威胁情报在重保场景下的实战价值原创

好的，那我们今天的公开课就正式开始了。在线的各位朋友大家晚上好，我是主持人赵思雨，非常欢迎大家来到由腾讯安全、腾讯产业互联网学堂联合举办的重宝主题公开课。大家知道，在重保的场景下，如何保障安全，万无一失，是许多企业最关心的事情。对此，腾讯安全推出了重宝系列的公开课，为大家分享我们腾讯安全20多年来黑灰产对抗的实战经验。那今天呢，是公开课的第一期，我们的主题是威胁情报在安全重保场景下的最佳实践。今天，我们有幸请到了腾讯安全的三位技术专家。啊，分别是腾讯安全威胁情报技术专家小燕山。云防火墙的技术负责人林志新和腾讯安全wap技术专家马子阳，他们将分别从威胁情报、云防火墙和wap的角度进行经验分享，为在线的各位在重保期间如何系统有效的防护云上资产提出他们的解决之道。

进而呢，增强我们企业业务风险的防御能力，使之更好的来应对云原生时代下愈发严峻的网络安全困境。那在交流的这个过程中，也欢迎大家啊，在评论区和我们不断的互动留言，那后面我们也会安排为您做专门的解答。首先呢，就让我们来欢迎第一位老师，腾讯安全的资深威胁情报技术专家夏燕山，给我们带来他的议题，威胁情报在重保场景下的最佳实践能力，那现场交给燕山。嗯，好的，嗯，线上的各位朋友大家晚上好。我是腾讯安全物业情报的小燕山。前几期的话给大家带来了威胁，情报在挖。

物业情报在做。物业情报在NDR场景下的最佳实践。那么今天呢？同样给大家分享一下威胁情报在重保场景下的最佳实践。对于安全人员的你，或者是对于参与重保期间的一些企业，那么呃，大家可能都听说过中保，或许现在的你已经在开始准备了。那么在重保期间，我们最主要关注哪些东西，以及我们在重保期间能够借助物业情报做哪些事情？那么下面我会给大家一一进行讲解。首先。先回顾一下2021年。腾讯安全威胁情报在期间做的一些事情。第一个是致敬守夜人。

记得非常清晰啊，就是去年大概在。三月四月份左右的时候，这个这个致敬人这个图片。似乎在朋友圈泛滥了，我觉得这个词已经非常，这个词致敬首页人是非常的形象。参与过中保的你多少有些感受。你可能在机房一呆就是一晚上，或许盯着你的屏幕一看也就是几个小时。这种是大家是普通人一般是不能够理解的，或许你能看几个通宵就是你的日常，所以说。守人这这几个词非常形象，那么致敬守人我觉得更好的体现了，在中期间呢，做安全的。那么围绕着这个致敬人，我们做了几件事情？第一个比较主要的事情就是共享。三四月份的时候，我们。

嗯，大概拉了几个，就是维护了几个微信群。大概可以看到我的这个右上角，每个群都有好几百人。然后在这个里面，我们能够共享我们，呃。男方所获得的一些信息。以及平常的一些日常的一些漏洞信息。甚至交流一些技术问题。那么在这个特殊时期，我们可以针对我们共享的信息。来。让大家。都避免再遭受同样的一次伤害。除了这个共享以外。那么腾讯对于每一位。呃，参与共享的人员也有，也会有丰厚的奖励，然后我中间的这个截图就是2021年的时候。对于参与到。参与到我们这个贡献活动中的一些积分的一些排名的一些奖励。

对于每个人呃献了之后，腾讯这边会进行一个工的进行确认，确认之后再进行一个呃分发，然后供大家进行一个使用。那么除了这些，还有日常的一些漏洞信息。还有一些关键的一些要素信息。然后再看一下这个，呃，致敬首页人这个IP报能力，这个也是针对于去年重保期间做了一个免费开放的一个功能。很多安全人员就是在重保期间，可能会进行很多IP或者IP的一些封禁。那么他也很担心。对于一些IP。进行一个误拦截。那么，所以。腾讯物业情报就针对这一点专门做了一个免费。开放的一个服务。所以说。去年的一个核心就是围绕着一个共共享。

这些信息同样都会在我们的群里面，嗯，进行一个及时的更新与分享。今年同样会类似，那么没有进群的小伙伴赶紧进群，然后关注一下今年的。动态信息。那么下面的话，呃，说到威胁情报，那么就从几个方面来介绍一下。那么，在重保期间，我们能够通过物业情报做哪些事情？首先我们要先了解一下物业情况。那物业情报都是基于一些威胁的一些数据，进行一些数据清洗整合，最后进行一系列的发。他最后的一个能力呈现，主要是分为四个维度。基础情报、风险监测、业务情报以及情报。

那么基础情报里面有出站URL，入站MD画像邮箱。依次给大家解释一下。什么是出站？就比方说一个企业，那么你的服务。肯定有大量的一些数据库啊，你的一些服务啊，你的一些业务。那么针对服务区区域的一些主动外联的这些行为是比较可疑的。除，除非是你的业务自己去这样特殊做的，正常情况下就是外联的这些行为都是非常可疑的，那么我们需要对他进行一些进行检测，那么这种流量就称为出流量。服区域互联网外部进的一个连接就成为。同样入向流量就是。互联网区域。对你的业务的一个访问。就是外道内的一个访问，那么这种流量统称为流量。

URL情报的话，它主要是指我们办公区。尤其是在办公区的一些上网场景的一些一个访问。MD5邮箱这些东西就不用说了。呃，IP画像的话，主要是针对于IP的一个应用场景的一个刻画，比方说这种I这个IP，它是在什么场景下用的，可能是一个CDN，也有可能是一个企业出口。也有可能是一个住宅，也有可能是一个基站等等这种这种。应用场景的一个刻画。那么对于邮箱来说，大概可以分为几个维度，比方说一些公共的一些邮箱啊，临时的一些邮箱啊，临时的邮箱就是。大概就是一次性的那种邮箱，通常使用之后。不会再二次使用了，那么这种邮箱的话，通常的话，对于自己的业务来说是没有很大的一个价值的，所以说针对此种邮箱的话，一般都是可以作为一个拦截。

那还有什么企业邮箱，校园邮箱，那通这些邮箱里面都会有一些恶意的邮箱在里面。尤其是在重保期间，通过邮箱这种钓鱼链接进来的。那么除了基础情报以外，还有风险情报、风险监测情报。还有业务情报，还有APP情报。风险情报的话，主要是针对于。主要是四个点，风险网站的一个监测，以及漏洞风险的一个监测，还有互联网暴露面的一个探测。以及企业安全指数的一个评估。那么呃，可能这种情分太多了，个简单一个比较形象的一个例子，就是说。我们现在有一个博物馆。呃，用户的这种资产呢，就相当于里面的这种文物。

呃，物外面呢，可能会有一些玻璃防护罩啊，也有可能会有一些隔离呀，有门有红外线器啊，这些东西它统可以，呃，就理解为我们的这种基础情报。对，每一个进来的这种。人员进行一个安全的一个检测。那么这些这种类型的这种情报，情报它其实发生在一个企业内部，也就是博物馆内部，在整个博物馆内部进行一个运转的。那么抛开博物馆这个内部说，那我们的我们的外围，比方说。整个博物馆的这个大门呢？围墙啊，像以前也有这种护城河呀，那这种的话可以理解为我们的风险监测情报，那这种情报其实是站在。整个博物的外围视视角来看这个问题，那么你整个你的暴露的风险有哪些，那么一些，呃。

文物盗窃的一些人，他。最容易通过哪些途径进来，那么可能对吧，比方说你的博物馆是露天的，那么从别人从天上的这种飞机直接直接直接飞下来，那这也是一种风险。那就是整个博物馆外围的这种暴露的这种风险。另外一个就是业务，这种业务种情报，那这种情报的话，其实就是脱离脱离整个博物馆，那么我们会从整个呃。整个互联网的这种视视角去分析这个企业或者这个博物馆的这个风险，比方说我们会在黑市里面，我们或者是从其他的一些暗网里面能够了解到这个博物馆有一些文物在已经被流失了，或者是有一些呃道他正在打你的这个博物馆的某些某个文物的这个主意了，那么你的风险指数可能会。

增加，那这种就是属于我们就从。整个博物馆的外围就是整个。脱离博物馆到整个博物馆的呃外围，以及到整个博物馆内部的一个运行的整个全方位的一个监控。那么情报就是，呃。这个呃，例子应该算比较形象的，就是基础情报，风险情报，业务情报，另外一个就是情报，情报的话，因为这次的这个重保的话。可能和关系不算非常密切。所以说。这次主要先介绍前面三种。那么前面说到我们的啊，这种情报，那么情报的话。呃，就是服务器外联的这种场景。主要有如下这些，比方说我们很容易一些挖矿的一些木马呀，网银，网银的一些木马呀，还有我们的一些密啊勒索呀，僵尸网络呀，以及我们的一些常规木马，尤其是这种挖矿现在是大面积的一些泛滥啊，对于这种内网视线的这种情报。

情报是可以直接进行发现的。那么在。重保期间，那这些情报，如果你发现如下情报。那么就说明你的内网其实已经实现了。那对于这种实践情报。我们首先要排除人为触发的这种因素，比方说我们内部自己主动去访问。然后再结合情报给的一些依据，以及它的历史发历史。所发生的一些恶意的一些行为，进行一个更深层次的一些分析。然后再进行一个溯源。那这种实现情报的话，主要是域名和IP。也就是说我们外联的IP和域名。以及MD5 MD5主要是针对于你的服务器区域里面的一些样本文件的一些静态的一个检测。

所以说如果说重保期间能够匹配上报的出战情报。那么。很可能红队就已经攻进来。另外一个就是入站方向的，入站方向的话，也就是互联网，也就是说按照那种。嗯，几个阶段来说，它其实还没有到达我们的这个服务器区域，那么它这种外围的这种扫爆破呀。呃，借助于代理秒这种这种的这种IP进行发起的一些攻击啊，还有什么C注入CS。还有我们的爬虫。常见的一些漏洞。利用。一些垃圾邮件这些东西，这些就像这些类型的这些攻击，都是在我们的入的这种阻能力里面。

那这种其实期间是用的最多。因为我们在通过情报发现这些I已经有过历史攻击行为，并不造成大面积的这误判。那么对，针对于这些类型的这个IP，我们求T求IP直接。那么在。那么在呃，重保期间。大多数也都是这些类型的IP，都是一些扫描爆破这些类型的，很多都是通过代理秒进代理秒类型的进来的。那么情报命中这些IP之后，都会给一些历史的一些攻击信息。来佐证他确实这个IP会有一些恶意的一些行为。

