云防火墙提供基础防御功能,可以针对访问流量进行检测与防护,覆盖多种常见的网络攻击,有效保护您的资产。
访问控制策略默认状态为放行,通过配置合适的策略调整防护能力,实现更有效的精细化管控,防止内部威胁扩散,增加安全战略纵深。
配置入侵防御模式操作步骤
在左侧导航栏中,选择“攻击防御 > 入侵防御” 。
功能名称 功能说明 防护模式
观察模式:仅对攻击事件进行检测并记录到日志中。
拦截模式:在发生明确攻击类型的事件和检测到异常IP访问时,将实施自动拦截操作。
拦截模式-宽松:防护粒度较粗。拦截可信度高且威胁程度高的攻击事件。
拦截模式-中等:防护粒度中等。满足大多数场景下的防护需求。
拦截模式-严格:防护粒度精细,全量拦截攻击请求。建议您等待业务运行一段时间后,根据防护效果配置误报屏蔽规则,再开启“严格”模式。
说明选择防护模式后,可对基础防御规则库的单条防御规则进行修改。具体操作请参见修改基础防御规则动作。
基础防御 为您的资产提供基础的防护能力,默认为“开启”状态。防御功能包括:
检查威胁及漏洞扫描。
检测流量中是否含有网络钓鱼、特洛伊木马、蠕虫、黑客工具、间谍软件、密码攻击、漏洞攻击、SQL注入攻击、XSS跨站脚本攻击、Web攻击。
是否存在协议异常、缓冲区溢出、访问控制、可疑DNS活动及其他可疑行为。
虚拟补丁 在网络层级为IPS提供热补丁,实时拦截高危漏洞的远程攻击行为,同时避免修复漏洞时造成业务中断。 高级 敏感目录扫描防御 防御对用户主机敏感目录的扫描攻击。
“动作”:
观察模式:发现敏感目录扫描攻击后,CFW仅记录攻击日志,查看攻击日志请参见日志查询。
拦截Session:发现敏感目录扫描攻击后,拦截当次会话。
拦截IP:发现敏感目录扫描攻击后,CFW会阻断该攻击IP一段时间。
“持续时长”:“动作”选择“拦截IP”时,可设置阻断时间,范围为60~3600s。
“阈值”:对于单个敏感目录扫描频率达到设定的阈值后,CFW会采取相应“动作”。
反弹Shell检测防御 防御网络上通过反弹shell方式进行的网络攻击。
“动作” :
观察模式:发现反弹shell攻击后,仅记录攻击日志,查看攻击日志请参见日志查询。
拦截Session:发现反弹shell攻击后,拦截当次会话。
拦截IP:发现反弹shell攻击后,CFW会阻断该攻击IP一段时间。
“持续时长”:“动作”选择“拦截IP”时,可设置阻断时间,范围为60~3600s。
“模式”:
低误报:防护粒度较粗。观察或拦截频次较高的攻击,用于确保攻击处理没有误报。
高检测:防护粒度精细,确保攻击能够被发现并处理。
配置访问控制操作步骤
- 在左侧导航栏中,选择“访问控制 > 访问策略管理”,进入“访问策略管理”页面。
- 单击“添加”按钮,在弹出的“添加防护规则”中,填写新的防护信息,添加新的防护规则,添加规则请参见添加防护规则。
配置示例-单独放行入方向中指定IP的访问流量
单独放行入方向中指定IP的访问流量,需要配置如下两条防护规则:
- 一条拦截所有流量,优先级置于最低。其余参数可根据您的部署进行填写。
- 一条单独放行指定IP的流量访问,优先级设置最高。其余参数可根据您的部署进行填写。
放行指定IP:
阻断指定IP:
