云防火墻的入侵防御IPS(Intrusion Prevention System)能力可以實時主動檢測和攔截黑客惡意攻擊、漏洞利用、暴力破解、蠕蟲病毒、挖礦程序、后門木馬、DoS等惡意流量,保護云上企業信息系統和網絡架構免受侵害,防止業務被未授權訪問或數據泄露、業務系統和應用程序損壞或宕機等。
使用限制
云防火墻入侵防御不支持對TLS、SSL加密的流量進行解密檢測和防御,但支持部分基于加密指紋的IPS檢測規則。
由于數據聚合,云防火墻的入侵防御數據統計存在一定延時。如果需要查詢實時數據,建議您通過日志審計或日志分析查詢,具體操作,請參見日志審計或查詢及分析日志。
查詢最近1小時內的防御數據時,統計數據會存在10分鐘的延時,即查詢結果中不包含最近10分鐘內發生的防御事件。
查詢超過1小時且包含當前30分鐘內的防御數據時,統計數據會存在30分鐘延時,即查詢結果中不包含最近30分鐘內發生的防御事件。
例如,當前時間為15:00:00,如果您查詢當日12:00:00~15:00:00的數據時,14:30:00~15:00:00之間的數據將無法查到;如果您查詢當日12:00:00~14:30:00的數據,您將可以查詢到該時間段內的完整數據。
查看或者修改入侵防御規則
開通云防火墻服務后,防護配置的威脅引擎默認啟用攔截模式,即云防火墻會自動攔截攻擊行為。并且云防火墻會根據業務流量的實際情況判斷,自動選擇需要開啟的攔截模式等級(寬松、中等、嚴格)。同時,云防火墻會默認開啟威脅情報、基礎防御和虛擬補丁。
如果您的云防火墻版本為企業版或旗艦版,您可以在左側導航欄,選擇IPS配置。進入頁面,在基礎防御卡片中單擊自定義選擇,查看默認的入侵防御規則。如果您業務需要修改某條入侵防御的規則,定位到該規則,在當前動作列,修改該規則的執行動作。更多信息,請參見IPS配置。
查看互聯網阻斷事件
云防火墻提供了云資產的互聯網入向和出向流量防護統計數據,便于您了解云防火墻對資產流量的防御情況,確保資產安全。您可以查詢過去90天內的互聯網流量阻斷數據,單次查詢時間最長范圍為31天。
進入頁面,在互聯網防護頁簽,設置查詢時間后,查看防護數據統計和防護明細列表。
防護數據模塊包含攻擊總數、攻擊類型分布、攔截數據。
其中,攔截數據指標說明如下:
阻斷目的TOP:展示被云防火墻阻斷的流量中,占比Top 5的目的IP地址。
鼠標懸浮在阻斷目的IP上,單擊
圖標,可進入日志審計頁面查看該目的IP地址對應的流量的目的端口、應用類型、動作等詳細信息。阻斷來源TOP:展示被云防火墻阻斷的流量中,占比Top 3的來源類型。
阻斷應用TOP:展示被云防火墻阻斷的流量中,占比Top 5的應用類型。
防護明細列表:根據查詢條件,展示云防火墻對攻擊流量的防護明細,包括事件的風險級別、事件數量、源IP地址、目的IP地址等信息。
說明如果源IP是WAF或者DDoS的回源地址,云防火墻會識別出此類回源地址,并顯示WAF回源IP、DDoS回源IP。
在該模塊區域,您可以執行以下操作:
查詢目標事件:選擇風險級別、防御狀態、攻擊類型、判斷來源、方向和時間范圍等條件后,單擊搜索,查看符合設定條件的事件信息。
查看事件詳情:在操作列單擊詳情,打開阻斷事件的詳情頁面,查看基本信息、攻擊payload等詳細信息。攻擊payload展示了攻擊流量的五元組信息、載荷內容等,方便您進行攻擊溯源,降低安全風險。
下載阻斷事件:在搜索欄右側,單擊
圖標,在右上角的下載任務管理中下載阻斷事件。
查看VPC攔截事件
云防火墻為您提供了VPC網絡之間的流量防護統計情況,您可以查看VPC的流量通行和阻斷情況。您可以查詢過去90天內的VPC流量阻斷數據,單次查詢時間最長范圍為31天。
云防火墻高級版不支持VPC邊界防火墻,不會顯示VPC防護頁簽。
進入頁面,在VPC防護頁簽,查看指定時間段內VPC攔截事件的名稱、風險級別、攻擊類型等詳細信息。
您可以執行以下操作:
查詢目標事件:選擇風險級別、防御狀態、攻擊類型和時間等條件后,單擊搜索,查看符合設定條件的事件信息。
查看事件詳情:在操作列單擊詳情,打開阻斷事件的詳情頁面,查看基本信息、攻擊payload等詳細信息。攻擊payload展示了攻擊流量的五元組信息、載荷內容等,方便您進行攻擊溯源,降低安全風險。
下載防護事件:在搜索欄右側,單擊
圖標,在右上角的下載任務管理中下載防護事件。