防暴力破解

功能原理

通过新建防暴力破解策略可以启用防暴力破解功能。创建防暴力破解策略后，如果某个IP地址在指定时间范围内登录服务器的失败次数超过限定次数将触发防暴力策略生效，该策略生效后会自动生成IP拦截规则（即系统规则子页签下的拦截IP），在一段时间内禁止该IP登录服务器。自动生成的IP拦截规则在生成时为已启用状态，生效时长为防暴力破解策略的禁止登录时长。

新建防暴力破解策略

通过新建防暴力破解策略可以定义触发暴力破解的具体规则。支持配置多条防暴力破解策略，您可以根据服务器的使用场景，为不同服务器配置不同的防暴力破解策略。

1. 登录云安全中心控制台。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。

2. 在左侧导航栏，选择防护配置 > 主机防护 > 主机规则管理。

3. 在主机规则管理页面，单击防暴力破解页签。

4. 如果您未进行过云资源访问授权，您需要单击立即授权，授权云安全中心访问您的云资源。

   关于授权的更多信息，请参见云安全中心服务关联角色。

5. 单击新建策略，在新建策略面板，配置防暴力破解策略。

   云安全中心提供默认防暴力破解策略：同一服务器10分钟内登录失败次数超过80次，禁止登录6小时。您可以选择对应服务器，直接使用默认防御策略。您也可以参考以下表格中的配置说明自定义防御策略。

   配置项	说明
   策略名称	设置防暴力破解策略名称。
   防御规则：	设置防暴力破解策略的具体规则。即登录服务器时，在某个时间范围内登录服务器的失败次数超过限定次数将被禁止登录一段时间。例如：1分钟内登录失败次数超过3次，禁止登录30分钟。
   设置为默认策略	设置该防御策略是否为默认策略。设置为默认策略后，未添加防御规则的服务器将默认应用该策略。 说明 选中设置为默认策略后，无论您是否在请选择对应的服务器：中选择了服务器，当前策略都会对所有未添加防御规则的服务器生效。
   请选择对应的服务器：	设置防御策略生效的服务器。支持直接选择云安全中心防护的服务器，或根据服务器名称和IP筛选指定服务器。

6. 单击确定。

   重要

   每台服务器仅支持配置一个防暴力破解策略。

   • 如果该策略中设置生效的服务器未配置其他防暴力破解策略，该防暴力破解策略添加成功。

   • 如果该策略中设置生效的服务器已配置了其他防暴力破解策略，且您确定要更换为当前配置的策略，请在确认防御规则变更页面，单击确认。

   • 如果原防暴力破解策略的生效服务器配置了新防暴力破解策略，则原防暴力破解策略的生效服务器数量会相应减少。

管理系统规则

系统规则为防暴力破解策略被触发后自动生成的IP拦截规则，以下步骤介绍如何查看、启用和禁用系统规则。

1. 登录云安全中心控制台。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。在左侧导航栏，选择防护配置 > 主机防护 > 主机规则管理。

2. 在主机规则管理页面，单击防暴力破解页签。

3. 在系统规则子页签下，根据需要执行以下操作。

   • 查看系统规则

     支持查看拦截规则的拦截IP、端口、生效服务器、策略名称、拦截机制、有效期和状态。云安全中心会根据客户端安装情况自动在以下拦截机制中选择合适的拦截机制：

     • 云安全中心：优先使用云安全中心插件拦截登录行为。在云安全中心实例为高级版、企业版或旗舰版且开启了恶意网络行为防御开关时，云安全中心会自动选择该插件。开启恶意网络行为防御开关的具体操作，请参见主动防御。

