云防火墻提供基礎防御功能，可以針對訪問流量進行檢測與防護，覆蓋多種常見的網絡攻擊，有效保護您的資產。

訪問控制策略默認狀態為放行，通過配置合適的策略調整防護能力，實現更有效的精細化管控，防止內部威脅擴散，增加安全戰略縱深。

配置入侵防御模式操作步驟

在左側導航欄中，選擇“攻擊防御 > 入侵防御” 。

功能名稱
功能說明
防護模式
觀察模式：僅對攻擊事件進行檢測并記錄到日志中。
攔截模式：在發生明確攻擊類型的事件和檢測到異常IP訪問時，將實施自動攔截操作。
攔截模式-寬松：防護粒度較粗。攔截可信度高且威脅程度高的攻擊事件。
攔截模式-中等：防護粒度中等。滿足大多數場景下的防護需求。
攔截模式-嚴格：防護粒度精細，全量攔截攻擊請求。建議您等待業務運行一段時間后，根據防護效果配置誤報屏蔽規則，再開啟“嚴格”模式。
說明
選擇防護模式后，可對基礎防御規則庫的單條防御規則進行修改。具體操作請參見修改基礎防御規則動作。
基礎防御
為您的資產提供基礎的防護能力，默認為“開啟”狀態。防御功能包括：
檢查威脅及漏洞掃描。
檢測流量中是否含有網絡釣魚、特洛伊木馬、蠕蟲、黑客工具、間諜軟件、密碼攻擊、漏洞攻擊、SQL注入攻擊、XSS跨站腳本攻擊、Web攻擊。
是否存在協議異常、緩沖區溢出、訪問控制、可疑DNS活動及其他可疑行為。
虛擬補丁
在網絡層級為IPS提供熱補丁，實時攔截高危漏洞的遠程攻擊行為，同時避免修復漏洞時造成業務中斷。
高級
敏感目錄掃描防御
防御對用戶主機敏感目錄的掃描攻擊。
“動作”：
觀察模式：發現敏感目錄掃描攻擊后，CFW僅記錄攻擊日志，查看攻擊日志請參見日志查詢。
攔截Session：發現敏感目錄掃描攻擊后，攔截當次會話。
攔截IP：發現敏感目錄掃描攻擊后，CFW會阻斷該攻擊IP一段時間。
“持續時長”：“動作”選擇“攔截IP”時，可設置阻斷時間，范圍為60~3600s。
“閾值”：對于單個敏感目錄掃描頻率達到設定的閾值后，CFW會采取相應“動作”。
反彈Shell檢測防御
防御網絡上通過反彈shell方式進行的網絡攻擊。
“動作”?：
觀察模式：發現反彈shell攻擊后，僅記錄攻擊日志，查看攻擊日志請參見日志查詢。
攔截Session：發現反彈shell攻擊后，攔截當次會話。
攔截IP：發現反彈shell攻擊后，CFW會阻斷該攻擊IP一段時間。
“持續時長”：“動作”選擇“攔截IP”時，可設置阻斷時間，范圍為60~3600s。
“模式”：
低誤報：防護粒度較粗。觀察或攔截頻次較高的攻擊，用于確保攻擊處理沒有誤報。
高檢測：防護粒度精細，確保攻擊能夠被發現并處理。

配置訪問控制操作步驟

1. 在左側導航欄中，選擇“訪問控制 > 訪問策略管理”，進入“訪問策略管理”頁面。
2. 單擊“添加”按鈕，在彈出的“添加防護規則”中，填寫新的防護信息，添加新的防護規則，添加規則請參見添加防護規則。

配置示例-單獨放行入方向中指定IP的訪問流量

單獨放行入方向中指定IP的訪問流量，需要配置如下兩條防護規則：

• 一條攔截所有流量，優先級置于最低。其余參數可根據您的部署進行填寫。
• 一條單獨放行指定IP的流量訪問，優先級設置最高。其余參數可根據您的部署進行填寫。

放行指定IP：

阻斷指定IP：