那么会给哪些信息呢？呃。有一些纰漏的。也就是历史上所攻击的发生过的一些行为，以及的一些IP，像行为就是我们前面介绍IP场景。以及它的一些基础信息。比如说地理位置，SN。以及它在互联网上的一些广热度等级还who is。以及。这个IP被哪些域名所解析到？这个IP暴露的端口和服务的信息？这些信息其实在对于呃，企业的一些产品来说，甚至是一些安全产品来说，它是。在日志展示的时候，能够有一个很好的一个关联度的一个展示。那么除了前面所提到的出站和入站的这两种精准直接做的情报，那么前面所提到两种，除了在重场景，普通场景下我们依旧可以使用。

因为它的准确度非常高的。那么呃在期间，那么除了前面所呃发生过攻击行为，也就是在情报捕获到的一些攻击行为的一些IP以外，那我们还能针对一些。符不符合自己业务特性的一些I进。比方说，对于。也就是说，对于这种比I访。如果说你的服务是一个HTTPHTTP的服务。比如你的，而且你的服务可能是购物啊。等等。的一些服务。那么你的用户群体可能就是一些人，那么这些人的话，可能他的一些IP属性可能就会在。可能就会在住宅。这些类型里面大面的一些覆盖，那么像V。

这些云上的服务器来说，如果说有这些类型的IP过来访问你，即使他以前没有发生过恶意攻击行为，那么这种类型我们是不是也可以进行阻断呢？那除了这种像暗网节点VPN攻击代理这些类型的话。即使他没有攻击行为，即使他以前没有在其他地方发生过入。等等扫描爆破这种行为，那么只要它符合这种IP的应用场景。我们在重保的一些场景下，依旧可以对它进行一个严格的管理。当然这个是要结合自己的业务特性来说的。所以此次呃，在重保期间，我们也会提供重保钱包。那这种情报包的话，可能就会覆盖。像代理秒拨以及扫描爆破这种有恶意攻击行为的。

以及没有恶意攻击行为的云厂商。idcps等IP的。一些情报的一些共享。那么前面的话我介绍到了IP画像的一个情报，那么还有U的情报，那么可能大家都会想到，就是说你刚提到了有挖矿网络等等。扫描包括等等的这些情报。但是我没有听到像黄赌毒。教育网站信息诈骗、虚假销售。这些类型的。这些类型的情报，我们又把它单独分出来了。因为这个情报的话，它其实不算是实现情报，也不会有这种情报的话，更多的是IP以及不更多的是域名以及URL。那这种的话，其实在实现场景下是很少的。那么这种情报的话，更多的应用场景是在我们的办公区的一个控制。

比方说你的办公区有人浏览浏览这些黄赌毒的一些网站。你的办公区有人访问了一些虚假销售一些容易诈骗，一些钓鱼的一些网站。下载了一些恶意的文件等等。那这种这种类型的话，其实在重保场景下也是。比较容，在中行业也是比较容易常见的，特别是像钓鱼啊这种。那么这种的话，我们就是会在请求URL阶段进行一个阻断。前面我们所提到的像IP域那种是I都是四阶行个那么种ul级是准。更精细。那么腾讯这边的话，针对UI级别能够提供到上百种标签。像我右边所取的这些，都是一些大类。

每种类型里面都会分若干个子类，所以说标签的管控也是非常的精细化。那除了URL能力，那么情报测还能够提供区报能力。这个也就是我们回顾2021年重保期间。免费提供的一个去污爆能力。那个能力在2021年期间重保期间共使用过上千次，近万近万个IC的这种批量查询。因为在重保期间，我们做四层主站的时候。很容易造成一些误判，特别是针对于CDN。对企业出口这种造成的误判的话，是非是比较严重的。所以说我们在进行联动封锁呀，或者是进行黑名单的这种配置的时候啊。也是要相对比较谨慎。

那么情报测就提供了这种去报能力。这里面不仅仅只是一些IP的一些白名单。他呃，还会有一些IP的一些属性。比方说CDN企业出口啊，以及互联网上的一些高广的一些IP，以及。这个IP的D析录是非可信呀，IP真率是较的。那这些的话，嗯，其实。都是可以作为一种白的一种属性，那么在这种的话，我们在。呃。去报的时候，我们会过整个生产流程。对于未知的这些IP，给出一个去，嗯，黑白的一个鉴定结果出来。域名也是类似。

那么除了去报这种能力以外，情报测还是还有一个非常。大的一个优势就是说。知多。因为对于情报，它是所有用户都共用一份情报。所以说，嗯。嗯，所以说，呃，针对于。情报的这种输入。呃，像腾讯云有云防火墙，云像等，还有我们C这些等的一些多元情报过来的，以及少部分的一些开情报，作为我们情报的一个生产。然后会应用到很多里面去。当某一单其实应情报的应用，应用方也是情报的一个生产方。那么情报的生产也会借助于这些安全设备的一些能力，所以说当比方说我们现在在防火墙发生的一个。

啊，非常高危的这种行为，情报捕获能够在分钟级别进行一个。对于情报使用者多单的一个联动防御。所以说它的响应速度非常快的。其实这也算是一个主动防御的这种这种这种情报。那除了这种主动防御以及多端联动的一个情报以外。情报。就是说在。用户使用的时候，对于一些呃阻的这些。IP或者是域名的这些情报都会提供非常详细，非常详细的这些信息，用来进行一个取证。甚至进行一个溯源。情报。社会提供到像。域名像注册信息啊，ICP备案和样本的通信啊，问下载包注册。

以及这些域名的解析记录啊，以及它和T组织的一些关联，关联信息啊，比方说它是属于哪有哪个团伙啊，它的TPS的手法是什么呀等这些西能够提供到，那么在使用情报的产品里面，在日志模块里面就能够很好的进行一个结。那就不会发现，不会发生，就是说。安全产品，或者是你使用过情报的一些用户。拦截了这个IP或者域名之后。你不明白你为什么进行拦截，你没有证据，那可能在你的这次流量里面是没有任何攻击行为的，所以说这可作为一个举证。另外一个就是呃，暴露面，另外一个就是暴露面的一个分析，这个其实就是嗯。前面所提到的就是。对于博物馆的外围的这种监测。

那暴露面的这种监测主要是通过几个维度，一个是资产的一个梳理，服务的梳理，风险的梳理。呃，对多维度的这个企业暴露面进行梳理。资产的话，像。嗯，主要是一些企业暴露的一些端口啊，服务组件以及协议。大家可以看到这个PPT里面，这社企业息产，大型的一些企业，它的服务，它的子子公司等等可能是非常多的，那么对于这些对外暴露的信息，它可能是。一是不全的，那么情报就很好的能够对于整个企业。暴露的一些信息进行一个全面的一个梳理。为什么要梳理这些东西？比方说员工的一些信息，他很可能在期间作为一个钓鱼的这种目标。

那么我们我们身边很多做安全的人员，特别是在中保期间。你的手机里面，以及你电子电子邮件里面那很多附件。有些职业敏感呢，是不敢打开的。就很容易钓鱼，那这些像一个企业的一些暴露的一些信息就是。攻击者的一个教育的一个目标。那么你暴露的这个资产也正是他们。所关注的这个弱点的这个资产，那么。那么攻击者。能够攻击到一个企业内部，正式通过暴露在外面的这些资产啊，进去进去的，然后进行一个横向的一个扩散。那么这个资产的梳理，除了域名IP、小程序、服务号、公众号域名等等。啊，整个输入的这个过程，其实就需只需要企业的这个名称，或者是企业的这个主域名。

我们就能够把整个企业。它暴露在外面的这种。资产呢，进行一个全面的一个梳理。另外一个就是信息泄露的这种监测。那腾讯的话，呃，结合了那个海量的这种安全经验，大数据技术，AI的这种智能算法。打了这个腾讯安全物业报的这种信息监测的这个系统。那么我们可以针对于呃，整个企业暴露在暗网文档库get up。以及TG。还有文库等多方面的。这个信息泄露。进行一个持续的监测和发现。其中包括我们的一些敏感的代码呀。呃，公司员工的一些，呃，邮箱姓名手机号啊。嗯，员工的一些信息啊，以及你这个公司的一些客户信息啊，公司的一些经营数据啊，这些东西进行一个持续的经营监测，如果说有常，我们会及时告知给客户。

我们呃，会直接通过小程序以及服务号的这种方式。那么这种我们的监测手段。嗯，刚刚也提到了，有比较多。就是。的这种监测。那么呃，非常有必要的，那么前面我提到就是说在重保期间，你们首先应该关注哪些东西呢？像暴露面、信息泄露。这些是。嗯。应该是要。优先级放的比较高的，那么攻击人员很有可能就是通过你的外面所泄露的一些信息进行一些呃突破口的。那么所以说。我们可以借助情报能力发现整个企业的这些信息后，然后对内部的一些需要改善的一些地方进行一些加固。

另外一个就是呃，黑灰的这种监测。嗯，黑灰产的这个产业链应该是比较庞大的。那么这个地方的话，我们只提到是工具。像黑产的一些类别，工具的一些类别，我们会有下载注册呀，会有一些广告刷量啊，还有一些引流的一些工具啊。嗯，薅羊毛啊，嗯以及嗯打码呀，或者是呀。群控啊，多开呀。包啊，报啊，养号、盗号啊等等维度进行一个全面的收集。这个是针对于整个企业以及整个互联网态势的，所以说嗯。你肯定会想知道什么团伙用了哪些工具，针对于你这个企业做了哪些事情。

那么。情报可以从互联网的这种维度去收集到。有哪些黑灰工具？哪个进？着重着重的这种处理。这种黑产的这种工具都能够具体到和资产挂钩的。也就是说，比方说呃，某个APP，它针对于你的API接口有过操作，那么。是不是你可以针对于你的API的这种接口，这种API的这种接口进行一个全方面的一个加固呢。那么前面也是介绍到了我们的那个。业务业务的这种情报。那么2022年重宝的话，我们全全面推出了两个。一个是我们TX的情报社区。另外一个就是我们的无线情报小程序。

以前去年我们通过共享情报，都是通过在线文档以及里面的这种方式进行一个手工的这种收集，以及这种积分。积分的话，这种可能都是人工后面确认没有一个在线可视化的这种平台，那么今年的话全部我们都切到线上了。那么在中宝前，我们的这两个平台也会。我们群里的这些用户进行一个开放。那么呃，在重保期间可能。大家都遇到过，就是我们在机房里面可能是没有什么网络的。呃，我们就可以通过手机的这种小程序进行一个批量的这种查询。除了恶意。以及还会告诉你是否误报等等。这种。嗯，快速批量查询的这种功能。

