云防火墙内置威胁检测引擎,实施拦截互联网上的恶意流量入侵活动和常规攻击行为,并提供精准地威胁检测虚拟补丁。通过防护配置功能设置威胁引擎的运行模式,配置威胁情报、基础防御、智能防御和虚拟补丁,帮助您更精准地识别和阻断入侵风险。本文介绍威胁引擎运行模式、及不同类型的攻击的拦截对策,如何配置防护模式。

互联网边界IPS能力

威胁引擎运行模式

云防火墙服务开通后,威胁引擎默认启用拦截模式。具体开启哪种程度的拦截模式,云防火墙会根据您流量的实际情况判断和默认选择。只有开启拦截模式后,威胁情报、基础防御和虚拟补丁功能才会开启相应的威胁拦截。如未开启拦截模式,入侵防御功能只会对各类威胁和恶意流量进行监控。

威胁引擎运行模式的详细介绍,请参见IPS能力概述

  1. 登录云防火墙控制台在左侧导航栏,选择防护配置 > IPS配置

  2. 互联网边界页签的威胁引擎运行模式区域,设置威胁引擎的运行模式。

    image

    威胁引擎可选择以下两种模式:

    • 观察模式:开启观察模式,针对攻击行为仅记录及告警,不拦截,即威胁情报、基础防御、虚拟补丁中的防护动作均为观察。

    • 拦截模式:开启拦截模式,对恶意流量拦截,阻断入侵活动。

      针对您的防护需求,选择不同严格程度的拦截模式:

      • 拦截模式-宽松:防护粒度较粗,主要覆盖低误报规则,适合对误报要求高的业务场景。

      • 拦截模式-中等:防护粒度较宽松,介于宽松和严格之间,精准度较高,适合日常运维的常规防护场景。

      • 拦截模式-严格:防护粒度精细,覆盖全量规则,相比中等规则组可能误报更高,适合对安全防护漏报要求高的场景。

威胁情报

威胁情报开关默认开启,云防火墙可扫描侦查威胁情报,并提供中控情报阻断。威胁情报可将阿里云全网检测到的恶意IP同步到云防火墙,如:恶意访问源、扫描源、暴力破解的源IP等,并对其精准拦截,可提前感知网络威胁源。

建议您开启威胁情报。如果您确认业务不需要,可以在高级设置区域,关闭威胁情报开关。

image

基础防御

基础防御开关默认开启,云防火墙为您开启部分常见威胁相关的检测规则。基础防御可提供基础的入侵防御能力,包括命令执行漏洞拦截、对被感染后连接C&C(命令控制)的行为管控,可为您的资产提供基础的防护能力。

建议您开启基础防御。如果您确认业务不需要,可以在高级设置区域,关闭基础防御开关。

image

如果您需要查看基础防御的规则详情或者默认规则无法满足您的需求,您可以单击右侧的自定义选择,对单个或多个基础防御规则修改当前动作,修改后的规则标记为自定义规则。您可以关闭规则的开关,关闭后该条规则不生效。如果规则为开启状态,自定义规则的优先级高于默认规则的优先级。

image

虚拟补丁

虚拟补丁开关默认开启,云防火墙可为您实时防护热门的高危漏洞和应急漏洞。虚拟补丁针对可被远程利用的高危漏洞和应急漏洞,在网络层提供热补丁,实时拦截漏洞攻击行为,避免修复主机漏洞时对业务产生的中断影响。虚拟补丁无需在您的服务器上进行安装。虚拟补丁关闭后将无法实时自动更新。

建议开启所有的虚拟补丁。如果您确认业务不需要,可以在高级设置区域,关闭虚拟补丁开关。

image

如果您需要查看虚拟补丁的规则详情或者默认规则无法满足您的需求,您可以单击右侧的自定义选择,对单个或多个虚拟补丁规则修改当前动作,修改后的规则标记为自定义规则。您可以关闭规则的开关,关闭后该条规则不生效。如果规则为开启状态,自定义规则的优先级高于默认规则的优先级。

image

智能防御

智能防御开关默认开启,云防火墙可以学习云上攻击数据,提高威胁和攻击的识别准确率。

目前仅威胁引擎运行模式为观察时支持智能防御能力。建议您开启智能防御。如果您确认业务不需要,可以在高级设置区域,关闭智能防御开关。

image

数据泄露

您需要先为资产开启数据泄露检测开关,云防火墙会对云上外联流量(业务资产访问互联网的流量)做敏感数据检测,帮您识别出敏感数据泄露风险。单击配置开启资产,定位到指定公网资产,单击操作开启数据泄露检测

