云防火墙按量版新手引导_云防火墙(Cloud Firewall)-阿里云帮助中心

当您购买云防火墙按量版后，您可以使用云防火墙的攻击防护、访问控制策略等功能为您的公网资产进行安全防护。本文介绍云防火墙按量版的完整使用流程（包括接入资产防护、配置防护策略、查看防护效果等），帮助您更快地使用云防火墙按量版。

使用流程

前提条件

您已经购买了云防火墙按量版。具体操作，请参见购买云防火墙服务。

步骤一：开启云防火墙防护

购买云防火墙按量版后，首次登录云防火墙控制台时，系统弹出资产接入对话框，您可以单击自动全量接入公网资产或手动一键接入公网资产，快速接入需要防护的资产。

如果您在购买云防火墙按量版时，选中了自动接入资产保护，后续新增的资产将自动接入云防火墙防护。如果您未启用自动接入资产保护，您可以在防火墙开关 > 互联网边界防火墙页面，手动开启新增资产防护。具体操作，请参见互联网边界防火墙。

步骤二：配置攻击防护（IPS）能力

（可选）配置防护规则

云防火墙内置了威胁检测引擎（IPS），可以对恶意流量入侵活动和常规攻击行为实时告警或拦截，一般针对木马后门等恶意文件、攻击payload请求行为进行检测和防护，并提供精准的威胁检测虚拟补丁，智能阻断入侵风险。其检测的运行原理包括利用威胁情报、入侵检测规则、智能模型算法识别、虚拟补丁的方式多方位进行检测。更多信息，请参见IPS配置。

威胁引擎运行模式分为观察模式（仅告警）、拦截模式（告警且自动阻断攻击payload），针对不同的攻击类型，云防火墙威胁引擎设计了不同的策略。拦截模式的适用场景如下：

分类	适用场景	特点	示例
宽松模式	防护粒度较粗，主要覆盖低误报规则，适合业务对误报要求高的场景。	明确漏洞利用关键字、关键参数，有明显的攻击报文和行为，无误报可能性。	Struts 2远程代码执行（CVE-2018-11776）、Spark REST API未授权访问（CVE-2018-11770）、Jenkins远程命令执行（CVE-2018-1000861）。
中等模式	防护粒度介于宽松和严格之间，适合日常运维的常规规则场景。	涉及每种攻击类型，综合利用各类漏洞利用分析方式，即为常规规则，基本无误报的可能性。	Oracle WebLogic Server远程代码执行（CVE-2020-2551）、Microsoft WindowsRDP Client远程代码执行（CVE-2020-1374）、SMBv1拒绝服务攻击（CVE-2020-1301）。
严格模式	防护粒度最精细，主要覆盖基本全量规则，相比中等规则组可能误报更高，适合对安全防护漏报要求高的场景。	栈溢出、缓冲区溢出等高危害性，其中绝大部分四层漏洞，需经过协议分析、关键字匹配、多次跳转、关键字偏移等攻击确认。	Squid Proxy HTTP Request Processing缓冲区溢出（CVE-2020-8450）、Nginx 0-Length Headers Leak拒绝服务（CVE-2019-9516）、Oracle WebLogic `rda_tfa_ref_date`命令注入（CVE-2018-2615）。

重要

修改防护配置时，建议您优先开启观察模式，通过试运行一段时间，分析数据误拦截情况后，再开启防护拦截模式功能。

更多入侵防御使用实践，请参见：

查看防护结果

您可以在云防火墙控制台的检测响应 > 入侵防御页面，查看云防火墙对资产的入侵拦截情况，包括拦截流量的源IP、目的IP、阻断应用、阻断来源和阻断事件详情等。更多信息，请参见入侵防御。

步骤三：查看网络流量分析

通过流量分析，您可以实时查看主机发生的主动外联、公网暴露的详细信息，进行流量可视化管理，排查异常流量。

主动外联（出向流量）
您可以通过主动外联活动页面展示云上资产外联域名、外联IP信息，结合情报标签和访问详情及日志，可对出方向访问控制策略进行查漏补缺。具体操作，请参见主动外联。
公网暴露（入向流量）
您也可以查看流量公网暴露的云上开放的服务、端口、公网IP地址和云产品信息，结合开放公网IP信息和推荐的智能策略可加强入方向访问控制策略安全水位。具体操作，请参见公网暴露。

重要

流量分析是配置访问控制策略的基础。建议您在配置访问控制策略前全面了解您资产的流量情况。

步骤四：配置访问控制策略

配置访问控制策略

如果您未配置任何策略，云防火墙默认放行所有流量。您可以自定义创建互联网边界防火墙的访问控制策略，实现精细化管控公网资产和互联网之间的未授权访问。

互联网边界防火墙访问控制策略的配置方法，请参见配置互联网边界访问控制策略。
访问控制策略的配置场景示例，例如只允许公网流量访问指定端口的策略（入方向）、只允许主机访问指定域名的策略（出方向）、不同VPC内某些ECS之间禁止访问等，请参见访问控制策略配置示例。
MongoDB数据库未授权访问漏洞防御最佳实践

查看访问控制策略命中情况

访问控制策略配置完成后，默认情况下策略立即生效。您可以进入云防火墙控制台的访问控制 > 互联网边界页面，在访问控制策略列表的命中次数/最近命中时间列，查看访问控制策略的命中情况。更多信息，请参见配置互联网边界访问控制策略。

步骤五：配置告警通知

您可以通过设置告警通知，在出现资产攻击风险、新增资产等情况时，及时收到通知，以便您了解资产状态，及时处理异常问题，保障资产安全。关于云防火墙支持设置的告警类型以及如何设置，请参见告警通知。

步骤五：查看按量付费账单

云防火墙按量版以天为单位计费，每天18:00统计前一天的费用并进行结算。您可以通过查询按量付费版的账单详情，了解按量计费的明细。

登录云防火墙控制台。
在左侧导航栏，选择系统设置 > 账单管理。
在账单管理页面，查看按量付费流量使用明细，包括保护的资产数据统计、已开通的防护功能、防护资产的流量数据。
单击查看账单详情，查看详细的账单明细。具体操作，请参见明细账单。