云防火墙内置了威胁检测引擎,可对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截,并提供精准的威胁检测虚拟补丁,智能阻断入侵风险。

背景信息

您可以通过云防火墙提供的入侵防御功能对威胁引擎的运行模式进行设置,并可根据业务需要对基础防御和虚拟定义进行自定义配置,更精准地识别和阻断入侵风险。

威胁引擎运行模式

威胁引擎可选择以下两种模式:

  • 观察模式:开启观察模式后,可对恶意流量进行监控并告警。
    说明 云防火墙服务开通后,入侵防御功能默认开启为观察模式
  • 拦截模式:开启拦截模式后,可对恶意流量进行拦截,阻断入侵活动。

高级设置

云防火墙入侵防御功能提供高级设置功能,支持您对入侵防御白名单、威胁情报、基础防御和虚拟补丁进行自定义设置,为您提供更精准的入侵防御体系。


云防火墙高级设置
  • 防护白名单:

    云防火墙入侵防御模块不会对防护白名单中的流量进行拦截,加入到防护白名单的源/目的IP会被云防火墙视为可信流量并放行。

  • 虚拟情报:

    威胁情报可将阿里云全网检测到的恶意IP同步到云防火墙,如:恶意访问源、扫描源、爆破源等,并对其进行精准拦截。开启后可提前感知全网威胁源。

  • 基础防御:

    基础防御可提供基础的入侵防御能力,包括爆破拦截、命令执行漏洞拦截、以及对被感染后连接C&C(命令控制)的行为进行管控。开启后可为您的资产提供基础的防护能力。

  • 虚拟补丁:

    虚拟补丁无需在系统上进行安装,开启后可实时防护热门的应用高危漏洞。

操作步骤

  1. 登录云防火墙控制台
  2. 单击导航栏的安全策略 > 入侵防御
  3. 入侵防御页面可执行以下操作,对您的网络安全提供防护。
    • 威胁引擎运行模式中选择观察模式拦截模式
      说明 云防火墙服务开通后,入侵防御功能默认开启为观察模式。只有开启拦截模式后,威胁情报、基础防御和虚拟补丁模块才会开启相应的威胁拦截,如未开启拦截模式,入侵防御模块将只会各类威胁和恶意流量进行监控。
    • 高级设置模块中单击防护白名单,将您确定为可信的流量添加到白名单中。设置防护白名单后,云防火墙入侵防御功能将对白名单中的流量地址放行。

      您可将内外双向流量的可信源源IP地址、目的IP地址或地址簿配置到防护白名单中。


      防护白名单
    • 设置 威胁情报开关状态。开启后,云防火墙可扫描侦查威胁情报,并提供中控情报阻断。
      说明 建议开启威胁情报。
    • 设置 基础防御开关状态。开启后,云防火墙可为您的资产提供爆破拦截、命令执行漏洞拦截等基础防御能力。
      说明 建议开启基础防御规则。

      基础防御设置中单击右侧的自定义选择,打开基础防御-自定义选择对话框,可对单个或部分基础防御规则进行自定义设置。


      基础防御自定义规则
    • 设置虚拟补丁开关状态。开启后,云防火墙可为您的资产提供实时、免安装热门漏洞防护。
      说明 虚拟补丁关闭后将无法实时自动更新。建议开启所有的虚拟补丁。

      虚拟补丁设置中单击右侧的自定义选择,打开虚拟补丁-自定义选择对话框,可对单个或部分基础虚拟补丁规则进行自定义设置。


      自定义配置虚拟补丁