     • ECS安全组：该拦截规则启用时会在安全组中自动创建相应规则，该拦截规则过期或禁用后会自动删除该规则。

   • 启用系统规则

     如果需要继续拦截该IP地址的登录，您可以打开状态列的开关，开启该规则。重新启用该规则后，该规则的有效期将变更为启用时间后两小时。

   • 禁用系统规则

     如果您确认该IP的失败登录为误操作，可以通过禁用该IP的拦截规则解除登录禁止。关闭状态列的开关，可关闭该规则。禁用规则约一分钟后，该IP将可以正常访问服务器。

管理自定义规则

您可以根据实际业务的需要参考以下步骤，自定义IP拦截规则，拦截恶意IP对云上资产的访问。

1. 登录云安全中心控制台。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。

2. 在左侧导航栏，选择防护配置 > 主机防护 > 主机规则管理。

3. 在主机规则管理页面，单击防暴力破解页签。

4. 在自定义规则子页签，根据需要执行以下操作。

   • 新增自定义IP拦截规则

     1. 如果您未进行过云资源访问授权，您需要单击立即授权，授权云安全中心访问您的云资源。

        关于授权的更多信息，请参见云安全中心服务关联角色。

     2. 单击新建规则，在新建IP拦截策略面板，配置相关参数，然后单击确定。

        配置项	说明
        拦截对象	输入需要拦截的IP地址。
        全部资产	选择新建IP拦截规则应用的服务器。支持同时选择多台服务器。您可以在搜索框中输入服务器名称或服务器IP地址搜索指定服务器。 说明 仅支持选择阿里云ECS服务器。
        规则方向	设置拦截流量的方向，可选择入方向或出方向。
        所属安全组	该IP拦截规则关联的安全组，默认为云安全中心拦截组。该规则启用时会在此安全组中自动创建相应规则，该规则过期或禁用后会自动删除该规则。
        过期时间	设置该规则的有效时间。规则过期后，该规则状态将变为已禁用。

        自定义IP拦截规则创建成功后默认为已禁用状态，如果您需要该规则立即生效，您需要手动启用该规则。

   • 查看自定义IP拦截规则列表及详情

     在自定义规则子页签，查看拦截规则的拦截IP、生效服务器数、有效期、规则方向和状态。您可以单击拦截规则操作列的详情，查看生效服务器的列表。支持通过规则状态（已禁用、已启用、开启中、开启异常等）筛选生效服务器。

   • 编辑自定义IP拦截规则

     定位到需要编辑的IP拦截规则，单击其操作列的编辑，在编辑IP拦截策略面板，修改该拦截规则的生效资产和过期时间并保存。云安全中心将按照您修改后的生效资产和过期时间执行IP拦截任务。

     仅支持编辑已禁用状态的IP拦截规则。如果需要编辑已启用状态的IP拦截规则，您可以禁用该IP拦截规则后，再编辑该规则。

   • 启用或禁用IP拦截规则

     根据实际场景需要，您可对存在暴力破解风险的IP启用相应的IP拦截规则。如果确认拦截规则拦截了正常流量，您可以禁用该规则。禁用规则后，云安全中心不会再拦截该规则中拦截对象的访问，该IP将可以正常访问您的服务器。

     • 启用：打开状态开关，在启用IP拦截规则对话框中单击确定。启用后该IP拦截规则会生效并且状态将变更为启用中。生效服务器数量越多，启用中状态持续的时间越长。启用后，云安全中心会根据该IP拦截规则定义的拦截规则拦截恶意流量。以下是开启后IP拦截策略的部分状态说明：

       • 开启异常：指该拦截规则的所有生效服务器未正常开启该规则。

       • 部分成功：指该拦截规则的部分生效服务器未正常开启该规则，部分服务器已正常开启。

       您可以单击拦截规则操作列的详情，查看生效服务器的详情。在生效服务器面板，您可以单击开启异常状态服务器操作列的重试，尝试重新开启该规则。

       说明

       如果您启用了已到期的自定义IP拦截规则，该规则的有效期将变更为启用时间后两小时。如果您需要修改该规则的有效期，建议您编辑该规则后再执行启用操作。

     • 禁用：关闭状态开关，在禁用IP拦截规则对话框中单击确定。禁用后该IP拦截规则将失效并且状态将变更为已禁用，云安全中心不会再拦截规则中设置的IP地址对指定服务器的访问。

   • 删除自定义IP拦截规则

     支持删除状态为已禁用的规则。单击目标规则操作列的删除，并在提示对话框中单击确认，即可删除该规则。