同时我们可以支持将结果。导出为共享文档的这种方式进行一个协同的一个处理。另外一个就是我们的TX的这种情报社区即将。呃，进行发布。到时候也会优先我们群里的这些用户进行一个免费的体验。那今年的话，我们所有的这种活动。会保持去年的一些奖励，以及去年的一些措施。但是我们今年是更透明。所有共享的这种情报都能够通过社区，能够通过小程序。一键触达，一键发送。甚至是一键下载使用。嗯，除了我们共享情报以外，那么在重保期间。腾讯这边还会提供重宝情报包，里面包含有一些每天我们支持分钟级别的这种。

每天的这种比较活跃的这些I域进行。免费的共享。所以说嗯，对于做安全的你，以及。需要参与到里面的一些企业。快速进到群里面来，然后就是嗯。到时候也会可以给大家答疑啊，共享啊。也会给大家发最新的这种。通知。那么嗯。因为这因为今天的分享大概有三场，所以说呃，今天的话针对情报的。能力生产方面。暂时不做讲解，后面的话再有机会再给大家分享，那么物业情报这边我就先给大家分享这么多，后面大家有什么问题。

啊，在我们。几个？讲完之后再统一做答疑，好，下面加个主持人。好的，非常感谢燕山的精彩分享啊。那听了他的分享呢，也让我非常有感慨。腾讯安全的情报在互联网的威胁监测服务，互联网的数据资产泄露的监测，包括回灰产工具动向的监测方面，已经积累了非常丰富的成功经验。尤其在重保的场景下，可以提供事前、事中、事后全流程的重保支持。依托腾讯在云管端以及业务侧积累的安全产品和数据，我们的情报建立了扎实的情报生产基础。可以协助各个行业的客户在您的重保期间实现对事前攻击面的评估、事中情报的支持以及事后追踪和溯源。

啊，那情报我们聊到这里，那接下来呢，我们来欢迎云防火墙的技术负责人，也是腾讯安全的颜值担当林志新，给我们带来第二个议题，防火墙在重保场景下的最佳实践能力。有请志新。好好，谢谢主持人啊，大家好，晚上好，那个很高兴可以跟大家一起做这次分享哈，我是来自腾讯云防火墙的林志新，那我们今天呢，会分成四个部分来展开，首先呢，我们先了解一下我们的云防火墙。云防火墙呢，就是其实跟传统的防火墙也是比较类似的，就是处在一个网络边界上的一个呃安全的防护设备，可以说是那个安全的第一道防线，那我们跟呃跟传统的防火墙会有一些不一样的地方，就是云上的话，它是一个虚拟的网络边界，它不像IDC机房，它有一个物理的网络边界，那我们这里的网络边界就会包含啊，比如说像负载均衡nat网关啊，还有因为云上的这种便利性，会导致我们的那个公网IP特别多。

啊，所以这里就是EIP的这种边界，在云上的话会特别常见啊，当然在这上面的这个安全风险也是最常见的，那另外一个就是说，当我们在VPCVPC之间，或者VPC到IDC之间呢，也会存在一种专线的这种场景。OK。那我们的防火墙就是主要是覆盖到我们的这些所有的边界啊，互联网边界防火墙就相当于是说我们会给所有的啊那些EIP啊CB或者nap提供统一的这种互联网边界的防护，那么nat边界的话就是可以啊，我们其实是可以在呃也也首先它具备了nat网关的功能，然后呢，也可以跟nat网关进行联动，那么就可以提供比如说我们从啊私网IP访问互联网的情况下，我们提供一种主动外联的这种安全防护能力。那么另外一个就是VPC间防火墙，就是用来解决VPC与VBC之间，或者VPC到IDC之间的这种啊，这种互通的这样的一个边界，那除此之外呢，我们其实还推出了一种企业安全组，企业安全组就是说其实我们啊，当资产这种特别多了以后，其实就会发现我们的安全组的维护是不可控的，那我们企业安全组就相当于说提供了一种五元组的配置方式，那么同时呃同时呢，也会提供比如说像这种呃，安全组没有的那种啊，命中日志，还有流量日志的功能，就是可以大大简化我们的那个安全组的配置。

啊，那么在呃，防火墙呢，它是一种啊SARS化的部署，所以其实在云上我们使用这个这样的一个软件的话，其实基本上在一到两分钟之内就可以完成所有的部署操作，所以也是一种比较简便的一种方式啊。嗯，OK，那在我们啊过去做呃这个产品的过程当中，其实我们也跟很多客户做了一些深入的交流，那么在云上的话，我们其实最常见的一些业务痛点啊，我们也进行了一些梳理，比如说啊，最常见的就是云上的资产其实特别多，就是就像刚才说的就是EIP特别多啊，那还有一种就是主动外联，就是我们其实也看不到，也管不住啊，那还有一种就是当我们啊有一台主机实现了以后，那么它往往就会在我们的内网里面进行进行横向移动。

啊，那么这种场景下，其实我们目前也没有一种比较好的方式进行防御啊，那第四个点就是即使我们上了一些防御设备，可能也会出现说告警特别多，那么我们总是去被动的去防御它啊，那么其实也会耽误我们大量的一个工作时间。啊，然后除了这种业务的痛点以外呢，还有一些就是说我们云上其实最常见的一些，呃，攻击事件，其实主要还是挖矿勒索啊，那这些的话，主要攻击进来的这些手段呢，主要也是比较常见，就是有大概有50%都是通过做口令爆破进来的，那么另外有50%可能就会通过一系列的啊，就是word组件的漏洞，比如像tru screen，或者是log for two这样的一些组件攻击进来的。啊，那针对这些问题，就是说我们如何去系统性的去防护。OK，我们首先从一个杀伤链的这样的一个角度来看我们这个防火墙在这个当中能够起到的作用啊，那么在侦查和扫描阶段的话，其实防火墙这个地方就是可以帮咱们去提供一个一键梳理咱们所有的暴露面，然后呢，对暴露面这个地方进行收敛，那么另外一个我们其实也会提供一些比较简便的acl，比如说我们可以针对比如封禁掉海外的IP。

啊，封禁掉一些VPS的或者一些云厂商的IP，因为这些都是一些工具最喜欢使用的一些IP资源啊，那么在武器投递还有漏洞，利用工具安装这方面的话，我们其实也会有一些IPS啊，虚拟补丁，还有网络密罐啊这些呃功能去进行防御，那么当我们呃。到了c two连接或者横向移动，还有数据外传这个阶段呢，我们主动外联。呃，防御主动外联的，还有一些东西向流量管控的功能进行防御，接下来我会啊，按照这几个点逐步去展开。啊，第一个。那我们在重保期间，其实第一步要做的事情啊，那首先肯定就是我们要把我们的资产要搞清楚，就是有哪些暴露在外面，那么呃，首先有多少个暴多少个资产，那暴露了有多少是有公网IP暴露在外面的，那么他他们的组件是什么运行的什么服务，这些服务是不是有漏洞，那么在我们的资产中心这个页面，就相当于说可以给用户提供一种啊。

一个全局的视角来查看这些资产的暴露，并且我们也会提供相应的这种修复建议，然后呢，去配置一些AC，或者去开启一些功能去做一个缓解，那另外一个呢，就是说我们还会提供一个呃资产的分组功能，基于这个资产的分组功能，我们可以呃更加高效的配置我们的AC。啊就呃，以及可以还可以去做一些流量的可视化这样的一些呃。这些功能。啊，那另外一个就是说，嗯，就像刚才说的，就是因为云上的便利那很多，并且很多人可能都会有权现在云上去购买这些资产，所以我们也提供了这种，当然有资产变更或者新增一些暴露面的时候，就可以直接推微信短信告警给您，然后呢，你就可以去做进一步的这个这个处理。所以第一步就是说我们要先把这个资产梳理清楚，那么第二步的话就可以开启开关，其实因为对于呃，防火墙是一种SaaS类的这种产品，所以呢，我们其实只要轻松的点一些开关，就可以把这些功能都打开，那我们的IPS功能以及我们的那个呃，就是当然开开了开关以后，我们就可以置配置各种各样的，比如说四到七层的这种AC。

啊，那么在重保期间的话，因为其实呃，漏洞利用也是一种攻击者最常用的方式，所以呢，在重保期间我们也基本上会在啊。短时间内就会把发现的这些漏洞，然后形成规则立刻发布到啊，那个我们的这个这个防火墙里面，那么咱们的防守人员其实也不用做太多的事情啊，就我们就会自动去做这些发布。OK。那么在一般情况下，其实呃，开启这两步就能满足我们大部分的这种啊防护需求，但是在重保期间肯定是远远不够的，所以其实我们还提供了一种严格模式的这种入侵检测，就是我们前面讲的这种入侵防御，其实是基于会话的拦截，也就是说我们需要发现这这条会话期间它有一些恶意的流量，我们把它阻断掉，那么在严格模式下，我们就不只是阻断会话，我们会把这个IP也直接进行拦截，那这个IP会采用阶梯的方式去拦截，比如说一开始第一次攻击我们拦截半个小时，第二次一。

一个小时。第三次六个小时，第四次一天，这样的方式就是接替的方式去拉黑。啊，还有就是嗯，第四步就是我们还会集成到我们的一个重的威胁情报，这个就是刚才那个燕山老师讲的，就是我们会把呃，这个众包的这种威胁情报，然后呢，一键打包到我们的产品里面啊，咱们这边呢，只要需要开启一个开关，然后就可以啊，自动去就是就就会自动获得我们每天啊一天可能会有多次的这种情报的更新下来，然后当这些情报的。其实情报往往都是一些攻击者的IP，或者是一些啊，就是我们通过一些防守队提供过来的，就是共建的一种方式提供过来的，那么这样的话，其实我们也可以就是不用做太多的事情，就可以享受到我们这种呃，拦截红队IP的这样的一个一个需求啊，那其实在去年的话，我们其实已经接入了这个情报，但是呢，今年我们更进一步，就相当于说把这个功能呢，就打包成了一个。

就打包成了一个能力，就只咱们只要轻轻的开启一个开关就可以就可以利用了，就就可使用这个功能。啊，当然，呃，这里额外补充一下，就是我们其实还可以在这个页面上面，我们也可以去提供啊提交，比如说我们认为的一些啊，攻击者的IP啊，也可以一起参与到我们的这个情报共享计划里面来。OK。第五步就是。还有一个点就是我们刚才讲的，其实大部分的攻击呢，其实都是来自于啊爆破，还有一些外部组件的这种漏洞攻击啊，比如说像呃过去几年的重保过程当中，其实我们会发现像堡垒机或者SSOVPN，或者是呃一些OA类的系统，或者是一些嗯email的这种系统，其实是一个被攻击的一个重灾区啊，所以我们其实针对这种产品呢，我们也提供了一种啊零信任防护的一种方案。

