云防火墙内置了威胁检测引擎(IPS)实现入侵防御的功能,可实时拦截入侵行为。

操作步骤

  1. 登录云防火墙控制台
  2. 在左侧导航栏,选择攻击防护 > 防护配置
  3. 威胁引擎运行模式进行以下配置。
    • 拦截模式:开启拦截模式后,可对恶意流量进行拦截,阻断入侵活动。您可以针对您的防护需求,选择不同严格程度的拦截模式:
      • 拦截模式-宽松:防护粒度较粗,主要覆盖低误报规则,适合业务对误报要求高的场景。
      • 拦截模式-中等:防护粒度较宽松和精准,介于宽松和严格之间,适合日常运维的常规规则场景。
      • 拦截模式-严格:防护粒度最精细,主要覆盖基本全量规则,相比中等规则组可能误报更高,适合对安全防护漏报要求高(例如:重保、护网)的场景。
      注意 云防火墙服务开通后,威胁引擎运行模式默认开启拦截模式。具体开启哪种程度的拦截模式,云防火墙会根据您流量的实际情况进行判断和默认选择。只有开启拦截模式后,威胁情报、基础防御和虚拟补丁模块才会开启相应的威胁拦截。如未开启拦截模式,入侵防御模块将只会对各类威胁和恶意流量进行监控。
    • 开启威胁情报,实时接收全网威胁情报。
    • 基础防御模块,单击自定义选择,打开内置的基础入侵防御规则(包括爆破拦截、命令执行漏洞拦截等)并设置对应的动作。
    • 虚拟补丁模块,选择开启补丁,免安装更新热门高危漏洞补丁。
    说明 入侵防御设置完成后,您可在网络流量分析 > IPS拦截记录页面中查看不同入侵防御动作的详情。