更新时间:2025-12-17 GMT+08:00
配置IPS基础防御
云防火墙内置的规则库,覆盖常见网络攻击,为您的资产提供基础的防护能力,您可以通过修改防护模式,调整规则库的防护状态。
约束限制
- 入侵防御不支持对TLS、SSL加密的流量进行解密检测和防御。
- 如果已添加IPS自定义规则,则不支持关闭IPS基础防御功能。
- 如果已开启虚拟补丁、敏感目录扫描防御或反弹Shell检测防御功能,则在关闭IPS基础防御功能时,也会被同步关闭。
对业务的影响
开启拦截模式后,入侵防御IPS功能会拦截各类威胁和恶意流量。建议您调整防护模式时,优先开启“观察模式”,等待业务运行一段时间排查误拦截后,再逐步更换至“拦截模式”。
入侵防御IPS
入侵防御(IPS)功能结合多年攻防积累的经验规则,实时检测和防护访问流量,拦截多种常见的网络攻击,有效保护您的资产。
IPS提供多类规则库:
- 基础防御:内置的规则库,覆盖常见网络攻击,为您的资产提供基础的防护能力,您可以通过修改防护模式,调整规则库的防护状态,具体操作请参见调整IPS防护模式拦截网络攻击;如果需要调整单条规则的防护状态,请参见修改入侵防御规则的防护动作。
- 虚拟补丁:在网络层级为IPS提供热补丁,实时拦截高危漏洞的远程攻击行为,同时避免修复漏洞时造成业务中断。
更新的规则优先进入虚拟补丁库中,您可以根据业务情况判断是否增加至基础防御库中。
增加方式:打开开关,虚拟补丁中的规则将生效,实时防护并支持手动修改防护动作。
- 自定义IPS特征(仅专业版支持):提供的内置规则库无法满足需求时,支持自定义特征规则,请参见添加自定义IPS特征。
支持添加HTTP、TCP、UDP、POP3、SMTP、FTP协议类型的特征规则。
调整IPS防护模式拦截网络攻击
- 登录CFW控制台。
- 单击管理控制台左上角的
,选择区域。 - (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
- 在左侧导航栏中,选择,进入入侵防御界面。
- 保持“基础防御”右侧开关开启。
- 在“防护模式”栏中,选择合适的防护模式。
表1 防护模式说明 防护模式
说明
观察模式
仅对攻击事件进行检测并记录到“攻击事件日志”中,不做拦截。
拦截模式
在发生明确攻击类型的事件和检测到异常IP访问时,将实施自动拦截操作。
- 拦截模式-宽松:防护粒度较粗。拦截可信度高且威胁程度高的攻击事件。
- 拦截模式-中等:防护粒度中等。满足大多数场景下的防护需求。
- 拦截模式-严格:防护粒度精细,全量拦截攻击请求。
不同防护模式会开启不同规则的拦截状态,对照表如表2所示,修改单条IPS规则请参见修改入侵防御规则的防护动作。
关闭IPS基础防御
- 如果已添加IPS自定义规则,则不支持关闭IPS基础防御功能。
- 如果已开启虚拟补丁、敏感目录扫描防御或反弹Shell检测防御功能,则在关闭IPS基础防御功能时,也会被同步关闭。
- 登录CFW控制台。
- 单击管理控制台左上角的,选择区域。
- (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
- 在左侧导航栏中,选择,进入入侵防御界面。
- 单击“基础防御”后的
,关闭基础防御。
后续操作
整体防护概况请参见通过安全看板查看攻击防御信息,详细日志信息请参见攻击事件日志。
相关文档
IPS误拦截的排查方式请参见IPS拦截了正常业务如何处理?
