云防火墙内置了威胁检测引擎,可对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截,并提供精准的威胁检测虚拟补丁,智能阻断入侵风险。

背景信息

您可以通过防护配置功能设置威胁引擎的运行模式,并根据业务需要对威胁情报、基础防御、智能防御和虚拟补丁进行自定义配置,更精准地识别和阻断入侵风险。
注意 您需要先开启互联网边界防火墙开关,才能使入侵防御策略生效。相关内容,请参见开启或关闭互联网边界防火墙

限制说明

云防火墙高级版、企业版和旗舰版支持防护配置功能,免费版不支持。

云防火墙高级版不支持自定义虚拟补丁和基础防御配置,云防火墙企业版和旗舰版无此限制。

威胁引擎运行模式

威胁引擎可选择以下两种模式:

  • 观察模式:开启观察模式后,可对恶意流量进行监控并告警。
  • 拦截模式:开启拦截模式后,可对恶意流量进行拦截,阻断入侵活动。您可以针对您的防护需求,选择不同严格程度的拦截模式:
    • 拦截模式-宽松:防护粒度较粗,主要覆盖低误报规则,适合业务对误报要求高的场景。
    • 拦截模式-中等:防护粒度较宽松,介于宽松和严格之间,精准度较高,适合日常运维的常规防护场景。
    • 拦截模式-严格:防护粒度精细,覆盖全量规则,相比中等规则组可能误报更高,适合对安全防护漏报要求高(例如:重保、护网)的场景。
    注意 云防火墙服务开通后,威胁引擎默认启用拦截模式。具体开启哪种程度的拦截模式,云防火墙会根据您流量的实际情况进行判断和默认选择。只有开启拦截模式后,威胁情报、基础防御和虚拟补丁模块才会开启相应的威胁拦截。如未开启拦截模式,入侵防御模块将只会对各类威胁和恶意流量进行监控。

高级设置

高级设置模块支持您对入侵防御白名单、威胁情报、智能防御、基础防御和虚拟补丁进行自定义设置,为您提供更精准的入侵防御体系。

您可以在高级设置页面进行以下操作:
  • 设置防护白名单
    高级设置模块中单击防护白名单,将您确定为可信的IP添加到白名单中。设置防护白名单后,云防火墙攻击防护模块不会对防护白名单中的IP进行拦截,防护白名单中IP的流量默认被放行。
    注意 自定义目的IP白名单或源IP白名单最多添加50个IP地址。
    您可将内外双向流量的可信源源IP地址、目的IP地址或地址簿配置到防护白名单中。防护白名单
  • 设置威胁情报

    威胁情报可将阿里云全网检测到的恶意IP同步到云防火墙,如:恶意访问源、扫描源、暴力破解的源IP等,并对其进行精准拦截。开启后可提前感知全网威胁源。

    打开威胁情报开关后,云防火墙可扫描侦查威胁情报,并提供中控情报阻断。建议您开启威胁情报。

  • 设置基础防御

    基础防御可提供基础的入侵防御能力,包括暴力破解拦截、命令执行漏洞拦截、对被感染后连接C&C(命令控制)的行为进行管控。开启后可为您的资产提供基础的防护能力。建议您开启基础防御。

    打开基础规则开关后,云防火墙默认为您开启部分常见威胁相关的检测规则。如果默认规则无法满足您的需求,您可以在基础防御模块单击右侧的自定义选择,打开基础防御-自定义选择对话框,对单个或多个基础防御规则进行自定义设置。自定义设置仅支持修改该基础防御规则的放行状态,即观察、拦截、关闭。
    说明 仅云防火墙企业版和旗舰版支持自定义设置基础防御规则。
  • 设置智能防御

    智能防御可基于云上海量攻击数据、方式进行学习,对攻击行为进行智能识别和实时告警。

    打开智能防御开关后,云防火墙可以学习云上海量攻击数据,提高威胁和攻击的识别准确率。建议您开启智能防御。
    说明 目前智能防御仅支持观察模式。
  • 设置虚拟补丁
    针对可被远程利用的高危漏洞和应急漏洞,在网络层提供热补丁,实时拦截漏洞攻击行为,避免修复主机漏洞时对业务产生的中断影响。虚拟补丁无需在您的服务器上进行安装。开启后,云防火墙可为您实时防护热门的高危漏洞和应急漏洞。虚拟补丁关闭后将无法实时自动更新。建议开启所有的虚拟补丁。
    说明 仅云防火墙企业版和旗舰版支持自定义设置虚拟补丁规则。
    虚拟补丁设置中单击右侧的自定义选择,打开虚拟补丁-自定义选择对话框,可对单个或部分基础虚拟补丁规则进行自定义设置。自定义配置虚拟补丁
    说明 虚拟补丁-自定义选择对话框中,部分规则会展示重点关注的标签,代表全网中检测到攻击非常频繁的威胁,需要您重点关注并及时排查。