威脅引擎運行模式

云防火墻服務開通后，威脅引擎默認啟用攔截模式。具體開啟哪種程度的攔截模式，云防火墻會根據您流量的實際情況判斷和默認選擇。只有開啟攔截模式后，威脅情報、基礎防御和虛擬補丁功能才會開啟相應的威脅攔截。如未開啟攔截模式，入侵防御功能只會對各類威脅和惡意流量進行監控。

威脅引擎運行模式的詳細介紹，請參見IPS能力概述。

1. 登錄云防火墻控制臺。在左側導航欄，選擇防護配置 > IPS配置。

2. 在互聯網邊界頁簽的威脅引擎運行模式區域，設置威脅引擎的運行模式。

   

   威脅引擎可選擇以下兩種模式：

   • 觀察模式：開啟觀察模式，針對攻擊行為僅記錄及告警，不攔截，即威脅情報、基礎防御、虛擬補丁中的防護動作均為觀察。

   • 攔截模式：開啟攔截模式，對惡意流量攔截，阻斷入侵活動。

     針對您的防護需求，選擇不同嚴格程度的攔截模式：

     • 攔截模式-寬松：防護粒度較粗，主要覆蓋低誤報規則，適合對誤報要求高的業務場景。

     • 攔截模式-中等：防護粒度較寬松，介于寬松和嚴格之間，精準度較高，適合日常運維的常規防護場景。

     • 攔截模式-嚴格：防護粒度精細，覆蓋全量規則，相比中等規則組可能誤報更高，適合對安全防護漏報要求高的場景。

威脅情報

威脅情報開關默認開啟，云防火墻可掃描偵查威脅情報，并提供中控情報阻斷。威脅情報可將阿里云全網檢測到的惡意IP同步到云防火墻，如：惡意訪問源、掃描源、暴力破解的源IP等，并對其精準攔截，可提前感知網絡威脅源。

建議您開啟威脅情報。如果您確認業務不需要，可以在高級設置區域，關閉威脅情報開關。

基礎防御

基礎防御開關默認開啟，云防火墻為您開啟部分常見威脅相關的檢測規則。基礎防御可提供基礎的入侵防御能力，包括命令執行漏洞攔截、對被感染后連接C&C（命令控制）的行為管控，可為您的資產提供基礎的防護能力。

建議您開啟基礎防御。如果您確認業務不需要，可以在高級設置區域，關閉基礎防御開關。

如果您需要查看基礎防御的規則詳情或者默認規則無法滿足您的需求，您可以單擊右側的自定義選擇，對單個或多個基礎防御規則修改當前動作，修改后的規則標記為自定義規則。您可以關閉規則的開關，關閉后該條規則不生效。如果規則為開啟狀態，自定義規則的優先級高于默認規則的優先級。

虛擬補丁

虛擬補丁開關默認開啟，云防火墻可為您實時防護熱門的高危漏洞和應急漏洞。虛擬補丁針對可被遠程利用的高危漏洞和應急漏洞，在網絡層提供熱補丁，實時攔截漏洞攻擊行為，避免修復主機漏洞時對業務產生的中斷影響。虛擬補丁無需在您的服務器上進行安裝。虛擬補丁關閉后將無法實時自動更新。

建議開啟所有的虛擬補丁。如果您確認業務不需要，可以在高級設置區域，關閉虛擬補丁開關。

如果您需要查看虛擬補丁的規則詳情或者默認規則無法滿足您的需求，您可以單擊右側的自定義選擇，對單個或多個虛擬補丁規則修改當前動作，修改后的規則標記為自定義規則。您可以關閉規則的開關，關閉后該條規則不生效。如果規則為開啟狀態，自定義規則的優先級高于默認規則的優先級。

智能防御

智能防御開關默認開啟，云防火墻可以學習云上攻擊數據，提高威脅和攻擊的識別準確率。

目前僅威脅引擎運行模式為觀察時支持智能防御能力。建議您開啟智能防御。如果您確認業務不需要，可以在高級設置區域，關閉智能防御開關。

數據泄露

您需要先為資產開啟數據泄露檢測開關，云防火墻會對云上外聯流量（業務資產訪問互聯網的流量）做敏感數據檢測，幫您識別出敏感數據泄露風險。單擊配置開啟資產，定位到指定公網資產，單擊操作列開啟數據泄露檢測。

單擊查看支持的敏感數據類型，查看云防火墻可識別的數據類型。您可以根據實際業務，自定義啟用哪種數據類型的識別。

您可以在數據泄露頁面，查看云防火墻幫您檢測到數據泄露大盤，方便您更準確了解數據泄露的資產信息、泄露事件以及風險payload。

防護白名單

如果您需要直接放行可信的IPv4和IPv6出入雙向流量的目的IP地址、源IP地址，可以將其添加到防護白名單。添加到防護白名單中IP的流量不會被基礎防護、智能防御、虛擬補丁規則攔截。自定義目的IP白名單和源IP白名單分別最多添加50個IP地址。

在高級設置區域，單擊防護白名單進行設置。

防護白名單僅對基礎防御、智能防御和虛擬補丁生效，防護白名單對威脅情報不生效。如果需要將威脅情報相關IP加入白名單，需配置訪問控制策略。更多信息，請參見配置互聯網邊界訪問控制策略、云防火墻防護流量時的規則匹配順序是什么？。