全部产品
Search

搜索本产品

    云防火墙:按量版新手引导

    文档中心

    云防火墙:按量版新手引导

    更新时间:Apr 23, 2024

    当您购买云防火墙按量版后,您可以使用云防火墙的攻击防护、访问控制策略等功能为您的公网资产进行安全防护。本文介绍云防火墙按量版的完整使用流程(包括接入资产防护、配置防护策略、查看防护效果等),帮助您更快地使用云防火墙按量版

    使用流程

    image

    前提条件

    您已经购买了云防火墙按量版。具体操作,请参见购买云防火墙服务

    步骤一:开启云防火墙防护

    购买云防火墙按量版后,首次登录云防火墙控制台时,系统弹出资产接入对话框,您可以单击自动全量接入公网资产手动一键接入公网资产,快速接入需要防护的资产。

    如果您在购买云防火墙按量版时,选中了自动接入资产保护,后续新增的资产将自动接入云防火墙防护。如果您未启用自动接入资产保护,您可以在防火墙开关 > 互联网边界防火墙页面,手动开启新增资产防护。具体操作,请参见互联网边界防火墙

    image.png

    步骤二:配置攻击防护(IPS)能力

    (可选)配置防护规则

    云防火墙内置了威胁检测引擎(IPS),可以对恶意流量入侵活动和常规攻击行为实时告警或拦截,一般针对木马后门等恶意文件、攻击payload请求行为进行检测和防护,并提供精准的威胁检测虚拟补丁,智能阻断入侵风险。其检测的运行原理包括利用威胁情报、入侵检测规则、智能模型算法识别、虚拟补丁的方式多方位进行检测。更多信息,请参见防护配置

    威胁引擎运行模式分为观察模式(仅告警)、拦截模式(告警且自动阻断攻击payload),针对不同的攻击类型,云防火墙威胁引擎设计了不同的策略。拦截模式的适用场景如下:

    分类

    适用场景

    特点

    示例

    宽松模式

    防护粒度较粗,主要覆盖低误报规则,适合业务对误报要求高的场景。

    明确漏洞利用关键字、关键参数,有明显的攻击报文和行为,无误报可能性。

    Struts 2远程代码执行(CVE-2018-11776)、Spark REST API未授权访问(CVE-2018-11770)、Jenkins远程命令执行(CVE-2018-1000861)。

    中等模式

    防护粒度介于宽松和严格之间,适合日常运维的常规规则场景。

    涉及每种攻击类型,综合利用各类漏洞利用分析方式,即为常规规则,基本无误报的可能性。

    Oracle WebLogic Server远程代码执行(CVE-2020-2551)、Microsoft WindowsRDP Client远程代码执行(CVE-2020-1374)、SMBv1拒绝服务攻击(CVE-2020-1301)。

    严格模式

    防护粒度最精细,主要覆盖基本全量规则,相比中等规则组可能误报更高,适合对安全防护漏报要求高的场景。

    栈溢出、缓冲区溢出等高危害性,其中绝大部分四层漏洞,需经过协议分析、关键字匹配、多次跳转、关键字偏移等攻击确认。

    Squid Proxy HTTP Request Processing缓冲区溢出(CVE-2020-8450)、Nginx 0-Length Headers Leak拒绝服务(CVE-2019-9516)、Oracle WebLogic rda_tfa_ref_date命令注入(CVE-2018-2615)。

    重要

    修改防护配置时,建议您优先开启观察模式,通过试运行一段时间,分析数据误拦截情况后,再开启防护拦截模式功能。

    更多入侵防御使用实践,请参见:

    查看防护结果

    您可以在云防火墙控制台攻击防护 > 入侵防御页面,查看云防火墙对资产的入侵拦截情况,包括拦截流量的源IP、目的IP、阻断应用、阻断来源和阻断事件详情等。更多信息,请参见入侵防御

    image.png

    步骤三:查看网络流量分析

    通过流量分析,您可以实时查看主机发生的主动外联、公网暴露的详细信息,进行流量可视化管理,排查异常流量。

    • 主动外联(出向流量)

      您可以通过主动外联活动页面展示云上资产外联域名、外联IP信息,结合情报标签和访问详情及日志,可对出方向访问控制策略进行查漏补缺。具体操作,请参见主动外联

    • 公网暴露(入向流量)

      您也可以查看流量公网暴露的云上开放的服务、端口、公网IP地址和云产品信息,结合开放公网IP信息和推荐的智能策略可加强入方向访问控制策略安全水位。具体操作,请参见公网暴露

    重要

    流量分析是配置访问控制策略的基础。建议您在配置访问控制策略前全面了解您资产的流量情况。

    步骤四:配置访问控制策略

    配置访问控制策略

    如果您未配置任何策略,云防火墙默认放行所有流量。您可以自定义创建互联网边界防火墙的访问控制策略,实现精细化管控公网资产和互联网之间的未授权访问。

    查看访问控制策略命中情况

    访问控制策略配置完成后,默认情况下策略立即生效。您可以进入云防火墙控制台访问控制 > 互联网边界页面,在访问控制策略列表的命中次数/最近命中时间列,查看访问控制策略的命中情况。更多信息,请参见互联网边界(出入双向流量)

    image.png

    命中次数/最近命中时间列有显示命中次数及时间,表示已有访问流量命中该策略。您可以单击命中次数,跳转到流量日志页面查看详细数据。具体操作,请参见日志审计

    步骤五:配置告警通知

    您可以通过设置告警通知,在出现资产攻击风险、新增资产等情况时,及时收到通知,以便您了解资产状态,及时处理异常问题,保障资产安全。关于云防火墙支持设置的告警类型以及如何设置,请参见告警通知

    步骤五:查看按量付费账单

    云防火墙按量版以天为单位计费,每天18:00统计前一天的费用并进行结算。您可以通过查询按量付费版的账单详情,了解按量计费的明细。

    1. 登录云防火墙控制台

    2. 在左侧导航栏,选择设置 > 账单管理

    3. 账单管理页面,查看按量付费流量使用明细,包括保护的资产数据统计、已开通的防护功能、防护资产的流量数据。

      单击查看账单详情,在用户中心查看详细的账单明细。具体操作,请参见明细账单

    相关文档

    • 如果您在使用云防火墙按量版过程中有疑问,请参见售前常见问题

    • 如果您想了解云防火墙按量版支持的功能特性,请参见功能特性

    • 如果您希望降低云防火墙按量版的费用成本,您可以搭配使用按量节省套餐包。具体操作,请参见按量节省套餐包

    • 如果您需要将云防火墙按量版转换为包年包月版,请参见升级和降配

    • 如果您的业务不再需要使用云防火墙,您可以手动释放云防火墙按量版。具体操作,请参见释放实例