配置反弹Shell检测防御

约束限制

• 基础版不支持攻击防御功能。
• 入侵防御不支持对TLS、SSL加密的流量进行解密检测和防御。

对业务的影响

开启IPS基础防御的拦截模式后，入侵防御IPS功能会拦截各类威胁和恶意流量。建议您调整防护模式时，优先开启“观察模式”，等待业务运行一段时间排查误拦截后，再逐步更换至“拦截模式”。

防御模式

• 观察模式：发现反弹shell攻击后，仅记录至攻击事件日志。
• 拦截Session：发现反弹shell攻击后，拦截当次会话。
• 拦截IP：发现反弹shell攻击后，CFW会阻断该攻击IP一段时间。
  

  配置“拦截IP”后，CFW会持续对IP进行阻断，如果涉及地址转换或者存在代理的场景，需要谨慎评估拦截IP的影响。

开启反弹Shell检测防御

1. 登录CFW控制台。
2. 单击管理控制台左上角的，选择区域。
3. （可选）切换防火墙实例：在页面左上角的下拉框中切换防火墙。
4. 在左侧导航栏中，选择“攻击防御 > 入侵防御”，进入入侵防御界面。
5. 保持“基础防御”右侧开关开启。
6. 单击页面下方的“高级”按钮，并在“反弹Shell检测防御”模块，单击，启用防护。
   • “动作”：
     • 观察模式：发现反弹shell攻击后，仅记录至攻击事件日志。
     • 拦截Session：发现反弹shell攻击后，拦截当次会话。
     • 拦截IP：发现反弹shell攻击后，CFW会阻断该攻击IP一段时间。
       

       配置“拦截IP”后，CFW会持续对IP进行阻断，如果涉及地址转换或者存在代理的场景，需要谨慎评估拦截IP的影响。

   • “持续时长”：“动作”选择“拦截IP”时，可设置阻断时间，范围为60~3600s。
   • “模式”：
     • 低误报：防护粒度较粗，单次会话中攻击次数达到4次时触发观察或拦截，确保攻击处理没有误报。
     • 高检测：防护粒度精细，单次会话中攻击次数达到2次时触发观察或拦截，确保攻击能够及时被发现并处理。

7. 单击“确认”。

后续操作

整体防护概况请参见通过安全看板查看攻击防御信息，详细日志信息请参见攻击事件日志。

相关操作

• 调整防御动作：单击“反弹Shell检测防御”中的“配置”，并在弹出的配置框中，选择需要的防御动作后，单击“确认”。
• 调整阈值：单击“反弹Shell检测防御”中的“配置”，并在弹出的配置框中，设置阈值后，单击“确认”。
• 关闭反弹shell防御：单击“反弹Shell检测防御”后的，并在弹出的确认框中单击“确定”。