按量版新手引導(dǎo)
當(dāng)您購買云防火墻按量版后,您可以使用云防火墻的攻擊防護、訪問控制策略等功能為您的公網(wǎng)資產(chǎn)進行安全防護。本文介紹云防火墻按量版的完整使用流程(包括接入資產(chǎn)防護、配置防護策略、查看防護效果等),幫助您更快地使用云防火墻按量版。
使用流程
前提條件
您已經(jīng)購買了云防火墻按量版。具體操作,請參見購買云防火墻服務(wù)。
步驟一:開啟云防火墻防護
購買云防火墻按量版后,首次登錄云防火墻控制臺時,系統(tǒng)彈出資產(chǎn)接入對話框,您可以單擊自動全量接入公網(wǎng)資產(chǎn)或手動一鍵接入公網(wǎng)資產(chǎn),快速接入需要防護的資產(chǎn)。
如果您在購買云防火墻按量版時,選中了自動接入資產(chǎn)保護,后續(xù)新增的資產(chǎn)將自動接入云防火墻防護。如果您未啟用自動接入資產(chǎn)保護,您可以在頁面,手動開啟新增資產(chǎn)防護。具體操作,請參見互聯(lián)網(wǎng)邊界防火墻。
步驟二:配置攻擊防護(IPS)能力
(可選)配置防護規(guī)則
云防火墻內(nèi)置了威脅檢測引擎(IPS),可以對惡意流量入侵活動和常規(guī)攻擊行為實時告警或攔截,一般針對木馬后門等惡意文件、攻擊payload請求行為進行檢測和防護,并提供精準的威脅檢測虛擬補丁,智能阻斷入侵風(fēng)險。其檢測的運行原理包括利用威脅情報、入侵檢測規(guī)則、智能模型算法識別、虛擬補丁的方式多方位進行檢測。更多信息,請參見IPS配置。
威脅引擎運行模式分為觀察模式(僅告警)、攔截模式(告警且自動阻斷攻擊payload),針對不同的攻擊類型,云防火墻威脅引擎設(shè)計了不同的策略。攔截模式的適用場景如下:
分類 | 適用場景 | 特點 | 示例 |
寬松模式 | 防護粒度較粗,主要覆蓋低誤報規(guī)則,適合業(yè)務(wù)對誤報要求高的場景。 | 明確漏洞利用關(guān)鍵字、關(guān)鍵參數(shù),有明顯的攻擊報文和行為,無誤報可能性。 | Struts 2遠程代碼執(zhí)行(CVE-2018-11776)、Spark REST API未授權(quán)訪問(CVE-2018-11770)、Jenkins遠程命令執(zhí)行(CVE-2018-1000861)。 |
中等模式 | 防護粒度介于寬松和嚴格之間,適合日常運維的常規(guī)規(guī)則場景。 | 涉及每種攻擊類型,綜合利用各類漏洞利用分析方式,即為常規(guī)規(guī)則,基本無誤報的可能性。 | Oracle WebLogic Server遠程代碼執(zhí)行(CVE-2020-2551)、Microsoft WindowsRDP Client遠程代碼執(zhí)行(CVE-2020-1374)、SMBv1拒絕服務(wù)攻擊(CVE-2020-1301)。 |
嚴格模式 | 防護粒度最精細,主要覆蓋基本全量規(guī)則,相比中等規(guī)則組可能誤報更高,適合對安全防護漏報要求高的場景。 | 棧溢出、緩沖區(qū)溢出等高危害性,其中絕大部分四層漏洞,需經(jīng)過協(xié)議分析、關(guān)鍵字匹配、多次跳轉(zhuǎn)、關(guān)鍵字偏移等攻擊確認。 | Squid Proxy HTTP Request Processing緩沖區(qū)溢出(CVE-2020-8450)、Nginx 0-Length Headers Leak拒絕服務(wù)(CVE-2019-9516)、Oracle WebLogic |