单击查看支持的敏感数据类型,查看云防火墙可识别的数据类型。您可以根据实际业务,自定义启用哪种数据类型的识别。

image

您可以在数据泄露页面,查看云防火墙帮您检测到数据泄露大盘,方便您更准确了解数据泄露的资产信息、泄露事件以及风险payload。

防护白名单

如果您需要直接放行可信的IPv4和IPv6出入双向流量的目的IP地址、源IP地址,可以将其添加到防护白名单。添加到防护白名单中IP的流量不会被基础防护、智能防御、虚拟补丁规则拦截。自定义目的IP白名单和源IP白名单分别最多添加50个IP地址。

高级设置区域,单击防护白名单进行设置。

image

防护白名单仅对基础防御、智能防御和虚拟补丁生效,防护白名单对威胁情报不生效。如果需要将威胁情报相关IP加入白名单,需配置访问控制策略。更多信息,请参见配置互联网边界访问控制策略云防火墙防护流量时的规则匹配顺序是什么?

VPC边界IPS能力

只有开启VPC边界防火墙才能配置VPC边界的IPS防御能力。关于如何开启VPC边界防火墙,请参见VPC边界防火墙

IPS防御模式

IPS防御模式可选择以下两种模式:

  • 观察模式:开启观察模式,针对攻击行为仅记录及告警,不拦截,即威胁情报、基础防御、虚拟补丁中的防护动作均为观察。

  • 拦截模式:开启拦截模式,对恶意流量拦截,阻断入侵活动。

    针对您的防护需求,选择不同严格程度的拦截模式:

    • 拦截模式-宽松:防护粒度较粗,主要覆盖低误报规则,适合对误报要求高的业务场景。

    • 拦截模式-中等:防护粒度较宽松,介于宽松和严格之间,精准度较高,适合日常运维的常规防护场景。

    • 拦截模式-严格:防护粒度精细,覆盖全量规则,相比中等规则组可能误报更高,适合对安全防护漏报要求高的场景。

基础防御

基础防御可提供基础的入侵防御能力,包括命令执行漏洞拦截、对被感染后连接C&C(命令控制)的行为管控,可为您的资产提供基础的防护能力。

建议您开启基础防御。如果您确认业务不需要,可以定位到指定云企业网实例ID或者高速通道防火墙ID,单击配置IPS防御能力,去勾选基础防御能力。

如果您需要查看基础防御的规则详情或者默认规则无法满足您的需求,您可以单击查看基础防御规则,对单个或多个基础防御规则修改当前动作,修改后的规则标记为自定义规则。您可以关闭规则的开关,关闭后该条规则不生效。如果规则为开启状态,自定义规则的优先级高于默认规则的优先级。自定义规则和规则的启用状态对业务中所有VPC边界防火墙都生效。

image

虚拟补丁

云防火墙可为您实时防护热门的高危漏洞和应急漏洞。虚拟补丁针对可被远程利用的高危漏洞和应急漏洞,在网络层提供热补丁,实时拦截漏洞攻击行为,避免修复主机漏洞时对业务产生的中断影响。虚拟补丁无需在您的服务器上进行安装。虚拟补丁关闭后将无法实时自动更新。

建议开启所有的虚拟补丁。如果您确认业务不需要,可以定位到指定云企业网实例ID或者高速通道防火墙ID,单击配置IPS防御能力,去勾选虚拟补丁能力。

如果您需要查看虚拟补丁的规则详情或者默认规则无法满足您的需求,您可以单击查看虚拟补丁规则,对单个或多个虚拟补丁规则修改当前动作,修改后的规则标记为自定义规则。您可以关闭规则的开关,关闭后该条规则不生效。如果规则为开启状态,自定义规则的优先级高于默认规则的优先级。自定义规则和规则启用状态对业务中所有VPC边界防火墙都生效。

image

配置IPS白名单

如果您需要直接放行可信的目的IP地址、源IP地址,可以将其添加到防护白名单。添加到防护白名单中IP的流量不会被基础防护、智能防御、虚拟补丁规则拦截。自定义目的IP白名单和源IP白名单分别最多添加50个IP地址。如果您需要直接放行可信的目的IP地址、源IP地址,可以将其添加到防护白名单。添加到防护白名单中IP的流量不会被基础防护、智能防御、虚拟补丁规则拦截。自定义目的IP白名单和源IP白名单分别最多添加50个IP地址。

定位到目标云企业网实例ID或者高速通道防火墙ID,在操作列单击配置IPS白名单进行设置。

image

相关文档