啊，就是。好，接下来我可以先从一个呃。SSH和RDP的这种先展开就相当于说，呃，SSH和RDP，其实因为在远程办公比较普及的情况下，其实我们经常会不得已要把它放到公网上面，但是放到公网上面就会受受到大量的爆破啊，那么其实防止爆破的最好方法就是我们。不暴露在公网上面，所以利用防火墙其实可以很简单就可以达到这一点，就是说我们可以把223389账户全部封禁掉，但是我们又如何去解决，就是说我们自己的员工去访问他的，所以我们引入了这样的一种方式，相当于说。咱们去访问这些SSH的时候，嗯呃，咱们只要SSH到我们的这个，呃呃cfw.cs.com这样的一个域名，我们就会给你弹出一个二维码，在命令行下面弹出来的，那如果是RDP的话，那其实也可以远程到这个上面来。

然后我们可以扫这个二维码，扫这个二维码的话，我们的手机上面就会调出我们的小程序，小程序就可以看到啊，您这边这个微信号啊，对应有哪些资产的权限，那这些资产的权限就是在我们在这个页面上面可以进行配置的。呃，那如果有权限的话，您这边只要点一下这个资产，我们就可以自动进行回连，那么就可以达到了一种零信任防护的一种方式啊，那这样的话，其实呃，我。呃，这这种方式的情况下，其实我们防火墙也会自动去帮您添加一条把223389都封禁的一条规则，那你这边只要通过我们的域名来访问就可以啊，有效的解决这个被爆破的问题，OK，这是第一个点，那么第二个点就是一个web。Web类的这种防护，那么一样的，其实我们也引入了一种这种扫码的方式，就是如果咱们是在PC浏览器访问的话，那么我们就会弹出一个呃，微信的这种扫描二维码的这样一种一个页面，那其实这里我们现在可以支持企业微信和微信两种身份方式啊，那如果只是在咱们是在企微或者是在微信的浏览器打开的话，那么其实就不用扫码，因为我们可以自动去获取到。

啊，这个您的身份，然后呢，就跟我们这个后台的这个身份去进行匹配，那么如果通过哈，你就能够访问，那么通过这种方式，就相当于我们也是在前面预制了一道身份认证的一个关卡，那么只有认证通过的人才能够去访问啊，咱们这边的这个web系统，那么就可以有效的解决啊，一些攻击者它那个匿名来攻击的这种方式啊。那整个过程的话，包括SSH和RDP，还有这个web，我们其实都会提供全局的这个审计，那比如说像SSH和RDP，我们会对他的所有操控进行录屏，那对web的话，他的每一次这个request提交或者POS提交，我们都会进行记录。OK。啊，那另外一种就是说还有一种最常见的暴露就是数据库，就说云上的话，其实有好多种数据库，比如像MY啊，ES啊啊啊，那像这些数据库，其实它各自都会提供一套白名单的方式，以及一种公网访问的方式，那么这些方式的话，它散落在每一个产品里面，其实对于我们来说是很难管理的，那么利用我们的这个数据库管理，就相当于我们把所有的数据库资产，首先我们都会把它盘点出来。

然后呢，咱们可以在这个页面上面进行统一的配置白名单，就相当于说可以简化咱们啊整个数据库的管理，以及白名单的管理，然后这整个过程呢，一样我们也会提供全流程的审计。OK。那第六步就是说还是一个主动外联的问题，就是刚才我们也说了，其实主动外联在当前的这个上其实并没有一个很好的方式，所以通过防火墙就可以有效解决这个问题，我们通过互联网边界加nat防火墙的两种方式去可以有效的去管控啊咱们所有的外联的流量，然后进行啊，就是把可以把它可视出来，并且我们也可以对它去配相应的四到七层的AC。那么这里的话，其实我们也会在重保期间，我们是建议咱们可以将呃，流量机，还有我们的这个主动外联这个功能进行结合，然后呢，去配置白名单的方式，也就是说我们只允许特定的一些域名或者IP被访问，那么其他的一律都是拒绝的，这样的话也可以有效的去防止，比如说啊。

攻击，一旦攻击得手以后，他去回自己的C啊，这样的一种一种防护机制吧。第七步就是除了我们上述的这些呃，常规的防护以外，其实我们还会提供一种啊网络蜜罐的能力，那网络罐的话，它可以部署在啊互联网。暴露面上面也可以部署到内网里面，那么在互联网上面呢，我们也会提供各种各样的这种啊，镜像包括一些常见的OA ma有这样的，或者是一些数据库啊，那当然我们里边也会有集成一些啊，比较高端的这种溯源能力，就可以帮我们去，一旦有攻击者主动来攻击的话，我也能够溯源到他的一些机器。

啊，那放到内网的话，就相当于说一旦攻击者他在得手了一台机器以后，他一定会去做一个横向的移动，那么在横向的移动过程当中。当我们的内网蜜罐部署到每一个网络当中的话。那么它。就会误采到这些啊内网的罐，然后我们就可以很快的去发现，就是我们实现了，那我们就可以去做进一步的隔离，就可以把这个资产进行隔离啊，那么这些的就是说其实在重保期间也是一个在近几年的这个重保期间，其实蜜罐也是一个特别有价值的一种啊网络产品。OK，那我这边的话，最佳实践大概可以分成这七个步骤，其实呃，我简单做一个总结，就是其实我们防火墙呢，它呃在云上的这种防火墙，它跟传统的防火墙还是会有一些些不一样，就是我们其实还会除了传统的这种al还有IPS功能以外，我们其实还会有很多管理的能力，那么这个管理的能力其实我们可以用一种比较形象的一种来比喻，就比如说我们其实是在帮用户去构建一道虚拟的城墙，那么我们要做的第一件事情呢，就是要去看这个城墙上面有多少个门，这个门上面是不是有漏洞，然后这些门的用途是什么，就比如说这些门，有些门它是面向于我们的那个公众的，有些门可能是面向于我们的企业员工的，那么针对于比如说公众的这些门呢，我们就会去检查说啊这些。

首先这些来访问的这些人是不在我们的黑名单里面，比如说在我们的威胁情报里面，或者是说他身上带了一些违禁的物品，违啊，我们就会把它拦掉，不让他进来。那么针对员工的这个门呢，我们就相当于说要对他的身份进行校验，比如说你的微信身份，或者是企业微信身份是什么？只有满足我这个权限的，你才可以访问进来，那么对于比如说除了这个外部的这个权限以后，我们对于内部我们还会进行划分分区，比如说游客区还是员工区，那么游客区和员工区我们会通过VPC防火墙进行隔离，那。那游客区和人工区呢，我们也都可以放置一些。

蜜罐陷阱，那就是防止有一些人在啊到处游荡，收集情报，那么在这种场景下，他因为误采蜜罐，他就被我们给捕获到。OK，大概是这个样子。好，谢谢大家，那我今天的分享就到此为止，现在嗯，主持人。啊，非常感谢志新哥的分享啊，的确重保期间的安全体。安全挑战是层层加码的，那通过安全防护手段来确保我们零安全事件以及零损失，是每一个企业最最关注的问题。云防火墙呢？作为云上安全的第一道防线，那在重保场景下，可以实现自动梳理云上资产，智能分组管理，并通过开启重保专项的威胁情报，让我们的黑客无处藏匿。那接下来呢，我们来欢迎腾讯安全wap技术专家马子阳给我们带来第三个议题，Wa在重磅场景下最佳实践能力。

那现场就交给子阳。好的，谢谢主持人。呃，各位在场的呃小伙伴好，然后也谢谢刚才来自燕山还有之心的一个分享，我是来自W的一个SOW的马启航，下面我来为大家带来一个来自W在攻防演练中的一个最佳实践。那今天我主要会分五个模块，五个章节来说说。第一个，首先我们来说一下来自于攻防演练的简介，还有特点，第二个是来自于攻防的一个，攻防双方的一个视角，以及外部应用安全对抗的一个趋势。第三个我们说为什么我们的一个攻防演练中需要和第四个我会介绍一下在攻防演练中的一些最佳实践。下面来说一下攻防演练的一些简介和特点吧，就是呃，攻防演练的话，其实它的一个。

特点是比较明显的，第一个它是来自真枪实弹的一些攻防演练，就比如说它所使用的一些攻击手段，还有一些来自于他的一些攻击特点，都是攻击对象都是来自真实的，在我们的网络空间中存在的，他们使用的技术手段，基本上都是说我一个漏洞的一个利用的配漏就打过来的。第二点呢，是说他当前的一个时间会比较紧凑，他一个攻防演练的一个周期，基本上一般是维持在时间三周。然后第三点就是说攻击者的攻击手段它是非常多的，它的变化速度也非常快，很多时候就比如说像是在一些呃攻防演练中，他可能就突突生了很多一些新的漏洞出来。还有一些击者会利用一些渗透啊，或者水坑攻击。还有第四点就是说攻击者会尽可能的去混淆自己的流量，然后去做到一个流量隐蔽的特点，但是因为它是一个攻防演练嘛，它也是目标，是对着靶标来进行一个攻击的，所以说他们的所有的目的都是以靶标为核心的。

那么就下面就简单说一下来自攻防视角下的一个攻防演练及外部应用安全对抗的一个趋势。呃。那么先来说说攻防演练，攻式第一位先来说说攻击方的一个特点啊，其实在攻击方里面，攻防演练中，其实攻击方只关注了两点。也是得分中的那两点，第一个是权限，第二点就是数据，权限呢又分为两种，一种是来自于啊，我们常为常所说的一个叫系统权限，另外一个来自应用权限，就比如说这个用户是不是管理员。然后啊，第二点就是来自于数据，数据这一块一般是来自于一些敏感的身份数据信息，就比如说是啊手机号，身份证还有址，因为刚才我们也说到一点，就是说在攻防演练的过程中，它的时间是比较紧迫的，一般就只有三周，因此在攻防演练的过程中，攻击队，攻击方会大量的使用自动化工具以及商业的IP代理工具进行一个。

