入侵防御
云防火墻的入侵防御IPS(Intrusion Prevention System)能力可以實時主動檢測和攔截黑客惡意攻擊、漏洞利用、暴力破解、蠕蟲病毒、挖礦程序、后門木馬、DoS等惡意流量,保護云上企業(yè)信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害,防止業(yè)務(wù)被未授權(quán)訪問或數(shù)據(jù)泄露、業(yè)務(wù)系統(tǒng)和應(yīng)用程序損壞或宕機等。
使用限制
云防火墻入侵防御不支持對TLS、SSL加密的流量進行解密檢測和防御,但支持部分基于加密指紋的IPS檢測規(guī)則。
由于數(shù)據(jù)聚合,云防火墻的入侵防御數(shù)據(jù)統(tǒng)計存在一定延時。如果需要查詢實時數(shù)據(jù),建議您通過日志審計或日志分析查詢,具體操作,請參見日志審計或查詢及分析日志。
查詢最近1小時內(nèi)的防御數(shù)據(jù)時,統(tǒng)計數(shù)據(jù)會存在10分鐘的延時,即查詢結(jié)果中不包含最近10分鐘內(nèi)發(fā)生的防御事件。
查詢超過1小時且包含當(dāng)前30分鐘內(nèi)的防御數(shù)據(jù)時,統(tǒng)計數(shù)據(jù)會存在30分鐘延時,即查詢結(jié)果中不包含最近30分鐘內(nèi)發(fā)生的防御事件。
例如,當(dāng)前時間為15:00:00,如果您查詢當(dāng)日12:00:00~15:00:00的數(shù)據(jù)時,14:30:00~15:00:00之間的數(shù)據(jù)將無法查到;如果您查詢當(dāng)日12:00:00~14:30:00的數(shù)據(jù),您將可以查詢到該時間段內(nèi)的完整數(shù)據(jù)。
查看或者修改入侵防御規(guī)則
開通云防火墻服務(wù)后,防護配置的威脅引擎默認(rèn)啟用攔截模式,即云防火墻會自動攔截攻擊行為。并且云防火墻會根據(jù)業(yè)務(wù)流量的實際情況判斷,自動選擇需要開啟的攔截模式等級(寬松、中等、嚴(yán)格)。同時,云防火墻會默認(rèn)開啟威脅情報、基礎(chǔ)防御和虛擬補丁。
如果您的云防火墻版本為企業(yè)版或旗艦版,您可以在左側(cè)導(dǎo)航欄,選擇IPS配置。進入頁面,在基礎(chǔ)防御卡片中單擊自定義選擇,查看默認(rèn)的入侵防御規(guī)則。如果您業(yè)務(wù)需要修改某條入侵防御的規(guī)則,定位到該規(guī)則,在當(dāng)前動作列,修改該規(guī)則的執(zhí)行動作。更多信息,請參見IPS配置。
查看互聯(lián)網(wǎng)阻斷事件
云防火墻提供了云資產(chǎn)的互聯(lián)網(wǎng)入向和出向流量防護統(tǒng)計數(shù)據(jù),便于您了解云防火墻對資產(chǎn)流量的防御情況,確保資產(chǎn)安全。您可以查詢過去90天內(nèi)的互聯(lián)網(wǎng)流量阻斷數(shù)據(jù),單次查詢時間最長范圍為31天。
進入頁面,在互聯(lián)網(wǎng)防護頁簽,設(shè)置查詢時間后,查看防護數(shù)據(jù)統(tǒng)計和防護明細列表。
防護數(shù)據(jù)模塊包含攻擊總數(shù)、攻擊類型分布、攔截數(shù)據(jù)。
其中,攔截數(shù)據(jù)指標(biāo)說明如下:
阻斷目的TOP:展示被云防火墻阻斷的流量中,占比Top 5的目的IP地址。
鼠標(biāo)懸浮在阻斷目的IP上,單擊
圖標(biāo),可進入日志審計頁面查看該目的IP地址對應(yīng)的流量的目的端口、應(yīng)用類型、動作等詳細信息。阻斷來源TOP:展示被云防火墻阻斷的流量中,占比Top 3的來源類型。
阻斷應(yīng)用TOP:展示被云防火墻阻斷的流量中,占比Top 5的應(yīng)用類型。
防護明細列表:根據(jù)查詢條件,展示云防火墻對攻擊流量的防護明細,包括事件的風(fēng)險級別、事件數(shù)量、源IP地址、目的IP地址等信息。
說明如果源IP是WAF或者DDoS的回源地址,云防火墻會識別出此類回源地址,并顯示WAF回源IP、DDoS回源IP。
在該模塊區(qū)域,您可以執(zhí)行以下操作:
查詢目標(biāo)事件:選擇風(fēng)險級別、防御狀態(tài)、攻擊類型、判斷來源、方向和時間范圍等條件后,單擊搜索,查看符合設(shè)定條件的事件信息。
查看事件詳情:在操作列單擊詳情,打開阻斷事件的詳情頁面,查看基本信息、攻擊payload等詳細信息。攻擊payload展示了攻擊流量的五元組信息、載荷內(nèi)容等,方便您進行攻擊溯源,降低安全風(fēng)險。
下載阻斷事件:在搜索欄右側(cè),單擊
圖標(biāo),在右上角的下載任務(wù)管理中下載阻斷事件。
查看VPC攔截事件
云防火墻為您提供了VPC網(wǎng)絡(luò)之間的流量防護統(tǒng)計情況,您可以查看VPC的流量通行和阻斷情況。您可以查詢過去90天內(nèi)的VPC流量阻斷數(shù)據(jù),單次查詢時間最長范圍為31天。
云防火墻高級版不支持VPC邊界防火墻,不會顯示VPC防護頁簽。
進入頁面,在VPC防護頁簽,查看指定時間段內(nèi)VPC攔截事件的名稱、風(fēng)險級別、攻擊類型等詳細信息。
您可以執(zhí)行以下操作:
查詢目標(biāo)事件:選擇風(fēng)險級別、防御狀態(tài)、攻擊類型和時間等條件后,單擊搜索,查看符合設(shè)定條件的事件信息。
查看事件詳情:在操作列單擊詳情,打開阻斷事件的詳情頁面,查看基本信息、攻擊payload等詳細信息。攻擊payload展示了攻擊流量的五元組信息、載荷內(nèi)容等,方便您進行攻擊溯源,降低安全風(fēng)險。
下載防護事件:在搜索欄右側(cè),單擊
圖標(biāo),在右上角的下載任務(wù)管理中下載防護事件。