按量版新手引導(dǎo)
當(dāng)您購(gòu)買云防火墻按量版后,您可以使用云防火墻的攻擊防護(hù)、訪問控制策略等功能為您的公網(wǎng)資產(chǎn)進(jìn)行安全防護(hù)。本文介紹云防火墻按量版的完整使用流程(包括接入資產(chǎn)防護(hù)、配置防護(hù)策略、查看防護(hù)效果等),幫助您更快地使用云防火墻按量版。
使用流程
前提條件
您已經(jīng)購(gòu)買了云防火墻按量版。具體操作,請(qǐng)參見購(gòu)買云防火墻服務(wù)。
步驟一:開啟云防火墻防護(hù)
購(gòu)買云防火墻按量版后,首次登錄云防火墻控制臺(tái)時(shí),系統(tǒng)彈出資產(chǎn)接入對(duì)話框,您可以單擊自動(dòng)全量接入公網(wǎng)資產(chǎn)或手動(dòng)一鍵接入公網(wǎng)資產(chǎn),快速接入需要防護(hù)的資產(chǎn)。
如果您在購(gòu)買云防火墻按量版時(shí),選中了自動(dòng)接入資產(chǎn)保護(hù),后續(xù)新增的資產(chǎn)將自動(dòng)接入云防火墻防護(hù)。如果您未啟用自動(dòng)接入資產(chǎn)保護(hù),您可以在頁面,手動(dòng)開啟新增資產(chǎn)防護(hù)。具體操作,請(qǐng)參見互聯(lián)網(wǎng)邊界防火墻。
步驟二:配置攻擊防護(hù)(IPS)能力
(可選)配置防護(hù)規(guī)則
云防火墻內(nèi)置了威脅檢測(cè)引擎(IPS),可以對(duì)惡意流量入侵活動(dòng)和常規(guī)攻擊行為實(shí)時(shí)告警或攔截,一般針對(duì)木馬后門等惡意文件、攻擊payload請(qǐng)求行為進(jìn)行檢測(cè)和防護(hù),并提供精準(zhǔn)的威脅檢測(cè)虛擬補(bǔ)丁,智能阻斷入侵風(fēng)險(xiǎn)。其檢測(cè)的運(yùn)行原理包括利用威脅情報(bào)、入侵檢測(cè)規(guī)則、智能模型算法識(shí)別、虛擬補(bǔ)丁的方式多方位進(jìn)行檢測(cè)。更多信息,請(qǐng)參見IPS配置。
威脅引擎運(yùn)行模式分為觀察模式(僅告警)、攔截模式(告警且自動(dòng)阻斷攻擊payload),針對(duì)不同的攻擊類型,云防火墻威脅引擎設(shè)計(jì)了不同的策略。攔截模式的適用場(chǎng)景如下:
分類 | 適用場(chǎng)景 | 特點(diǎn) | 示例 |
寬松模式 | 防護(hù)粒度較粗,主要覆蓋低誤報(bào)規(guī)則,適合業(yè)務(wù)對(duì)誤報(bào)要求高的場(chǎng)景。 | 明確漏洞利用關(guān)鍵字、關(guān)鍵參數(shù),有明顯的攻擊報(bào)文和行為,無誤報(bào)可能性。 | Struts 2遠(yuǎn)程代碼執(zhí)行(CVE-2018-11776)、Spark REST API未授權(quán)訪問(CVE-2018-11770)、Jenkins遠(yuǎn)程命令執(zhí)行(CVE-2018-1000861)。 |
中等模式 | 防護(hù)粒度介于寬松和嚴(yán)格之間,適合日常運(yùn)維的常規(guī)規(guī)則場(chǎng)景。 | 涉及每種攻擊類型,綜合利用各類漏洞利用分析方式,即為常規(guī)規(guī)則,基本無誤報(bào)的可能性。 | Oracle WebLogic Server遠(yuǎn)程代碼執(zhí)行(CVE-2020-2551)、Microsoft WindowsRDP Client遠(yuǎn)程代碼執(zhí)行(CVE-2020-1374)、SMBv1拒絕服務(wù)攻擊(CVE-2020-1301)。 |
