文档首页/ 云防火墙 CFW/ 用户指南/ 攻击防御/ 配置入侵防御/ 入侵防御功能简介
更新时间:2025-12-18 GMT+08:00
查看PDF
分享

入侵防御功能简介

入侵防御(Intrusion Prevention System,IPS)是一种基于攻击特征库检测入侵行为,并采取一定响应措施实时中止入侵的安全机制。云防火墙的入侵防御能力结合多年攻防积累的经验规则,可实时检测并拦截黑客攻击、漏洞利用、暴力破解、蠕虫病毒、挖矿程序、后门木马等恶意流量。它为云上业务系统构建完善的安全防护体系,确保企业核心数据和关键业务免受未授权访问、数据泄露及服务中断等安全风险。

为什么需要入侵防御?

入侵防御通过实时、智能的威胁拦截,有效降低企业被攻陷风险,是应对当前复杂网络威胁环境的必备防御手段。以下阐述了为什么需要IPS攻击防御:

  • 应对复杂多变的网络攻击

    网络攻击手段不断升级演变,从简单的病毒攻击发展到复杂的APT攻击和零日漏洞利用,传统防火墙和杀毒软件已无法有效防御这些高级威胁。常见的攻击方式包括:

    • 恶意软件攻击:恶意软件包括病毒、木马、勒索软件、蠕虫等,用户有可能通过下载恶意软件到云服务器,导致云服务器受到攻击。
    • 端口扫描和暴力破解:攻击者部署扫描系统,在全球范围内扫描目标服务器的开放端口,尝试通过暴力破解方式猜测用户名和密码,以获取非法访问权限。攻击者还可能在受害机器上部署后门木马、下载挖矿程序或勒索软件。
    • Web漏洞攻击:包括SQL注入、XSS攻击、CSRF攻击、RCE漏洞等。攻击者利用应用程序或网站的漏洞,非法访问目标系统、篡改数据或窃取信息。
    • 四层漏洞攻击:包括对四层网络协议漏洞的攻击。
    • 数据库攻击:包括对Redis、MySQL等数据库的攻击。
    • 命令执行和反弹shell:攻击者可能通过执行恶意命令和反弹Shell来获取非法访问权限。

    针对上述攻击威胁,企业应当构建多层次的安全防护体系,通过部署智能云防火墙、优化网络访问控制策略、建立漏洞快速响应机制等措施,全面提升业务系统的安全防护能力和运行稳定性。

  • 华为云云防火墙的IPS能力

    华为云云防火墙的IPS功能提供如下能力,为企业的云上业务提供了全面而高效的安全防护。

    • 云防火墙的IPS功能内置云平台多年攻防实战积累的经验规则,覆盖常见网络攻击,并持续运营刷新,有效保护资产。
    • 云防火墙的IPS功能能够实时监测网络流量,通过深度包检测和行为分析技术,主动识别并阻断各类网络攻击行为,包括SQL注入、跨站脚本等常见攻击方式。
    • 云防火墙的IPS功能支持用户自定义网络入侵特征,CFW将基于签名特征检测数据流是否存在威胁。
    • 云防火墙的IPS功能支持针对敏感目录扫描攻击的防御,开启后可拦截相关扫描攻击。
    • 云防火墙的IPS功能支持针对反弹Shell攻击的防御,开启后可拦截相关反弹Shell攻击。

云防火墙IPS的处理流程

开启防护后,所有接入云防火墙的网络流量都会先经过云防火墙ACL引擎和IPS引擎的过滤,然后再转发出去或直接丢弃。在检测过程中,云防火墙会对流量进行协议识别和内容解析,精准识别各类网络协议及应用层行为。针对检测到的潜在威胁:

  • 通过流过滤和包过滤技术对IPS攻击特征及威胁情报进行匹配;
  • 根据预设的防护模式(观察模式/拦截模式-宽松/拦截模式-中等/拦截模式-严格)执行相应动作;
  • 严格匹配IPS规则库,对恶意流量执行实时阻断或放行决策。

