拦截网络攻击

规格限制

基础版不支持攻击防御功能。

调整IPS防护模式拦截网络攻击

1. 登录管理控制台。
2. 单击管理控制台左上角的，选择区域。
3. 在左侧导航栏中，单击左上方的，选择“安全与合规 > 云防火墙”，进入云防火墙的总览页面。
4. （可选）切换防火墙实例：在页面左上角的下拉框中切换防火墙。
5. 在左侧导航栏中，选择“攻击防御 > 入侵防御”，进入“入侵防御”界面 。
6. 选择合适的防护模式。
   • 观察模式：仅对攻击事件进行检测并记录到“攻击事件日志”中，不做拦截。
   • 拦截模式：在发生明确攻击类型的事件和检测到异常IP访问时，将实施自动拦截操作。
     • 拦截模式-宽松：防护粒度较粗。拦截可信度高且威胁程度高的攻击事件。
     • 拦截模式-中等：防护粒度中等。满足大多数场景下的防护需求。
     • 拦截模式-严格：防护粒度精细，全量拦截攻击请求。
   

   • 建议您优先开启“观察模式”，等待业务运行一段时间后，再逐步更换至“拦截模式”，查看攻击事件日志，请参见攻击事件日志。
   • 如果存在误拦截情况，可对基础防御规则库的单条防御规则进行动作修改。具体操作请参见IPS规则管理。

开启敏感目录扫描防御

1. 登录管理控制台。
2. 单击管理控制台左上角的，选择区域。
3. 在左侧导航栏中，单击左上方的，选择“安全与合规 > 云防火墙”，进入云防火墙的总览页面。
4. （可选）切换防火墙实例：在页面左上角的下拉框中切换防火墙。
5. 在左侧导航栏中，选择“攻击防御 > 入侵防御”，进入“入侵防御”界面 。
6. 单击“高级”，在“敏感目录扫描防御”模块，单击，启用防护。
   • “动作”：
     • 观察模式：发现敏感目录扫描攻击后，仅记录至攻击事件日志。
     • 拦截Session：发现敏感目录扫描攻击后，拦截当次会话。
     • 拦截IP：发现敏感目录扫描攻击后，CFW会阻断该攻击IP一段时间。
   • “持续时长”：“动作”选择“拦截IP”时，可设置阻断时间，范围为60~3600s。
   • “阈值”：对于单个敏感目录扫描频率达到设定的阈值后，CFW会采取相应“动作”。

开启反弹Shell检测防御

1. 登录管理控制台。
2. 单击管理控制台左上角的，选择区域。
3. 在左侧导航栏中，单击左上方的，选择“安全与合规 > 云防火墙”，进入云防火墙的总览页面。
4. （可选）切换防火墙实例：在页面左上角的下拉框中切换防火墙。
5. 在左侧导航栏中，选择“攻击防御 > 入侵防御”，进入“入侵防御”界面 。
6. 单击“高级”，在“反弹Shell检测防御”模块，单击，启用防护。
   • “动作”：
     • 观察模式：发现反弹shell攻击后，仅记录至攻击事件日志。
     • 拦截Session：发现反弹shell攻击后，拦截当次会话。
     • 拦截IP：发现反弹shell攻击后，CFW会阻断该攻击IP一段时间。
   • “持续时长”：“动作”选择“拦截IP”时，可设置阻断时间，范围为60~3600s。
   • “模式”：
     • 低误报：防护粒度较粗，单次会话中攻击次数达到4次时触发观察或拦截，确保攻击处理没有误报。
     • 高检测：防护粒度精细，单次会话中攻击次数达到2次时触发观察或拦截，确保攻击能够及时被发现并处理。

后续操作

整体防护概况请参见通过安全看板查看攻击防御信息，详细日志信息请参见攻击事件日志。