云防火墙：IPS配置

威胁引擎运行模式

云防火墙服务开通后，威胁引擎默认启用拦截模式。具体开启哪种程度的拦截模式，云防火墙会根据您流量的实际情况判断和默认选择。只有开启拦截模式后，威胁情报、基础防御和虚拟补丁功能才会开启相应的威胁拦截。如未开启拦截模式，入侵防御功能只会对各类威胁和恶意流量进行监控。

威胁引擎运行模式的详细介绍，请参见IPS能力概述。

1. 登录云防火墙控制台。在左侧导航栏，选择防护配置 > IPS配置。

2. 在互联网边界页签的威胁引擎运行模式区域，设置威胁引擎的运行模式。

   

   威胁引擎可选择以下两种模式：

   • 观察模式：开启观察模式，针对攻击行为仅记录及告警，不拦截，即威胁情报、基础防御、虚拟补丁中的防护动作均为观察。

   • 拦截模式：开启拦截模式，对恶意流量拦截，阻断入侵活动。

     针对您的防护需求，选择不同严格程度的拦截模式：

     • 拦截模式-宽松：防护粒度较粗，主要覆盖低误报规则，适合业务对误报要求高的场景。

     • 拦截模式-中等：防护粒度较宽松，介于宽松和严格之间，精准度较高，适合日常运维的常规防护场景。

     • 拦截模式-严格：防护粒度精细，覆盖全量规则，相比中等规则组可能误报更高，适合对安全防护漏报要求高的场景。

威胁情报

威胁情报开关默认开启，云防火墙可扫描侦查威胁情报，并提供中控情报阻断。威胁情报可将阿里云全网检测到的恶意IP同步到云防火墙，如：恶意访问源、扫描源、暴力破解的源IP等，并对其精准拦截，可提前感知网络威胁源。

建议您开启威胁情报。如果您确认业务不需要，可以在高级设置区域，关闭威胁情报开关。

基础防御

基础防御开关默认开启，云防火墙为您开启部分常见威胁相关的检测规则。基础防御可提供基础的入侵防御能力，包括命令执行漏洞拦截、对被感染后连接C&C（命令控制）的行为管控，可为您的资产提供基础的防护能力。

建议您开启基础防御。如果您确认业务不需要，可以在高级设置区域，关闭基础防御开关。

如果您需要查看基础防御的规则详情或者默认规则无法满足您的需求，您可以单击右侧的自定义选择，对单个或多个基础防御规则修改当前动作，修改后的规则标记为自定义规则。您可以关闭规则的开关，关闭后该条规则不生效。如果规则为开启状态，自定义规则的优先级高于默认规则的优先级。

虚拟补丁

虚拟补丁开关默认开启，云防火墙可为您实时防护热门的高危漏洞和应急漏洞。虚拟补丁针对可被远程利用的高危漏洞和应急漏洞，在网络层提供热补丁，实时拦截漏洞攻击行为，避免修复主机漏洞时对业务产生的中断影响。虚拟补丁无需在您的服务器上进行安装。虚拟补丁关闭后将无法实时自动更新。

建议开启所有的虚拟补丁。如果您确认业务不需要，可以在高级设置区域，关闭虚拟补丁开关。

如果您需要查看虚拟补丁的规则详情或者默认规则无法满足您的需求，您可以单击右侧的自定义选择，对单个或多个虚拟补丁规则修改当前动作，修改后的规则标记为自定义规则。您可以关闭规则的开关，关闭后该条规则不生效。如果规则为开启状态，自定义规则的优先级高于默认规则的优先级。

智能防御

智能防御开关默认开启，云防火墙可以学习云上攻击数据，提高威胁和攻击的识别准确率。

目前仅威胁引擎运行模式为观察时支持智能防御能力。建议您开启智能防御。如果您确认业务不需要，可以在高级设置区域，关闭智能防御开关。

防护白名单

如果您需要直接放行可信的IPv4和IPv6出入双向流量的目的IP地址、源IP地址，可以将其添加到防护白名单。添加到防护白名单中IP的流量不会被基础防护、智能防御、虚拟补丁规则拦截。自定义目的IP白名单和源IP白名单分别最多添加50个IP地址。

在高级设置区域，单击防护白名单进行设置。

防护白名单仅对基础防御、智能防御和虚拟补丁生效，防护白名单对威胁情报不生效。如果需要将威胁情报相关IP加入白名单，需配置访问控制策略。更多信息，请参见配置互联网边界访问控制策略、云防火墙防护流量时的规则匹配顺序是什么？。