Cloud Firewall內建威脅檢測引擎,實施攔截互連網上的惡意流量入侵活動和常規攻擊行為,並提供精準地威脅檢測虛擬補丁。通過防護配置功能設定威脅引擎的運行模式,配置威脅情報、基礎防禦、智能防禦和虛擬補丁,協助您更精準地識別和阻斷入侵風險。本文介紹威脅引擎運行模式、及不同類型的攻擊的攔截對策,如何配置防護模式。
互連網邊界IPS能力
威脅引擎運行模式
Cloud Firewall服務開通後,威脅引擎預設啟用攔截模式。具體開啟哪種程度的攔截模式,Cloud Firewall會根據您流量的實際情況判斷和預設選擇。只有開啟攔截模式後,威脅情報、基礎防禦和虛擬補丁功能才會開啟相應的威脅攔截。如未開啟攔截模式,入侵防禦功能只會對各類威脅和惡意流量進行監控。
威脅引擎運行模式的詳細介紹,請參見IPS能力概述。
登入Cloud Firewall控制台。在左側導覽列,選擇 。
在互連網邊界頁簽的威脅引擎運行模式地區,設定威脅引擎的運行模式。
威脅引擎可選擇以下兩種模式:
觀察模式:開啟觀察模式,針對攻擊行為僅記錄及警示,不攔截,即威脅情報、基礎防禦、虛擬補丁中的防護動作均為觀察。
攔截模式:開啟攔截模式,對惡意流量攔截,阻斷入侵活動。
針對您的防護需求,選擇不同嚴格程度的攔截模式:
攔截模式-寬鬆:防護粒度較粗,主要覆蓋低誤判規則,適合對誤判要求高的業務情境。
攔截模式-中等:防護粒度較寬鬆,介於寬鬆和嚴格之間,精準度較高,適合日常營運的常規防護情境。
攔截模式-嚴格:防護粒度精細,覆蓋全量規則,相比中等規則群組可能誤判更高,適合對安全防護漏報要求高的情境。
威脅情報
威脅情報開關預設開啟,Cloud Firewall可掃描偵查威脅情報,並提供中控情報阻斷。威脅情報可將阿里雲全網檢測到的惡意IP同步到Cloud Firewall,如:惡意訪問源、掃描源、暴力破解的源IP等,並對其精準攔截,可提前感知網路威脅源。
建議您開啟威脅情報。如果您確認業務不需要,可以在進階設定地區,關閉威脅情報開關。
基礎防禦
基礎防禦開關預設開啟,Cloud Firewall為您開啟部分常見威脅相關的檢測規則。基礎防禦可提供基礎的入侵防禦能力,包括命令執行漏洞攔截、對被感染後串連C&C(命令控制)的行為管控,可為您的資產提供基礎的防護能力。
建議您開啟基礎防禦。如果您確認業務不需要,可以在進階設定地區,關閉基礎防禦開關。
如果您需要查看基礎防禦的規則詳情或者預設規則無法滿足您的需求,您可以單擊右側的自訂選擇,對單個或多個基礎防禦規則修改當前動作,修改後的規則標記為自訂規則。您可以關閉規則的開關,關閉後該條規則不生效。如果規則為開啟狀態,自訂規則的優先順序高於預設規則的優先順序。
虛擬補丁
虛擬補丁開關預設開啟,Cloud Firewall可為您即時防護熱門的高危漏洞和應急漏洞。虛擬補丁針對可被遠程利用的高危漏洞和應急漏洞,在網路層提供熱補丁,即時攔截漏洞攻擊行為,避免修複主機漏洞時對業務產生的中斷影響。虛擬補丁無需在您的伺服器上進行安裝。虛擬補丁關閉後將無法即時自動更新。
建議開啟所有的虛擬補丁。如果您確認業務不需要,可以在進階設定地區,關閉虛擬補丁開關。
如果您需要查看虛擬補丁的規則詳情或者預設規則無法滿足您的需求,您可以單擊右側的自訂選擇,對單個或多個虛擬補丁規則修改當前動作,修改後的規則標記為自訂規則。您可以關閉規則的開關,關閉後該條規則不生效。如果規則為開啟狀態,自訂規則的優先順序高於預設規則的優先順序。
智能防禦
智能防禦開關預設開啟,Cloud Firewall可以學習雲上攻擊資料,提高威脅和攻擊的識別準確率。
目前僅威脅引擎運行模式為觀察時支援智能防禦能力。建議您開啟智能防禦。如果您確認業務不需要,可以在進階設定地區,關閉智能防禦開關。
資料泄露
您需要先為資產開啟資料泄露檢測開關,Cloud Firewall會對雲上外聯流量(業務資產訪問互連網的流量)做敏感性資料檢測,幫您識別出敏感性資料泄露風險。單擊配置開啟資產,定位到指定公網資產,單擊操作列開啟資料泄露檢測。
