凯发k8国际娱乐官网入口-k8凯发> 云防火墙 cfw> 用户指南> 配置入侵防御策略
更新时间:2023-12-14 gmt 08:00

配置入侵防御策略-凯发k8国际娱乐官网入口

cfw提供基础防御功能,结合多年攻防积累的经验规则,针对访问流量进行检测与防护,覆盖多种常见的网络攻击,有效保护您的资产。

“基础防御”功能不支持关闭,可通过更改防护模式进行切换,主要进行检查威胁及漏洞扫描,检测流量中是否含有网络钓鱼、特洛伊木马、蠕虫、黑客工具、间谍软件、密码攻击、漏洞攻击、sql注入攻击、xss跨站脚本攻击、web攻击,是否存在协议异常、缓冲区溢出、访问控制、可疑dns活动及其他可疑行为。

约束条件

仅专业版防火墙支持“自定义ips特征”

操作步骤

  2. 单击管理控制台左上角的,选择区域。
  3. 在左侧导航树中,单击左上方的,选择安全与合规 > 云防火墙,进入云防火墙的概览页面,如图1所示。
    图1 概览
  4. (可选)当前账号下仅存在单个防火墙实例时,自动进入防火墙详情页面,存在多个防火墙实例时,单击防火墙列表“操作”列的“查看”,进入防火墙详情页面。
  5. 在左侧导航栏中,选择攻击防御 > 入侵防御
    表1 入侵防御功能介绍

    功能名称

    功能说明

    防护模式
    • 观察模式:仅对攻击事件进行检测并记录到“攻击事件日志”中,不做拦截。
    • 拦截模式:在发生明确攻击类型的事件和检测到异常ip访问时,将实施自动拦截操作。
      • 拦截模式-宽松:防护粒度较粗。拦截可信度高且威胁程度高的攻击事件。
      • 拦截模式-中等:防护粒度中等。满足大多数场景下的防护需求。
      • 拦截模式-严格:防护粒度精细,全量拦截攻击请求。
    说明:
    • 建议您优先开启“观察模式”,等待业务运行一段时间后,再逐步更换至“拦截模式”,查看攻击事件日志,请参见。
    • 若存在误拦截情况,可对基础防御规则库的单条防御规则进行动作修改。具体操作请参见。

    基础防御

    为您的资产提供基础的防护能力,默认“开启”状态。防御功能包括:

    • 检查威胁及漏洞扫描;
    • 检测流量中是否含有网络钓鱼、特洛伊木马、蠕虫、黑客工具、间谍软件、密码攻击、漏洞攻击、sql注入攻击、xss跨站脚本攻击、web攻击;
    • 是否存在协议异常、缓冲区溢出、访问控制、可疑dns活动及其他可疑行为。

    虚拟补丁

    在网络层级为ips提供热补丁,实时拦截高危漏洞的远程攻击行为,同时避免修复漏洞时造成业务中断。

    自定义ips特征

    当基础防御规则库不满足需求时,cfw支持自定义ips特征。

    仅专业版防火墙支持自定义ips特征,操作步骤请参见。

    高级

    敏感目录扫描防御

    防御对用户主机敏感目录的扫描攻击。

    “动作”
    • 观察模式:发现敏感目录扫描攻击后,cfw仅记录攻击日志,查看攻击日志请参见。
    • 拦截session:发现敏感目录扫描攻击后,拦截当次会话。
    • 拦截ip:发现敏感目录扫描攻击后,cfw会阻断该攻击ip一段时间。

    “持续时长”“动作”选择“拦截ip”时,可设置阻断时间,范围为60~3600s。

    “阈值”:对于单个敏感目录扫描频率达到设定的阈值后,cfw会采取相应“动作”

    反弹shell检测防御

    防御网络上通过反弹shell方式进行的网络攻击。

    “动作”
    • 观察模式:发现反弹shell攻击后,仅记录攻击日志,查看攻击日志请参见。
    • 拦截session:发现反弹shell攻击后,拦截当次会话。
    • 拦截ip:发现反弹shell攻击后,cfw会阻断该攻击ip一段时间。

    “持续时长”“动作”选择“拦截ip”时,可设置阻断时间,范围为60~3600s。

    “模式:”

    • 低误报:防护粒度较粗。观察或拦截频次较高的攻击,用于确保攻击处理没有误报。
    • 高检测:防护粒度精细,确保攻击能够被发现并处理。

后续操作

配置入侵防御策略后,您可以在“安全看板”页面查看ips的防护信息,相关操作请参见。

分享:
网站地图