切换入侵防御模式为EIP拦截攻击

操作流程

操作视频

本视频介绍如何灵活配置入侵防御模式实现EIP的防护。

准备工作

1. 在购买云防火墙之前，请先注册华为账号并开通华为云。具体操作详见注册华为账号并开通华为云、实名认证。

   如果您已开通华为云并进行实名认证，请忽略此步骤。

2. 请保证账户有足够的资金，防止购买云防火墙失败。具体操作请参见账户充值。
3. 请确保已为账号赋予相关CFW权限。具体操作请参见创建用户组并授权使用CFW。

   表1 CFW系统角色

   角色名称	描述	类别	依赖关系
   CFW FullAccess	云防火墙服务的所有权限。	系统策略	无
   CFW ReadOnlyAccess	云防火墙服务的只读权限。	系统策略	无

步骤一：购买标准版云防火墙

云防火墙提供了“基础版”、“标准版”、“专业版”供您使用，包括访问控制、入侵防御、流量分析以及日志审计等功能。

本文以购买标准版云防火墙为例进行介绍，如需购买其他版本请参见购买云防火墙，各版本功能差异请参见服务版本差异。

1. 登录管理控制台，在左侧导航树中，单击左上方的，选择“安全与合规 > 云防火墙”。
2. 单击“购买云防火墙”，进入“购买云防火墙”页面，选择以下参数。
   • 区域：选择资源（EIP）所在的区域，例如华北-北京四。

     购买的云防火墙只能在当前选择的区域使用，如需在其它区域使用，请切换到对应区域进行购买。有关支持购买CFW的区域说明，请参见功能总览。

   • 版本规格：选择“标准版”。
   • 其他参数根据具体情况选择。
3. 确认信息无误后，单击“立即购买”。
4. 确认订单详情，阅读并勾选“我已阅读并同意《华为云防火墙服务声明》”，单击右下角“去支付”。
5. 在“付款”页面，选择付款方式进行付款。

步骤二：开启EIP的防护

1. 在左侧导航栏中，选择“资产管理 > 弹性公网IP管理”，进入“弹性公网IP管理”页面。
2. 开启弹性公网IP。
   • 开启单个弹性公网IP：在所在行的“操作”列中，单击“开启防护”。
   • 开启多个弹性公网IP：勾选需要开启防护的弹性公网IP，单击表格上方的“开启防护”。
   

   • 弹性公网IP防护目前不支持IPv6防护。
   • 一个EIP只能在一个防火墙上开启防护。
   • 仅支持当前账号所属企业项目下的弹性公网IP。
3. 在弹出的界面确认信息无误后，单击“绑定并开启防护”，可查看操作行的“防护状态”列显示“防护中”。
   

   EIP开启防护后，访问控制策略默认动作为“放行”。

步骤三：将入侵防御模式设置为观察模式

1. 在左侧导航栏中，选择“攻击防御 > 入侵防御” 。
2. 在“防护模式”中，选择“观察模式”。
   

   本文以“观察模式”为例，如果您的业务防护级别较高，您可以切换至“拦截模式”，建议优先选择防护粒度较低（例如“拦截模式-宽松”）的模式，观察一段时间后，更换为防护粒度高的模式。

步骤四：定期通过攻击事件日志查看是否存在误拦截可能

1. 在左侧导航栏中，选择“日志审计 > 日志查询”。
2. 在“攻击事件日志”页面，查看日志记录，根据“方向”、“源IP”、“目的IP”参数判断是否是正常流量，如果是，则记录“规则ID”。

   例如：从外部的xx.xx.xx.82访问内部EIPxx.xx.xx.58是正常业务流量，但被IPS中ID是806310的规则识别为风险，此时开启拦截模式将会拦截本条流量，则此处记录规则ID（806310）。

   图1 查看攻击事件日志
   

步骤五：调整拦截的IPS规则并将入侵防御模式设置为拦截模式

1. 在左侧导航栏中，选择“攻击防御 > 入侵防御” 。
2. 单击“基础防御”中的“查看生效中的规则”，进入“基础防御”页面。
3. 筛选出“规则ID”为“806310”的规则，单击“操作”列“观察”，将“当前动作”修改为“观察”。
   图2 修改基础防御动作
   
4. 返回至“入侵防御”页面，在“防护模式”中，选择“拦截模式-中等”。

步骤六：通过攻击事件日志查看防护效果

1. 在左侧导航栏中，选择“日志审计 > 日志查询”。
2. 在“攻击事件日志”页面，查看日志记录，是否存在正常业务流量被识别为攻击事件，即“响应动作”为“阻断”。

相关信息

• 关于入侵防御的详细参数说明请参见拦截网络攻击。
• 如果希望防护其他账号下的EIP，您需要将其他账号添加至防火墙实例的“多账号管理”中，具体操作请参见添加组织成员账号。