如果您的云上资源与公网有通信,即便仅访问公网而不提供服务,也应在公网出口位置部署云防火墙实现网络控制访问和流量防护。
安全风险
只要您的ECS服务器与公网连通,它就同时面临着“流入”和“流出”两个方向的安全威胁:
入向威胁(Inbound Threats):这是来自互联网的主动攻击。攻击者会持续扫描公网IP,一旦发现开放的端口(如SSH的22端口、数据库的3306端口、远程桌面的3389端口),便会尝试通过以下方式入侵:
漏洞利用:针对您应用或系统软件的已知漏洞(如Log4j、Fastjson)发起远程代码执行攻击,直接获取服务器控制权。
暴力破解:对SSH、RDP、数据库等服务进行持续的密码猜测,一旦使用弱口令,服务器将轻易失陷。
Web攻击:针对网站服务的SQL注入、XSS跨站脚本、Webshell上传等。
DDoS攻击:通过构造畸形报文或发起流量洪水,耗尽您的服务器资源,导致业务中断。
出向威胁(Outbound Threats):如果您的服务器不幸被入侵,它将成为攻击者网络中的“跳板”,产生恶意的外联访问,带来严重后果:
C&C通信(命令与控制):被植入的木马或僵尸程序会主动连接外部的“指挥中心”,接收指令、回传数据。
数据泄露:黑客窃取服务器内的敏感数据,并将其传输到外部服务器。
横向传播:以您的服务器为据点,攻击VPC内的其他服务器,或对外发起网络攻击(如发送垃圾邮件、参与DDoS攻击),可能导致您的IP被全球封禁,业务声誉受损。
云防火墙会基于DPI流量分析、IPS入侵防御规则、威胁情报、虚拟补丁、访问控制策略等,对出向和入向流量进行过滤,判断流量是否满足放行条件,有效拦截非法的访问流量,保障公网资产与互联网之间的流量安全。
深度包检测 (DPI):云防火墙能“看懂”流经的网络流量内容,而不仅仅是IP和端口。
入侵防御系统 (IPS):基于DPI,通过内置的数千条攻击特征规则库,它能精准识别并拦截漏洞利用、暴力破解、挖矿木马、Webshell等恶意流量,即使这些流量访问的是您允许开放的端口。
威胁情报集成:实时联动阿里云全网的恶意IP/域名情报库,自动阻断已知的黑客IP、僵尸网络C&C服务器的连接请求。
虚拟补丁:在官方发布应用或系统补丁之前,云防火墙能通过更新IPS规则,为您提供临时的“虚拟补丁”,抢在攻击者前面封堵0-day漏洞利用。
最佳实践
开通互联网边界防火墙并保护公网资产
使用防火墙进行访问控制
拒绝海外区域访问主机:统计显示许多攻击来自海外IP,限制海外IP有助于减少攻击。具体操作,请参见拒绝海外区域访问主机的策略配置教程。
限制ECS允许访问的域名:通常内部主机访问Internet的行为需要受限,如服务器仅需要从外部站点下载镜像、安装包等,通常只允许使用web协议访问Internet。具体操作,请参见只允许公网主机访问指定域名的策略配置教程、只允许私网主机访问指定域名的策略配置教程。
更多防火墙控制访问实践,请参见访问控制最佳实践。
使用防火墙抵御常见攻击
防御数据库攻击:数据库面临的主要威胁,包括暴力破解、数据库应用漏洞、恶意文件读写、命令执行、信息窃取、拖库,阿里云针对主流的数据库软件提供了流深度分析和威胁检测和阻断能力。具体操作。请参见数据库防御最佳实践。
防御蠕虫病毒:蠕虫病毒的特点是会利用服务漏洞通过网络主动扩散感染,蠕虫可以导致业务中断、信息窃取、监管封锁、勒索等危害。云防火墙针对蠕虫的攻击链路进行分层防御,检测和拦截多种蠕虫及其变种。同时基于云上风险态势,实时更新和扩展对最新蠕虫的检测和拦截能力,阻断整个蠕虫攻击和传播链路。具体操作,参见蠕虫病毒防御最佳实践。
防御系统安全威胁:系统安全包括配置不合理(如端口开放不当、弱口令、系统安全策略薄弱等),系统漏洞(如命令执行漏洞、拒绝服务漏洞、信息泄露漏洞等)。阿里云防火墙IPS模块可感知全网攻击态势,提前阻断扫描和入侵行为,拦截高危漏洞利用的访问,阻断Shell反弹和系统文件泄露等行为。具体操作,参见系统安全防御最佳实践。
防御挖矿程序:阿里云防火墙IPS模块通过漏洞情报和虚拟补丁方式可以跟踪和防御大部分挖矿蠕虫的网络漏洞利用行为,阻断病毒传播。同时云防火墙通过失陷感知功能可以检测挖矿蠕虫,发现感染蠕虫的服务器,及时处理。具体操作,请参见防御挖矿程序最佳实践。