修改防護配置時,建議您優(yōu)先開啟觀察模式,通過試運行一段時間,分析數(shù)據(jù)誤攔截情況后,再開啟防護攔截模式功能。
更多入侵防御使用實踐,請參見:
查看防護結(jié)果
您可以在云防火墻控制臺的頁面,查看云防火墻對資產(chǎn)的入侵攔截情況,包括攔截流量的源IP、目的IP、阻斷應(yīng)用、阻斷來源和阻斷事件詳情等。更多信息,請參見入侵防御。
步驟三:查看網(wǎng)絡(luò)流量分析
通過流量分析,您可以實時查看主機發(fā)生的主動外聯(lián)、公網(wǎng)暴露的詳細信息,進行流量可視化管理,排查異常流量。
主動外聯(lián)(出向流量)
您可以通過主動外聯(lián)活動頁面展示云上資產(chǎn)外聯(lián)域名、外聯(lián)IP信息,結(jié)合情報標簽和訪問詳情及日志,可對出方向訪問控制策略進行查漏補缺。具體操作,請參見主動外聯(lián)。
公網(wǎng)暴露(入向流量)
您也可以查看流量公網(wǎng)暴露的云上開放的服務(wù)、端口、公網(wǎng)IP地址和云產(chǎn)品信息,結(jié)合開放公網(wǎng)IP信息和推薦的智能策略可加強入方向訪問控制策略安全水位。具體操作,請參見公網(wǎng)暴露。
流量分析是配置訪問控制策略的基礎(chǔ)。建議您在配置訪問控制策略前全面了解您資產(chǎn)的流量情況。
步驟四:配置訪問控制策略
配置訪問控制策略
如果您未配置任何策略,云防火墻默認放行所有流量。您可以自定義創(chuàng)建互聯(lián)網(wǎng)邊界防火墻的訪問控制策略,實現(xiàn)精細化管控公網(wǎng)資產(chǎn)和互聯(lián)網(wǎng)之間的未授權(quán)訪問。
互聯(lián)網(wǎng)邊界防火墻訪問控制策略的配置方法,請參見配置互聯(lián)網(wǎng)邊界訪問控制策略。
訪問控制策略的配置場景示例,例如只允許公網(wǎng)流量訪問指定端口的策略(入方向)、只允許主機訪問指定域名的策略(出方向)、不同VPC內(nèi)某些ECS之間禁止訪問等,請參見訪問控制策略配置示例。
查看訪問控制策略命中情況
訪問控制策略配置完成后,默認情況下策略立即生效。您可以進入云防火墻控制臺的頁面,在訪問控制策略列表的命中次數(shù)/最近命中時間列,查看訪問控制策略的命中情況。更多信息,請參見配置互聯(lián)網(wǎng)邊界訪問控制策略。
步驟五:配置告警通知
您可以通過設(shè)置告警通知,在出現(xiàn)資產(chǎn)攻擊風(fēng)險、新增資產(chǎn)等情況時,及時收到通知,以便您了解資產(chǎn)狀態(tài),及時處理異常問題,保障資產(chǎn)安全。關(guān)于云防火墻支持設(shè)置的告警類型以及如何設(shè)置,請參見告警通知。
步驟五:查看按量付費賬單
云防火墻按量版以天為單位計費,每天18:00統(tǒng)計前一天的費用并進行結(jié)算。您可以通過查詢按量付費版的賬單詳情,了解按量計費的明細。
相關(guān)文檔
如果您在使用云防火墻按量版過程中有疑問,請參見售前常見問題。
如果您想了解云防火墻按量版支持的功能特性,請參見功能特性。
如果您希望降低云防火墻按量版的費用成本,您可以搭配使用按量節(jié)省套餐包。具體操作,請參見按量節(jié)省套餐包。
如果您需要將云防火墻按量版轉(zhuǎn)換為包年包月版,請參見升級和降配。
如果您的業(yè)務(wù)不再需要使用云防火墻,您可以手動釋放云防火墻按量版。具體操作,請參見釋放實例。