IPS能力概述 - Cloud Firewall

Cloud Firewall預設的入侵防禦IPS（Intrusion Prevention System）能力可以即時主動式偵測和攔截駭客惡意攻擊、漏洞利用、暴力破解、蠕蟲、挖礦程式、後門木馬、DoS等惡意流量，保護雲上公司資訊系統和網路架構免受侵害，防止業務被未授權訪問或資料泄露，以及業務系統和應用程式損壞或宕機等。

為什麼需要IPS攻擊防護

雲上常見的網路攻擊

在雲上的企業業務環境中，承載著重要的面向公網訪問和內網互訪的業務系統，包括開發環境、生產環境、資料中台等。因此，企業可能面臨著惡意攻擊者入侵和非授權訪問的風險，威脅著資料泄露、伺服器資源耗盡和業務受損等風險。在這其中，網路仍然是惡意攻擊最主要的傳播渠道。常見的攻擊方式包括：

惡意軟體攻擊：惡意軟體包括病毒、蠕蟲、木馬等，使用者有可能通過下載惡意軟體到雲端服務器，導致雲端服務器受到攻擊。
連接埠掃描和暴力破解：攻擊者部署掃描系統，在全球範圍內掃描目標伺服器的開放連接埠，嘗試通過暴力破解方式猜測使用者名稱和密碼，以擷取非法存取權限。攻擊者還可能在受害機器上部署後門木馬、下載挖礦程式或勒索軟體。
Web漏洞攻擊：包括SQL注入、XSS攻擊、CSRF攻擊、RCE漏洞等。攻擊者利用應用程式或網站的漏洞，非法訪問目標系統、篡改資料或竊取資訊。
四層漏洞攻擊：包括對四層網路通訊協定漏洞的攻擊。
資料庫攻擊：包括對Redis、MySQL等資料庫的攻擊。
命令執行和反彈shell：攻擊者可能通過執行惡意命令和反彈Shell來擷取非法存取權限。

為了應對這些攻擊，企業需要採取相應的安全措施和防護策略，如部署Cloud Firewall、加強網路安全配置、及時修複漏洞，以確保業務系統的安全性和穩定性。

Cloud Firewall的IPS能力

Cloud Firewall的IPS功能通過攔截惡意流量、提供虛擬補丁、防護出向惡意流量、共用威脅情報和利用機器學習構建智能化模型等方式，為企業的雲上業務提供了全面而高效的安全防護。

Cloud Firewall的IPS功能提供了基礎防禦和虛擬補丁共5000多個，可以快速有效地攔截漏洞攻擊，縮短攻擊利用的時間視窗。
當企業的雲上業務存在漏洞時，通常需要通過更新補丁來修複。然而，漏洞修複往往需要較長的時效性，並且某些補丁可能需要重啟業務。對於高危和0day漏洞，Cloud Firewall通常在3小時內就能提供防護，這為業務爭取了修複漏洞的時間。並且，使用Cloud Firewall時，您無需安裝補丁或重啟伺服器，可以更快速地保護業務免受漏洞利用的風險。
Cloud Firewall的IPS功能還能檢測和防護出向的惡意流量，例如業務系統失陷後串連惡意中控，或內部人員的異常外聯行為等，能夠及時發出警示並進行攔截，降低資料泄露和攻擊擴散的風險。
Cloud Firewall的IPS功能結合了阿里雲海量的威脅情報，通過情報共用能力，即時動態同步阿里雲發現全網惡意IP、惡意網域名稱、惡意中控、惡意掃描源，爆破源等，進行精準防護。
Cloud Firewall利用了阿里雲平台積累的大量攻擊資料和方式，構建了智能化模型，協助您有效地抵禦未知威脅。

Cloud FirewallIPS防禦原理

Cloud Firewall是串聯在雲上網路鏈路中，包括互連網出入向，NAT邊界、內網跨VPC及雲上和線下IDC機房之間。網路架構如下圖所示：

所有接入Cloud Firewall的網路流量都會經過Cloud FirewallIPS引擎和ACL引擎過濾，再轉寄出去。

針對網路流量，Cloud Firewall通過深度資料包協議識別解析DPI（Deep Packet Inspection）引擎進行檢測和識別，可以識別網路流量中的協議並進行包解析。同時，針對IPS攻擊和威脅情報，Cloud Firewall會進行流過濾和包過濾。如果命中了威脅引擎模式（觀察模式、拦截模式-宽松、拦截模式-中等、拦截模式-严格）以及IPS規則動作，那麼該攻擊資料包將被丟棄或允許存取，從而實現對攻擊的即時警示和攔截。

