本文介紹Cloud Firewall攻擊防護常見問題的解決方案。
Cloud Firewall如何允許存取Security Center及其他掃描器的漏洞掃描IP地址?
原因分析
由於Security Center掃描應用漏洞時,是通過公網類比駭客入侵攻擊進行漏洞掃描探測,可能會命中Cloud Firewall攻擊防護策略或存取控制管控策略。
解決辦法
如果您需要執行漏洞掃描,建議您將Security Center及其他掃描器的IP地址加到Cloud Firewall攻擊防護白名單中進行允許存取。關於Security Center的掃描IP地址,請參見應用漏洞Web掃描器IP地址說明。關於如何添加Cloud Firewall攻擊防護白名單,請參見設定防護白名單。您也可以將Security Center掃描IP添加到一個地址簿,然後再防護白名單中直接引用地址簿即可。關於如何添加地址簿,請參見地址簿管理。
配置了攻擊防護的威脅引擎運行模式為攔截模式,為什麼攻擊流量沒有被攔截?
原因分析
基礎防禦、虛擬補丁、威脅情報的開關沒有開啟。
配置了防護白名單,允許存取匹配的流量。
雖然威脅引擎運行模式設定為攔截模式,但攻擊流量對應的規則支援的引擎模式為觀察(即所有攔截模式等級下均觀察),或規則設定的自訂動作為觀察。
解決辦法
為什麼資產存在漏洞但云防火牆漏洞防護無資料?
可能存在以下三種情況:
Cloud Firewall會從攻擊流量中分析漏洞利用行為並進行防護,漏洞沒有被攻擊的流量就不會展示該漏洞的防護資料。
Security Center軟體成分分析(通過軟體資訊檢測)檢出的漏洞,Cloud Firewall暫不支援同步(僅同步網路掃描類漏洞)。
資產的漏洞是內網漏洞,Cloud Firewall只同步公網資產暴露的漏洞。
關於漏洞防護的詳細資料,請參見IPS配置。
Cloud Firewall如何擷取攻擊樣本?
攻防對抗情境中,Cloud Firewall如何基於殺傷鏈增強防禦和檢測能力?
攻防演練逐級體系化、規模化、常態化,覆蓋到各行各業的主要業務系統上,攻擊手段發生轉變,開始嘗試“更隱蔽”的攻擊方式,逐步向釣魚、供應鏈、水坑等攻擊手段轉變。網路殺傷鏈描述了攻擊者每個攻擊階段,每一個環節是對攻擊作出偵測和反應的機會,從而實現識別和阻止。利用網路殺傷鏈來防止攻擊者潛入網路環境,需要情報支援和資料分析響應能力。Cloud Firewall通過收斂暴露面、攻擊快速響應、失陷感知、日誌溯源等能力,增強防禦方的檢測和響應能力。
Cloud Firewall如何?失陷感知,建議如何設定安全性原則?
Cloud Firewall如何?失陷感知
雲上威脅形式多樣化、複雜化,APT攻擊等進階威脅讓客戶面對更大挑戰。失陷主機通常指攻擊者獲得控制權的主機,可能以該主機為跳板繼續滲透內網的其他主機。從殺傷鏈模型來看,攻擊者在經過漏洞利用階段,進行安裝植入、命令與控制、擷取資料、橫向滲透等行為。失陷感知通過檢測手段,分析、定位和溯源攻擊,及時處置和快速響應,降低攻擊對企業造成的影響和損失。Cloud Firewall威脅檢測引擎檢測入侵活動,記錄詳細資料,主動外聯檢測即時展示主機的主動外聯資料,及時發現可疑主機。
開啟和設定安全性原則
配置Cloud Firewall南北向存取控制策略,縮小暴露面,請參見配置互連網邊界存取控制策略。
開啟Cloud FirewallIPS入侵防護,攔截互連網對雲上主機的入侵行為,請參見IPS配置。
通過安全正向 Proxy和智能策略,實現內網訪問互連網的流量控制和防護,請參見存取控制。
關注云防火牆外聯檢測和失陷感知警示,及時處置,請參見警示通知。
同時開啟透明WAF和互連網邊界防火牆,防護引流連接埠的入侵防禦事件在哪裡查看?
您可以通過WAF查看入侵防護事件。具體操作,請參見安全報表。