云防火墙内置威胁检测引擎,实施拦截互联网上的恶意流量入侵活动和常规攻击行为,并提供精准地威胁检测虚拟补丁。通过防护配置功能设置威胁引擎的运行模式,配置威胁情报、基础防御、智能防御和虚拟补丁,帮助您更精准地识别和阻断入侵风险。本文介绍如何配置防护信息。

威胁引擎运行模式说明

威胁引擎运行模式分为观察模式、拦截模式。观察模式针对攻击行为仅记录及告警,拦截模式会对攻击行为阻断。根据规则的严格程度,拦截模式可以分为以下3种。

分类 适用场景 特点 示例
宽松模式 防护粒度较粗,主要覆盖低误报规则,适合业务对误报要求高的场景。 明确漏洞利用关键字、关键参数,有明显的攻击报文和行为,无误报可能性。 Struts 2远程代码执行(CVE-2018-11776)、Spark REST API未授权访问(CVE-2018-11770)、Jenkins远程命令执行(CVE-2018-1000861)。
中等模式 防护粒度介于宽松和严格之间,适合日常运维的常规规则场景。 涉及每种攻击类型,综合利用各类漏洞利用分析方式,即为常规规则,基本无误报的可能性。 Oracle WebLogic Server远程代码执行(CVE-2020-2551)、Microsoft WindowsRDP Client远程代码执行(CVE-2020-1374)、SMBv1拒绝服务攻击(CVE-2020-1301)。
严格模式 防护粒度最精细,主要覆盖基本全量规则,相比中等规则组可能误报更高,适合对安全防护漏报要求高的场景。 栈溢出、缓冲区溢出等高危害性,其中绝大部分四层漏洞,需经过协议分析、关键字匹配、多次跳转、关键字偏移等攻击确认。 Squid Proxy HTTP Request Processing缓冲区溢出(CVE-2020-8450)、Nginx 0-Length Headers Leak拒绝服务(CVE-2019-9516)、Oracle WebLogic rda_tfa_ref_date命令注入(CVE-2018-2615)。

针对不同攻击类型,威胁引擎设计了不同的拦截策略,各攻击类型的具体说明如下:

攻击类型 说明 防护建议
异常连接
  • 宽松:代理、Base64编码、脚本下载等。
  • 中等:数据库敏感执行、恶意网络外连、Shellcode连接等。
  • 严格:字符串格式化攻击等。
如果业务中较多的应用是非Web应用,例如MySQL、SQLServer等非Web服务器(暴露端口非80、443、8080),应该着重关注是否命中该类规则,Shellcode、敏感执行等多攻击非Web应用。

