Cloud Firewall內建了強大的威脅檢測引擎,能夠即時攔截來自互連網的惡意流量入侵活動及常規攻擊行為,並提供精準的虛擬補丁功能。通過防護配置功能,您可以靈活設定威脅引擎的運行模式,包括威脅情報、基礎防禦、智能防禦和虛擬補丁等模組的啟用與調整,從而更精準地識別和阻斷潛在的入侵風險。本文介紹如何配置IPS防禦功能。
互連網邊界IPS能力
威脅引擎運行模式
Cloud Firewall服務開通後,威脅引擎預設啟用攔截模式。具體開啟哪種程度的攔截模式,Cloud Firewall會根據您流量的實際情況判斷和預設選擇。只有開啟攔截模式後,基礎防禦和虛擬補丁功能才會開啟相應的威脅攔截。如未開啟攔截模式,入侵防禦功能只會對各類威脅和惡意流量進行監控。
威脅引擎運行模式的詳細介紹,請參見IPS能力概述。
登入Cloud Firewall控制台。在左側導覽列,選擇。
在互联网边界頁簽最右側的設定威胁引擎运行模式。
威脅引擎可選擇以下兩類模式:
觀察:開啟觀察模式,針對攻擊行為僅記錄及警示,不攔截,即威脅情報、基礎防禦、虛擬補丁中的防護動作均為觀察。
攔截:開啟攔截模式,對惡意流量攔截,阻斷入侵活動。
針對您的防護需求,選擇不同嚴格程度的攔截模式:
攔截-寬鬆:防護粒度較粗,主要覆蓋低誤判規則,適合對誤判要求高的業務情境。
攔截-中等:防護粒度較寬鬆,介於寬鬆和嚴格之間,精準度較高,適合日常營運的常規防護情境。
攔截-嚴格:防護粒度精細,覆蓋全量規則,相比中等規則群組可能誤判更高,適合對安全防護漏報要求高的情境。
功能介紹
互連網邊界IPS配置為您提供了基礎防禦、虛擬補丁、威脅情報、智能防禦、資料泄露、私網溯源等功能,您可通過頁面左側的功能開關按鈕開啟或關閉這些功能。
基礎防禦
基礎防禦開關預設處於開啟狀態,Cloud Firewall會為您啟動部分常見威脅相關的檢測規則。基礎防禦提供了基本的入侵防禦能力,包括攔截命令執行漏洞和管理被感染裝置串連到命令控制(C&C)伺服器的行為。此功能能夠為您的資產提供基本的保護,建議您啟用基礎防禦以增強安全性。
修改防禦規則:在當前動作列,修改防禦規則,修改後的規則標記為自訂規則。
恢複預設防禦規則:單擊一鍵恢復預設IPS規則,並單擊確定。
開啟/關閉規則:單擊啟用狀態的開關按鈕。
開啟狀態:該條規則生效,自訂防禦規則的優先順序高於預設規則的優先順序。
關閉狀態:該條規則不生效。
虛擬補丁
虛擬補丁開關預設處於開啟狀態,Cloud Firewall可為您即時防護熱門的高危漏洞和應急漏洞。虛擬補丁針對可被遠程利用的高危漏洞和應急漏洞,在網路層提供熱補丁,即時攔截漏洞攻擊行為,避免修複主機漏洞時對業務產生的中斷影響。虛擬補丁無需在您的伺服器上進行安裝。虛擬補丁關閉後將無法即時自動更新,建議開啟所有的虛擬補丁。
修改防禦規則:在當前動作列,修改防禦規則,修改後的規則標記為自訂規則。
恢複預設防禦規則:單擊一鍵恢復預設IPS規則,並單擊確定。
開啟/關閉規則:單擊啟用狀態的開關按鈕。
開啟狀態:該條規則生效,自訂防禦規則的優先順序高於預設規則的優先順序。
關閉狀態:該條規則不生效。
威脅情報
威脅情報開關預設處於開啟狀態,Cloud Firewall可掃描偵查威脅情報,並對威脅情報設定觀察或攔截操作。威脅情報可將阿里雲全網檢測到的惡意IP同步到Cloud Firewall,如:惡意訪問源、掃描源、暴力破解的源IP等,並對其精準攔截,可提前感知網路威脅源,建議您開啟威脅情報。
智能防禦
智能防禦開關預設處於開啟狀態,Cloud Firewall可以學習雲上攻擊資料,提高威脅和攻擊的識別準確率。目前僅威脅引擎運行模式為觀察時支援智能防禦能力。
如需啟用智能防禦,請先開啟基礎防禦。
資料泄露
Cloud Firewall會對雲上外聯流量(業務資產訪問互連網的流量)做敏感性資料檢測,幫您識別出敏感性資料泄露風險。
您需要先為資產開啟資料泄露檢測開關。
在通用行业模版列表中查看Cloud Firewall可識別的資料類型。您可以根據實際業務,自訂啟用哪種資料類型的識別。
單擊配置开启资产,定位到指定公網資產,單擊操作列开启数据泄露检测。
您可以在数据泄露頁面,查看Cloud Firewall幫您檢測到資料泄露大盤,方便您更準確瞭解資料泄露的資產資訊、泄露事件以及風險payload。詳細操作,請參見資料泄露。
IPS私網溯源
在類似NAT和負載平衡等真實提供服務的IP不對外暴露的情境中,具體被攻擊的服務執行個體(ECS或伺服器等)定位十分困難。IPS私網溯源功能可以自動化關聯NAT Gateway會話日誌,直接顯示私網IP,協助實現攻擊溯源,快速定位風險資產。
目前僅支援NAT Gateway類型的公網資產。