该机制实现了从协议识别、威胁检测到实时拦截的全流程防护,确保攻击行为可被及时告警和有效拦截。具体处理流程如下:

图1 IPS处理流程
  1. 报文重组:收到流量后,云防火墙首先进行IP分片报文重组以及TCP流重组,确保了应用层数据的连续性,有效检测出逃避入侵防御检测的攻击行为。
  2. 应用协议识别及解析:根据报文内容识别出具体的应用层协议,并对协议进行深度解析以提取报文特征。
  3. 签名匹配:将解析后的报文特征与入侵防御签名进行匹配,如果匹配了签名,则进行响应处理。云防火墙支持定期从华为云安全智能中心下载最新的入侵防御特征库,及时有效防御网络入侵。
  4. 响应处理:报文匹配了签名后,由入侵防御配置文件决定是否进行响应处理以及如何进行响应处理(告警、阻断还是放行)。

约束限制

  • 基础版不支持攻击防御功能。
  • 入侵防御不支持对TLS、SSL加密的流量进行解密检测和防御。
  • 如果已添加IPS自定义规则,则不支持关闭IPS基础防御功能。
  • 如果已开启虚拟补丁、敏感目录扫描防御或反弹Shell检测防御功能,则在关闭IPS基础防御功能时,也会被同步关闭。

对业务的影响

开启拦截模式后,入侵防御IPS功能会拦截各类威胁和恶意流量。建议您调整防护模式时,优先开启“观察模式”,等待业务运行一段时间排查误拦截后,再逐步更换至“拦截模式”

云防火墙支持防护的攻击类型

云防火墙支持防护的主要攻击类型示例如下表所示。IPS具体配置操作请参见配置IPS基础防御

攻击类型

攻击危害

访问控制

访问控制攻击是指攻击者通过利用系统或应用中的访问控制漏洞,以非法方式获取或提升其在系统或应用中的访问权限,执行未授权的操作或访问敏感资源。

访问控制攻击对系统安全造成严重威胁,其主要危害表现为:

  • 数据泄露:攻击者可以通过绕过访问控制机制,获取系统中未授权的敏感数据,如用户个人信息、财务数据等,导致数据泄露。
  • 数据篡改:攻击者可以通过绕过访问控制机制,篡改系统数据,导致数据不真实和不可靠。
  • 系统瘫痪:攻击者可以通过绕过访问控制机制,获取系统中的管理员权限,导致系统被破坏和瘫痪,无法正常运行。
  • 信息安全风险:访问控制攻击会导致系统中的安全机制被破坏,增加系统面临的信息安全风险,如恶意软件、病毒、木马等的入侵。

黑客工具

黑客工具(Hack Tools)是一种用于实施网络攻击的恶意软件程序,它通常由黑客或者恶意程序安装到您的计算机中,用于窃取敏感信息、破坏系统或网络、远程控制计算机或网络等非法活动。在合法的情况下,黑客工具也可以被安全研究人员用于测试系统或网络的安全性。

滥用黑客工具会给个人和社会带来巨大的安全风险和经济损失,包括但不限于以下几个方面:

  • 盗取信息:黑客工具可以窃取个人隐私信息,如账号密码、银行账户信息、社交媒体账号等,导致财产损失和个人隐私泄露。
  • 破坏系统:黑客工具可以攻击计算机系统,破坏系统文件和数据,导致系统崩溃或数据丢失等问题。
  • 恶意攻击:黑客工具可以用于进行恶意攻击,如DDoS攻击、病毒攻击等,使网站无法正常访问或瘫痪。
  • 网络犯罪:黑客工具可以被用于进行犯罪活动,如网络诈骗、网络敲诈等,导致社会安全问题。

可疑DNS活动

可疑DNS活动是指在网络中出现的异常DNS请求或响应行为。攻击者利用DNS缺陷或通过发送超量请求等各种方式攻击DNS,致使DNS出现异常请求或响应的行为,最终导致DNS解析域名错误、解析超时或DNS系统瘫痪等,这不仅会影响用户的上网体验,还可能带来经济损失甚至法律责任等严重后果。

