云安全中心支持通过设置IP拦截策略达到防止暴力破解的目的。本文介绍如何启用或禁用IP拦截策略,以及如何新建、编辑自定义IP拦截策略。

背景信息

云安全中心支持系统内置和用户自定义两种IP拦截策略,具体介绍如下:

  • 系统规则:即您在安全告警设置 > 防暴力破解页面添加了防御规则后,该规则触发了IP拦截,就会自动生成IP拦截策略。系统规则创建后默认为已启用状态。防暴力破解防御规则中设置的指定时长内登录失败次数决定了系统规则的产生条件(即触发IP拦截的条件),禁止登录时长决定了系统规则的生效时长。详细内容请参见配置防暴力破解规则
  • 自定义规则:即您在IP规则库 > 自定义规则页面添加的拦截策略。您可以根据实际业务的需要,自定义IP拦截规则,拦截恶意IP对云上资产的访问。自定义规则可以设置拦截的IP地址以及该恶意IP访问的服务器等。自定义规则创建后默认为已禁用状态,需要手动开启。详细内容请参见启用或禁用IP拦截策略
IP规则策略库页面

新建自定义IP拦截策略

如果您发现防暴力破解没有拦截某些恶意IP对您服务器的访问,您可以创建自定义IP拦截策略,拦截该IP的访问。

  1. 登录云安全中心控制台
  2. 在左侧导航栏单击威胁检测 > 安全告警处理
  3. 安全告警处理统计数字区域,单击生效IP拦截策略/全部策略下的数字。生效IP拦截策略或全部策略
    单击生效IP拦截策略下的数字可跳转到已启用的系统内置IP拦截规则页面。单击全部策略下的数字可跳转到全部状态(包括已启用和已禁用)的系统内置IP拦截规则页面。
  4. 单击自定义规则页签。
  5. 可选:首次新建IP拦截策略需要授权,将鼠标移动到新建策略上并单击立即授权首次新建IP拦截策略授权
  6. 可选:云资源访问授权页面,单击同意授权并返回IP规则库 > 自定义规则页面。
  7. 自定义规则页签单击新建策略
  8. 新建IP拦截策略页面,配置相关参数。新建IP拦截策略
    您可以参考以下表格的说明配置新建IP拦截策略页面的参数。
    参数 说明
    拦截对象 输入需要拦截的IP地址。
    全部资产 选择新建IP拦截策略应用的服务器。支持同时选择多台服务器。您可以在搜索框中输入服务器名称或服务器IP地址搜索指定服务器。
    说明 仅支持选择阿里云ECS服务器。
    规则方向 设置拦截流量的方向,可选择入方向出方向
    所属安全组 该IP拦截策略关联的安全组,默认为云安全中心拦截组。该策略启用时会在此安全组中自动创建相应规则,该策略过期或禁用后会自动删除该规则。
    过期时间 设置该策略的有效时间。策略过期后,该策略状态将变为已禁用
  9. 单击提交
    新建IP拦截策略创建成功后默认为已禁用状态,如果您需要该策略立即生效,您需要手动启用该策略。详细信息请参见启用或禁用IP拦截策略

启用或禁用IP拦截策略

根据实际场景需要,您可对存在暴力破解风险的IP启用相应的防暴力破解规则。如果确认拦截策略拦截了正常流量,您可以禁用该策略。禁用策略后,云安全中心不会再拦截该策略中拦截对象的访问,该IP将可以正常访问您的服务器。

  1. 登录云安全中心控制台
  2. 在左侧导航栏单击威胁检测 > 安全告警处理
  3. 安全告警处理统计数字区域,单击生效IP拦截策略/全部策略下的数字。生效IP拦截策略或全部策略
    单击生效IP拦截策略下的数字可跳转到已启用的系统内置IP拦截规则页面。单击全部策略下的数字可跳转到全部状态(包括已启用和已禁用)的系统内置IP拦截规则页面。
  4. IP规则策略库页面,定位到需要设置的IP拦截策略,启用或禁用该IP拦截策略。IP规则策略库
    如果您需要启用或禁用自定义IP拦截策略,请单击自定义规则切换到自定义规则页面。
    • 启用:打开策略状态开关,在启用IP拦截策略对话框中单击确定。启用后该IP拦截策略会生效并且状态将变更为已启用,云安全中心会根据该IP拦截策略定义的拦截规则拦截恶意流量。启用IP拦截策略
      说明 如果您启用了已到期的自定义IP拦截策略,该策略的有效期将变更为启用时间后两小时。如果您需要修改该策略的有效期,建议您编辑该策略后再执行启用操作。更多信息请参见编辑IP拦截策略
    • 禁用:关闭策略状态开关,在禁用IP拦截策略对话框中单击确定。禁用后该IP拦截策略将失效并且状态将变更为已禁用,云安全中心不会再拦截策略中设置的IP地址对指定服务器的访问。

编辑IP拦截策略

仅支持编辑自定义IP拦截策略,不支持编辑内置的IP拦截策略。

  1. 登录云安全中心控制台
  2. 在左侧导航栏单击威胁检测 > 安全告警处理
  3. 安全告警处理统计数字区域,单击生效IP拦截策略/全部策略下的数字。生效IP拦截策略或全部策略
    单击生效IP拦截策略下的数字可跳转到已启用的系统内置IP拦截规则页面。单击全部策略下的数字可跳转到全部状态(包括已启用和已禁用)的系统内置IP拦截规则页面。
  4. 单击自定义规则页签。
  5. 注意 仅支持编辑已禁用状态的IP拦截策略。如果需要编辑已启用状态的IP拦截策略,您可以禁用该IP拦截策略后,再编辑该策略。
    定位到需要编辑的IP拦截策略并单击其操作列下的编辑
  6. 编辑IP拦截策略页面,修改该拦截策略的生效资产和过期时间。编辑拦截策略
  7. 单击确定