云防火墻(qiang)的攻擊防御(yu)功能支持防護網(wang)絡(luo)攻擊和(he)病(bing)毒文件，建議您及時將IPS的“防護模式”切換(huan)至“攔截模式”。

前提條件

已開(kai)啟至少一項(xiang)流(liu)量防護(hu)。

• 開啟EIP流量防護請參見開啟互聯網邊界流量防護。

• 開啟VPC流量防護請參見開啟VPC邊界流量防護。

• 開啟私網IP流量防護請參見開啟NAT網關流量防護。

如何防御網絡攻擊和病毒文件

提供以下幾種方式：

• 入侵防御（IPS）：結合多(duo)年(nian)攻(gong)防積累的經(jing)驗規則，針對訪問流量(liang)進行檢測與防護，覆(fu)蓋多(duo)種常見的網絡攻(gong)擊，有效保護您的資產。

  • IPS提供四種防護模式，如需調整防護模式請參見調整IPS防護模式攔截網絡攻擊。

    • 觀察模式：僅(jin)對攻擊事件進行檢測并記錄到“攻擊事件日志”中，不做攔截(jie)。

    • 攔截模式：在(zai)發生(sheng)明確攻擊(ji)類(lei)型的(de)事件和檢(jian)測到異常IP訪問時，將實施自動攔截操作。

      • 攔截模式-寬松：防護(hu)粒(li)度(du)較粗。攔截可(ke)信度(du)高且威脅(xie)程度(du)高的攻擊(ji)事件(jian)。

      • 攔(lan)截模式-中(zhong)等：防(fang)護粒(li)度中(zhong)等。滿足大多數場景(jing)下的防(fang)護需求。

      • 攔截模式-嚴格：防護粒(li)度精(jing)細，全量攔截攻擊請求。

  • IPS提供多類規則庫，詳細介紹如下表所示，不同防護模式會開啟不同規則的“攔截”狀態，對照表請參見規則組隨防護模式變更的默認動作對照表。

    功能名稱	功能描述	檢測類型	配置方式
    基礎防御	內置的規則庫，覆蓋常見網絡攻擊，為您的資產提供基礎的防護能力。	檢查威脅及漏洞掃描； 檢測流量中是否含有網絡釣魚、特洛伊木馬、蠕蟲、黑客工具、間諜軟件、密碼攻擊、漏洞攻擊、SQL注入攻擊、XSS跨站腳本攻擊、Web攻擊； 是否存在協議異常、緩沖區溢出、訪問控制、可疑DNS活動及其它可疑行為。	查看和修改規則庫請參見修改入侵防御規則的防護動作
    虛擬補丁	在網絡(luo)層級為IPS提供(gong)熱補(bu)丁(ding)，實時(shi)攔截高危漏洞的(de)遠(yuan)程攻擊行為，同時(shi)避免修復漏洞時(shi)造(zao)成(cheng)業(ye)務(wu)中斷(duan)。 更新的規則優先進(jin)入(ru)虛擬補(bu)丁庫中(zhong)，您可以根(gen)據(ju)業務情況判斷是否增加至基礎防御庫中(zhong)。 增加方式：打開(kai)開(kai)關(guan)，虛擬(ni)補丁中的規則(ze)將生效，實時(shi)防護并支持手動修改防護動作(zuo)。
    自定義IPS特征（僅專業版支持）	提供的規則庫無法滿足需求時，支持自定義特征規則。	檢測類型和“基礎防御”一致。 支持添加HTTP、TCP、UDP、POP3、SMTP、FTP協(xie)議類(lei)型(xing)的特征規則(ze)。	請參見自定義IPS特征

• 敏感目錄掃描防御：防御對云主機敏感目錄的掃描攻擊，配置方式請參見開啟敏感目錄掃描防御。

• 反彈Shell檢測防御：防御網絡上通過反彈Shell方式進行的網絡攻擊，配置方式請參見開啟反彈Shell檢測防御。

• 病毒(du)防御（AV）：通過病毒(du)特(te)征(zheng)檢測來識別和處理病毒(du)文件(jian)，避免由病毒(du)文件(jian)引(yin)起的數據破壞(huai)、權限更改(gai)和系統崩潰等(deng)情況發生，支持(chi)檢測HTTP、SMTP、POP3、FTP、IMAP4、SMB的協議類型。

  病毒防御功能請參見攔截病毒文件。

防護動作介紹

• 觀察：防火墻對匹配當前規則的流量，記錄至攻擊事件日志中，不做攔截。

• 攔截：防火墻對匹配當前規則的流量，記錄至攻擊事件日志中并進行攔截。

• 禁用(yong)：防火墻(qiang)對匹配當前規(gui)則(ze)的流(liu)量，不(bu)記錄、不(bu)攔截(jie)。

相關文檔

整體防護概況請參見通過安全看板查看攻擊防御信息，詳細日志信息請參見攻擊事件日志。