常见的可疑DNS活动及其危害,包括但不限于以下几种:
  • DNS缓存中毒:攻击者利用DNS服务器的漏洞来接管DNS,通过篡改DNS服务器的缓存记录,将用户访问重定向到恶意网站,从而实施钓鱼、恶意软件下载等攻击行为。
  • DNS缓冲区溢出攻击:攻击者利用DNS服务器的漏洞,通过向DNS服务器的缓存区发送大量恶意数据,导致DNS服务器缓存区溢出,最终使得恶意数据覆盖了原有的合法数据,从而实现篡改DNS响应、重定向流量、中间人攻击等攻击行为。

特洛伊木马

特洛伊木马(Trojan Horse)简称木马,是指寄宿在计算机中为实现非法意图的一种恶意软件程序。特洛伊木马通常伪装成正常的软件,通过诱导用户下载到用户计算机中,攻击者通过木马控制用户的计算机系统并实现窃取用户的个人信息、密码或其他敏感数据,或者破坏用户的计算机系统等目的。

常见的特洛伊木马类型及其危害,包括但不限于以下几种:

  • 远程控制型:远程控制是木马的基本功能,在用户不知情的情况下,攻击者通过下发命令实现对用户计算机的远程控制,并完成木马传播者下发的攻击指令,例如篡改文件和数据、下载恶意软件等。
  • 盗取密码型:这类木马以找到所有的隐藏密码为主,如各种社交账号的账户和密码,网络游戏中游戏账号和密码,并在受害者不知情的情况下将密码信息发送出去。
  • 记录键值型:这类木马可以记录用户每一次敲击键盘的操作,通过键盘操作记录,攻击者可以获取到用户的密码等有用信息。此类木马会随着操作系统的启动而自动加载,分为在线和离线两种,分别记录用户在在线和离线两种状态下敲击键盘的情况。记录键值型木马一般也有邮件发送功能,能通过邮件将记录的信息发送给控制者。

漏洞攻击

漏洞攻击是指攻击者利用系统、软件或硬件中存在的安全漏洞,通过精心构造的攻击手段,在未授权的情况下访问或破坏目标系统,以达到其恶意目的的行为。这些漏洞通常是由于设计、实现或配置过程中的缺陷所导致的,它们为攻击者提供了绕过正常安全防护机制的机会。

漏洞攻击的危害是多方面的,包括但不限于:

  • 经济损失:漏洞攻击可能导致受害者业务中断、数据泄露等,从而蒙受巨大的经济损失。
  • 信息泄露:攻击者可以通过漏洞获取用户的通讯录、聊天记录等敏感信息,侵犯个人隐私。
  • 网络破坏:当黑客成功攻击一台服务器后,可能会将其变成“傀儡机”,用于对其他主机发起攻击,扩大攻击范围。
  • 恶意软件传播:攻击者可能利用漏洞在受害者的系统中植入恶意软件,如病毒、木马等,进一步破坏系统安全。

蠕虫病毒

蠕虫病毒(Computer Worm)是一种能够自我复制并通过网络进行传播的恶意软件,它通过扫描网络中的漏洞,利用这些漏洞感染其他服务器,从而在网络中迅速扩散。蠕虫病毒不需要依附于其他程序,就可以独立存在并自主运行。

蠕虫病毒对网络业务安全构成严重威胁,具体表现如下:

  • 破坏系统:蠕虫病毒可以破坏系统文件和数据,导致系统崩溃或无法正常工作。
  • 盗取信息:蠕虫病毒可以窃取用户的敏感信息,如密码、银行账户信息等。
  • 滥用网络资源:蠕虫病毒可以利用被感染的计算机进行DDoS攻击、垃圾邮件发送等非法行为,造成网络拥塞和服务不可用。
  • 传播其他恶意软件:蠕虫病毒可以利用被感染的计算机传播其他恶意软件,如木马病毒、间谍软件等。

