tencent cloud

文档反馈

管理防御操作

最后更新时间:2023-12-11 16:39:42
    本文档将指导您通过入侵防御功能,识别访问控制规则以外的未知风险,并对公网 IP 的南北向流量进行入侵防御规则检测,同时避免云服务器中的漏洞暴露在互联网中。

    选择防护模式

    1. 登录 云防火墙控制台,在左侧导航栏中,单击入侵防御,进入入侵防御页面。
    2. 在入侵防御页面,找到“防护模式”模块,进行防护模式设置。 防护模式共分为观察模式拦截模式严格模式三种模式。
    说明:
    系统默认选择的防护模式是观察模式。
    选择“观察模式”,威胁情报、基础防御、虚拟补丁均为检测模式,针对发现的恶意访问或网络攻击行为,只告警,不自动阻断连接。
    选择“拦截模式”,自动拦截高置信度的网络攻击或恶意访问,威胁情报支持自动拦截出站恶意访问,基础防御支持自动拦截高置信度规则告警,虚拟补丁支持自动拦截所有被检测为漏洞利用的流量。
    选择“严格模式”,威胁情报(出站域名威胁情报检测除外)、基础防御、虚拟补丁均为全局拦截模式,针对任何检测到的告警,自动阻断连接,可能产生误报,适用于重保或攻防场景。
    
    3. 在防护模式右侧,单击高级设置,将进入高级设置弹窗。
    4. 在高级设置弹窗中,用户在互联网边界、NAT 边界、VPC 间防火墙选择单个资产进行模式的更改,例如:部分资产可以设置为观察模式,部分资产为拦截模式,部分资产为严格模式。
    

    入侵防御功能说明

    1. 登录 云防火墙控制台,在左侧导航栏中,单击入侵防御,进入入侵防御页面。
    2. 在入侵防御页面右侧,可查看功能动态及功能说明:
    功能动态:在功能动态模块,可查看入侵防御模块的功能。
    
    情报中心
    2.1.1 在功能动态右上方,单击情报中心,可查看安全威胁情报信息。
    2.1.2 在情报中心弹窗中,可单击具体的情报标题,在二级页面查看具体漏洞描述、威胁等级等具体信息。同时用户也可以针对具体的漏洞情报,使用扫描功能,检查自己的资产是否存在该威胁。

    管理列表

    1. 登录 云防火墙控制台,在左侧导航栏中,单击入侵防御,进入入侵防御页面。
    2. 在入侵防御页面下方可查看“封禁列表”、“放通列表”和“隔离列表”。

    封禁列表

    查看封禁列表

    1. 单击封禁列表,进入封禁列表页面。
    
    2. 在封禁列表下,可以查看在 告警中心 > 攻击告警汇总中,处置为“封禁”的IP及其相关信息,或者可以手动将IP添加进封禁列表。

    停用封禁列表

    1. 当遇到紧急情况时,可单击
    
    关闭“启用封禁列表”,将封禁列表停用,并进入 告警中心 > 攻击拦截统计查看所有封禁统计,排查定位封禁来源。
    
    2. 在定位并修复故障原因后,可单击
    
    打开“启用封禁列表”开关,将该功能重新开启。

    管理封禁列表的生效时间

    在封禁列表内,当某一个 IP 的生效时间到期后,列表会自动删除该 IP,此时该 IP 后续的流量访问将不会被防火墙封禁。因此,为了避免黑名单自动移除存在安全隐患的 IP,可以在列表右侧操作栏,单击编辑,对需要操作的 IP 的终止时间和日期进行修改。
    说明
    位于封禁列表内的 IP 地址,会按照出站或入站方向阻断所有经过云防火墙的流量,并记录在日志审计>入侵防御日志内。
    

    放通列表

    查看放通列表

    1. 单击放通列表,进入放通列表(白名单)页面。
    
    2. 在放通列表下,可以看到在 告警中心 > 攻击告警汇总中,处置为放通的IP及其相关信息,或者可以手动添加地址到放通列表。
    注意:
    放通列表中的 IP 地址,会直接绕过 IDPS 功能。

    管理放通列表的生效时间

    在放通列表内,当某一个 IP 的生效时间到期后,列表会自动删除该 IP,此时该 IP 的后续访问将不会绕过防火墙的 IDPS。因此,为了避免受信任的 IP 被自动移出白名单,可以在列表右侧操作栏,单击编辑,对需要操作的 IP 的终止时间和日期进行修改。
    

    隔离列表

    查看隔离列表

    1. 单击隔离列表,进入隔离列表页面。
    
    2. 在隔离列表中,可以看到在 告警中心 > 攻击告警汇总 > 主机失陷中,处置为隔离的 IP 及其相关信息。
    

    查看规则

    失陷主机IP的隔离是通过安全组来实现的,单击查看规则,可以跳转到企业安全组页面,查看详细的规则信息。
    

    管理隔离列表的生效时间

    在隔离列表内,当某一个 IP 的生效时间到期后,列表会自动删除该 IP,此时该 IP 的安全组规则也会被删除。因此,为了避免已失陷的 IP 被自动移出隔离名单,可以在列表右侧操作栏,单击编辑,对需要操作的 IP 的终止时间和日期进行修改。

    策略备份与回滚

    单击规则备份,即可将现有的封禁列表和放通列表规则进行备份,同时当规则发生了很大的变化之后,单击备份文件右侧的回滚,即可将规则进行复原。
    
    
    1. 在策略备份与回滚页面,单击新增备份,在旁边的下拉框选择封禁列表或者是放通列表,输入描述,单击确定,完成规则备份。
    
    
    2. 规则回滚,单击备份列表最右侧的回滚,将规则进行还原。
    

    相关信息

    如遇到入侵防御相关问题,可参见 入侵防御 文档。
    
    联系我们

    联系我们,为您的业务提供专属服务。

    技术支持

    如果你想寻求进一步的帮助,通过工单与我们进行联络。我们提供7x24的工单服务。

    7x24 电话支持