更新时间:2024-07-22 GMT+08:00
攻击防御功能概述
云防火墙的攻击防御功能支持防护网络攻击和病毒文件,建议您及时将IPS的“防护模式”切换至“拦截模式”。
规格限制
基础版不支持攻击防御功能。
如何防御网络攻击和病毒文件
提供以下几种方式:
- 入侵防御(IPS):结合多年攻防积累的经验规则,针对访问流量进行检测与防护,覆盖多种常见的网络攻击,有效保护您的资产。
- IPS提供四种防护模式,如需调整防护模式请参见拦截网络攻击。
- 观察模式:仅对攻击事件进行检测并记录到“攻击事件日志”中,不做拦截。
- 拦截模式:在发生明确攻击类型的事件和检测到异常IP访问时,将实施自动拦截操作。
- 拦截模式-宽松:防护粒度较粗。拦截可信度高且威胁程度高的攻击事件。
- 拦截模式-中等:防护粒度中等。满足大多数场景下的防护需求。
- 拦截模式-严格:防护粒度精细,全量拦截攻击请求。
- IPS提供多类规则库,详细介绍如表 入侵防御规则库介绍所示,不同防护模式会开启不同规则的“拦截”状态,对照表请参见规则组随防护模式变更的默认动作对照表。
表1 入侵防御规则库介绍 功能名称
功能描述
检测类型
配置方式
基础防御
内置的规则库,覆盖常见网络攻击,为您的资产提供基础的防护能力。
- 检查威胁及漏洞扫描;
- 检测流量中是否含有网络钓鱼、特洛伊木马、蠕虫、黑客工具、间谍软件、密码攻击、漏洞攻击、SQL注入攻击、XSS跨站脚本攻击、Web攻击;
- 是否存在协议异常、缓冲区溢出、访问控制、可疑DNS活动及其它可疑行为。
查看和修改规则库请参见拦截网络攻击
虚拟补丁
在网络层级为IPS提供热补丁,实时拦截高危漏洞的远程攻击行为,同时避免修复漏洞时造成业务中断。
更新的规则优先进入虚拟补丁库中,您可以根据业务情况判断是否增加至基础防御库中。
增加方式:打开开关,虚拟补丁中的规则将生效,实时防护并支持手动修改防护动作。
自定义IPS特征(仅专业版支持)
提供的规则库无法满足需求时,支持自定义特征规则。
检测类型和“基础防御”一致。
支持添加HTTP、TCP、UDP、POP3、SMTP、FTP协议类型的特征规则。
请参见自定义IPS特征
- IPS提供四种防护模式,如需调整防护模式请参见拦截网络攻击。
- 敏感目录扫描防御:防御对云主机敏感目录的扫描攻击,配置方式请参见•拦截Session:发现敏感目录扫描攻击后,拦...。
- 反弹Shell检测防御:防御网络上通过反弹Shell方式进行的网络攻击,配置方式请参见•低误报:防护粒度较粗,单次会话中攻击次数达到4...。
- 病毒防御(AV):通过病毒特征检测来识别和处理病毒文件,避免由病毒文件引起的数据破坏、权限更改和系统崩溃等情况发生,支持检测HTTP、SMTP、POP3、FTP、IMAP4、SMB的协议类型。
病毒防御功能请参见拦截病毒文件。
防护动作介绍
相关文档
整体防护概况请参见通过安全看板查看攻击防御信息,详细日志信息请参见攻击事件日志。
父主题: 拦截恶意攻击
