配置入侵防御模式
CFW提供基础防御功能,结合多年攻防实战积累的经验规则,针对访问流量进行检测与防护,覆盖多种常见的网络攻击,有效保护您的资产。
配置入侵防御模式操作步骤
- 登录管理控制台。
- 单击管理控制台左上角的,选择区域。
- 在左侧导航树中,单击左上方的,选择 ,进入云防火墙的概览页面。
- (可选)当前账号下仅存在单个防火墙实例时,自动进入防火墙详情页面,存在多个防火墙实例时,单击防火墙列表“操作”列的“查看”,进入防火墙详情页面。
- 在左侧导航栏中,选择
。
表1 入侵防御功能介绍 功能名称
功能说明
防护模式
- 观察模式:仅对攻击事件进行检测并记录到“攻击事件日志”中,不做拦截。
- 拦截模式:在发生明确攻击类型的事件和检测到异常IP访问时,将实施自动拦截操作。
- 拦截模式-宽松:防护粒度较粗。拦截可信度高且威胁程度高的攻击事件。
- 拦截模式-中等:防护粒度中等。满足大多数场景下的防护需求。
- 拦截模式-严格:防护粒度精细,全量拦截攻击请求。
基础防御
为您的资产提供基础的防护能力,默认开启。防御功能包括:
- 检查威胁及漏洞扫描;
- 检测流量中是否含有网络钓鱼、特洛伊木马、蠕虫、黑客工具、间谍软件、密码攻击、漏洞攻击、SQL注入攻击、XSS跨站脚本攻击、Web攻击;
- 是否存在协议异常、缓冲区溢出、访问控制、可疑DNS活动及其他可疑行为。
说明:查看基础防御规则请参见查看IPS规则库
虚拟补丁
在网络层级为IPS提供热补丁,实时拦截高危漏洞的远程攻击行为,同时避免修复漏洞时造成业务中断。
虚拟补丁规则库中展示新增的IPS规则,查看规则库请单击“查看虚拟补丁内容”,规则库中参数说明请参见查看IPS规则库。
自动更新:开启“自动更新”后,虚拟补丁中的规则将生效,实时防护并支持手动修改防护动作。
自定义IPS特征
当基础防御规则库不满足需求时,CFW支持自定义IPS特征。
仅专业版防火墙支持自定义IPS特征,操作步骤请参见自定义IPS特征。
高级
敏感目录扫描防御
防御对用户主机敏感目录的扫描攻击。
“动作”:- 观察模式:发现敏感目录扫描攻击后,CFW仅记录攻击日志,查看攻击日志请参见攻击事件日志。
- 拦截Session:发现敏感目录扫描攻击后,拦截当次会话。
- 拦截IP:发现敏感目录扫描攻击后,CFW会阻断该攻击IP一段时间。
“持续时长”:“动作”选择“拦截IP”时,可设置阻断时间,范围为60~3600s。
“阈值”:对于单个敏感目录扫描频率达到设定的阈值后,CFW会采取相应“动作”。
反弹Shell检测防御
防御网络上通过反弹shell方式进行的网络攻击。
“动作”:- 观察模式:发现反弹shell攻击后,仅记录攻击日志,查看攻击日志请参见攻击事件日志。
- 拦截Session:发现反弹shell攻击后,拦截当次会话。
- 拦截IP:发现反弹shell攻击后,CFW会阻断该攻击IP一段时间。
“持续时长”:“动作”选择“拦截IP”时,可设置阻断时间,范围为60~3600s。
“模式”:
- 低误报:防护粒度较粗,单次会话中攻击次数达到4次时触发观察或拦截,确保攻击处理没有误报。
- 高检测:防护粒度精细,单次会话中攻击次数达到2次时触发观察或拦截,确保攻击能够及时被发现并处理。