当您购买云防火墙按量版后,您可以使用云防火墙的攻击防护、访问控制策略等功能为您的公网资产进行安全防护。本文介绍云防火墙按量版的完整使用流程(包括接入资产防护、配置防护策略、查看防护效果等),帮助您更快地使用云防火墙按量版。
使用流程
前提条件
您已经购买了云防火墙按量版。具体操作,请参见购买云防火墙服务。
步骤一:开启云防火墙防护
购买云防火墙按量版后,首次登录云防火墙控制台时,系统弹出资产接入对话框,您可以单击自动全量接入公网资产或手动一键接入公网资产,快速接入需要防护的资产。
如果您在购买云防火墙按量版时,选中了自动接入资产保护,后续新增的资产将自动接入云防火墙防护。如果您未启用自动接入资产保护,您可以在 页面,手动开启新增资产防护。具体操作,请参见互联网边界防火墙。
步骤二:配置攻击防护(IPS)能力
(可选)配置防护规则
云防火墙内置了威胁检测引擎(IPS),可以对恶意流量入侵活动和常规攻击行为实时告警或拦截,一般针对木马后门等恶意文件、攻击payload请求行为进行检测和防护,并提供精准的威胁检测虚拟补丁,智能阻断入侵风险。其检测的运行原理包括利用威胁情报、入侵检测规则、智能模型算法识别、虚拟补丁的方式多方位进行检测。更多信息,请参见IPS配置。
威胁引擎运行模式分为观察模式(仅告警)、拦截模式(告警且自动阻断攻击payload),针对不同的攻击类型,云防火墙威胁引擎设计了不同的策略。拦截模式的适用场景如下:
分类 | 适用场景 | 特点 | 示例 |
宽松模式 | 防护粒度较粗,主要覆盖低误报规则,适合业务对误报要求高的场景。 | 明确漏洞利用关键字、关键参数,有明显的攻击报文和行为,无误报可能性。 | Struts 2远程代码执行(CVE-2018-11776)、Spark REST API未授权访问(CVE-2018-11770)、Jenkins远程命令执行(CVE-2018-1000861)。 |
中等模式 | 防护粒度介于宽松和严格之间,适合日常运维的常规规则场景。 | 涉及每种攻击类型,综合利用各类漏洞利用分析方式,即为常规规则,基本无误报的可能性。 | Oracle WebLogic Server远程代码执行(CVE-2020-2551)、Microsoft WindowsRDP Client远程代码执行(CVE-2020-1374)、SMBv1拒绝服务攻击(CVE-2020-1301)。 |
严格模式 | 防护粒度最精细,主要覆盖基本全量规则,相比中等规则组可能误报更高,适合对安全防护漏报要求高的场景。 | 栈溢出、缓冲区溢出等高危害性,其中绝大部分四层漏洞,需经过协议分析、关键字匹配、多次跳转、关键字偏移等攻击确认。 | Squid Proxy HTTP Request Processing缓冲区溢出(CVE-2020-8450)、Nginx 0-Length Headers Leak拒绝服务(CVE-2019-9516)、Oracle WebLogic |
修改防护配置时,建议您优先开启观察模式,通过试运行一段时间,分析数据误拦截情况后,再开启防护拦截模式功能。
更多入侵防御使用实践,请参见:
查看防护结果
您可以在云防火墙控制台的 页面,查看云防火墙对资产的入侵拦截情况,包括拦截流量的源IP、目的IP、阻断应用、阻断来源和阻断事件详情等。更多信息,请参见入侵防御。
步骤三:查看网络流量分析
通过流量分析,您可以实时查看主机发生的主动外联、公网暴露的详细信息,进行流量可视化管理,排查异常流量。
主动外联(出向流量)
您可以通过主动外联活动页面展示云上资产外联域名、外联IP信息,结合情报标签和访问详情及日志,可对出方向访问控制策略进行查漏补缺。具体操作,请参见主动外联。
公网暴露(入向流量)
您也可以查看流量公网暴露的云上开放的服务、端口、公网IP地址和云产品信息,结合开放公网IP信息和推荐的智能策略可加强入方向访问控制策略安全水位。具体操作,请参见公网暴露。
流量分析是配置访问控制策略的基础。建议您在配置访问控制策略前全面了解您资产的流量情况。
步骤四:配置访问控制策略
配置访问控制策略
如果您未配置任何策略,云防火墙默认放行所有流量。您可以自定义创建互联网边界防火墙的访问控制策略,实现精细化管控公网资产和互联网之间的未授权访问。
互联网边界防火墙访问控制策略的配置方法,请参见配置互联网边界访问控制策略。
访问控制策略的配置场景示例,例如只允许公网流量访问指定端口的策略(入方向)、只允许主机访问指定域名的策略(出方向)、不同VPC内某些ECS之间禁止访问等,请参见访问控制策略配置示例。
查看访问控制策略命中情况
访问控制策略配置完成后,默认情况下策略立即生效。您可以进入云防火墙控制台的 页面,在访问控制策略列表的命中次数/最近命中时间列,查看访问控制策略的命中情况。更多信息,请参见配置互联网边界访问控制策略。
步骤五:配置告警通知
您可以通过设置告警通知,在出现资产攻击风险、新增资产等情况时,及时收到通知,以便您了解资产状态,及时处理异常问题,保障资产安全。关于云防火墙支持设置的告警类型以及如何设置,请参见告警通知。
步骤五:查看按量付费账单
云防火墙按量版以天为单位计费,每天18:00统计前一天的费用并进行结算。您可以通过查询按量付费版的账单详情,了解按量计费的明细。