入侵防御
云防火墙的入侵防御IPS(Intrusion Prevention System)能力可以实时主动检测和拦截黑客恶意攻击、漏洞利用、暴力破解、蠕虫病毒、挖矿程序、后门木马、DoS等恶意流量,保护云上企业信息系统和网络架构免受侵害,防止业务被未授权访问或数据泄露、业务系统和应用程序损坏或宕机等。
限制说明
云防火墙按量版、高级版、企业版和旗舰版支持入侵防御功能,免费版不支持。
云防火墙入侵防御不支持解析TLS、SSL加密的流量,因此无法对此类流量进行检测和防护。
查看或者修改入侵防御规则
云防火墙服务开通后,防护配置的威胁引擎默认启用拦截模式。具体开启哪种程度的拦截模式,云防火墙会根据您流量的实际情况判断和默认选择。同时,云防火墙会默认为您开启威胁情报、基础防御和虚拟补丁的开关。当前只有企业版和旗舰版支持查看和修改规则,具体操作,请参见防护配置。
单击自定义选择,在基础防御 - 自定义选择对话框,查看默认的入侵防御规则。如果您业务需要修改某条入侵防御的规则,定位到该规则,在当前动作列,修改该规则的执行动作。
查看互联网阻断事件
在互联网防护页签,您可查看最近1小时、1天、7天、1个月和自定义时间范围内互联网出方向或入方向的阻断情况。可设置的自定义时间范围为距离当前时间6个月以内。
互联网防护页签包含以下模块:
防护数据:包含攻击总数、攻击类型分布、拦截数据。
其中,拦截数据包含以下内容:
阻断目的TOP:展示了被云防火墙阻断的流量中,占比Top 5的目的IP地址。
鼠标悬浮在阻断目的IP上,右侧出现
图标,单击该图标跳转到云防火墙日志审计页面查看日志信息。您可在日志列表中查看该目的IP地址的目的端口、应用类型、动作等详细信息。阻断来源TOP:展示了被云防火墙阻断的流量中,占比Top 3的来源类型。
阻断应用TOP:展示了被云防火墙阻断的流量中,占比Top 5的应用类型。
详细数据:展示了所有阻断事件的详细信息,包括事件的风险级别、事件数量、源IP地址和目的IP地址等信息。
说明如果源IP是WAF或者DDoS的回源地址,云防火墙会识别出此类回源地址,并显示WAF回源IP、DDoS回源IP。
在详细数据模块,您可以执行以下操作:
查询目标事件:选择风险级别、防御状态、攻击类型、判断来源、方向和时间范围等条件后,单击搜索,查看符合设定条件的事件信息。
查看事件详情:单击操作栏的详情可打开阻断事件的详情页面,查看基本信息、攻击payload等详细信息。攻击payload中支持展示真实源IP、X-Forwarded-For信息,方便用户攻击溯源,降低安全风险。
下载阻断事件:在搜索栏右侧,单击
图标,在右上角的任务管理中下载阻断事件。
查看VPC拦截事件
云防火墙高级版不支持展示VPC防护页签。
VPC防护页签展示了云防火墙拦截到的VPC网络之间的异常事件信息。您可以查看指定时间段内VPC拦截事件的名称、风险级别、攻击类型等详细信息。
在VPC防护页签,您可以执行以下操作:
查询目标事件:选择风险级别、防御状态、攻击类型和时间等条件后,单击搜索,查看符合设定条件的事件信息。
查看事件详情:定位到目标事件,单击详情,查看当前事件的基本信息。
下载防护事件:在搜索栏右侧,单击
图标,在右上角的任务管理中下载防护事件。
