本文介绍云防火墙攻击防护常见问题的解决方案。
云防火墙如何放行云安全中心及其他扫描器的漏洞扫描IP地址?
原因分析
由于云安全中心扫描应用漏洞时,是通过公网模拟黑客入侵攻击进行漏洞扫描探测,可能会命中云防火墙攻击防护策略或访问控制管控策略。
解决办法
如果您需要执行漏洞扫描,建议您将云安全中心及其他扫描器的IP地址加到云防火墙攻击防护白名单中进行放行。关于云安全中心的扫描IP地址,请参见应用漏洞Web扫描器IP地址说明。关于如何添加云防火墙攻击防护白名单,请参见设置防护白名单。您也可以将云安全中心扫描IP添加到一个地址簿,然后再防护白名单中直接引用地址簿即可。关于如何添加地址簿,请参见地址簿管理。
配置了攻击防护的威胁引擎运行模式为拦截模式,为什么攻击流量没有被拦截?
原因分析
基础防御、虚拟补丁、威胁情报的开关没有开启。
配置了防护白名单,放行匹配的流量。
虽然威胁引擎运行模式设置为拦截模式,但攻击流量对应的规则支持的引擎模式为观察(即所有拦截模式等级下均观察),或规则设置的自定义动作为观察。
解决办法
为什么资产存在漏洞但云防火墙漏洞防护无数据?
可能存在以下三种情况:
云防火墙会从攻击流量中分析漏洞利用行为并进行防护,漏洞没有被攻击的流量就不会展示该漏洞的防护数据。
云安全中心软件成分分析(通过软件信息检测)检出的漏洞,云防火墙暂不支持同步(仅同步网络扫描类漏洞)。
资产的漏洞是内网漏洞,云防火墙只同步公网资产暴露的漏洞。
关于漏洞防护的详细信息,请参见IPS配置。
云防火墙如何获取攻击样本?
攻防对抗场景中,云防火墙如何基于杀伤链增强防御和检测能力?
攻防演练逐级体系化、规模化、常态化,覆盖到各行各业的主要业务系统上,攻击手段发生转变,开始尝试“更隐蔽”的攻击方式,逐步向钓鱼、供应链、水坑等攻击手段转变。网络杀伤链描述了攻击者每个攻击阶段,每一个环节是对攻击作出侦测和反应的机会,从而实现识别和阻止。利用网络杀伤链来防止攻击者潜入网络环境,需要情报支持和数据分析响应能力。云防火墙通过收敛暴露面、攻击快速响应、失陷感知、日志溯源等能力,增强防御方的检测和响应能力。
云防火墙如何实现失陷感知,建议如何设置安全策略?
云防火墙如何实现失陷感知
云上威胁形式多样化、复杂化,APT攻击等高级威胁让客户面对更大挑战。失陷主机通常指攻击者获得控制权的主机,可能以该主机为跳板继续渗透内网的其他主机。从杀伤链模型来看,攻击者在经过漏洞利用阶段,进行安装植入、命令与控制、获取数据、横向渗透等行为。失陷感知通过检测手段,分析、定位和溯源攻击,及时处置和快速响应,降低攻击对企业造成的影响和损失。云防火墙威胁检测引擎检测入侵活动,记录详细信息,主动外联检测实时展示主机的主动外联数据,及时发现可疑主机。
开启和设置安全策略
配置云防火墙南北向访问控制策略,缩小暴露面,请参见配置互联网边界访问控制策略。
开启云防火墙IPS入侵防护,拦截互联网对云上主机的入侵行为,请参见IPS配置。
通过安全正向代理和智能策略,实现内网访问互联网的流量控制和防护,请参见访问控制。
关注云防火墙外联检测和失陷感知告警,及时处置,请参见告警通知。
同时开启透明WAF和互联网边界防火墙,防护引流端口的入侵防御事件在哪里查看?
您可以通过WAF查看入侵防护事件。具体操作,请参见安全报表。