相关的探测及绕过，并且他们会使用一些来自就是直接使用一些外部应用攻击常规外部用漏洞对我们的一些网站进行扫描，另二个它会用大量的一个自动化的一个扫描工具，第三个它会使用大量一些零啊或者N的一些攻击手段对它进行一个攻击，第四个因为攻击者需要发现一些敏感的A之后他可能发生我们有对应的防护手段了，那么攻击者可能会针对对应业务的API进对一个发。然后尝试去绕过这种安全防护，第五点就是说攻击者会尝试利用小号注册一些账号去混淆视听，第六点是说攻击者会尝试利用一些商业化的代理秒手段去变换IP同去。让防护防守方去说，我对他进行不停的一个IP的一个封堵，然后还有一些就是最常见的一些弱口令啊，类似于登陆爆破，还有于互联网暴露面，就比如说。

房间信息啊，如果说互联网资产意外暴露啊，然后去扩大他们攻击面。还有一些是来自于那么。在这个情况下，就是我们防守方其实相对是比较被动，我们就遇到了一些选择上的一个问题啊，就比如说我们究竟是保业务还是应该是保安全呢？其实呃，小孩子才有选择，在我们的攻防演练中，我们其实两个都是需要的，那么为了我们要把两个东西都同时要兼顾起来。那么我们就要说，我们从攻击流量的对抗，就要演化成为对抗到恶意流量。那么呃，我们为什么要从呃空气流量对抗演化到A流量对抗，这就是和我们现在一个应用安全治理的现状是有一定的一个关联的。第一点是说我们安全治理用个源软件，其实越就比如我们上下用软件，利用一些类似于two fastt，又好像是前一段时间那个spring。

我们应用的越开，软件用的越多，然后我们引用的开软件越来越多，然后他们突然爆发出来漏洞也会越来越多，这时候我们发现说我们原来一开始只需要关注是我们系统漏洞，现在我们在应用安全的治理上面，我要需要关注上下游，上下游的一些漏洞。第二点，我们现在是越来越云原生化了，云原生环境给我们带来很大的便捷，同时也会带来很多的配置上的问题，就比如说如果说有一些云生环境，它配置不就可能说啊会有一些风险，就比如说容器逃逸A配置不文件，然后执行。然后我们在应用安全治理中，我们现在也在不断的推行说应应用安全移这个概念，虽然说我们加入了很多来自于STDST这种相关安全主移能力，这部分的安全主移能力，它是收敛了基础安全方面的漏洞，但是也不可避免的会将攻，会将攻击者的视线会转移到呃，业务逻辑漏洞与数据逻辑漏洞这一方面来，这也回归到我们刚才那一点，在攻防演练中的得分项权限和数据这两点。

就是很多的业务逻辑漏洞，API漏洞，越权漏洞就会因此就被攻击部挖掘出来了，还有一点第四点就是多端接入，我们现在很多很方便，就比如刚才两位专家也说到了，我们可以通过小程序，我们可以通过一些手机客户端去把一些啊最快信息去把它给接入进来。那么其实这样带一个风险，就是说我们越但是个端护能力其实不一致，比如说有的A可能客端一力其实比较么时成是攻击者能去伪造端上的一个防护能力，去进行一个伪装。

还有最后第五点就是说我们现在应用安全里面，技术安全里面其实有很多的业务攻击，它是基于一个业务攻击流量的，就比如说它会针对单独一个一攻防击。就会导致，导致说我们会面对。我们会发现呃，很多安全运营时候，我们就会呃发现说在不断的一个流量攻击增加一个情况下，我们的安全运营成本会逐步的增加，然后安全运营的规则需要快速的迭代更新，去应对攻击者的一些手段。那么在这种情况下，我们的一个防水方的策略通常是有三种方向的，第一种是被动防护，就是一种叫做躺平防护，我只靠设备去做，不增加额外防护，也不收敛攻击面，这种是比较容易被人得分的。还有一种呢，是比较极端的防护，一个就是说把一些非重要的业务系统全部下线。

然后有些是狂疯狂的一个疯IP，说杀1000也不放过一个，还有一些把一些边缘化的业务就已经下线了，只保留核心的一个靶标。当然了，我们这边比较推崇的是说做一个比较极的一个护策略，就比如说一些现有的安全的一个备策略进行调整，然后把一问策略收集啊，数据库还有系统进行加固，同时利用，就比如说刚才说云防火墙，对暴露在互联网上的一些资产。呃进行一个收敛，然后对一些现往资产进行一个呃清除，另外一个呢，我们需要说把一些口令啊，复杂化认证的MFA，就好像是刚才呃防火墙上面说到的一个零信任的一种方式，同时呢，我们要防，防止攻击者利用一些手段，就比如说类似于说啊口令爆破或者。这种手段。

还有最后一点就是说，我们也是现在最重要的一点，就是说我们要主动去识别A流量，并且机械进行对抗。那么就下面就来说一下为什么我们需要加这两种组合了，首先第一点其实在攻防演练中也是重要一点，就是说我们其实不仅仅只需要关注于业务基础安全这个能力啊，我们需要把基础安全和业务安全是共同结合。这样才能做的比较好，那就相来说说基础安全这一块，然后W这块其实是有两个呃，比较大的优势，第一个是说我们有个基础安全的基础规则，我们有些千锤百炼的AI引擎与引擎，以及特别牛逼的安全规则，以及对啊漏洞十分及时响应的一个虚拟补丁，就比如说像是在之前爆发的lo two这个漏洞，还有这个漏洞爆发之前其实已经可以防护了，并且爆发之后我们在极时间内就把规则给上上去。第二点就是我们有一个可以多端实现相同防护力度的一个啊处置措施，就比如说W可以同时配置不同端的接入，并且能提供相同力度的处置策略以及手段，就比如说我可以在端上，可以在浏览器端上实现，就比如说人机识别，如果是拦截这种。

处置措施第三点也是得益于威胁情报，就比如说呃报的一个呃行为管理的一个。行为管理中，然后他有一个客户端风险识别，一些安全这两个模块，他们可以及时去发现当前客户端的一些恶意信息，并且可以去发现说当前账号是不是有一个恶意的情况出现。同时可以说去分析他的一个呃访问行为，及时的去发现这种恶意的一些账号，以及相关的一个行为，保证我们的业务的数据安全，同时我们也借助了一些威胁情报的一些入账情报，就比如说我们可以通过入账情报快速的去发现说哪些恶意IP是经常用来做来用做网络攻击的，哪些恶意IP经常是用来。

作为一个叫做账号爆破的。然后我们这样是可以化未知为已知，在降低恶意。访问源的风险，同时减少误报的发生。第四点就是我们可以对API安全还有业务数据进行针对性的防护，就是也是为什么一直在提说现在除了基础安全之外，要对业务安全做一个相对应的结合。因为我们现在很多业务数据都是你。融合到了API上，那么我们这时候就要去防止API，这一个就显得尤为重要了，这时候我们通过boss行为管理，对攻击者的流量进行一个治理，防止攻击者恶意的对API进行放，这时候们就可以保障。我们的API请求正常的同时去阻隔攻击的信息。

并且我们可以知道说当前异常访问者的行为特征信息。呃，去快速的去发现是否存在业务漏洞，保障业务和数据安全，最后一点也是最省型的，最省心的一点就是行为管理有一个大一点，就是说能把有恶意流量定性，并且分级分类的进行一个处置。首先第1.for行为管理，它能对恶意流量进行一个识别呃以及定性的分类，以及可以灌呃，快速管理处事一个流程，实际上对恶意流量的一个快速的一个管理，并且能针对性的对恶意流量的绕过进行自动化的一个处置。从而去减少说安全运营成本以及业务安全运营成本。那么B加BOT他们是怎么样去对抗恶意流量的话，它其实是一个多维度多多层次下的一个体系化的去对抗恶意流量，第一个是一个分时，一个安全能力，我们有一个千锤百炼的一些安全规则，有很多安全引擎在里面，有一个七十二七乘24小时的一个呃，虚拟安全补丁。

另外一个就是我们的一个风险识别能力，我们有来自腾讯安全的威胁情报，然后有意IP画像，然后很多人都在用，并且特别准确，能把一些未知的风险转化成为已知的呃策略，然后去快速去阻隔它。同时我们还有一个呃智能分析，大数据分析这个能力。然后大数据分析能力其实更重要一点，就是说在供方研究中，也是最重要一点，就是我们可以及时去发现有哪些账号，哪些IP，哪些访问员是发生这些恶意的一个呃访问行为的，然后我们就可以对他进行快速处置，并且可以在后面的一个审计溯源的环节中快速去进行一个。呃，快速进行一个溯源，并且啊得分。

呃。所以就是啊，最后又回到这一点，就是为什么要选择W加了，其实。加这个组合，其实说我们就是把基础安全和应用安全这两个组合很好的结合起来，通过加组合我们可以实现说权限和数据两双重的一个安全防护。这样我们就可以说，我们让我们的攻防演练的一个防护就做得更好。呃，下面就来说说在攻防演练期间的一些最佳，首先就是呃，重中之重就是我们需要，因为是一个需要接入产品，它能连接云上云下的一些流量。然后我们第一步就是要接入我们的一个网站的域名。进入网站域名之后，我们要开启对应的开关。开启W开关之后，我们就能通过一个规则引擎去识别恶意的攻击流量，这样子我们能快速去保证我们的网站的基础安全。第二点我们要开启我们的BOT行为管理这个开关，T开关，我们开启boot管理开关之后，我们就有了一些来自检测客户端风险检测能力，快速识别说当前的客户端是不是有问题的。

同时有一些安全威胁情报能力，就比如说去识别当前的一个访问员，他是不是来自威胁情报IP，它是不是来自代秒IP，或者是不是来自攻击的IP，第三点我们有智能分析。啊，去快速识别说当前的访问员，当前的会话行为里面是不是一个有异常行为的会话，让我们发现行为会话就可以实现快速封信，我们通过这三个维度，多维立体去发现这种攻击者的一些异常的一个访问行为，以及绕过行为，可以快速去确保我们的数据的安全以及权限安全。最后一点就是也要开启另外一个开关，就是一个访问日志的开关，为什么要开启访问日志开关，其实就是重要一点，就是说我们可以通过访问日志提供一个全域名流量的一个访问流量，然后我们可以通过它进行一个审计溯源，并且可以找到说一些啊攻击者意外泄信息。

宫颈意外设信息，以供我们最后进行一个反制。那么第二步哦，我们在开启W开关之后，我们第二步要做的是说，我们要对基础安全进行加固，防范于未然，第一点就是我们把我们的规则拦截等级设置为超严格。超元格模式其实适用于我们的攻防演练模式。他们是专为攻防演练而生的，它有更强的防护力度，以及更范围更广的一个虚拟补丁的一个策略。第二步，我们要打开我们的恶意文件检测，然后这样的话我们就能有效去识别出来需要这些信息。第三步，我们要开启我们的AI引擎。I引擎，我们的一个特别牛逼的一个地方，它能识别。