如无上述业务可以选择开启严格模式。

命令执行
  • 宽松:FastJson反序列化、通用Java反序列化防护、Struts2远程命令执行等。
  • 中等:meterpreter后门攻击、Redis攻击、系统命令执行等。
  • 严格:各类组件的UAF、缓冲区溢出、漏洞等。
宽松模式下包含绝大部分Web应用的通用和非通用远程命令执行攻击,能满足日常防护。但是远程命令执行在众多攻击中危害性最大,应该关注中等模式下各类组件的攻击命中情况。如果业务较复杂、包含众多非Web应用暴露面建议开启严格模式。
扫描
  • 宽松:Nmap、Acunetix、Masscan等扫描等。
  • 中等:Nessus、Burpsuite、SNMP等。
重点关注业务中是否开启SMB命名管道用于文件共享等功能,如无则可开启中等及以上模式。
信息泄露
  • 宽松:系统关键文件信息泄露、系统敏感文件访问及各类应用信息泄露漏洞等。
  • 中等:系统关键信息泄露、MySQL注入错误返回、各类数据库的信息泄露等。
  • 严格:浏览器内存损坏漏洞、PDF库信息泄露、凭据泄漏。
由于各个业务中对信息泄露的定义不同,重点关注中等及严格模式下规则命中情况。如开启观察模式在业务一个周期内(例如24小时、一周、一月)没有误命中,则可以开启中等以上模式。
DoS攻击
  • 宽松:Apache Log4j2远程拒绝服务攻击、Grafana拒绝服务漏洞等。
  • 中等:MySQL DoS攻击、Windows SMBv3拒绝服务等。
  • 严格:Apache拒绝服务攻击、Apache Struts拒绝服务漏洞等。
该类攻击直接危害性较小,关注业务中是否存在未知原因导致的中断、拒绝服务等,如无可以维持宽松模式。如对业务SLA要求较高,可以选择中等、严格模式。
溢出攻击
  • 宽松:Memcached命令执行、Weblogic apache连接器远程栈溢出等。
  • 中等:RDP远程代码执行、ORACLE缓冲区溢出攻击、Apache httpd远程溢出等。
  • 严格:Microsoft Windows搜索堆缓冲区溢出、FTP远程溢出等。
溢出攻击主要由于二进制中输入点未做严格控制而导致参数传递过程中内存越界而导致命令执行、信息泄露等其他攻击,重点关注非Web应用攻击命中情况。如业务主要以Web为主,可以选择宽松模式;如业务中包含较多非Web应用,建议选择中等、严格模式。
Web攻击
  • 宽松:SQL注入、任意文件读取、任意文件上传等。
  • 中等:SQL注入漏洞、任意文件下载、本地文件包含攻击等。
  • 严格:SQL注入等。
Web应用中除远程命令执行外的其他攻击,如OWASP TOP攻击中的SQL注入、XSS、任意文件上传等。该类攻击较常见,规则灰度、发布过程中经过较严格测试,日常建议开启中等以上模式,不建议宽松模式下运行。
木马后门
  • 宽松:木马后门通信、恶意文件下载、CobaltStrike通信检测等。
  • 中等:木马后门通信、WebShell通信检测等。
  • 严格:冰蝎WebShell通信等。
木马后门通信通常包含了加密、混淆、编码等对抗防御手法,严格模式下通常用以弱特征进行检测、拦截故需重点关注。日常模式下建议开启中等模式。
病毒蠕虫
  • 宽松:恶意文件下载、恶意文件下载等。
  • 中等:可疑脚本文件下载、IRC蠕虫下载等。
该类事件通常伴随着主机失陷。如观察模式下发现规则命中,则需进行溯源分析;如无任何命中则能代表主机大概率处于无风险正常运行模式,可以开启中等模式。
挖矿行为
  • 宽松:主机存在挖矿行为等。
  • 中等:主机存在挖矿行为、BTC钱包通信等。
该类事件通常伴随着主机失陷。如观察模式下发现规则命中,则需进行溯源分析;如无任何命中则能代表主机大概率处于无风险正常运行模式,可以开启中等模式。
反弹Shell
  • 宽松:系统命令执行、Microsoft Windows反弹Shell、Bash反弹Shell等。
  • 中等:cmd反弹Shell、bash反弹Shell、Meterpreter反弹Shell等。
该类事件通常伴随着主机失陷。如观察模式下发现规则命中,则需进行溯源分析;如无任何命中则能代表主机大概率处于无风险正常运行模式,可以开启中等模式。
其他
  • 宽松:访问DnsLog平台、向日葵远控通信、Teamviewer连接尝试等。
  • 中等:Metasploit Shellcode攻击、Microsoft Internet Explorer攻击等。
  • 严格:疑似执行结束主机防护进程操作、Microsoft Edge、远程管道请求等。
主要用于非法外联和由于外联引起的攻击,也包含无法归类到其他攻击分类的攻击。如果业务中基本无外联行为,可以选择宽松模式;如果主机侧浏览器、应用众多,且外联侧无任何管控,建议开启严格模式。因为外到内攻击较困难,而外联下载、C2通信引起的攻击相对较容易。

