文档首页/ 云防火墙 CFW/ 快速入门/ 切换入侵防御模式为EIP拦截攻击
更新时间:2024-10-30 GMT+08:00

切换入侵防御模式为EIP拦截攻击

CFW提供入侵防御功能,结合多年攻防积累的经验规则,针对访问流量进行检测与防护,覆盖多种常见的网络攻击,有效保护您的资产。

本文指导您通过标准版防火墙将入侵防御模式切换至“拦截模式-中等”实现弹性公网IP(EIP)的防护,帮助您灵活防护云上资产。

操作流程

操作步骤

说明

准备工作

注册华为账号、开通华为云,为账户充值、赋予CFW权限。

步骤一:购买标准版云防火墙

购买CFW,选择防护的区域、版本规格(本文以标准版为例)等信息。

步骤二:开启EIP的防护

在CFW上对需要防护的EIP开启防护,使流量经过防火墙。

步骤三:将入侵防御模式设置为观察模式

“观察模式”下,防火墙检测到攻击事件时记录到“攻击事件日志”中,不做拦截,避免出现误拦截造成流量中断。

步骤四:定期通过攻击事件日志查看是否存在误拦截可能

查看攻击事件日志,排查是否有被误判的正常流量,记录对应的“规则ID”

步骤五:调整拦截的IPS规则并将入侵防御模式设置为拦截模式

调整误判规则的防护动作,将入侵防御模式修改至拦截模式(本文以“拦截模式-中等”为例)。

步骤六:通过攻击事件日志查看防护效果

查看攻击事件日志,确认正常流量是否被放行。

准备工作

  1. 在购买云防火墙之前,请先注册华为账号并开通华为云。具体操作详见注册华为账号并开通华为云实名认证

    如果您已开通华为云并进行实名认证,请忽略此步骤。

  2. 请保证账户有足够的资金,防止购买云防火墙失败。
  3. 请确保已为账号赋予相关CFW权限。具体操作请参见创建用户组并授权使用CFW
    表1 CFW系统角色

    角色名称

    描述

    类别

    依赖关系

    CFW FullAccess

    云防火墙服务的所有权限。

    系统策略

    CFW ReadOnlyAccess

    云防火墙服务的只读权限。

    系统策略

步骤一:购买标准版云防火墙

云防火墙提供了“标准版”“专业版”供您使用,包括访问控制、入侵防御、流量分析以及日志审计等功能。

本文以购买标准版云防火墙为例进行介绍,如需购买其他版本请参见购买云防火墙,各版本功能差异请参见服务版本差异

  1. 登录管理控制台,在左侧导航树中,单击左上方的,选择安全与合规 > 云防火墙
  2. 单击“购买云防火墙”,进入“购买云防火墙”页面,配置参数。
    本示例中仅解释必要参数,其他参数根据具体情况选择。

    参数

    示例

    参数说明

    区域

    亚太-新加坡

    选择资源(EIP)所在的区域。

    购买的云防火墙只能在当前选择的区域使用,如需在其它区域使用,请切换到对应区域进行购买。有关支持购买CFW的区域说明,请参见云防火墙支持哪些区域?

    版本规格

    标准版。

    选择服务版本。

  3. 确认信息无误后,单击“立即购买”
  4. 确认订单详情,阅读并勾选“我已阅读并同意《华为云防火墙服务声明》”,单击右下角“去支付”
  5. “付款”页面,选择付款方式进行付款。

步骤二:开启EIP的防护

  1. 在左侧导航栏中,选择资产管理 > 弹性公网IP管理,进入“弹性公网IP管理”页面。
  2. 开启弹性公网IP。
    • 开启单个弹性公网IP:在所在行的操作列中,单击“开启防护”。
    • 开启多个弹性公网IP:勾选需要开启防护的弹性公网IP,单击表格上方的“开启防护”
    • 弹性公网IP防护目前不支持IPv6防护。
    • 一个EIP只能在一个防火墙上开启防护。
    • 仅支持当前账号所属企业项目下的弹性公网IP。
  3. 在弹出的界面确认信息无误后,单击“绑定并开启防护”,可查看操作行的“防护状态”列显示“防护中”

    EIP开启防护后,访问控制策略默认动作为“放行”

步骤三:将入侵防御模式设置为观察模式

  1. 在左侧导航栏中,选择攻击防御 > 入侵防御
  2. “防护模式”中,选择“观察模式”

    本文以“观察模式”为例,如果您的业务防护级别较高,您可以切换至“拦截模式”,建议优先选择防护粒度较低(例如“拦截模式-宽松”)的模式,观察一段时间后,更换为防护粒度高的模式。

步骤四:定期通过攻击事件日志查看是否存在误拦截可能

  1. 在左侧导航栏中,选择日志审计 > 日志查询
  2. “攻击事件日志”页面,查看日志记录,根据“方向”“源IP”“目的IP”参数判断是否是正常流量,如果是,则记录“规则ID”

    例如:从外部的xx.xx.xx.82访问内部EIPxx.xx.xx.58是正常业务流量,但被IPS中ID是806310的规则识别为风险,此时开启拦截模式将会拦截本条流量,则此处记录规则ID(806310)。

    图1 查看攻击事件日志

步骤五:调整拦截的IPS规则并将入侵防御模式设置为拦截模式

  1. 在左侧导航栏中,选择攻击防御 > 入侵防御
  2. 单击“基础防御”中的“查看生效中的规则”,进入“基础防御”页面。
  3. 筛选出“规则ID”“806310”的规则,单击“操作”“观察”,将“当前动作”修改为“观察”
    图2 修改基础防御动作
  4. 返回至“入侵防御”页面,在“防护模式”中,选择“拦截模式-中等”

步骤六:通过攻击事件日志查看防护效果

  1. 在左侧导航栏中,选择日志审计 > 日志查询
  2. “攻击事件日志”页面,查看日志记录,是否存在正常业务流量被识别为攻击事件,即“响应动作”“阻断”

相关信息

  • 关于入侵防御的详细参数说明请参见拦截网络攻击
  • 如果希望防护其他账号下的EIP,您需要将其他账号添加至防火墙实例的“多账号管理”中,具体操作请参见添加组织成员账号