按量版新手引导

当您购买云防火墙按量版后,您可以使用云防火墙的攻击防护、访问控制策略等功能为您的公网资产进行安全防护。本文介绍云防火墙按量版的完整使用流程(包括接入资产防护、配置防护策略、查看防护效果等),帮助您更快地使用云防火墙按量版

使用流程

image

前提条件

您已经购买了云防火墙按量版。具体操作,请参见购买云防火墙服务

步骤一:开启云防火墙防护

购买云防火墙按量版后,首次登录云防火墙控制台时,系统弹出资产接入对话框,您可以单击自动全量接入公网资产手动一键接入公网资产,快速接入需要防护的资产。

如果您在购买云防火墙按量版时,选中了自动接入资产保护,后续新增的资产将自动接入云防火墙防护。如果您未启用自动接入资产保护,您可以在防火墙开关 > 互联网边界防火墙页面,手动开启新增资产防护。具体操作,请参见互联网边界防火墙

image.png

步骤二:配置攻击防护(IPS)能力

(可选)配置防护规则

云防火墙内置了威胁检测引擎(IPS),可以对恶意流量入侵活动和常规攻击行为实时告警或拦截,一般针对木马后门等恶意文件、攻击payload请求行为进行检测和防护,并提供精准的威胁检测虚拟补丁,智能阻断入侵风险。其检测的运行原理包括利用威胁情报、入侵检测规则、智能模型算法识别、虚拟补丁的方式多方位进行检测。更多信息,请参见IPS配置

威胁引擎运行模式分为观察模式(仅告警)、拦截模式(告警且自动阻断攻击payload),针对不同的攻击类型,云防火墙威胁引擎设计了不同的策略。拦截模式的适用场景如下:

分类

适用场景

特点

示例

宽松模式

防护粒度较粗,主要覆盖低误报规则,适合业务对误报要求高的场景。

明确漏洞利用关键字、关键参数,有明显的攻击报文和行为,无误报可能性。

Struts 2远程代码执行(CVE-2018-11776)、Spark REST API未授权访问(CVE-2018-11770)、Jenkins远程命令执行(CVE-2018-1000861)。

中等模式

防护粒度介于宽松和严格之间,适合日常运维的常规规则场景。

涉及每种攻击类型,综合利用各类漏洞利用分析方式,即为常规规则,基本无误报的可能性。

Oracle WebLogic Server远程代码执行(CVE-2020-2551)、Microsoft WindowsRDP Client远程代码执行(CVE-2020-1374)、SMBv1拒绝服务攻击(CVE-2020-1301)。

严格模式

防护粒度最精细,主要覆盖基本全量规则,相比中等规则组可能误报更高,适合对安全防护漏报要求高的场景。

栈溢出、缓冲区溢出等高危害性,其中绝大部分四层漏洞,需经过协议分析、关键字匹配、多次跳转、关键字偏移等攻击确认。

Squid Proxy HTTP Request Processing缓冲区溢出(CVE-2020-8450)、Nginx 0-Length Headers Leak拒绝服务(CVE-2019-9516)、Oracle WebLogic rda_tfa_ref_date命令注入(CVE-2018-2615)。

重要

修改防护配置时,建议您优先开启观察模式,通过试运行一段时间,分析数据误拦截情况后,再开启防护拦截模式功能。

更多入侵防御使用实践,请参见:

查看防护结果

您可以在云防火墙控制台检测响应 > 入侵防御页面,查看云防火墙对资产的入侵拦截情况,包括拦截流量的源IP、目的IP、阻断应用、阻断来源和阻断事件详情等。更多信息,请参见入侵防御

image.png

步骤三:查看网络流量分析

通过流量分析,您可以实时查看主机发生的主动外联、公网暴露的详细信息,进行流量可视化管理,排查异常流量。

  • 主动外联(出向流量)

    您可以通过主动外联活动页面展示云上资产外联域名、外联IP信息,结合情报标签和访问详情及日志,可对出方向访问控制策略进行查漏补缺。具体操作,请参见主动外联

  • 公网暴露(入向流量)

    您也可以查看流量公网暴露的云上开放的服务、端口、公网IP地址和云产品信息,结合开放公网IP信息和推荐的智能策略可加强入方向访问控制策略安全水位。具体操作,请参见公网暴露

重要

流量分析是配置访问控制策略的基础。建议您在配置访问控制策略前全面了解您资产的流量情况。

步骤四:配置访问控制策略

配置访问控制策略

如果您未配置任何策略,云防火墙默认放行所有流量。您可以自定义创建互联网边界防火墙的访问控制策略,实现精细化管控公网资产和互联网之间的未授权访问。

查看访问控制策略命中情况

访问控制策略配置完成后,默认情况下策略立即生效。您可以进入云防火墙控制台访问控制 > 互联网边界页面,在访问控制策略列表的命中次数/最近命中时间列,查看访问控制策略的命中情况。更多信息,请参见配置互联网边界访问控制策略

image.png

步骤五:配置告警通知

您可以通过设置告警通知,在出现资产攻击风险、新增资产等情况时,及时收到通知,以便您了解资产状态,及时处理异常问题,保障资产安全。关于云防火墙支持设置的告警类型以及如何设置,请参见告警通知

步骤五:查看按量付费账单

云防火墙按量版以天为单位计费,每天18:00统计前一天的费用并进行结算。您可以通过查询按量付费版的账单详情,了解按量计费的明细。

  1. 登录云防火墙控制台

  2. 在左侧导航栏,选择系统设置 > 账单管理

  3. 账单管理页面,查看按量付费流量使用明细,包括保护的资产数据统计、已开通的防护功能、防护资产的流量数据。

    单击查看账单详情,查看详细的账单明细。具体操作,请参见明细账单

相关文档

  • 如果您在使用云防火墙按量版过程中有疑问,请参见售前常见问题

  • 如果您想了解云防火墙按量版支持的功能特性,请参见功能特性

  • 如果您希望降低云防火墙按量版的费用成本,您可以搭配使用按量节省套餐包。具体操作,请参见按量节省套餐包

  • 如果您需要将云防火墙按量版转换为包年包月版,请参见升级和降配

  • 如果您的业务不再需要使用云防火墙,您可以手动释放云防火墙按量版。具体操作,请参见释放实例