更新时间:2024-10-09 GMT+08:00

攻击防御功能概述

云防火墙的攻击防御功能支持防护网络攻击和病毒文件,建议您及时将IPS的“防护模式”切换至“拦截模式”

前提条件

已开启至少一项流量防护。

如何防御网络攻击和病毒文件

提供以下几种方式:
  • 入侵防御(IPS):结合多年攻防积累的经验规则,针对访问流量进行检测与防护,覆盖多种常见的网络攻击,有效保护您的资产。
    • IPS提供四种防护模式,如需调整防护模式请参见调整IPS防护模式拦截网络攻击
      • 观察模式:仅对攻击事件进行检测并记录到“攻击事件日志”中,不做拦截。
      • 拦截模式:在发生明确攻击类型的事件和检测到异常IP访问时,将实施自动拦截操作。
        • 拦截模式-宽松:防护粒度较粗。拦截可信度高且威胁程度高的攻击事件。
        • 拦截模式-中等:防护粒度中等。满足大多数场景下的防护需求。
        • 拦截模式-严格:防护粒度精细,全量拦截攻击请求。
    • IPS提供多类规则库,详细介绍如表 入侵防御规则库介绍所示,不同防护模式会开启不同规则的“拦截”状态,对照表请参见规则组随防护模式变更的默认动作对照表
      表1 入侵防御规则库介绍

      功能名称

      功能描述

      检测类型

      配置方式

      基础防御

      内置的规则库,覆盖常见网络攻击,为您的资产提供基础的防护能力。

      • 检查威胁及漏洞扫描;
      • 检测流量中是否含有网络钓鱼、特洛伊木马、蠕虫、黑客工具、间谍软件、密码攻击、漏洞攻击、SQL注入攻击、XSS跨站脚本攻击、Web攻击;
      • 是否存在协议异常、缓冲区溢出、访问控制、可疑DNS活动及其它可疑行为。

      查看和修改规则库请参见修改入侵防御规则的防护动作

      虚拟补丁

      在网络层级为IPS提供热补丁,实时拦截高危漏洞的远程攻击行为,同时避免修复漏洞时造成业务中断。

      更新的规则优先进入虚拟补丁库中,您可以根据业务情况判断是否增加至基础防御库中。

      增加方式:打开开关,虚拟补丁中的规则将生效,实时防护并支持手动修改防护动作。

      自定义IPS特征(仅专业版支持)

      提供的规则库无法满足需求时,支持自定义特征规则。

      检测类型和“基础防御”一致。

      支持添加HTTP、TCP、UDP、POP3、SMTP、FTP协议类型的特征规则。

      请参见自定义IPS特征

  • 敏感目录扫描防御:防御对云主机敏感目录的扫描攻击,配置方式请参见开启敏感目录扫描防御
  • 反弹Shell检测防御:防御网络上通过反弹Shell方式进行的网络攻击,配置方式请参见开启反弹Shell检测防御
  • 病毒防御(AV):通过病毒特征检测来识别和处理病毒文件,避免由病毒文件引起的数据破坏、权限更改和系统崩溃等情况发生,支持检测HTTP、SMTP、POP3、FTP、IMAP4、SMB的协议类型。

    病毒防御功能请参见拦截病毒文件

防护动作介绍

  • 观察:防火墙对匹配当前规则的流量,记录至攻击事件日志中,不做拦截。
  • 拦截:防火墙对匹配当前规则的流量,记录至攻击事件日志中并进行拦截。
  • 禁用:防火墙对匹配当前规则的流量,不记录、不拦截。

相关文档

整体防护概况请参见通过安全看板查看攻击防御信息,详细日志信息请参见攻击事件日志