呃，一些未知的漏洞，也能说更能贴合业去发现一些来自业务上深层次的一些呃，防护漏洞，并且这AI引擎它是会自动的自的去升级，就比如说它会自动的去处理一些误报以及漏报这些情况。更好的去防护我们的网站，还有还有最后一个地方，就是说我们要开启我们的IP封禁，我们开启IP禁相对于是来说是一个比较动态的一个设置，就是攻击者在攻击多少次之后，它就能自动的去阻隔。攻击者的一个访问，那这个其实这个功能其实在我们重保场景下是比较有用处的，就比如说呃攻击者有很多时候他会对我们的网站进行一个连续的扫描，这时候我们就把IIP封禁给它开起来就能达到说呃攻击者攻击了几次之后，我认为说它就是一个异常的一个攻击行为，我们就能直接的去把这个IP给封堵了，而不用说像是在之前的攻防演练的过程中。

我们要去手动的去把这个IP。IP去把它添加到黑名单里面，这种的话相对是比较慢的。然后这里面其实就是刚才说一个一个小trick，就是说我们需要有一个比较好的一个安全规则，才能更好的去应对，同时要有一个比较好的一个，呃。方式去应对，就比如说我们需要有一些呃，虚拟补丁这一块，因为腾讯安全团队会提供七乘二小时的一些漏洞的一些情报信息，当这些高危漏洞爆发的时候，我们安全团队会对它进行一个及时更新，就算在攻防演练场景，我们有挖之候也能睡个安稳觉。另外一点呢，就是说我们的规则引擎也有十余年的安全经验积累，这样的话，在面对类似于lock for j two还有spring framework这种漏洞爆发的时候，我们的默认规则也是可以进行防护，这点就是说我们的一个AI引擎，它能防未知。

的一个攻击，更贴合业务，能实现更深度的一个智能防护。然后第三步了，第三步就是说在攻防演练过程中，我们要收缩我们的外部应用的暴露面，去减少攻击者可以攻击的攻击点，就比如说我们当前这个只有在比如说是一个来自广东地域。业务来的，它应该仅有广东地域可以访问，那么这时候我们就可以设置说，通过地域封禁的设置去配置说我只允许某个地域的一个IP的访问，这样的话我们的有效阻隔来自于异常IP的访问，就比如说呃，来自于一些ID啊，来自于一些呃国外的一些IP访问啊，来自于一些非业务地域的访问，这样的话能实现最好的一个暴露面收敛。

第二个就是说我们有一个访问控制的这个能力，我们通过配置一些访问控制，能够防止后台的接口被攻击者意外访问，就比如说啊，我们可以配置一下后台的路径，若非我们自己认证的客户。呃，用户其实不能访问的。这里面其实有一个科，呃有一个就是说我们防护必备的一个科，呃要点了就是我们在进行访问控制的时候，除了说我们要控制径以外，其实有很多细小的trick，就是呃技巧可以在配置上面的，在我们的各个攻防演练中是一个十分讨巧的，就比如说我们可以从中的一个请求参数请求径，Get参数啊参数啊者还有种进行合。然后说匹配，只有匹配上这些特征的用户，公网用户才能对我们的特定URL进行一个访问。

这样的话，我们面对各种互联网上的各种的一个攻击行为啊，或者说各种一个访问行为，我们都可以利用我们这些访问策略去灵活应对，组合出有针对性的一些规则，用来去阻断各类的一个攻击行为。第二个我们的一个处置动作其实要十分灵活，为什么是这么说呢？因为我们除了拦截这个动作之外，其实还有一些动作是十分有在工防演练中是十分有必要的，就比如说啊，我们可以把这个啊访问来源访问的一个信息重定向到我们的一些设备中，这样的话，我们可以把攻击者诱导到罐里面。这样的话，我们实现说除了防护被动防护以外，我们更能反制攻击者，从而去实现得分。第四步就是说我们也是刚才说一步，我们是如何去防护应用安全漏洞这一块，那这时候我们就说要配置一下boot行为管理，去发现异常的一个访问行为，第一步我们就要去配置我们的客户端风险模块，这个客户端风险模块其实特别牛逼，牛逼在哪？它第一个它能识别当前的一个，呃，浏览器访问端是不是一个真实的浏览器。

第二点，它能有效的去防止来自脚本的一个扫描行为，就比如说呃，正常的一些扫描器，它其实访问到，他没有办法通过客户端风险识别这个。这个模块就导致说他没有办法知道说我们网站后端究竟是长什么样，第三点它能有效去防止API重放，就比如有些攻击喜抓把这个A进行个放的，这个时我们识别就能的止进。然后下面一个模块就是也是必须要配置的，就是一个威情报，情报这个能力是一个化未知为已知的一个能力，这时我们知道说这个IP或这个访问员他之前做了什么事，我们就面对攻击的时候更加得心应手。

并且我们的威胁情报是利用于啊来自腾讯安全的威胁情报。这个。这个的话，它其实准确性会更高。还有我们还有第三步去配置一些智能统计以及AI评估这个模块。呃，访问这种统计AI评估这两个模块，其实更更多的是一些专家经验在包含在里面，它能更好的去辅助决策。辅助决策我们那个访问信息，并且对我们的访问员信息进行一个打分，从而去发现他的一些异常的一些风险行为，第四点，也是我们在一个攻防演练中最重要的一点就是一个动作设置，通过动作设置可以快速去。将一些恶意的一些行为。啊，进行一个分数的一个动态评估，就比如说我可以快速的去评估出来你当前这一个用户的一个访问行为是多少分，并且我可以设置在多少分的区间内去对他执行什么样的一个执行动作，就比如说在我们这个图里面的话，就是啊三到30分这个用户我们会对他进行一个人机识别。

这个处置动作。当然了，除了这种体系化的一个配置之外，就大体上的配置之外，我们还可以说呃，配置一些来自于报修管理的管理这个模块，通过管理配置这个模块，它可以细分出来说，哦，我当前一个IP下面它有多少个用户在这边同时去进行一个访问，并且他能在。进行处置动作的时候，会精准到某一个用户上，某一个会话用户上，这时候我们就能得出来一个什么结论呢？就是我们之前我们只知道说攻击者在这一个IP下面进行一个攻击，但是我们不知道攻击者是谁，而我们配置管理之后，我们能有效的知道说当前是谁在攻击我们，这个对我们的后期的审计溯源以及提交报告得分的时候会有比较好的一个帮助。

然后啊，除了说我们配置绘画管理以外，还有一个自定义绘画设置，自定绘画设置这里的话，其实说我们有足够高的一个颗粒度可以去配置，就比如说可以配置一些呃，定向处置的一些措施啊，就比如说拦截来自代理IP啊，威胁情报IP啊，以及配置一些防过一些呃措施。还有一点就是面对攻击者的时候，攻击者会往往会采用一说我去通过代理IP。进行一个多呃，换。快速变换IP的一种访问，这个时候我们就可以通过制定特征的这个会包含的IP去封堵攻击者的这种行为。阻止攻击者用。

代理IP，或者说是一些他们自己自建的一些，呃，代理IP进行一个访问。那么这里就是也说一说为什么要开报行为管理啊，这是一个小诀窍，就比如说我们需要和威胁情报进行一个联动，化未知为已知，第二个我们要识别客户端的一个风险程度。保护我们的一个访问型，访问终端都是可信的终端，这样的话我们的流量才会更加可信，也能更加的去对抗恶意的API攻击。第三点，我们的一个要配置一些智能分析模块，去识别当前攻击者的一些异常访问行为，及时的去处断有异常的一个访问行为。第四点我们需要一个更有精细化管控的，制定规则，能定向处置恶意流量，第五点就是一个会划跟踪审计一个能力，就是我们需要说一个能力去呃。去跟踪会话访问流，这样的话，我们后期在审计的时候更加得心应手。

并且能让恶意无所遁形。第六个，因为我们不可能说每个都给他设一个规则，这么麻烦这么烦躁去做，这时候我们需要一个恶意评估与动态制导能力，我们可以通过分数智能的评估恶意程度。通，从而去快速识别恶意流量以及其变体，提供动态处置的一些能力。就比如说像是呃下图这里的一个这个模块一样，它会显示出他当前的BOT的得分分布是怎么样，从而帮助我们快速的去把某一类攻击者进行一个聚类。第四点也是刚才访问控制上面所说到的说啊，需要有一个条件的一个。呃，多条的组合进行一个立体处置，对恶意的一些访问管控的就会更加精细了。第五步就是我们除了配置之外，我们还需要去快速的去分析恶意流量，那么我们恶意流量的话，其实有几点可以去可以去发现了，第一个我们要对当前恶意的一个网站的一个流量去进行一个动态化评估，就比如说当前恶意网站的恶意流量分布情况是怎么样的，就比如说啊，零到十分的到底分布是怎么样，十到100分的分布是怎么样，然后我们可以根据这个分布快速去处置恶意流量。第二个我们要清晰的知道说当前这些恶意异常的流量，他们访问的路径是哪里。

我们知道说啊，他这是为了让他们定期的频繁的去访问，就比如说一个呃。ID这样一个径的话，我们就知道说当前这个ID，它其实是不是就是会存在一个呃，可能被绕过的风险，或者说攻击者目前是针对这个ID card会对它进行一个数据获取。这时候我们就会对这一个恶意流量进行快速的定位，并且说啊快速发生攻击者使用的一个异常的一个技术特征点，说对它进行快速异常处置。第三个我们要知道说当前访问员的一个恶意程度一些评估，就比如说啊，有一个访问员来了，但是我们不知道说他当前的一个情况是怎么样，他用了什么技术，这时候我们就要说需要对这个访问员的一个基础访问信息做一个详细评估，这里包括一些基础访问信息，就比如说IP特征信息啊，就或者是说他当前访问的一些包括一些什么信，就比说他来自哪里。

它当前的一个访问的平均速度访问了多少个URL？它的请求特征是什么？它当前的访问源里面有没有包含危机情报信息？他当前的AI专家，AI里面会不会告诉你说哪个地方会有问题。这时候我们就需要一个特别详尽的恶意访问源的一个恶意程度评估这样的一个系统了。最后一步就是我们在发发现有攻击的时候，我们要对这些公司进行分析、审计及溯源。攻击其实分为三块，第一个是攻击日志，这些是已经发生的事情，我们已经拦截事情，那这时候我们可以通过攻击日志快速去发现这些异常的一些攻击流量，并对其进行针对性的防护。第二个是访问日志。

