云防火墙内置了强大的威胁检测引擎,能够实时拦截来自互联网的恶意流量入侵活动及常规攻击行为,并提供精准的虚拟补丁功能。通过防护配置功能,您可以灵活设置威胁引擎的运行模式,包括威胁情报、基础防御、智能防御和虚拟补丁等模块的启用与调整,从而更精准地识别和阻断潜在的入侵风险。本文介绍如何配置IPS防御功能。
互联网边界IPS能力
威胁引擎运行模式
云防火墙服务开通后,威胁引擎默认启用拦截模式。具体开启哪种程度的拦截模式,云防火墙会根据您流量的实际情况判断和默认选择。只有开启拦截模式后,基础防御和虚拟补丁功能才会开启相应的威胁拦截。如未开启拦截模式,入侵防御功能只会对各类威胁和恶意流量进行监控。
威胁引擎运行模式的详细介绍,请参见IPS能力概述。
登录云防火墙控制台。在左侧导航栏,选择。
在互联网边界页签最右侧的设置威胁引擎运行模式。
威胁引擎可选择以下两类模式:
观察:开启观察模式,针对攻击行为仅记录及告警,不拦截,即威胁情报、基础防御、虚拟补丁中的防护动作均为观察。
拦截:开启拦截模式,对恶意流量拦截,阻断入侵活动。
针对您的防护需求,选择不同严格程度的拦截模式:
拦截-宽松:防护粒度较粗,主要覆盖低误报规则,适合对误报要求高的业务场景。
拦截-中等:防护粒度较宽松,介于宽松和严格之间,精准度较高,适合日常运维的常规防护场景。
拦截-严格:防护粒度精细,覆盖全量规则,相比中等规则组可能误报更高,适合对安全防护漏报要求高的场景。
功能介绍
互联网边界IPS配置为您提供了基础防御、虚拟补丁、威胁情报、智能防御、数据泄露、私网溯源等功能,您可通过页面左侧的功能开关按钮开启或关闭这些功能。
基础防御
基础防御开关默认处于开启状态,云防火墙会为您启动部分常见威胁相关的检测规则。基础防御提供了基本的入侵防御能力,包括拦截命令执行漏洞和管理被感染设备连接到命令控制(C&C)服务器的行为。此功能能够为您的资产提供基本的保护,建议您启用基础防御以增强安全性。
修改防御规则:在当前动作列,修改防御规则,修改后的规则标记为自定义规则。
恢复默认防御规则:单击一键恢复默认IPS规则,并单击确定。
开启/关闭规则:单击启用状态的开关按钮。
开启状态:该条规则生效,自定义防御规则的优先级高于默认规则的优先级。
关闭状态:该条规则不生效。
虚拟补丁
虚拟补丁开关默认处于开启状态,云防火墙可为您实时防护热门的高危漏洞和应急漏洞。虚拟补丁针对可被远程利用的高危漏洞和应急漏洞,在网络层提供热补丁,实时拦截漏洞攻击行为,避免修复主机漏洞时对业务产生的中断影响。虚拟补丁无需在您的服务器上进行安装。虚拟补丁关闭后将无法实时自动更新,建议开启所有的虚拟补丁。
修改防御规则:在当前动作列,修改防御规则,修改后的规则标记为自定义规则。
恢复默认防御规则:单击一键恢复默认IPS规则,并单击确定。
开启/关闭规则:单击启用状态的开关按钮。
开启状态:该条规则生效,自定义防御规则的优先级高于默认规则的优先级。
关闭状态:该条规则不生效。
威胁情报
威胁情报开关默认处于开启状态,云防火墙可扫描侦查威胁情报,并对威胁情报设置观察或拦截操作。威胁情报可将阿里云全网检测到的恶意IP同步到云防火墙,如:恶意访问源、扫描源、暴力破解的源IP等,并对其精准拦截,可提前感知网络威胁源,建议您开启威胁情报。
智能防御
智能防御开关默认处于开启状态,云防火墙可以学习云上攻击数据,提高威胁和攻击的识别准确率。目前仅威胁引擎运行模式为观察时支持智能防御能力。
如需启用智能防御,请先开启基础防御。
数据泄露
云防火墙会对云上外联流量(业务资产访问互联网的流量)做敏感数据检测,帮您识别出敏感数据泄露风险。
您需要先为资产开启数据泄露检测开关。
在通用行业模版列表中查看云防火墙可识别的数据类型。您可以根据实际业务,自定义启用哪种数据类型的识别。
单击配置开启资产,定位到指定公网资产,单击操作列开启数据泄露检测。
您可以在数据泄露页面,查看云防火墙帮您检测到数据泄露大盘,方便您更准确了解数据泄露的资产信息、泄露事件以及风险payload。详细操作,请参见数据泄露。
IPS私网溯源
在类似NAT和负载均衡等真实提供服务的IP不对外暴露的场景中,具体被攻击的服务实例(ECS或服务器等)定位十分困难。IPS私网溯源功能可以自动化关联NAT网关会话日志,直接显示私网IP,协助实现攻击溯源,快速定位风险资产。
