租户端 安全 云防火墙(CFW) 操作指南

入侵防御

最近更新时间: 2024-06-12 15:06:00

本文档将指导您通过入侵防御功能,识别访问控制规则以外的未知风险,并对公网 IP 的南北向流量进行入侵防御规则检测,同时避免云服务器中的漏洞暴露在互联网中。 操作指南

  1. 开启威胁情报

    1. 开启威胁情报后,云防火墙会将互联网边界流量接入威胁情报检测与分析引擎,识别访问控制规则以外的未知风险。

    • 登录 云防火墙控制台,在左侧导航栏中,选择【入侵防御】,进入 入侵防御 页面。

    • 在入侵防御页面,单击威胁情报处的,将开启威胁情报

    • 开启威胁情报后,云防火墙会将互联网边界流量接入威胁情报检测与分析引擎,识别访问控制规则以外的未知风险:

    • 外部恶意访问:监控并识别来自外部的恶意扫描、暴力破解、挖矿木马、勒索软件、远程控制等恶意 IP 和威胁样本,对云上资产发起的访问。

    • 主动外联行为:监控并识别云上资产向外部恶意 IP 地址或域名发起的主动外联,并根据威胁情报提供的大数据对比分析,判断可能发生的主机失陷风险。

  2. 开启基础防御

    1. 登录 云防火墙控制台,在左侧导航栏中,单击入侵防御,进入入侵防御页面。

    2. 在入侵防御页面,找到“基础防御”模块,单击查看规则,将弹出基础防御规则列表弹窗。

    3. 在基础防御规则列表弹窗内,可以查看 IPS 规则列表,单击规则 ID,即可查看相应规则描述。

    4. 单击开关处,可以指定规则对于 NAT 和 VPC 防火墙是否生效。

      注意

      如果您的部分防火墙引擎版本过低,则对应防火墙将不会生效。

    5. 在当前动作列中,可以选择命中规则后的规则动作,规则动作仅生效于防护模式为拦截模式的资产。

      注意

      自定义入侵防御规则功能仅生效于 NAT 边界防火墙和 VPC 边界防火墙。如果您的部分防火墙引擎版本过低,则对应防火墙将不会生效。

    6. 对于所有 IPS 规则,支持按关键字查询、一键重置、批量操作。

    • 按关键字查询:支持按照规则属性对相应规则进行查询,从而进行开关状态设置与处置动作设置。

    • 一键重置:支持一键恢复所有规则的开关状态并切换动作为默认动作,即时生效。

    • 批量操作:支持选中多个规则,批量启用、停用,或是切换处置动作。

    1. 了解规则后,在“基础防御”模块,单击基础防御处的开关,将开启基础防御。

      说明:

      - 关闭“基础防御”开关后,所有基础防御规则将不再生效。
- 在拦截模式下,针对部分高置信度的规则支持自动拦截,其他规则仍然产生安全事件告警。

  3. 开启虚拟补丁

    1. 登录 云防火墙控制台,在左侧导航栏中,单击入侵防御,进入入侵防御页面。

    2. 在入侵防御页面,找到“虚拟补丁”模块,单击查看规则,将弹出虚拟补丁规则列表弹窗。

    3. 具体规则操作参考上条基础防御规则。

    4. 单击虚拟补丁处的,将开启虚拟补丁。

  4. 防护模式说明

    1. 登录 云防火墙控制台,在左侧导航栏中,单击入侵防御,进入入侵防御页面。

    2. 在入侵防御页面,找到“防护模式”模块,进行防护模式设置。 防护模式共分为观察模式、拦截模式及严格模式三种模式。

      说明

      系统默认选择的防护模式是观察模式。

    • 选择“观察模式”,威胁情报、基础防御、虚拟补丁均为检测模式,针对发现的恶意访问或网络攻击行为,只告警,不自动阻断连接。

    • 选择“拦截模式”,自动拦截高置信度的网络攻击或恶意访问,威胁情报支持自动拦截出站恶意访问,基础防御支持自动拦截高置信度规则告警,虚拟补丁支持自动拦截所有被检测为漏洞利用的流量。

    • 选择“严格模式”,威胁情报(出站域名威胁情报检测除外)、基础防御、虚拟补丁均为全局拦截模式,针对任何检测到的告警,自动阻断连接,可能产生误报,适用于重保或攻防场景。

  5. 功能动态说明

    1. 登录 云防火墙控制台,在左侧导航中,单击【入侵防御】,进入入侵防御页面

    2. 在入侵防御页面右侧,可查看功能动态及功能说明:

    • 功能动态:在功能动态模块,可查看入侵防御模块的功能

  6. 管理封禁列表(IPS 黑名单)和放通列表(IPS 白名单):

    1. 登录 云防火墙控制台,在左侧导航中,单击【入侵防御】,进入入侵防御页面

    2. 在入侵防御页面下方可查看"封禁列表"与"放通列表"。

    • 封禁列表:

      查看封禁列表

      单击【封禁列表】,进入封禁列表标签。

      停用封禁列表

      当遇到紧急情况时,可单击关闭“启用封禁列表”,将封禁列表停用。

      管理封禁列表的生效时间

      在封禁列表内,当某一个 IP 的生效时间到期后,列表会自动删除该 IP,此时该 IP 后续的流量访问将不会被防火墙封禁。因此,为了避免黑名单自动移除存在安全隐患的 IP,可以在列表右侧操作栏,单击编辑,对需要操作的 IP 的终止时间和日期进行修改。

      【注意】:位于封禁列表内的 IP 地址,会按照出站或入站方向阻断所有经过云防火墙的流量,并记录在日志审计>入侵防御日志内

      放通列表:

      查看放通列表

      单击【放通列表】,进入放通列表(白名单)标签。

      【注意】:放通列表中的IP地址,会直接绕过 IDPS 功能。

      管理放通列表的生效时间

      在放通列表内,当某一个 IP 的生效时间到期后,列表会自动删除该 IP,此时该 IP 的后续访问将不会绕过防火墙的 IDPS。因此,为了避免受信任的 IP 被自动移出白名单,可以在列表右侧操作栏,单击编辑,对需要操作的 IP 的终止时间和日期进行修改。