哪些流量经过入侵防御模块的检查?
当前版本的互联网边界防火墙、NAT 边界防火墙以及 VPC 间防火墙都支持入侵防御功能。详情以高级设置中的入侵防御开关是否开启为准。
入侵防御防护模式为拦截模式时会拦截哪些事件?
在拦截模式下,防火墙会根据以下特征进行拦截。
威胁情报:自动拦截高置信度的网络攻击/恶意访问,支持自动拦截出站恶意访问。
基础防御:针对部分高置信度的规则支持自动拦截,其他规则仍然产生安全事件告警。
虚拟补丁:支持自动拦截所有被检测为漏洞利用的流量。
告警列表中的风险如何手动拦截?可以自己增加拦截 IP 吗?
对于告警列表中告警次数多或危险等级高的风险,用户可以手动进行拦截。同时,用户可以自行在入侵防御的拦截列表中导入需要拦截的 IP 信息,当该 IP 进行访问时,将直接被云防火墙拦截。
拦截模式中,什么情况下会自动拦截?为什么开启了拦截模式还会有告警?
拦截模式中,云防火墙会自动拦截高置信度风险以及拦截列表中的 IP。
对于低置信度的风险将进行告警,不会自动拦截,用户可在告警中心中手动对告警 IP 进行拦截。
严格模式中,对恶意 IP 的拦截是怎样实行的?
严格模式中威胁情报、基础防御、虚拟补丁均为全局拦截模式,会对所有产生告警的 IP 进行拦截。高置信度风险及拦截列表中的 IP 将在首次访问时被拦截,其他恶意 IP 将在首次访问告警后,第二次访问时被直接拦截。
为什么恶意 IP 没有被拦截?
云防火墙的入侵防御功能是基于会话的,仅会拦截有攻击特征的会话访问。如果用户未将该 IP 加入拦截列表,则不会拦截该 IP 的正常访问会话。
拦截模式什么时候开?
一般从观察告警模式切换到阻断拦截模式,业务没有变化,观察1-2天即可持续开启。
策略是否精准,直接开拦截阻断后对业务造成影响怎么办?
入侵防御模块中,系统仅将高精准度的规则可设置为拦截模式,特别是虚拟补丁的还没出现过误报。如果开阻断后出现任何问题,可以随时联系我们获取相关帮助。
云防火墙拦截模式开启后,是否会影响到云内网地址间的通信?
如果您启用了互联网边界防火墙与 NAT 边界防火墙的拦截模式,云防火墙仅会防护南北向流量,这部分开关关联的东西向流量不会经过防火墙。
如果您启用了 VPC 间防火墙的拦截模式,云防火墙会对东西向流量进行检查和拦截,可能会影响到云内网间地址的通信。
IP 被入侵防御误拦截了要怎么办?
1. 登录 云防火墙控制台,单击日志审计 > 入侵防御日志可查询源或目的 IP 是否有明确的拦截记录。
3. 在定位并修复故障原因后,可打开“启用拦截列表”开关,将该功能重新开启。
有误拦或无法访问的情况,如何快速定位恢复访问?
对于公网 IP 的防火墙开关修改为关闭状态,则流量不经过云防火墙。
IPS 修改为观察模式,确认非 IPS 拦截导致。
策略配置 any 即该公网 IP 全通,确认非云防火墙策略导致。
说明:
为什么之前在入侵防御的拦截列表里的 IP不见了?
1. 在拦截列表内,当某一个 IP 的生效时间到期后,列表会自动删除该 IP,此时该 IP 后续的流量访问将不会被防火墙拦截。
2. 为了避免黑名单自动移除存在安全隐患的 IP,可以在列表右侧操作栏,单击编辑,对需要操作的 IP 的终止时间和日期进行修改。
在入侵防御的忽略列表的 IP 还会被拦截么?
忽略列表中的 IP 地址,会直接绕过 IDPS 功能。
我要针对某个 IP 忽略某个指定的检测规则要如何配置?
暂时不支持某项特定规则检测的忽略操作。
什么情况解析域名的流量不会经过云防火墙?
腾讯云 CVM 可能会使用腾讯自建的 DNS 解析服务,产生的 DNS 报文不会经过互联网边界,因此导致缺失该部分域名访问的告警与日志。
若您希望某台 CVM 能够正常使用云防火墙的域名检测与告警功能,可手动将/etc/resolv.conf 文件下的解析地址改为8.8.8.8。
入侵防御与访问控制的关系?
云防火墙判定顺序:封禁列表 > 访问控制规则 > 放通列表 >入侵防御规则。
入侵防御功能只生效于开启了防火墙开关的资产,未开启防护的资产的流量不会经过防火墙处理。