云防火墙的入侵防御IPS(Intrusion Prevention System)能力可以实时主动检测和拦截黑客恶意攻击、漏洞利用、暴力破解、蠕虫病毒、挖矿程序、后门木马、DoS等恶意流量,保护云上企业信息系统和网络架构免受侵害,防止业务被未授权访问或数据泄露、业务系统和应用程序损坏或宕机等。
使用限制
云防火墙入侵防御不支持对TLS、SSL加密的流量进行解密检测和防御,但支持部分基于加密指纹的IPS检测规则。
由于数据聚合,云防火墙的入侵防御数据统计存在一定延时。如果需要查询实时数据,建议您通过日志审计或日志分析查询,具体操作,请参见日志审计或日志查询。
查询最近1小时内的防御数据时,统计数据会存在10分钟的延时,即查询结果中不包含最近10分钟内发生的防御事件。
查询超过1小时且包含当前30分钟内的防御数据时,统计数据会存在30分钟延时,即查询结果中不包含最近30分钟内发生的防御事件。
例如,当前时间为15:00:00,如果您查询当日12:00:00~15:00:00的数据时,14:30:00~15:00:00之间的数据将无法查到;如果您查询当日12:00:00~14:30:00的数据,您将可以查询到该时间段内的完整数据。
查看或者修改入侵防御规则
开通云防火墙服务后,防护配置的威胁引擎默认启用拦截模式,即云防火墙会自动拦截攻击行为。并且云防火墙会根据业务流量的实际情况判断,自动选择需要开启的拦截模式等级(宽松、中等、严格)。同时,云防火墙会默认开启威胁情报、基础防御和虚拟补丁。
如果您的云防火墙版本为企业版或旗舰版,您可以进入防护配置。
页面,单击自定义选择,查看默认的入侵防御规则。如果您业务需要修改某条入侵防御的规则,定位到该规则,在当前动作列,修改该规则的执行动作。更多信息,请参见查看互联网阻断事件
云防火墙提供了云资产的互联网入向和出向流量防护统计数据,便于您了解云防火墙对资产流量的防御情况,确保资产安全。您可以查询过去90天内的互联网流量阻断数据,单次查询时间最长范围为31天。
进入
页面,在互联网防护页签,设置查询时间后,查看防护数据统计和防护明细列表。防护数据模块包含攻击总数、攻击类型分布、拦截数据。
其中,拦截数据指标说明如下:
阻断目的TOP:展示被云防火墙阻断的流量中,占比Top 5的目的IP地址。
鼠标悬浮在阻断目的IP上,单击图标,可进入日志审计页面查看该目的IP地址对应的流量的目的端口、应用类型、动作等详细信息。
阻断来源TOP:展示被云防火墙阻断的流量中,占比Top 3的来源类型。
阻断应用TOP:展示被云防火墙阻断的流量中,占比Top 5的应用类型。
防护明细列表:根据查询条件,展示云防火墙对攻击流量的防护明细,包括事件的风险级别、事件数量、源IP地址、目的IP地址等信息。
说明如果源IP是WAF或者DDoS的回源地址,云防火墙会识别出此类回源地址,并显示WAF回源IP、DDoS回源IP。
在该模块区域,您可以执行以下操作:
查询目标事件:选择风险级别、防御状态、攻击类型、判断来源、方向和时间范围等条件后,单击搜索,查看符合设定条件的事件信息。
查看事件详情:在操作列单击详情,打开阻断事件的详情页面,查看基本信息、攻击payload等详细信息。攻击payload展示了攻击流量的五元组信息、载荷内容等,方便您进行攻击溯源,降低安全风险。
下载阻断事件:在搜索栏右侧,单击图标,在右上角的下载任务管理中下载阻断事件。
查看VPC拦截事件
云防火墙为您提供了VPC网络之间的流量防护统计情况,您可以查看VPC的流量通行和阻断情况。您可以查询过去90天内的VPC流量阻断数据,单次查询时间最长范围为31天。
云防火墙高级版不支持VPC边界防火墙,不会显示VPC防护页签。
进入
页面,在VPC防护页签,查看指定时间段内VPC拦截事件的名称、风险级别、攻击类型等详细信息。您可以执行以下操作:
查询目标事件:选择风险级别、防御状态、攻击类型和时间等条件后,单击搜索,查看符合设定条件的事件信息。
查看事件详情:在操作列单击详情,打开阻断事件的详情页面,查看基本信息、攻击payload等详细信息。攻击payload展示了攻击流量的五元组信息、载荷内容等,方便您进行攻击溯源,降低安全风险。
下载防护事件:在搜索栏右侧,单击图标,在右上角的下载任务管理中下载防护事件。