云防火墻提供“網絡攻擊防護”，幫助您檢測常見的網絡攻擊。

對業務的影響

調整防護模式時，建議您優先開啟“觀察模式”，等待業務運行一段時間排查誤攔截后，再逐步更換至“攔截模式”。

調整IPS防護模式攔截網絡攻擊

1. 登錄管理控制臺。

2. 在左側導航欄中，單擊左上方的，選擇“安全> 云防火墻”，進入云防火墻的總覽頁面。

3. （可選）當前賬號下僅存在單個防火墻實例時，自動進入防火墻詳情頁面，存在多個防火墻實例時，單擊防火墻列表“操作”列的“查看”，進入防火墻詳情頁面。

4. 在左側導航欄中，選擇“攻擊防御> 入侵防御”，進入“入侵防御”界面，保持“基礎防御”右側開關開啟。

5. 選擇合適的防護模式。

   • 觀察模式：僅對攻擊事件進行檢測并記錄到“攻擊事件日志”中，不做攔截。

   • 攔截模式：在發生明確攻擊類型的事件和檢測到異常IP訪問時，將實施自動攔截操作。

     • 攔截模式-寬松：防護粒度較粗。攔截可信度高且威脅程度高的攻擊事件。

     • 攔截模式-中等：防護粒度中等。滿足大多數場景下的防護需求。

     • 攔截模式-嚴格：防護粒度精細，全量攔截攻擊請求。

   說明

   • 建議您優先開啟“觀察模式”，等待業務運行一段時間后，再逐步更換至“攔截模式”，查看攻擊事件日志，請參見“攻擊事件日志”。

   • 如果存在誤攔截情況，可對基礎防御規則庫的單條防御規則進行動作修改。具體操作請參見“IPS規則管理”。

開啟敏感目錄掃描防御

1. 登錄管理控制臺。

2. 在左側導航欄中，單擊左上方的，選擇“安全> 云防火墻”，進入云防火墻的總覽頁面。

3. （可選）當前賬號下僅存在單個防火墻實例時，自動進入防火墻詳情頁面，存在多個防火墻實例時，單擊防火墻列表“操作”列的“查看”，進入防火墻詳情頁面。

4. 在左側導航欄中，選擇“攻擊防御> 入侵防御”，進入“入侵防御”界面，保持“基礎防御”右側開關開啟。

5. 單擊“高級”，在“敏感目錄掃描防御”模塊，單擊，啟用防護。

   • “動作”：

     • 觀察模式：發現敏感目錄掃描攻擊后，僅記錄至“攻擊事件日志”。

     • 攔截Session：發現敏感目錄掃描攻擊后，攔截當次會話。

     • 攔截IP：發現敏感目錄掃描攻擊后，CFW會阻斷該攻擊IP一段時間。

     說明

     配置“攔截IP”后，CFW會持續對IP進行阻斷，如果涉及地址轉換或者存在代理的場景，需要謹慎評估攔截IP的影響。

   • “持續時長”：“動作”選擇“攔截IP”時，可設置阻斷時間，范圍為60~3600s。

   • “閾值”：對于單個敏感目錄掃描頻率達到設定的閾值后，CFW會采取相應“動作”。

開啟反彈Shell檢測防御

1. 登錄管理控制臺。

2. 在左側導航欄中，單擊左上方的，選擇“安全> 云防火墻”，進入云防火墻的總覽頁面。

3. （可選）當前賬號下僅存在單個防火墻實例時，自動進入防火墻詳情頁面，存在多個防火墻實例時，單擊防火墻列表“操作”列的“查看”，進入防火墻詳情頁面。

4. 在左側導航欄中，選擇“攻擊防御> 入侵防御”，進入“入侵防御”界面，保持“基礎防御”右側開關開啟。

5. 單擊“高級”，在“反彈Shell檢測防御”模塊，單擊，啟用防護。

   • “動作”：

     • 觀察模式：發現反彈shell攻擊后，僅記錄至“攻擊事件日志”。

     • 攔截Session：發現反彈shell攻擊后，攔截當次會話。

     • 攔截IP：發現反彈shell攻擊后，CFW會阻斷該攻擊IP一段時間。

     說明

     配置“攔截IP”后，CFW會持續對IP進行阻斷，如果涉及地址轉換或者存在代理的場景，需要謹慎評估攔截IP的影響。

   • “持續時長”：“動作”選擇“攔截IP”時，可設置阻斷時間，范圍為60~3600s。

   • “模式”：

     • 低誤報：防護粒度較粗，單次會話中攻擊次數達到4次時觸發觀察或攔截，確保攻擊處理沒有誤報。

     • 高檢測：防護粒度精細，單次會話中攻擊次數達到2次時觸發觀察或攔截，確保攻擊能夠及時被發現并處理。

后續操作

整體防護概況請參見“通過安全看板查看攻擊防御信息”，詳細日志信息請參見“攻擊事件日志”。