文档首页/ 云防火墙 CFW/ 用户指南/ 攻击防御/ 配置入侵防御
更新时间:2025-08-05 GMT+08:00
查看PDF
分享

配置入侵防御

云防火墙提供网络攻击防护,帮助您检测常见的网络攻击。

对业务的影响

开启拦截模式后,入侵防御IPS功能会拦截各类威胁和恶意流量;建议您调整防护模式时,优先开启“观察模式”,等待业务运行一段时间排查误拦截后,再逐步更换至“拦截模式”

入侵防御IPS

入侵防御(IPS)功能结合多年攻防积累的经验规则,实时检测和防护访问流量,拦截多种常见的网络攻击,有效保护您的资产。

IPS提供多类规则库:
  • 基础防御:内置的规则库,覆盖常见网络攻击,为您的资产提供基础的防护能力,您可以通过修改防护模式,调整规则库的防护状态,具体操作请参见调整IPS防护模式拦截网络攻击;如果需要调整单条规则的防护状态,请参见修改入侵防御规则的防护动作
  • 虚拟补丁:在网络层级为IPS提供热补丁,实时拦截高危漏洞的远程攻击行为,同时避免修复漏洞时造成业务中断。

    更新的规则优先进入虚拟补丁库中,您可以根据业务情况判断是否增加至基础防御库中。

    增加方式:打开开关,虚拟补丁中的规则将生效,实时防护并支持手动修改防护动作。

  • 自定义IPS特征(仅专业版支持):提供的内置规则库无法满足需求时,支持自定义特征规则,请参见自定义IPS特征

    支持添加HTTP、TCP、UDP、POP3、SMTP、FTP协议类型的特征规则。

调整IPS防护模式拦截网络攻击

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域。
  3. 在左侧导航栏中,单击左上方的,选择安全与合规 > 云防火墙,进入云防火墙的总览页面。
  4. (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
  5. 在左侧导航栏中,选择攻击防御 > 入侵防御,进入“入侵防御”界面,保持“基础防御”右侧开关开启。
  6. 选择合适的防护模式,不同防护模式会开启不同规则的“拦截”状态,对照表请参见规则组随防护模式变更的默认动作对照表,修改单条IPS规则请参见修改入侵防御规则的防护动作

    • 观察模式:仅对攻击事件进行检测并记录到“攻击事件日志”中,不做拦截。
    • 拦截模式:在发生明确攻击类型的事件和检测到异常IP访问时,将实施自动拦截操作。
      • 拦截模式-宽松:防护粒度较粗。拦截可信度高且威胁程度高的攻击事件。
      • 拦截模式-中等:防护粒度中等。满足大多数场景下的防护需求。
      • 拦截模式-严格:防护粒度精细,全量拦截攻击请求。
    • 建议您优先开启“观察模式”,等待业务运行一段时间后,再逐步更换至“拦截模式”,查看攻击事件日志,请参见攻击事件日志
    • 如果存在误拦截情况,可对基础防御规则库的单条防御规则进行动作修改,具体操作请参见IPS规则管理

开启敏感目录扫描防御

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域。
  3. 在左侧导航栏中,单击左上方的,选择安全与合规 > 云防火墙,进入云防火墙的总览页面。
  4. (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
  5. 在左侧导航栏中,选择攻击防御 > 入侵防御,进入“入侵防御”界面,保持“基础防御”右侧开关开启。
  6. 单击“高级”,在“敏感目录扫描防御”模块,单击,启用防护。

    • “动作”
      • 观察模式:发现敏感目录扫描攻击后,仅记录至攻击事件日志
      • 拦截Session:发现敏感目录扫描攻击后,拦截当次会话。
      • 拦截IP:发现敏感目录扫描攻击后,CFW会阻断该攻击IP一段时间。

        配置“拦截IP”后,CFW会持续对IP进行阻断,如果涉及地址转换或者存在代理的场景,需要谨慎评估拦截IP的影响。

    • “持续时长”“动作”选择“拦截IP”时,可设置阻断时间,范围为60~3600s。
    • “阈值”:对于单个敏感目录扫描频率达到设定的阈值后,CFW会采取相应“动作”

开启反弹Shell检测防御

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域。
  3. 在左侧导航栏中,单击左上方的,选择安全与合规 > 云防火墙,进入云防火墙的总览页面。
  4. (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
  5. 在左侧导航栏中,选择攻击防御 > 入侵防御,进入“入侵防御”界面,保持“基础防御”右侧开关开启。
  6. 单击“高级”,在“反弹Shell检测防御”模块,单击,启用防护。

    • “动作”
      • 观察模式:发现反弹shell攻击后,仅记录至攻击事件日志
      • 拦截Session:发现反弹shell攻击后,拦截当次会话。
      • 拦截IP:发现反弹shell攻击后,CFW会阻断该攻击IP一段时间。

        配置“拦截IP”后,CFW会持续对IP进行阻断,如果涉及地址转换或者存在代理的场景,需要谨慎评估拦截IP的影响。

    • “持续时长”“动作”选择“拦截IP”时,可设置阻断时间,范围为60~3600s。
    • “模式”
      • 低误报:防护粒度较粗,单次会话中攻击次数达到4次时触发观察或拦截,确保攻击处理没有误报。
      • 高检测:防护粒度精细,单次会话中攻击次数达到2次时触发观察或拦截,确保攻击能够及时被发现并处理。

关闭IPS基础防御

  • 如果已添加IPS自定义规则,则不支持关闭IPS基础防御功能。
  • 如果已开启虚拟补丁、敏感目录扫描防御或反弹Shell检测防御功能,则在关闭IPS基础防御功能时,也会被同步关闭。
  1. 登录CFW控制台
  2. 单击管理控制台左上角的,选择区域。
  3. (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
  4. 在左侧导航栏中,选择攻击防御 > 入侵防御,进入入侵防御界面。
  5. 单击“基础防御”后的,关闭基础防御。

后续操作

整体防护概况请参见通过安全看板查看攻击防御信息,详细日志信息请参见攻击事件日志

相关文档

IPS误拦截的排查方式请参见IPS拦截了正常业务如何处理?

父主题: 攻击防御