限制说明

仅云防火墙高级版、企业版和旗舰版支持防护配置功能。云防火墙高级版不支持自定义虚拟补丁和基础防护配置。

前提条件

已开启互联网边界防火墙。更多内容,请参见互联网边界防火墙

威胁引擎运行模式

  1. 登录云防火墙控制台。在左侧导航栏,选择攻击防护 > 防护配置
  2. 防护配置威胁引擎运行模式区域,设置威胁引擎的运行模式。
    威胁引擎可选择以下两种模式:
    • 观察模式:开启观察模式,对恶意流量监控并告警。
    • 拦截模式:开启拦截模式,对恶意流量拦截,阻断入侵活动。
      针对您的防护需求,选择不同严格程度的拦截模式:
      • 拦截模式-宽松:防护粒度较粗,主要覆盖低误报规则,适合业务对误报要求高的场景。
      • 拦截模式-中等:防护粒度较宽松,介于宽松和严格之间,精准度较高,适合日常运维的常规防护场景。
      • 拦截模式-严格:防护粒度精细,覆盖全量规则,相比中等规则组可能误报更高,适合对安全防护漏报要求高的场景。
      说明 云防火墙服务开通后,威胁引擎默认启用拦截模式。具体开启哪种程度的拦截模式,云防火墙会根据您流量的实际情况判断和默认选择。只有开启拦截模式后,威胁情报、基础防御和虚拟补丁功能才会开启相应的威胁拦截。如未开启拦截模式,入侵防御功能只会对各类威胁和恶意流量进行监控。

高级设置

  1. 登录云防火墙控制台。在左侧导航栏,选择攻击防护 > 防护配置
  2. 防护配置高级设置区域,配置入侵防御白名单、威胁情报、智能防御、基础防御和虚拟补丁。
    • 设置防护白名单

      单击防护白名单,将您确定为可信的IPv4和IPv6内外双向流量的目的IP地址、源IP地址添加到防护白名单。添加到防护白名单中IP的流量不会被基础防护和虚拟补丁规则拦截。自定义目的IP白名单和源IP白名单分别最多添加50个IP地址。

      说明 防护白名单仅对基础防御、智能防御和虚拟补丁生效,防护白名单对威胁情报不生效。如果需要将威胁情报相关IP加入白名单,需配置访问控制策略。更多信息,请参见互联网边界防火墙(内外双向流量)云防火墙防护流量时的规则匹配顺序是什么?
    • 设置威胁情报

      开启威胁情报开关,云防火墙可扫描侦查威胁情报,并提供中控情报阻断。威胁情报可将阿里云全网检测到的恶意IP同步到云防火墙,如:恶意访问源、扫描源、暴力破解的源IP等,并对其精准拦截,可提前感知网络威胁源。建议您开启威胁情报。

    • 设置基础防御

      开启基础规则开关,云防火墙默认为您开启部分常见威胁相关的检测规则。基础防御可提供基础的入侵防御能力,包括暴力破解拦截、命令执行漏洞拦截、对被感染后连接C&C(命令控制)的行为管控,可为您的资产提供基础的防护能力。建议您开启基础防御。

      如果默认规则无法满足您的需求,您可以单击右侧的自定义选择,对单个或多个基础防御规则自定义设置。自定义设置仅支持修改基础防御规则的放行状态,即观察、拦截、关闭。

      仅云防火墙企业版和旗舰版支持自定义设置基础防御规则。

    • 设置智能防御

      开启智能防御开关,云防火墙可以学习云上攻击数据,提高威胁和攻击的识别准确率。建议您开启智能防御。

      目前智能防御仅支持观察模式。

    • 设置虚拟补丁

      开启虚拟补丁开关,云防火墙可为您实时防护热门的高危漏洞和应急漏洞。虚拟补丁针对可被远程利用的高危漏洞和应急漏洞,在网络层提供热补丁,实时拦截漏洞攻击行为,避免修复主机漏洞时对业务产生的中断影响。虚拟补丁无需在您的服务器上进行安装。虚拟补丁关闭后将无法实时自动更新。建议开启所有的虚拟补丁。

      单击右侧的自定义选择,对单个或部分基础虚拟补丁规则自定义设置。在虚拟补丁-自定义选择对话框的部分规则会展示重点关注的标签,代表检测到攻击非常频繁的威胁,需要您重点关注并及时排查。

      仅云防火墙企业版和旗舰版支持自定义设置虚拟补丁规则。

后续步骤

您可以在入侵防御中查看防护的数据详情。更多信息,请参见入侵防御