切换入侵防御模式为EIP拦截攻击
CFW提供入侵防御功能,结合多年攻防积累的经验规则,针对访问流量进行检测与防护,覆盖多种常见的网络攻击,有效保护您的资产。
本文指导您通过标准版防火墙将入侵防御模式切换至“拦截模式-中等”实现弹性公网IP(EIP)的防护,帮助您灵活防护云上资产。
操作流程
操作步骤 |
说明 |
---|---|
注册华为账号、开通华为云,为账户充值、赋予CFW权限。 |
|
购买CFW,选择防护的区域、版本规格(本文以标准版为例)等信息。 |
|
在CFW上对需要防护的EIP开启防护,使流量经过防火墙。 |
|
“观察模式”下,防火墙检测到攻击事件时记录到“攻击事件日志”中,不做拦截,避免出现误拦截造成流量中断。 |
|
查看攻击事件日志,排查是否有被误判的正常流量,记录对应的“规则ID”。 |
|
调整误判规则的防护动作,将入侵防御模式修改至拦截模式(本文以“拦截模式-中等”为例)。 |
|
查看攻击事件日志,确认正常流量是否被放行。 |
准备工作
- 在购买云防火墙之前,请先注册华为账号并开通华为云。具体操作详见注册华为账号并开通华为云、实名认证。
如果您已开通华为云并进行实名认证,请忽略此步骤。
- 请保证账户有足够的资金,防止购买云防火墙失败。
- 请确保已为账号赋予相关CFW权限。具体操作请参见创建用户组并授权使用CFW。
表1 CFW系统角色 角色名称
描述
类别
依赖关系
CFW FullAccess
云防火墙服务的所有权限。
系统策略
无
CFW ReadOnlyAccess
云防火墙服务的只读权限。
系统策略
无
步骤一:购买标准版云防火墙
云防火墙提供了“标准版”、“专业版”供您使用,包括访问控制、入侵防御、流量分析以及日志审计等功能。
本文以购买标准版云防火墙为例进行介绍,如需购买其他版本请参见购买云防火墙,各版本功能差异请参见服务版本差异。
- 登录管理控制台,在左侧导航树中,单击左上方的,选择 。
- 单击“购买云防火墙”,进入“购买云防火墙”页面,配置参数。
本示例中仅解释必要参数,其他参数根据具体情况选择。
参数
示例
参数说明
区域
亚太-新加坡
选择资源(EIP)所在的区域。
购买的云防火墙只能在当前选择的区域使用,如需在其它区域使用,请切换到对应区域进行购买。有关支持购买CFW的区域说明,请参见云防火墙支持哪些区域?。
版本规格
标准版。
选择服务版本。
- 确认信息无误后,单击“立即购买”。
- 确认订单详情,阅读并勾选“我已阅读并同意《华为云防火墙服务声明》”,单击右下角“去支付”。
- 在“付款”页面,选择付款方式进行付款。
步骤二:开启EIP的防护
- 在左侧导航栏中,选择“弹性公网IP管理”页面。 ,进入
- 开启弹性公网IP。
- 开启单个弹性公网IP:在所在行的 列中,单击“开启防护”。
- 开启多个弹性公网IP:勾选需要开启防护的弹性公网IP,单击表格上方的“开启防护”。
- 弹性公网IP防护目前不支持IPv6防护。
- 一个EIP只能在一个防火墙上开启防护。
- 仅支持当前账号所属企业项目下的弹性公网IP。
- 在弹出的界面确认信息无误后,单击“绑定并开启防护”,可查看操作行的“防护状态”列显示“防护中”。
EIP开启防护后,访问控制策略默认动作为“放行”。
步骤三:将入侵防御模式设置为观察模式
- 在左侧导航栏中,选择 。
- 在“防护模式”中,选择“观察模式”。
本文以“观察模式”为例,如果您的业务防护级别较高,您可以切换至“拦截模式”,建议优先选择防护粒度较低(例如“拦截模式-宽松”)的模式,观察一段时间后,更换为防护粒度高的模式。
步骤四:定期通过攻击事件日志查看是否存在误拦截可能
- 在左侧导航栏中,选择 。
- 在“攻击事件日志”页面,查看日志记录,根据“方向”、“源IP”、“目的IP”参数判断是否是正常流量,如果是,则记录“规则ID”。
例如:从外部的xx.xx.xx.82访问内部EIPxx.xx.xx.58是正常业务流量,但被IPS中ID是806310的规则识别为风险,此时开启拦截模式将会拦截本条流量,则此处记录规则ID(806310)。
图1 查看攻击事件日志