在IPS私网溯源页面可以看到支持溯源的公网资产列表,对应NAT网关需先开启互联网防火墙保护和NAT会话日志,云防火墙才能进行IPS私网溯源。在点击操作开关时会有对应提示,点击链接按指引开启即可。或参考下列详细配置文档:
互联网防火墙保护开启:开启防火墙开关
NAT会话日志开启:NAT会话日志配置流程
说明仅有DNAT的情况下无需开启NAT会话日志。
互联网防火墙保护和NAT会话日志均开启后,点击确定即可开启IPS私网溯源。当IPS私网溯源状态显示已开启时,表明此公网资产已经开启溯源功能。
说明云防火墙IPS私网溯源功能联动NAT网关会话日志能力,由于NAT网关日志捕获和投递有一定数据延迟,您查询私网溯源结果预计会有约20分钟延迟。
防护白名单
如果您需要直接放行可信的IPv4和IPv6出入双向流量的目的IP地址、源IP地址,可以将其添加到防护白名单。添加到防护白名单中IP的流量不会被基础防护、智能防御、虚拟补丁规则拦截。自定义目的IP白名单和源IP白名单分别最多添加50个IP地址。
在页面右侧,单击防护白名单进行设置。
防护白名单仅对基础防御、智能防御和虚拟补丁生效。
VPC边界IPS能力
只有开启VPC边界防火墙才能配置VPC边界的IPS防御能力。
配置基础防御规则
基础防御可提供基础的入侵防御能力,包括命令执行漏洞拦截、对被感染后连接C&C(命令控制)的行为管控,可为您的资产提供基础的防护能力。
单击。
在基础防御面板中,配置规则的当前动作和启用状态。
修改防御规则:在当前动作列,修改防御规则,修改后的规则标记为自定义规则。
恢复默认防御规则:单击一键恢复所有VPC防火墙IPS规则,并单击确定。
开启/关闭规则:单击启用状态的开关按钮。
开启状态:该条规则生效,自定义防御规则的优先级高于默认规则的优先级。
关闭状态:该条规则不生效。
启用状态的防御规则对业务中所有VPC边界防火墙都生效。
配置虚拟补丁规则
云防火墙可以为您实时防护热门的高危漏洞和紧急漏洞。虚拟补丁旨在解决可能被远程利用的高危漏洞和紧急漏洞,它通过网络层提供实时补丁,拦截漏洞攻击行为,从而避免在修复主机漏洞时对业务造成的中断影响。需要注意的是,虚拟补丁无需在您的服务器上安装。然而,一旦关闭虚拟补丁功能,将无法继续实现实时自动更新。
单击查看虚拟补丁规则。
在虚拟补丁面板中,配置规则的当前动作和启用状态。
修改防御规则:在当前动作列,修改防御规则,修改后的规则标记为自定义规则。
恢复默认防御规则:单击一键恢复所有VPC防火墙IPS规则,并单击确定。
开启/关闭规则:单击启用状态的开关按钮。
开启状态:该条规则生效,自定义防御规则的优先级高于默认规则的优先级。
关闭状态:该条规则不生效。
启用状态的虚拟补丁规则对业务中所有VPC防火墙都生效。
配置IPS防御模式
单击配置IPS防御模式。
在配置IPS防御模式对话框中选择防御模式,并单击确定。
IPS防御模式可选择以下两类模式:
观察模式:该模式下,云防火墙会监控恶意流量并告警。
拦截模式:该模式下,云防火墙会拦截恶意流量,阻断入侵活动。针对不同的防护需求,您可以选择不同程度的拦截模式。
拦截模式-宽松:防护粒度较粗,主要覆盖低误报规则,适合业务对误报要求高的场景。
拦截模式-中等:防护粒度较宽松和精准,介于宽松和严格之间,适合日常运维的常规规则场景。
拦截模式-严格:防护粒度最精细,主要覆盖基本全量规则,相比中等规则组可能误报更高,适合对安全防护漏报要求高(例如:重保、护网)的场景。
配置IPS防御能力
支持配置基础防御和虚拟补丁,配置完成后,对已经开启的基础防御规则和虚拟补丁规则进行检测。
定位到目标云企业网实例ID或者高速通道防火墙ID,在操作列单击配置IPS防御能力进行设置。
配置IPS白名单
如果您需要直接放行可信的目的IP地址、源IP地址,可以将其添加到防护白名单。添加到防护白名单中IP的流量不会被基础防护、智能防御、虚拟补丁规则拦截。自定义目的IP白名单和源IP白名单分别最多添加50个IP地址。
定位到目标云企业网实例ID或者高速通道防火墙ID,在操作列单击配置IPS白名单进行设置。