反弹Shell

反弹Shell是一种隐蔽的攻击手段,攻击者通过诱使受害主机主动向外发起连接,绕过传统防火墙的限制,建立远程控制通道。一旦成功,攻击者可完全操控目标系统,执行任意命令、窃取敏感数据或植入后门程序。由于反弹Shell通常伪装成正常网络流量(如HTTP、DNS),难以被传统安全设备检测,可能导致长期潜伏而不被发现。此外,此类攻击可能引发数据泄露、系统破坏等严重后果,并带来法律与合规风险。

敏感目录扫描

敏感目录扫描是一种常见的攻击手段,攻击者通过系统地访问网站或应用服务器上的特定目录,试图发现可能包含敏感信息或配置文件的路径。这种行为不仅可能导致攻击者获取未授权的访问权限和敏感数据,如用户信息、配置文件等,还可能引发服务器性能下降,甚至服务中断。此外,敏感目录扫描还可能为后续的攻击行为提供便利,如进一步渗透系统、篡改网站内容等,给企业带来严重的安全风险和声誉损失。

IPS防护模式说明

IPS的防护模式分为观察模式、拦截模式。根据配置的运行模式不同,基础防御和虚拟补丁中的规则匹配的动作不同,例如,配置拦截-严格模式,则大部分基础防御和虚拟补丁的规则匹配动作为拦截动作。IPS的防护模式可以分为以下几种:

  • 观察模式:仅对攻击事件进行检测并记录日志;
  • 拦截模式:在发生明确攻击类型的事件和检测到异常IP访问时,将实施自动拦截操作。
表1 IPS的防护模式

分类

适用场景

特点

示例

观察模式

不防护

针对攻击行为仅记录至攻击事件日志中,不做拦截

Apache Druid远程代码执行漏洞(CVE-2021-25646)、VMware Cloud Director远程代码执行漏洞(CVE-2020-3956)、Nero MediaHome拒绝服务漏洞(CVE-2012-5876)

拦截模式

宽松

防护粒度较粗,拦截可信度高且威胁程度高的攻击事件,适合对误报要求高的业务场景。

精确识别攻击特征(关键字/参数),匹配确定的攻击行为,无误报

GNU Bash环境变量处理DHCP维度命令执行漏洞 (CVE-2014-6271)、Microsoft SharePoint远程代码执行漏洞(CVE-2021-31181)、Delta Electronics DIAEnergie SQL注入漏洞(CVE-2022-26013)

中等

防护粒度中等,满足大多数场景下的防护需求,适合日常运维的常规规则场景。

涵盖多种攻击类型,并融合多种漏洞分析方式,基本无误报

Apache Commons Text远程代码执行漏洞(CVE-2022-42889)、Apache Commons Text远程代码执行漏洞(CVE-2022-42889)、Apache Flink远程代码执行漏洞

严格

防护粒度精细,全量拦截攻击请求,适合对安全防护漏报要求高的场景。

针对栈溢出、缓冲区溢出等高危漏洞,大多属于四层漏洞,需通过协议分析、关键字匹配、多次跳转、关键字偏移等方式进行攻击确认

Schneider Electric C-Bus目录遍历漏洞(CVE-2021-22717)、Apache SkyWalking GraphQL协议SQL注入漏洞(CVE-2020-9483)、检测到可疑的特洛伊木马通信

规则组随防护模式变更的默认动作对照表:

规则组

观察模式

拦截模式-严格

拦截模式-中等

拦截模式-宽松

“观察”规则组

观察

禁用

禁用

禁用

“严格”规则组

观察

拦截

禁用

禁用

“中等”规则组

观察

拦截

拦截

禁用

“宽松”规则组

观察

拦截

拦截

拦截

防护动作说明如下:

  • 观察:不启用规则,防火墙对匹配当前规则的流量,记录至攻击事件日志中,不做拦截。
  • 拦截:启用规则,防火墙对匹配当前规则的流量,记录至攻击事件日志中并进行拦截。
  • 禁用:禁用规则,防火墙对匹配当前规则的流量,不记录、不拦截。
父主题: 配置入侵防御

相关文档