全量的日志的一个提供，就会对我们的一个当前访问请求的一个全链路，我们都可以进行一个跟踪审计，就比如说当前这个访问员，当前这个会话用户，他访问了哪些URL，对哪些URL发起了攻击，我们都可以做一个比较好的一个审计，如果说我们发现哪地方有异常，可以及时进行一个上报。帮助我们在攻防演练中啊更好的去不失分，多得分，第三个我们攻击者常常会伪造他当前的一个访问的一个信息，在我们的重或者攻防演练场景下，我们需要开启这个远端地址传递的这个功能，这个时候我们就能清楚知道说当前攻击者。啊的一个真实的访问端口是什么？从而我们能更好的知道说，呃。

知道知道当前者是在哪个地方，哪个端口发起来的，在最后我们进行一个溯源提交的时候。能提供更有利的依据，而不仅仅只是说我从这个IP上面知道他访问，但是我不知道这个IP上面是谁。好的，呃，我的就到这里了。哎，主持人。好的，非常感谢子阳的分享啊，那在子阳子阳分享的期间呢，我已经陆续收到了大家踊跃的提问，如果在线的朋友对刚才的分享有自己的问题啊，也欢迎随时在我们的直播间留言或者在我们的群里进行提问，我们会马上为您做线上的直接解答啊。陈如刚才子阳分享所言，随着我们web接口和应用的云化，那腾讯安全wa对于在重保期间会猛烈上升的这种攻击趋势，可以提供细力度的处置策略。

来保障重宝和常态下我们各种情景下业务的呃安全和数据的安全。啊，那接下来呢，我也整理了一些大家啊，留在我们留言和这个群里的提问，那下面呢，我就抽几个有代表性的来请我们的各位专家解答一下，那我们还是分不同的情景来，首先我们来看呃，情报的啊，那有第一个。呃呃，观众来提问，就是如果说。啊，我有其他的情报来源啊，这个问题听起来就财大气粗啊，如果我有其他的情报来源，那是否还可以再使用腾讯的威胁情报呢？我们有请燕山来解答一下。嗯，其他的情报来源不知道是什么情报啊，现在这个地方先说结论是肯定可以的。呃，腾讯这边其实在很早之前已经开始在做情报了，只是说我们。

前期主要是针对于呃。腾讯内部的一些产品，比方说防火墙，沃夫啊，还有御界索克啊，LV呀等等的一些腾讯内部的一些产品。那么由于后面我们战略的一个调整，从去年开始，我们也逐步的向外推广我们腾讯的这种情报能力。那腾讯的这种情报的。来源其实比较多啊。呃，我不知道你刚所说的情报来源是指其他厂商呢，还是说你说是外部的一些情报员，那么腾讯这边的情报其实有很多维度，比方说呃，我们腾讯内部资产的这种情报占比95%以上，然后跟还有外部的一些开源的一些情报。像推特呀，像外部的一些公众号啊，像一些微博呀等等啊啊像像什么UI啊等等啊。

外部的一些开销员情报我们其实都采了，但是呢，因为外部的这些情报员的可信度不算非常高，所以说我们会在这上面进行一很大的一部分过滤，最后才会落到我们的真正的一个情报里面去供大家进行一个使用。因为在非重报的场景下，情报的准确度还是比较重要的。嗯，所以说嗯，这里面只是开源情报的部分，那么除了开源情报，腾讯这边还会有C单。比方说像我们的呃，手管啊，电管呐，嗯等等对C端的一些应用，还有我们腾讯云上面的所有的流量，比方说啊防火墙啊，预计啊，他们技术使用方。也是我们的情报生产的这个提供方。所以说腾讯覆盖C和B。然后除了这些的话，呃，加上一些开源情报，甚至等等其他类型的一些情报，腾讯的整个情报员的话，可能多达几百种。

那么呃，比源头比较丰富，情报数据量比较比较多，那么最终生成的情报。呃经过了非常大一部分的这种过滤，来最后给大家进行一个使用，所以说呃情报的这种，呃腾讯的这种情报，不管是从数据量还是从这种情报的这种准确度上面来说，都已经是经有了呃比较长比较丰富的这种实践了。所以说肯定是可以使用的。主持人。嗯，非常感谢燕山的解答，那我们腾讯独有的这些情报员呢，也是我们在情报方面巨大的一个优势啊，那我们在接下来看第二个关于情报的问题啊，有观众提问呢，如果发现了情报有误报啊，那那情报告警的误报一般怎么分析，怎么去处理？

嗯，这个问题，呃，即使是腾讯的违约情报也不能说，呃就是说一定是没有误报的，任何一家厂商如果说自己的情报是没有误报的，那肯定是不正确的，只是说你的误报的这种比率是占比多少。这种问题，那么在重保期间啊，如果说发现了情报有误报，那么可以直接在我们的群里面进行反馈，有我的情报的啊这种。服务人员来给大家确认，那么确认的刚好这个地方也可以跟大家分享一下，那我们从哪些维度可以去判断一个呃IP或者说一个域名的这种情报的准确度，或怎么去鉴别这个误判？嗯，那就以域名为维度吧。嗯。情报生产的时候，那么肯定是有一些生产员进来，那这个生产除了开源，还有一些内部的一些。

安全产品的一些告警。那么以及你自己的通过算法呀，或者等等一些维度的这些。策略去进行一个生产，那么这是一部分证据，那么呃，这里面很大一部分证据就是说可以是通过样本规则进行过来的，比方说有没这个I，这个域名有没有和恶意样本进行通信。呃，大概分为四种维度，和恶意样本的访问关系，包含关系。呃，以及下载关系，以及这个样本上的一些，呃，呃，以及这个域名上的上面的一些URL等等的一些维度，那么并不是说有恶意样本去访问过这个域名，或者是这个域名这个有一些恶意样本里面包含过这个域，那么这个域名它一定是黑的，那么呃，通常的情况下，通过一些。呃，比率值来进行一些判断，还会像腾讯这边还会通过一些算法来对这个域名进行一些维度的一些判断，第一个所以说提到了，就是说和样本的关联关系。

那么除了这些，我们还可以去鉴别这个样本的这个域名的这种，呃，其他维度的一些信息，比方说这个域名是不是可以正常访问。那么除了如果说打开是一个正常的网站，那么如果说你的标签不是视线对吧。而且这些网站又是一些比较大众的一些非钓鱼类型网站，其实都可以直接可以看出来了，那打开这个域名，另外一个就是说和域名相关的一些信息，比方说这个域名的一些ICP备案。这个域名的一些呃，灰子信息等等，都可以作为我们域名的判别的一个依据，还有像域名的DNS解析信息。那这个域名，呃，它历史上解析的这些IP。

等等，都是可以作为一个关联的一个判别的这个依据。呃，除了这些以外，比方说互联网上的一些，这个针对于这个域名所访问的一些广度，那么在腾讯是可以涉及到的。那么比方说在互联网上，这个域名访问的太多。也就是说我们一天内有很多用户都针对于这个域名一个访问。那么呃，除正常情况下，除了挖矿类型的这种这种这种域名啊，呃，因为因为很多挖矿的这些域名，它的像S排名，像brand排名域名。其其实占比比较高的，那么并不是说像X排名以及umbrella或者是这种排名的这种域名我们一定是白的。不是这样的，里面呢，其实有很多都是有，呃，其实有很多矿池的一些域名，它的一些访问度都是比较高的，所以说。我们还是要根据威胁类型对它进行一个分类。

那正常场景下，除了挖矿等以黄一些域。正常下的一些C服务器互联网应该。就除了前面的类型，它的互联网的访问不应该很高，因为你的CU服务器正常只会给你下面的几个节点进行一个使用的，所以说互联网访问广度不会弥补到每天几千上万的这种IP进行一个访问，所以说这个也是作为一个判判大的一个依据。另外一个就是我刚刚提到的，像X排名，像m brand的排名也是可以作为一个判断依据的，但是我们是要分类也进行使用的，不是说我完全相信像S排名或M排名的前多少万，或者前10万，前20万，这种做法肯定不是那么准确。因为黄土也本身比较高。嗯，除了这些的话，嗯，等等还会有很多其他的一些维度，在情报生产里面有很多其他的一些维度，呃，这个地方就不一一讲解了，有兴趣的话可以再进群我们再详细交流。所以说呃，如何去发现误判，就是我们刚刚讲的几个维度，如果说你在中保期发行了误判，那么我们可以做到分钟级别的。

一个回复，一个确认，并且在群里面会给大家公布呃误报，让大家及时的去对自己的安全产品或者自己应用的场景做一些处置。嗯，好，谢谢主持人。好的，非常谢谢燕山耐心的讲解啊，也谢谢前面的观众的提问，呃，那同样还有一些关于防火墙的一些问题，这个要请志新哥来帮忙解答一下。啊，那首先第一个呢，有呃一位网友提问，就是防火墙在蜜罐命中后啊，应该怎么操作，那重保期间这种捕获攻击的行为会有什么具体的帮助啊，比较实际的一个问题。

嗯，好的，就是我们的蜜罐基本上还是会分为两种吧，就是互联网的蜜罐，其实我们还是很欢迎那个啊攻击来攻击的，那么在这个互联网的蜜罐里面，其实我们也集成了一些啊，这种追踪溯源的这种能力啊，高级能力就不只是那种常规的那种啊溯源。啊，那像这种场景下，我们其实是可以把一些攻击者的一些身份信息啊，都有，都有可能可以把它追踪上来，这是一种，那么在内网蜜罐的话，其实一旦被攻击的话，那其实这就是一个属于比较严重的事件，那么在这种情况下，我们推荐的就是我们的产品里面，其实是可以对这种属于谁来攻击这个蜜罐，那么我们可以对这些攻击来源进行隔离，就是相当于说我们会用一种。啊，比较严格的隔离方式，就是说啊。禁止它啊，去内网的这些机器去做横向移动这样的。这个是我们在蜜罐这个处置上面的一些建议。

OK，嗯嗯。好的，谢谢志新，那还有接下来一个问题啊，是关于呃，具体的一些啊，操作层面，比如防火墙在零星防护啊，怎么接入啊，同时这位客户看到了，就是控制台上是有web服务管理，数据库管理等等很多功能的，那么重保期间您推荐开启哪些功能呢？啊，其实就是首先我们还是会从这个资产的角度来看，就是我们资产中心还是可以帮用户来发现，就是说咱们有哪些是暴露在外面的，那比如说针对这种不同的暴露，我们会有不同的这种呃防护的方案啊，比如像这种远程运维，那么就是就是像刚才我们我们说的就是通过那种扫码来登录的这种方式。那如果是一些web应用，就是B应用，其实在中保期间确实是一个比较大的一个重灾区，但是他可能呃，就可能是说就是只是要面向于咱们的员工来开放的这种服务，那么其实我们是可以用企业微信的这种方式啊，那就通过企业微信的扫码啊，就认可的是我们企业身份的用户才能够访问，那么这样就可以有效的去杜绝啊，比如说在我们这种。