開啟IPS私網溯源,Cloud Firewall自身不增加額外費用,但系統會在您的NAT Gateway會話日誌中建立索引,並進行查詢,會產生一定費用,關於Log Service的收費,請參見SLS收費標準。
在IPS私網溯源開啟狀態下,如果發現NAT Gateway會話日誌的索引未開啟,或者索引中缺失溯源所需欄位,系統會自動重新創新索引,或者在索引中添加需要的欄位。
在IPS私網溯源頁面可以看到支援溯源的公網資產列表,對應NAT Gateway需先開啟互連網防火牆保護和NAT會話日誌,Cloud Firewall才能進行IPS私網溯源。在點擊操作開關時會有對應提示,點選連結按指引開啟即可。或參考下列詳細配置文檔:
互連網防火牆保護開啟:開啟防火牆開關
NAT會話日誌開啟:NAT會話日誌配置流程
說明僅有DNAT的情況下無需開啟NAT會話日誌。
互連網防火牆保護和NAT會話日誌均開啟後,點擊確定即可開啟IPS私網溯源。當IPS私網溯源狀態顯示已開啟時,表明此公網資產已經開啟溯源功能。
說明Cloud FirewallIPS私網溯源功能聯動NAT Gateway會話日誌能力,由於NAT Gateway日誌捕獲和投遞有一定資料延遲,您查詢私網溯源結果預計會有約20分鐘延遲。
防護白名單
如果您需要直接允許存取可信的IPv4和IPv6出入雙向流量的目的IP地址、源IP地址,可以將其添加到防護白名單。添加到防護白名單中IP的流量不會被基礎防護、智能防禦、虛擬補丁規則攔截。自訂目的IP白名單和源IP白名單分別最多添加50個IP地址。
在頁面右側,單擊防护白名单進行設定。
防護白名單僅對基礎防禦、智能防禦和虛擬補丁生效。
VPC邊界IPS能力
只有開啟VPC邊界防火牆才能配置VPC邊界的IPS防禦能力。
配置基礎防禦規則
基礎防禦可提供基礎的入侵防禦能力,包括命令執行漏洞攔截、對被感染後串連C&C(命令控制)的行為管控,可為您的資產提供基礎的防護能力。
單擊。
在基礎防禦面板中,配置規則的當前動作和啟用狀態。
修改防禦規則:在當前動作列,修改防禦規則,修改後的規則標記為自訂規則。
恢複預設防禦規則:單擊一鍵恢復所有VPC防火牆IPS規則,並單擊確定。
開啟/關閉規則:單擊啟用狀態的開關按鈕。
開啟狀態:該條規則生效,自訂防禦規則的優先順序高於預設規則的優先順序。
關閉狀態:該條規則不生效。
啟用狀態的防禦規則對業務中所有VPC邊界防火牆都生效。
配置虛擬補丁規則
Cloud Firewall可以為您即時防護熱門的高危漏洞和緊急漏洞。虛擬補丁旨在解決可能被遠程利用的高危漏洞和緊急漏洞,它通過網路層提供即時補丁,攔截漏洞攻擊行為,從而避免在修複主機漏洞時對業務造成的中斷影響。需要注意的是,虛擬補丁無需在您的伺服器上安裝。然而,一旦關閉虛擬補丁功能,將無法繼續實現即時自動更新。
單擊查看虛擬補丁規則。
在虛擬補丁面板中,配置規則的當前動作和啟用狀態。
修改防禦規則:在當前動作列,修改防禦規則,修改後的規則標記為自訂規則。
恢複預設防禦規則:單擊一鍵恢復所有VPC防火牆IPS規則,並單擊確定。
開啟/關閉規則:單擊啟用狀態的開關按鈕。
開啟狀態:該條規則生效,自訂防禦規則的優先順序高於預設規則的優先順序。
關閉狀態:該條規則不生效。
啟用狀態的虛擬補丁規則對業務中所有VPC防火牆都生效。
配置IPS防禦模式
單擊配置IPS防禦模式。
在配置IPS防禦模式對話方塊中選擇防禦模式,並單擊確定。
IPS防禦模式可選擇以下兩類模式:
觀察模式:該模式下,Cloud Firewall會監控惡意流量並警示。
攔截模式:該模式下,Cloud Firewall會攔截惡意流量,阻斷入侵活動。針對不同的防護需求,您可以選擇不同程度的攔截模式。
拦截模式-宽松:防护粒度较粗,主要覆盖低误报规则,适合业务对误报要求高的场景。
拦截模式-中等:防护粒度较宽松和精准,介于宽松和严格之间,适合日常运维的常规规则场景。
拦截模式-严格:防护粒度最精细,主要覆盖基本全量规则,相比中等规则组可能误报更高,适合对安全防护漏报要求高(例如:重保、护网)的场景。
配置IPS防禦能力
支援配置基礎防禦和虛擬補丁,配置完成後,對已經開啟的基礎防禦規則和虛擬補丁規則進行檢測。
定位到目標雲企業網執行個體ID或者Express Connect防火牆ID,在操作列單擊配置IPS防禦能力進行設定。
配置IPS白名單
如果您需要直接允許存取可信的目的IP地址、源IP地址,可以將其添加到防護白名單。添加到防護白名單中IP的流量不會被基礎防護、智能防禦、虛擬補丁規則攔截。自訂目的IP白名單和源IP白名單分別最多添加50個IP地址。
定位到目標雲企業網執行個體ID或者Express Connect防火牆ID,在操作列單擊配置IPS白名單進行設定。
