云防火墙提供“网络攻击防护”,帮助您检测常见的网络攻击。
对业务的影响
调整防护模式时,建议您优先开启“观察模式”,等待业务运行一段时间排查误拦截后,再逐步更换至“拦截模式”。
调整IPS防护模式拦截网络攻击
登录管理控制台。
在左侧导航栏中,单击左上方的
,选择“安全> 云防火墙”,进入云防火墙的总览页面。
(可选)当前账号下仅存在单个防火墙实例时,自动进入防火墙详情页面,存在多个防火墙实例时,单击防火墙列表“操作”列的“查看”,进入防火墙详情页面。
在左侧导航栏中,选择“攻击防御> 入侵防御”,进入“入侵防御”界面,保持“基础防御”右侧开关开启。
选择合适的防护模式。
观察模式:仅对攻击事件进行检测并记录到“攻击事件日志”中,不做拦截。
拦截模式:在发生明确攻击类型的事件和检测到异常IP访问时,将实施自动拦截操作。
拦截模式-宽松:防护粒度较粗。拦截可信度高且威胁程度高的攻击事件。
拦截模式-中等:防护粒度中等。满足大多数场景下的防护需求。
拦截模式-严格:防护粒度精细,全量拦截攻击请求。
说明
建议您优先开启“观察模式”,等待业务运行一段时间后,再逐步更换至“拦截模式”,查看攻击事件日志,请参见“攻击事件日志”。
如果存在误拦截情况,可对基础防御规则库的单条防御规则进行动作修改。具体操作请参见“IPS规则管理”。
开启敏感目录扫描防御
登录管理控制台。
在左侧导航栏中,单击左上方的
,选择“安全> 云防火墙”,进入云防火墙的总览页面。
(可选)当前账号下仅存在单个防火墙实例时,自动进入防火墙详情页面,存在多个防火墙实例时,单击防火墙列表“操作”列的“查看”,进入防火墙详情页面。
在左侧导航栏中,选择“攻击防御> 入侵防御”,进入“入侵防御”界面,保持“基础防御”右侧开关开启。
单击“高级”,在“敏感目录扫描防御”模块,单击
,启用防护。
“动作”:
观察模式:发现敏感目录扫描攻击后,仅记录至“攻击事件日志”。
拦截Session:发现敏感目录扫描攻击后,拦截当次会话。
拦截IP:发现敏感目录扫描攻击后,CFW会阻断该攻击IP一段时间。
说明
配置“拦截IP”后,CFW会持续对IP进行阻断,如果涉及地址转换或者存在代理的场景,需要谨慎评估拦截IP的影响。
“持续时长”:“动作”选择“拦截IP”时,可设置阻断时间,范围为60~3600s。
“阈值”:对于单个敏感目录扫描频率达到设定的阈值后,CFW会采取相应“动作”。
开启反弹Shell检测防御
登录管理控制台。
在左侧导航栏中,单击左上方的
,选择“安全> 云防火墙”,进入云防火墙的总览页面。
(可选)当前账号下仅存在单个防火墙实例时,自动进入防火墙详情页面,存在多个防火墙实例时,单击防火墙列表“操作”列的“查看”,进入防火墙详情页面。
在左侧导航栏中,选择“攻击防御> 入侵防御”,进入“入侵防御”界面,保持“基础防御”右侧开关开启。
单击“高级”,在“反弹Shell检测防御”模块,单击
,启用防护。
“动作”:
观察模式:发现反弹shell攻击后,仅记录至“攻击事件日志”。
拦截Session:发现反弹shell攻击后,拦截当次会话。
拦截IP:发现反弹shell攻击后,CFW会阻断该攻击IP一段时间。
说明
配置“拦截IP”后,CFW会持续对IP进行阻断,如果涉及地址转换或者存在代理的场景,需要谨慎评估拦截IP的影响。
“持续时长”:“动作”选择“拦截IP”时,可设置阻断时间,范围为60~3600s。
“模式”:
低误报:防护粒度较粗,单次会话中攻击次数达到4次时触发观察或拦截,确保攻击处理没有误报。
高检测:防护粒度精细,单次会话中攻击次数达到2次时触发观察或拦截,确保攻击能够及时被发现并处理。
后续操作
整体防护概况请参见“通过安全看板查看攻击防御信息”,详细日志信息请参见“攻击事件日志”。