啊，重保期间有很多这种啊。偏门的这种外部应用可能有时候都在我们，就都在我们那个眼界之外的这些系统被攻击。OK。嗯，好的，嗯，感谢志新的回答。呃，那在外部层面呢，也有客户有相应的这个问题啊，那我们来看一下第一个呢，呃，有客户问针对于API有什么防护上的建议。这个让们子阳来回答一下，哎，好的，呃，这个针对API防护商建议，其实也是针对攻击者的一个防护手段嘛，第一个我们要对API防护的话，第一个我们在攻防演练中注用一点，就是说我们要防止攻击者对它进行一个重放。

那我们要防止攻击者对他进行重放的话，我们就需要说，呃，开启一些客户端可行的一些通道，就比如说开启行为管理模块下的一个客户端风险识别这个模块，这个时候我们就能有效的去防止攻击者去进行一个。API的一个数据重放，第二点呢，是说我们要去防护攻击者对这个API进行相对应的，那如果说我们对攻击者进行一个发的一个防护的话，其实最重要一点就是说我们要防止攻击者对当前这个API发起异常的一个行为请求，那我们要如何的去监测这个行为请求呢？最好的一个方式就是说，还是刚才也说到一点，就是一直也提到一点，就是说我们在应用安全里面开启行为管理。R的一个比，URL重复比啊，或者说参数比啊，是不是非正常用户的一个参数比。

就比如说举个最简单例子啊，我们进行对那种啊口令爆破的时候，攻击者会针对单一的ul进行一个攻击，并且它那个参数是不停的不断。不重复去访问的，这时候我们就可以行为管理中的一些。智能分析那边，然后去设定一些，就比如说三五十分以上就设置成人机识别，就或者说我们在自定义设置中，就设一个U参数和那个重复一个比较低的一个值，就可以有效的去护来这种A防护，同时另外一点就是说来自基础安全这一块，因为有很多漏洞都是通过API攻击进来的，我们可以通过一个基础安全的一个防护引擎以及AI引擎。

齐下去，当前A是一个比较好，也是比较。比较方便的一个处置措施，就比如说我当前这个API，我只允许。哪些人进行访问，哪些可信用户进行访问，这个是比较好的。嗯，好的，感谢子阳。那还有客户有第二个问题啊，关于buff防护，如果超过十个G以后，那被封堵如何来进行解封，是否需要购买呃D套餐来进行解封。呃，这个应该是指的是，呃，低这一块，高防这一块的。然后这块的话可能是需要的，这块可能还是得咨询一下高防那一块。嗯，明白。那呃，接下来还有呃这个在线的用户有提问呢，就是呃对HTPS的流量我们是怎么样来处理的。

呃，在WF这一块的话，HTPS这个流量，其实您只需要接入WF，并且配置上相应的一个域名证书，WF这块就能自动的去帮您去解析对应的一个HTPS流量，这样的话呢，就能做到说啊，我不仅仅是HTP流量能防护，我在W上面，我同时也可以防护来自HTPS的流量。OK，那还有这个关于rap的最后一个问题啊，也是一个简单的问题，就是BOT是rap的一个模块还是独立的产品啊。呃，Bo呢，是W的一个模块，并且这个模块啊。嗯，不对的一个模块，是的是的没错。嗯，是的。嗯，好的，在在这个过程中，大家还有其他的呃，在线的网友也提到了这个问题啊，我们可能在燕山来解答一下，就是呃，想问一下威胁情报与其他安全设备的联动机制是怎么实现的，那实时性如何去保证？

嗯嗯，好的。嗯，无线情报与其他设备的安全设备的一个联动，主要是分为几块，第一块如果说你防火墙，比方说对于防火墙，或者是对于这种设备来说，它的性能要求比较高，因为它是做阻的嘛，那么我们。情报一般是提供云茶的这种服务，云茶的这种服务主要是呃，对一些实时性要求不高的一些产品。呃，进行使用的，但是呢，对于一些实时性性能要求比较高的这种产品，并且实时进行阻断的，那么这种我们都是可以通过集成情报SDK的方式。比方说我们现在我们的云防火墙里面集成了情报的SDK，那么SDK里面其实是包含了可以阻的那部分的情报的数据包的这种内容。

那么呃，这种ST乘SDK的方式可以做到，就是说实时的阻大，那么我们有多种方式，有在有通过函数级别的调用，就是说你的进程可以直接通过调用我们的so的这种哈，这种方式，另外的话也可以通过unx so这种方式进行进行进行进程间通信还可以提供。本地的127.0.0.1的这种方式。进行一个本地的HTTP的通信，所以说多种方式可以供这种这种选择。那么对于SDK这种，呃，性能要求比较高的，它的这种。嗯，信息量它不会很多，那么对于这种的话，一般是SDK结合T或者结合我们的云，呃，对于一些可联网的这些设备，结合云一起使用，云查的话，这部分，这部分主要是做我们的一些关联信息的一些展示。

比方说你们通过SDK的这种实时阻断进行阻断的，那我们可能要在自己的日志模块里面进行一个详细的日志展示，我需要展示比方说这个IP或者这个域名，它的一些更丰富的维度，它的历史信息啊，它的一些地理位置啊，它的注册信息啊等等这些维度都是这些，因为信息量太多了，本地SDK是带不动的。所以说这部分的话，主要是通过两个维度，对于私有化的话，我们可以部署T，对于可联网的话，我们可以通过云查的方式去进行信息的一个更丰富的一个展现。嗯。那么实时性是如何的呢？对于API云查的这种方式，那么肯定是每时每刻都在都在更因为我们呃，腾讯报的话，云单的话，它也是每时每刻都在生产，也是每时每刻都在剔除。

我们会剔除那些过期的或者是有误报的那些IC出去，那么对于SDK这种方式，我们也是通过采用升级包的这种方式。平均的话，我们对于重保期间可以达到分钟及小时级别。我平常的话，非中保期间，我们这种SDK包SDK的更新频率平均是每天一更新。好的主持人。嗯，感谢燕山的回答，那我们时间关系，我们最后再选啊两个问题啊，关于防火墙的，呃，其他的问题呢，大家依旧可以在我们的互动群进行留言，那后面我们整理之后呢，会有专人来跟大家进行联系。啊，最后一个最后两个问题啊，防火墙是否支持对压缩文件的病毒检测和数据的防泄漏，最大能支持几层压缩那。

那有请志新来回答一下关于防火墙这个问题啊。OKOK，呃，就是像这种场景的话，其实一般传统的我们会叫什么防毒墙，或者是一些高级威胁检测，会对这种流量里边的这个文件进行还原，然后再做一个杀毒的检测，但是其实我们也能看到，现在大部分的恶意软件，它其实都会使用一些HTTPS的这种方式啊，那其实在这种场景下，其实大部分的防火墙其实没有办法。所以在在我们这里的话，我们其实就在这个场景下，我们其实利用了威胁情报的能力，也就是说利用威胁情报在这个上面，比如说我们对一些恶意的域名，或者一些恶意下载的IP啊，在这个场景下进行去防护，因为如果我们非要去做这个文件的还原，再做扫描，其实我理解在这种场景下是一个无止境的一个对抗，所以我们在利用情报其实是一种很好的一种防护方式。啊是这样，然后另外一个就是其实在重宝场下，其实我们也推荐的是一种纵深防御的这种啊，啊这种方案嘛，那其实在这种场景下，其实我们也会推荐啊，比如说像杀毒比较擅长的，那就是我们的这种端上的e drr产品，比如像我们的云镜啊，那在这种场景下，其实它是可以很好的解决这类问题的。

OK。好的，呃，那还有一个问题要请教志新，就是防火墙是否支持第三方平台的对接啊，是否能够支持API的这种对接。嗯，OK，其实我们现在的这种SARS化的防火墙，其实我们都会有一个标准的这种接口啊，这个接口就叫云API，那么在云A上面其实我们提供啊，你可以下规则，并且也可以查规则，就增商改这些都是可以的，那以及日志我们也是可以支持导出的，所以实际上就是说这里应该是可以满足咱们外部如果有这种需求的话，其实都是可以进行对接的。嗯，是这样的。好的，谢谢志新，那也谢谢以上所有观众的提问，也谢谢各位专家耐心的解答啊，时间关系，我们的提问环节就到这里，但没关系，您的各种问题呢，依然可以在我们的交流群里啊进行提问，我们一定会知无不言，言无不尽啊。那听了今天的公开课呢，大家可能对于提前筹备重保的这个解决方案呢，已经迫不及待了。

那在这里呢，我给大家带来一个好消息啊，腾讯云呢，即将推出我们云上众宝的六件套啊，就是我投屏的这个能够专门为我们的企业众宝啊来打造，同时在这个活动期间呢，是有限时优惠的，我们加量也要降价，还送工具包，所以整体机会难得，希望大家能够赶快入手，那方式呢，就是扫描我在投屏上的右下角的二维码啊，可以进群进行咨询，那我给大家一些时间，可以看一下我们现在的啊优惠套餐，以及尽快扫描二维码。当然，其实我不只有一个好消息带给大家，那同时呢，我还带给大家另一个好消息，就是在4月28号啊，也就是几天后，我们会呃开始我们的威胁情报品牌发布会啊，有人说这个网络安全啊，是魔高一尺道高一丈啊，那我告诉你，若有第一手的情报，可以高一丈之道。

所以我们新产品的微业情报中心将要重磅发布，随时随地能够让您快人一步，也欢迎大家来扫码直接预约我们的发布会直播，加入到我们的微信群，在本月28号，也就是星期四啊，下午两点我们和您在直播间不见不散。现场更有企业公仔、腾讯视频的会员等等优惠福利来等你来拿。那好的，今天的分享呢，可以说干货满满，我看到大家也非常踊跃的和我们一起在探讨相关的内容，如果你有具体的问题，那我们也会安排专人来和大家进行沟通啊，请大家持续关注我们腾讯安全的动态，我们在未来还会有更多精彩的公开课与您见面，那这里呢，我的直播就跟大家要说再见了，我是主持人赵思雨，再次感谢所有观众的参与，谢谢大家，再见。