云防火墙内置了威胁检测引擎,可对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截,并提供精准的威胁检测虚拟补丁,智能阻断入侵风险。

背景信息

您可以通过入侵防御功能对威胁引擎的运行模式进行设置,并根据业务需要对威胁情报、基础防御、智能防御和虚拟补丁进行自定义配置,更精准地识别和阻断入侵风险。
说明 您需要先开启互联网边界防火墙开关,您配置的入侵防御策略才会生效。相关内容请参见 开启或关闭互联网边界防火墙

限制说明

云防火墙高级版、企业版和旗舰版支持入侵防御功能,免费版不支持该功能。免费版需升级到高级版及以上版本,才能使用入侵防御功能。

对于入侵防御功能的子模块,云防火墙高级版不支持虚拟补丁自定义和基础防御自定义,云防火墙企业版和旗舰版无此限制。

入侵防御运行模式

入侵防御可选择以下两种模式:

  • 观察模式:开启观察模式后,可对恶意流量进行监控并告警。
    说明 云防火墙服务开通后,入侵防御功能默认开启为 观察模式。只有开启 拦截模式后,威胁情报、基础防御和虚拟补丁模块才会开启相应的威胁拦截。如未开启 拦截模式,入侵防御模块将只会对各类威胁和恶意流量进行监控。
  • 拦截模式:开启拦截模式后,可对恶意流量进行拦截,阻断入侵活动。

高级设置

云防火墙入侵防御功能提供高级设置功能,支持您对入侵防御白名单、威胁情报、智能防御、基础防御和虚拟补丁进行自定义设置,为您提供更精准的入侵防御体系。

入侵防御高级设置您可以在 高级设置页面进行以下操作:
  • 设置防护白名单

    云防火墙入侵防御模块不会对防护白名单中的流量进行拦截,加入到防护白名单的源和目的IP会被云防火墙视为可信流量并放行。

    高级设置模块中单击 防护白名单,将您确定为可信的流量添加到白名单中。设置防护白名单后,云防火墙入侵防御功能将对白名单中的流量地址放行。
    说明 仅云防火墙企业版和旗舰版支持设置防护白名单。
    您可将内外双向流量的可信源源IP地址、目的IP地址或地址簿配置到防护白名单中。
  • 设置威胁情报

    威胁情报可将阿里云全网检测到的恶意IP同步到云防火墙,如:恶意访问源、扫描源、爆破源等,并对其进行精准拦截。开启后可提前感知全网威胁源。

    开启 威胁情报开关后,云防火墙可扫描侦查威胁情报,并提供中控情报阻断。建议您开启威胁情报。

  • 设置基础防御

    基础防御可提供基础的入侵防御能力,包括爆破拦截、命令执行漏洞拦截、以及对被感染后连接C&C(命令控制)的行为进行管控。开启后可为您的资产提供基础的防护能力。建议您开启基础防御。

    开启 基础规则开关后,云防火墙默认为您开启部分常见威胁相关的检测规则。如果默认规则无法满足您的需求,您可以在 基础防御模块单击右侧的 自定义选择,打开 基础防御-自定义选择对话框,对单个或多个基础防御规则进行自定义设置。自定义设置仅支持修改该基础防御规则的放行状态,即观察、拦截、关闭。 基础防御-自定义选择
    说明 仅云防火墙企业版和旗舰版才支持自定义设置基础防御规则。
  • 设置智能防御

    智能防御可基于云上海量攻击数据、方式进行学习,对攻击行为进行智能识别和实时告警。

    开启 智能防御开关后,云防火墙可以学习云上海量攻击数据,提高威胁和攻击的识别准确率。建议您开启智能防御。
    说明 目前智能防御仅支持观察模式。
  • 设置虚拟补丁
    针对可被远程利用的高危漏洞和应急漏洞,在网络层提供热补丁,实时拦截漏洞攻击行为,避免修复主机漏洞时对业务产生的中断影响。虚拟补丁无需在您的服务器上进行安装。开启后,云防火墙可为您实时防护热门的高危漏洞和应急漏洞。虚拟补丁关闭后将无法实时自动更新。建议开启所有的虚拟补丁。
    说明 仅云防火墙企业版和旗舰版才支持自定义设置虚拟补丁规则。
    虚拟补丁设置中单击右侧的 自定义选择,打开 虚拟补丁-自定义选择对话框,可对单个或部分基础虚拟补丁规则进行自定义设置。 自定义配置虚拟补丁
    说明 虚拟补丁-自定义选择对话框中,部分规则会展示 重点关注的标签,代表全网中检测到攻击非常频繁的威胁,需要您重点关注并及时排查。

规则库更新

云防火墙入侵防御页面的规则库更新 模块展示了云防火墙安全情报更新、虚拟补丁和IPS规则更新等产品快讯。

规则库更新 模块右上角单击 查看更多查看云防火墙推送的所有快讯。 规则库更新