使用Cloud Firewall抵禦公網攻擊 - Elastic Compute Service

如果您的雲上資源與公網有通訊，即便僅訪問公網而不提供服務，也應在公網出口位置部署Cloud Firewall實現網路控制訪問和流量防護。

安全風險

只要您的ECS伺服器與公網連通，它就同時面臨著“流入”和“流出”兩個方向的安全威脅：

入向威脅（Inbound Threats）：這是來自互連網的主動攻擊。攻擊者會持續掃描公網IP，一旦發現開放的連接埠（如SSH的22連接埠、資料庫的3306連接埠、遠端桌面的3389連接埠），便會嘗試通過以下方式入侵：
- 漏洞利用：針對您應用或系統軟體的已知漏洞（如Log4j、Fastjson）發起遠程代碼執行攻擊，直接擷取伺服器控制權。
- 暴力破解：對SSH、RDP、資料庫等服務進行持續的密碼猜測，一旦使用弱口令，伺服器將輕易失陷。
- Web攻擊：針對網站服務的SQL注入、XSS跨站指令碼、Webshell上傳等。
- DDoS攻擊：通過構造畸形報文或發起流量洪水，耗盡您的伺服器資源，導致業務中斷。
出向威脅（Outbound Threats）：如果您的伺服器不幸被入侵，它將成為攻擊者網路中的“跳板”，產生惡意的外聯訪問，帶來嚴重後果：
- C&C通訊（命令與控制）：被植入的木馬或殭屍程式會主動串連外部的“指揮中心”，接收指令、回傳資料。
- 資料泄露：駭客竊取伺服器內的敏感性資料，並將其傳輸到外部伺服器。
- 橫向傳播：以您的伺服器為據點，攻擊VPC內的其他伺服器，或對外發起網路攻擊（如發送垃圾郵件、參與DDoS攻擊），可能導致您的IP被全球封鎖，業務聲譽受損。

Cloud Firewall會基於DPI流量分析、IPS入侵防禦規則、威脅情報、虛擬補丁、存取控制策略等，對出向和入向流量進行過濾，判斷流量是否滿足允許存取條件，有效攔截非法的訪問流量，保障公網資產與互連網之間的流量安全。

深度包檢測 (DPI)：Cloud Firewall能“看懂”流經的網路流量內容，而不僅僅是IP和連接埠。
入侵防禦系統 (IPS)：基於DPI，通過內建的數千條攻擊特徵規則庫，它能精準識別並攔截漏洞利用、暴力破解、挖礦木馬、Webshell等惡意流量，即使這些流量訪問的是您允許開放的連接埠。
威脅情報整合：即時聯動阿里雲全網的惡意IP/網域名稱情報庫，自動阻斷已知的駭客IP、殭屍網路C&C伺服器的串連請求。
虛擬補丁：在官方發布應用或系統補丁之前，Cloud Firewall能通過更新IPS規則，為您提供臨時的“虛擬補丁”，搶在攻擊者前面封堵0-day漏洞利用。

最佳實務

開通互連網邊界防火牆並保護公網資產

開通Cloud Firewall服務。
開啟資產保護。
1. 登入Cloud Firewall控制台。
2. 在左側導覽列，單擊防火牆開關。
3. 在互聯網邊界防火牆頁簽，單擊IPv4或IPv6頁簽，手動開啟公網資產保護。
  若公網資產列表中未顯示需要開啟保護的資產，可以在公網資產列表右上方單擊同步資產，同步當前阿里雲帳號及其成員帳號的資產資訊。資產同步預計需要1~2分鐘。
  - 單個開啟保護
    在公網資產列表中找到需要開啟保護的公網資產，在操作列單擊開啟保護。
  - 批量開啟保護
    在公網資產列表中選中多個需要開啟保護的公網資產，在列表下方單擊開啟保護。
    您也可以在資料統計地區單擊開啟保護，根據公網IP、地區和資產類型維度，一鍵開啟所有公網資產的互連網邊界保護。

使用防火牆進行存取控制

拒絕海外地區訪問主機：統計顯示許多攻擊來自海外IP，限制海外IP有助於減少攻擊。具體操作，請參見拒絕海外地區訪問主機的策略配置教程。
限制ECS允許訪問的網域名稱：通常內部主機訪問Internet的行為需要受限，如伺服器僅需要從外部網站下載鏡像、安裝包等，通常只允許使用Web協議訪問Internet。具體操作，請參見只允許公網主機訪問指定網域名稱的策略配置教程、只允許私網主機訪問指定網域名稱的策略配置教程。

更多防火牆控制訪問實踐，請參見存取控制最佳實務。

使用防火牆抵禦常見攻擊

防禦資料庫攻擊：資料庫面臨的主要威脅，包括暴力破解、資料庫應用漏洞、惡意檔案讀寫、命令執行、資訊竊取、拖庫，阿里雲針對主流的資料庫軟體提供了流深度分析和威脅檢測和阻斷能力。具體操作。請參見資料庫防禦最佳實務。
防禦蠕蟲：蠕蟲的特點是會利用服務漏洞通過網路主動擴散感染，蠕蟲可以導致業務中斷、資訊竊取、監管封鎖、勒索等危害。Cloud Firewall針對蠕蟲的攻擊鏈路進行分層防禦，檢測和攔截多種蠕蟲及其變種。同時雲端式上風險態勢，即時更新和擴充對最新蠕蟲的檢測和攔截能力，阻斷整個蠕蟲攻擊和傳播鏈路。具體操作，參見蠕蟲防禦最佳實務。
防禦系統安全威脅：系統安全性組件括配置不合理（如連接埠開放不當、弱口令、系統安全性原則薄弱等），系統漏洞（如命令執行漏洞、拒絕服務漏洞、資訊泄露漏洞等）。阿里雲防火牆IPS模組可感知全網攻擊態勢，提前阻斷掃描和入侵行為，攔截高危漏洞利用的訪問，阻斷Shell反彈和系統檔案泄露等行為。具體操作，參見系統安全防禦最佳實務。
防禦挖礦程式：阿里雲防火牆IPS模組通過漏洞情報和虛擬補丁方式可以跟蹤和防禦大部分挖礦蠕蟲的網路漏洞利用行為，阻斷病毒傳播。同時Cloud Firewall通過失陷感知功能可以檢測挖礦蠕蟲，發現感染蠕蟲的伺服器，及時處理。具體操作，請參見防禦挖礦程式最佳實務。