Cloud Firewall支援的攻擊類型

說明

配置IPS威脅引擎模式的具體操作，請參見IPS配置。

攻擊類型	攻擊危害	防護建議

攻擊類型	攻擊危害	防護建議
異常串連	攻擊者可能利用掃描器掃描伺服器上開放的連接埠，如果伺服器存在未授權的資料庫連接埠或其他弱口令的業務，可能會導致資料丟失或泄露。例如，Redis未授權訪問是一種常見的風險，如果未對Redis資料庫進行適當的安全配置，攻擊者可以通過未授權訪問獲得敏感性資料或對資料庫進行破壞。	如果您的業務中有較多的非Web應用，例如MySQL、SQLServer等非Web伺服器（開放的連接埠不是80、443、8080），那麼您應該重點關注是否命中此類規則，如Shellcode、敏感執行等多種針對非Web應用的攻擊方式。如果您的業務中沒有上述的非Web應用，建議您開啟IPS威脅引擎拦截模式-严格模式。
命令執行	攻擊者執行惡意命令可能導致嚴重後果，如擷取機器的控制許可權、竊取敏感性資料或攻擊其他系統。例如Log4j漏洞，攻擊者可以利用該漏洞執行惡意命令，從而造成系統的安全威脅。	寬鬆模式下，可以制禦大部分Web應用的通用和非通用遠程命令執行攻擊，並能夠滿足日常防護的需求。然而，遠程命令執行攻擊在眾多攻擊中具有最大的危害性，因此您需要關注中等模式下各種組件的攻擊命中情況。如果您的業務較為複雜，涉及到許多非Web應用的暴露面，建議您開啟IPS威脅引擎的拦截模式-严格模式。
掃描	網路掃描可能會對機器機或網路裝置造成過載，導致服務中斷或不穩定，可能會導致系統崩潰或服務不可用。	建議重點關注業務中是否開啟了SMB具名管道，該協議主要用於檔案分享權限設定等功能。如果業務中沒有使用SMB具名管道的需求，建議禁用該功能，以減少潛在的安全風險。如果確實需要使用SMB具名管道，建議開啟IPS威脅引擎的拦截模式-中等或拦截模式-严格模式。
資訊泄露	資訊泄露可能導致個人隱私權受到侵犯，敏感個人識別資訊、連絡方式、財務資訊等可能被惡意利用。	鑒於不同業務對資訊泄露的定義可能不同，您可以重點關注拦截模式-中等及拦截模式-严格模式下規則的命中情況。建議先開啟观察模式，對規則進行監控，在一個業務周期內（例如24小時、一周、一月）觀察是否會出現誤判的情況。如果观察模式下沒有出現誤判，即規則沒有錯誤地判定正常流量為威脅行為，那麼可以考慮開啟IPS威脅引擎的拦截模式-中等或拦截模式-严格模式。
DoS攻擊	DoS（拒絕服務）攻擊可能會對伺服器和網路裝置造成過載，導致服務中斷或不穩定，甚至可能導致系統崩潰或服務不可用。	該類攻擊直接危害性較小，您可以關注業務中是否存在未知原因導致的中斷、拒絕服務等。如果沒有，可以維持拦截模式-宽松模式。如果您的業務SLA要求較高，可以選擇IPS威脅引擎拦截模式-中等或拦截模式-严格模式。
溢出攻擊	溢出攻擊可能會對伺服器和網路裝置造成過載，導致服務中斷或不穩定，甚至可能導致系統崩潰或服務不可用。	溢出攻擊主要是由於二進位中的輸入焦點未經嚴格控制，導致參數傳遞過程中發生記憶體越界，從而可能導致命令執行、資訊泄露等其他攻擊。在對溢出攻擊進行防護時，需要重點關注非Web應用攻擊的命中情況。如果業務以Web應用為主，可以選擇拦截模式-宽松模式。如果業務中包含較多非Web應用，建議選擇IPS威脅引擎拦截模式-中等或拦截模式-严格模式。
Web攻擊	Web攻擊是一種嚴重的安全威脅，攻擊者通過此類攻擊可以擷取目標機器的控制許可權，竊取敏感性資料，並且可能導致業務中斷。	除了遠程命令執行之外，在Web應用中還存在其他常見攻擊，例如OWASP TOP攻擊中的SQL注入、XSS、任意檔案上傳等。針對這些攻擊，建議在規則的灰階發布和正式發布過程中進行嚴格測試，並且日常營運中建議開啟IPS威脅引擎拦截模式-中等或拦截模式-严格模式。
木馬後門	木馬後門是一種危險的惡意軟體，它可以為攻擊者提供持續訪問受害機器的能力。即使系統漏洞被修複，攻擊者仍有可能重新進入系統。通過木馬後門，攻擊者可以長期監控受感染系統，竊取敏感性資料。同時，系統存在木馬後門可能導致法律責任、法律訴訟、罰款等問題，同時也會造成聲譽損失。	木馬後門通訊通常包含了加密、混淆、編碼等對抗防禦手法，strict 模式下通常用以弱特徵進行檢測、攔截故需重點關注。日常模式下建議開啟IPS威脅引擎中等模式。木馬後門通訊通常採用加密、混淆和編碼等對抗防禦手法，strict 模式下通常注意使用弱特徵進行檢測和攔截。日常營運中，建議開啟IPS威脅引擎拦截模式-中等或拦截模式-严格模式。
病毒蠕蟲	病毒蠕蟲是一種具有持久性的惡意軟體，它可以為攻擊者提供持續訪問受害機器的能力。即使系統漏洞被修複，攻擊者仍有可能重新進入系統。通過病毒蠕蟲，攻擊者可以長期監控感染系統，並竊取其中的資料。同時，系統存在病毒蠕蟲可能導致法律責任、法律訴訟、罰款等問題，同時也會造成聲譽損失。	通常，這類事件會導致主機失陷。如果在观察模式下發現規則命中，就需要進行溯源分析，以確定攻擊來源和採取適當的應對措施。如果沒有任何規則命中，則可以推斷主機大機率處於無風險的正常運行模式，建議開啟IPS威脅引擎拦截模式-中等模式。
挖礦行為	挖礦行為是一種佔用機器頻寬和算力的惡意行為，會導致系統卡頓和效能下降，從而導致應用程式運行緩慢、響應延遲等問題，對使用者的工作效率和體驗產生負面影響。	通常，這類事件會導致主機失陷。如果在观察模式下發現規則命中，就需要進行溯源分析，以確定攻擊來源和採取適當的應對措施。如果沒有任何規則命中，則可以推斷主機大機率處於無風險的正常運行模式，建議開啟IPS威脅引擎拦截模式-中等模式。
反彈Shell	反彈Shell是一種危險的攻擊工具，它可以為攻擊者提供持續訪問受害機器的能力。即使系統漏洞被修複，攻擊者仍有可能重新進入系統。通過反彈Shell，攻擊者可以長期監控感染系統，並竊取其中的資料。同時，系統存在反彈Shell可能導致法律責任、法律訴訟、罰款等問題，同時也會造成聲譽損失。	通常，這類事件會導致主機失陷。如果在观察模式下發現規則命中，就需要進行溯源分析，以確定攻擊來源和採取適當的應對措施。如果沒有任何規則命中，則可以推斷主機大機率處於無風險的正常運行模式，建議開啟IPS威脅引擎拦截模式-中等模式。
其他	主要用於非法外聯和由於外聯引起的攻擊，也包含無法歸類到其他攻擊分類的攻擊。	如果業務中基本無外聯行為，可以選擇拦截模式-宽松模式。如果主機上安裝了較多瀏覽器和應用程式，並且外聯通訊沒有進行管控，那麼由於外部到內部的攻擊相對困難，攻擊者可能更容易通過外聯下載、C2通訊進行攻擊。如果對此類攻擊非常關注，建議開啟IPS威脅引擎的拦截模式-严格模式。

