文档

攻击防护常见问题

更新时间:

本文介绍云防火墙攻击防护常见问题的解决方案。

云防火墙如何放行云安全中心及其他扫描器的漏洞扫描IP地址?

原因分析

由于云安全中心扫描应用漏洞时,是通过公网模拟黑客入侵攻击进行漏洞扫描探测,可能会命中云防火墙攻击防护策略或访问控制管控策略。

解决办法

如果您需要执行漏洞扫描,建议您将云安全中心及其他扫描器的IP地址加到云防火墙攻击防护白名单中进行放行。关于云安全中心的扫描IP地址,请参见应用漏洞Web扫描器IP地址说明。关于如何添加云防火墙攻击防护白名单,请参见设置防护白名单。您也可以将云安全中心扫描IP添加到一个地址簿,然后再防护白名单中直接引用地址簿即可。关于如何添加地址簿,请参见地址簿管理

配置了攻击防护的威胁引擎运行模式为拦截模式,为什么攻击流量没有被拦截?

原因分析

  • 基础防御、虚拟补丁、威胁情报的开关没有开启。

  • 配置了防护白名单,放行匹配的流量。

  • 拦截模式配置如下,但基础防御的规则动作为观察或禁用。

    • 已配置拦截模式-宽松,仅对宽松规则组的拦截规则执行拦截动作。

    • 已配置拦截模式-中等,仅对宽松和中等规则组的拦截规则执行拦截动作。

    • 已配置拦截模式-严格,会对宽松、中等和严格规则组的拦截规则执行拦截动作。

解决办法

为什么资产存在漏洞但云防火墙漏洞防护无数据?

可能存在以下三种情况:

  • 云防火墙会从攻击流量中分析漏洞利用行为并进行防护,漏洞没有被攻击的流量就不会展示该漏洞的防护数据。

  • 云安全中心软件成分分析(通过软件信息检测)检出的漏洞,云防火墙暂不支持同步(仅同步网络扫描类漏洞)。

  • 资产的漏洞是内网漏洞,云防火墙只同步公网资产暴露的漏洞。

关于漏洞防护的详细信息,请参见IPS配置

云防火墙如何获取攻击样本?

云防火墙只有命中基础防御或虚拟补丁规则的流量,才能获取到攻击样本。您可以通过以下两种方式获取攻击样本:

  • 访问入侵防御页面,单击详情,在攻击payload面板,查看载荷内容(即攻击样本)。

  • 访问日志审计页面流量日志页签,设置全部规则来源基础防御或者虚拟补丁,然后在查询结果列表,单击操作获取攻击样本

攻防对抗场景中,云防火墙如何基于杀伤链增强防御和检测能力?

攻防演练逐级体系化、规模化、常态化,覆盖到各行各业的主要业务系统上,攻击手段发生转变,开始尝试“更隐蔽”的攻击方式,逐步向钓鱼、供应链、水坑等攻击手段转变。网络杀伤链描述了攻击者每个攻击阶段,每一个环节是对攻击作出侦测和反应的机会,从而实现识别和阻止。利用网络杀伤链来防止攻击者潜入网络环境,需要情报支持和数据分析响应能力。云防火墙通过收敛暴露面、攻击快速响应、失陷感知、日志溯源等能力,增强防御方的检测和响应能力。

  • 收敛暴露面:开展互联网资产盘查,通过出入双向的网络访问控制策略,缩小网络攻击面,请参见访问控制

  • 攻击快速响应:IPS和虚拟补丁自动上线拦截,威胁情报感知全网攻击态势,阻断扫描和入侵行为,请参见入侵防御IPS配置

  • 失陷感知:分析、定位和溯源攻击,及时处置和快速响应。主动外联检测实时展示主机的主动外联数据,及时处置可疑主机。安全正向代理和智能策略,实现内网访问互联网的流量控制和防护,请参见失陷感知

  • 日志溯源:威胁检测引擎检测入侵活动,记录详细信息,依托日志服务,对采集的访问日志和攻击防护日志进行深度分析和威胁溯源,对告警自动化处理,请参见日志审计

云防火墙如何实现失陷感知,建议如何设置安全策略?

云防火墙如何实现失陷感知

云上威胁形式多样化、复杂化,APT攻击等高级威胁让客户面对更大挑战。失陷主机通常指攻击者获得控制权的主机,可能以该主机为跳板继续渗透内网的其他主机。从杀伤链模型来看,攻击者在经过漏洞利用阶段,进行安装植入、命令与控制、获取数据、横向渗透等行为。失陷感知通过检测手段,分析、定位和溯源攻击,及时处置和快速响应,降低攻击对企业造成的影响和损失。云防火墙威胁检测引擎检测入侵活动,记录详细信息,主动外联检测实时展示主机的主动外联数据,及时发现可疑主机。

开启和设置安全策略

  • 配置云防火墙南北向访问控制策略,缩小暴露面,请参见配置互联网边界访问控制策略

  • 开启云防火墙IPS入侵防护,拦截互联网对云上主机的入侵行为,请参见IPS配置

  • 通过安全正向代理和智能策略,实现内网访问互联网的流量控制和防护,请参见访问控制

  • 关注云防火墙外联检测和失陷感知告警,及时处置,请参见告警通知

同时开启透明WAF和互联网边界防火墙,防护引流端口的入侵防御事件在哪里查看?

您可以通过WAF查看入侵防护事件。具体操作,请参见安全报表

  • 本页导读 (1)