本文介绍云防火墙攻击防护常见问题的解决方案。
云防火墙如何放行云安全中心及其他扫描器的漏洞扫描IP地址?
原因分析
由于云安全中心扫描应用漏洞时,是通过公网模拟黑客入侵攻击进行漏洞扫描探测,可能会命中云防火墙攻击防护策略或访问控制管控策略。
解决办法
如果您需要执行漏洞扫描,建议您将云安全中心及其他扫描器的IP地址加到云防火墙攻击防护白名单中进行放行。关于云安全中心的扫描IP地址,请参见应用漏洞Web扫描器IP地址说明。关于如何添加云防火墙攻击防护白名单,请参见设置防护白名单。
配置了入侵防御的拦截模式,为什么攻击流量没有被拦截?
原因分析
- 基础防御、虚拟补丁、威胁情报的设置没有开启,或者配置了观察模式。
- 配置了防护白名单,放行匹配的流量。
- 拦截模式配置如下,但基础防御的规则动作为观察或禁用。
- 已配置拦截模式-宽松,仅对宽松规则组的拦截规则执行拦截动作。
- 已配置拦截模式-中等,仅对宽松和中等规则组的拦截规则执行拦截动作。
- 已配置拦截模式-严格,会对宽松、中等和严格规则组的拦截规则执行拦截动作。
解决办法
为什么资产存在漏洞但云防火墙漏洞防护无数据?
可能存在以下三种情况:
- 云防火墙会从攻击流量中分析漏洞利用行为并进行防护,漏洞没有被攻击的流量就不会展示该漏洞的防护数据。
- 云安全中心软件成分分析(通过软件信息检测)检出的漏洞,云防火墙暂不支持同步(仅同步网络扫描类漏洞)。
- 资产的漏洞是内网漏洞,云防火墙只同步公网资产暴露的漏洞。
关于漏洞防护的详细信息,请参见防护配置。