單擊查看支援的敏感性資料類型,查看Cloud Firewall可識別的資料類型。您可以根據實際業務,自訂啟用哪種資料類型的識別。
您可以在資料泄露頁面,查看Cloud Firewall幫您檢測到資料泄露大盤,方便您更準確瞭解資料泄露的資產資訊、泄露事件以及風險payload。
防護白名單
如果您需要直接允許存取可信的IPv4和IPv6出入雙向流量的目的IP地址、源IP地址,可以將其添加到防護白名單。添加到防護白名單中IP的流量不會被基礎防護、智能防禦、虛擬補丁規則攔截。自訂目的IP白名單和源IP白名單分別最多添加50個IP地址。
在進階設定地區,單擊防護白名單進行設定。
防護白名單僅對基礎防禦、智能防禦和虛擬補丁生效,防護白名單對威脅情報不生效。如果需要將威脅情報相關IP加入白名單,需配置存取控制策略。更多資訊,請參見配置互連網邊界存取控制策略、Cloud Firewall防護流量時的規則匹配順序是什嗎?。
VPC邊界IPS能力
只有開啟VPC邊界防火牆才能配置VPC邊界的IPS防禦能力。關於如何開啟VPC邊界防火牆,請參見VPC邊界防火牆。
IPS防禦模式
IPS防禦模式可選擇以下兩種模式:
觀察模式:開啟觀察模式,針對攻擊行為僅記錄及警示,不攔截,即威脅情報、基礎防禦、虛擬補丁中的防護動作均為觀察。
攔截模式:開啟攔截模式,對惡意流量攔截,阻斷入侵活動。
針對您的防護需求,選擇不同嚴格程度的攔截模式:
攔截模式-寬鬆:防護粒度較粗,主要覆蓋低誤判規則,適合對誤判要求高的業務情境。
攔截模式-中等:防護粒度較寬鬆,介於寬鬆和嚴格之間,精準度較高,適合日常營運的常規防護情境。
攔截模式-嚴格:防護粒度精細,覆蓋全量規則,相比中等規則群組可能誤判更高,適合對安全防護漏報要求高的情境。
基礎防禦
基礎防禦可提供基礎的入侵防禦能力,包括命令執行漏洞攔截、對被感染後串連C&C(命令控制)的行為管控,可為您的資產提供基礎的防護能力。
建議您開啟基礎防禦。如果您確認業務不需要,可以定位到指定雲企業網執行個體ID或者Express Connect防火牆ID,單擊配置IPS防禦能力,去勾選基礎防禦能力。
如果您需要查看基礎防禦的規則詳情或者預設規則無法滿足您的需求,您可以單擊查看基礎防禦規則,對單個或多個基礎防禦規則修改當前動作,修改後的規則標記為自訂規則。您可以關閉規則的開關,關閉後該條規則不生效。如果規則為開啟狀態,自訂規則的優先順序高於預設規則的優先順序。自訂規則和規則的啟用狀態對業務中所有VPC邊界防火牆都生效。
虛擬補丁
Cloud Firewall可為您即時防護熱門的高危漏洞和應急漏洞。虛擬補丁針對可被遠程利用的高危漏洞和應急漏洞,在網路層提供熱補丁,即時攔截漏洞攻擊行為,避免修複主機漏洞時對業務產生的中斷影響。虛擬補丁無需在您的伺服器上進行安裝。虛擬補丁關閉後將無法即時自動更新。
建議開啟所有的虛擬補丁。如果您確認業務不需要,可以定位到指定雲企業網執行個體ID或者Express Connect防火牆ID,單擊配置IPS防禦能力,去勾選虛擬補丁能力。
如果您需要查看虛擬補丁的規則詳情或者預設規則無法滿足您的需求,您可以單擊查看虛擬補丁規則,對單個或多個虛擬補丁規則修改當前動作,修改後的規則標記為自訂規則。您可以關閉規則的開關,關閉後該條規則不生效。如果規則為開啟狀態,自訂規則的優先順序高於預設規則的優先順序。自訂規則和規則啟用狀態對業務中所有VPC邊界防火牆都生效。
配置IPS白名單
如果您需要直接允許存取可信的目的IP地址、源IP地址,可以將其添加到防護白名單。添加到防護白名單中IP的流量不會被基礎防護、智能防禦、虛擬補丁規則攔截。自訂目的IP白名單和源IP白名單分別最多添加50個IP地址。如果您需要直接允許存取可信的目的IP地址、源IP地址,可以將其添加到防護白名單。添加到防護白名單中IP的流量不會被基礎防護、智能防禦、虛擬補丁規則攔截。自訂目的IP白名單和源IP白名單分別最多添加50個IP地址。
定位到目標雲企業網執行個體ID或者Express Connect防火牆ID,在操作列單擊配置IPS白名單進行設定。