IPS防禦模式說明

威脅引擎運行模式分為觀察模式、攔截模式。根據配置的威脅引擎運行模式不同，基礎防禦和虛擬補丁中的規則匹配的動作不同，例如配置攔截-strict 模式，則大部分基礎防禦和虛擬補丁的規則匹配動作為攔截動作。威脅引擎運行模式可以分為以下幾種。

分類		適用情境	特點	樣本

分類		適用情境	特點	樣本
觀察模式		不防護。	針對攻擊行為僅記錄及警示，攔截模式會對攻擊行為阻斷。	Apache Tomcat塊請求遠程拒絕服務(CVE-2014-0075)、Atlassian Jira SSRF攻擊(CVE-2019-16097)、Godlua後門軟體通訊。
攔截模式	寬鬆模式	防護粒度較粗，主要覆蓋低誤判規則，適合對誤判要求高的業務情境。	明確漏洞利用關鍵字、關鍵參數，有明顯的攻擊報文和行為，無誤判可能性。	Struts 2遠程代碼執行（CVE-2018-11776）、Spark REST API未授權訪問（CVE-2018-11770）、Jenkins遠程命令執行（CVE-2018-1000861）。
	中等模式	防護粒度介於寬鬆和嚴格之間，適合日常營運的常規規則情境。	涉及每種攻擊類型，綜合利用各類漏洞利用分析方式，即為常規規則，基本無誤判的可能性。	Oracle WebLogic Server遠程代碼執行（CVE-2020-2551）、Microsoft WindowsRDP Client遠程代碼執行（CVE-2020-1374）、SMBv1拒絕服務的攻擊（CVE-2020-1301）。
	strict 模式	防護粒度最精細，主要覆蓋基本全量規則，相比中等規則群組可能誤判更高，適合對安全防護漏報要求高的情境。	棧溢出、緩衝區溢位等高危害性漏洞，其中絕大部分四層漏洞，需經過協議分析、關鍵字匹配、多次跳轉、關鍵字位移等攻擊確認。	Squid Proxy HTTP Request Processing緩衝區溢位（CVE-2020-8450）、Nginx 0-Length Headers Leak拒絕服務（CVE-2019-9516）、Oracle WebLogic `rda_tfa_ref_date`命令注入（CVE-2018-2615）。