的 IP 信息。

查看安全告警

1. 登录 云防火墙控制台,在左侧导航栏中,单击告警中心,进入告警中心页面。
2. 在攻击告警汇总页面中,单击安全基线,进入该页面,可以看到所有安全基线类型的告警信息,用户可以选择封禁、放通或者忽略,对该地址或域名进行处理。


单击封禁,则该 IP 地址将被加入封禁列表,后续访问将被阻断,可以在告警中心的攻击拦截统计页面中查看。
单击放通,则该 IP 将被加入基线列表,指定方向的访问将不再会经过安全基线的检测。
单击忽略,则该 IP 的告警事件将不会出现在告警列表和统计中,后续的流量也不会进行检测,可在列表中选择已忽略来查看被忽略的所有事件。

追溯流量记录

被列为安全基线内的 IP 或域名,可以在流量中心或流量日志中查询。
方式1: 登录 云防火墙控制台,在左侧导航栏中,选择日志审计>流量日志,查看入站流量或出站流量的 IP 或域名具体信息。
方式2:登录 云防火墙控制台,在左侧导航栏中,单击流量中心,查找已通过的 IP 或域名。

步骤5:重置安全基线(可选)

在基线建立一段时间后,如需更新基线列表,可以通过“重置安全基线”功能重新学习后续 IP 情况。
1. 登录 云防火墙控制台,在左侧导航栏中,单击入侵防御,进入入侵防御页面。
2. 在入侵防御页面,找到安全基线模块,单击查看规则,进入安全基线页面。


3. 在“基线评分”模块,右上角选择

> 重置基线,基线规则将被重置。
注意
一旦重置基线,手动添加的地址以及手动添加标签将被清空。



4. 重置基线后,可根据需求重新配置安全基线规则,详情请参见 配置安全基线规则