本文档将指导您通过入侵防御功能,识别访问控制规则以外的未知风险,并对公网 IP 的南北向流量进行入侵防御规则检测,同时避免云服务器中的漏洞暴露在互联网中。
选择防护模式
1. 登录 云防火墙控制台,在左侧导航栏中,单击入侵防御,进入入侵防御页面。
2. 在入侵防御页面,找到“防护模式”模块,进行防护模式设置。
防护模式共分为观察模式、拦截模式及严格模式三种模式。
说明:
系统默认选择的防护模式是观察模式。
选择“观察模式”,威胁情报、基础防御、虚拟补丁均为检测模式,针对发现的恶意访问或网络攻击行为,只告警,不自动阻断连接。
选择“拦截模式”,自动拦截高置信度的网络攻击或恶意访问,威胁情报支持自动拦截出站恶意访问,基础防御支持自动拦截高置信度规则告警,虚拟补丁支持自动拦截所有被检测为漏洞利用的流量。
选择“严格模式”,威胁情报(出站域名威胁情报检测除外)、基础防御、虚拟补丁均为全局拦截模式,针对任何检测到的告警,自动阻断连接,可能产生误报,适用于重保或攻防场景。
3. 在防护模式右侧,单击高级设置,将进入高级设置弹窗。
4. 在高级设置弹窗中,用户在互联网边界、NAT 边界、VPC 间防火墙选择单个资产进行模式的更改,例如:部分资产可以设置为观察模式,部分资产为拦截模式,部分资产为严格模式。
入侵防御功能说明
1. 登录 云防火墙控制台,在左侧导航栏中,单击入侵防御,进入入侵防御页面。
2. 在入侵防御页面右侧,可查看功能动态及功能说明:
功能动态:在功能动态模块,可查看入侵防御模块的功能。
情报中心:
2.1.1 在功能动态右上方,单击情报中心,可查看安全威胁情报信息。
2.1.2 在情报中心弹窗中,可单击具体的情报标题,在二级页面查看具体漏洞描述、威胁等级等具体信息。同时用户也可以针对具体的漏洞情报,使用扫描功能,检查自己的资产是否存在该威胁。
管理列表
1. 登录 云防火墙控制台,在左侧导航栏中,单击入侵防御,进入入侵防御页面。
2. 在入侵防御页面下方可查看“封禁列表”、“放通列表”和“隔离列表”。
封禁列表
查看封禁列表
1. 单击封禁列表,进入封禁列表页面。
2. 在封禁列表下,可以查看在 告警中心 > 攻击告警汇总中,处置为“封禁”的IP及其相关信息,或者可以手动将IP添加进封禁列表。
停用封禁列表
1. 当遇到紧急情况时,可单击
关闭“启用封禁列表”,将封禁列表停用,并进入 告警中心 > 攻击拦截统计查看所有封禁统计,排查定位封禁来源。
2. 在定位并修复故障原因后,可单击
打开“启用封禁列表”开关,将该功能重新开启。管理封禁列表的生效时间
在封禁列表内,当某一个 IP 的生效时间到期后,列表会自动删除该 IP,此时该 IP 后续的流量访问将不会被防火墙封禁。因此,为了避免黑名单自动移除存在安全隐患的 IP,可以在列表右侧操作栏,单击编辑,对需要操作的 IP 的终止时间和日期进行修改。
说明:
管理封禁列表规格信息
1. 单击规格信息,即可查看当前提供的总列表配额以及剩余配额信息。
2. 当剩余配额不足时,可单击升级扩容,购买封禁列表配额。
放通列表
查看放通列表
1. 单击放通列表,进入放通列表(白名单)页面。
2. 在放通列表下,可以看到在 告警中心 > 攻击告警汇总中,处置为放通的IP及其相关信息,或者可以手动添加地址到放通列表。
管理放通列表的生效时间
在放通列表内,当某一个 IP 的生效时间到期后,列表会自动删除该 IP,此时该 IP 的后续访问将不会绕过防火墙的 IDPS。因此,为了避免受信任的 IP 被自动移出白名单,可以在列表右侧操作栏,单击编辑,对需要操作的 IP 的终止时间和日期进行修改。
隔离列表
查看隔离列表
1. 单击隔离列表,进入隔离列表页面。
2. 在隔离列表中,可以看到在 告警中心 > 攻击告警汇总 > 主机失陷中,处置为隔离的 IP 及其相关信息。
查看规则
失陷主机IP的隔离是通过安全组来实现的,单击查看规则,可以跳转到企业安全组页面,查看详细的规则信息。
管理隔离列表的生效时间
在隔离列表内,当某一个 IP 的生效时间到期后,列表会自动删除该 IP,此时该 IP 的安全组规则也会被删除。因此,为了避免已失陷的 IP 被自动移出隔离名单,可以在列表右侧操作栏,单击编辑,对需要操作的 IP 的终止时间和日期进行修改。
策略备份与回滚
单击规则备份,即可将现有的封禁列表和放通列表规则进行备份,同时当规则发生了很大的变化之后,单击备份文件右侧的回滚,即可将规则进行复原。
1. 在策略备份与回滚页面,单击新增备份,在旁边的下拉框选择封禁列表或者是放通列表,输入描述,单击确定,完成规则备份。
2. 规则回滚,单击备份列表最右侧的回滚,将规则进行还原。