嚴(yán)格模式 | 防護(hù)粒度最精細(xì),主要覆蓋基本全量規(guī)則,相比中等規(guī)則組可能誤報(bào)更高,適合對(duì)安全防護(hù)漏報(bào)要求高的場(chǎng)景。 | 棧溢出、緩沖區(qū)溢出等高危害性,其中絕大部分四層漏洞,需經(jīng)過協(xié)議分析、關(guān)鍵字匹配、多次跳轉(zhuǎn)、關(guān)鍵字偏移等攻擊確認(rèn)。 | Squid Proxy HTTP Request Processing緩沖區(qū)溢出(CVE-2020-8450)、Nginx 0-Length Headers Leak拒絕服務(wù)(CVE-2019-9516)、Oracle WebLogic |
修改防護(hù)配置時(shí),建議您優(yōu)先開啟觀察模式,通過試運(yùn)行一段時(shí)間,分析數(shù)據(jù)誤攔截情況后,再開啟防護(hù)攔截模式功能。
更多入侵防御使用實(shí)踐,請(qǐng)參見:
查看防護(hù)結(jié)果
您可以在云防火墻控制臺(tái)的頁面,查看云防火墻對(duì)資產(chǎn)的入侵?jǐn)r截情況,包括攔截流量的源IP、目的IP、阻斷應(yīng)用、阻斷來源和阻斷事件詳情等。更多信息,請(qǐng)參見入侵防御。
步驟三:查看網(wǎng)絡(luò)流量分析
通過流量分析,您可以實(shí)時(shí)查看主機(jī)發(fā)生的主動(dòng)外聯(lián)、公網(wǎng)暴露的詳細(xì)信息,進(jìn)行流量可視化管理,排查異常流量。
主動(dòng)外聯(lián)(出向流量)
您可以通過主動(dòng)外聯(lián)活動(dòng)頁面展示云上資產(chǎn)外聯(lián)域名、外聯(lián)IP信息,結(jié)合情報(bào)標(biāo)簽和訪問詳情及日志,可對(duì)出方向訪問控制策略進(jìn)行查漏補(bǔ)缺。具體操作,請(qǐng)參見主動(dòng)外聯(lián)。
公網(wǎng)暴露(入向流量)
您也可以查看流量公網(wǎng)暴露的云上開放的服務(wù)、端口、公網(wǎng)IP地址和云產(chǎn)品信息,結(jié)合開放公網(wǎng)IP信息和推薦的智能策略可加強(qiáng)入方向訪問控制策略安全水位。具體操作,請(qǐng)參見公網(wǎng)暴露。
流量分析是配置訪問控制策略的基礎(chǔ)。建議您在配置訪問控制策略前全面了解您資產(chǎn)的流量情況。
步驟四:配置訪問控制策略
配置訪問控制策略
如果您未配置任何策略,云防火墻默認(rèn)放行所有流量。您可以自定義創(chuàng)建互聯(lián)網(wǎng)邊界防火墻的訪問控制策略,實(shí)現(xiàn)精細(xì)化管控公網(wǎng)資產(chǎn)和互聯(lián)網(wǎng)之間的未授權(quán)訪問。
互聯(lián)網(wǎng)邊界防火墻訪問控制策略的配置方法,請(qǐng)參見配置互聯(lián)網(wǎng)邊界訪問控制策略。
訪問控制策略的配置場(chǎng)景示例,例如只允許公網(wǎng)流量訪問指定端口的策略(入方向)、只允許主機(jī)訪問指定域名的策略(出方向)、不同VPC內(nèi)某些ECS之間禁止訪問等,請(qǐng)參見訪問控制策略配置示例。
查看訪問控制策略命中情況
訪問控制策略配置完成后,默認(rèn)情況下策略立即生效。您可以進(jìn)入云防火墻控制臺(tái)的頁面,在訪問控制策略列表的命中次數(shù)/最近命中時(shí)間列,查看訪問控制策略的命中情況。更多信息,請(qǐng)參見配置互聯(lián)網(wǎng)邊界訪問控制策略。
步驟五:配置告警通知
您可以通過設(shè)置告警通知,在出現(xiàn)資產(chǎn)攻擊風(fēng)險(xiǎn)、新增資產(chǎn)等情況時(shí),及時(shí)收到通知,以便您了解資產(chǎn)狀態(tài),及時(shí)處理異常問題,保障資產(chǎn)安全。關(guān)于云防火墻支持設(shè)置的告警類型以及如何設(shè)置,請(qǐng)參見告警通知。
步驟五:查看按量付費(fèi)賬單
云防火墻按量版以天為單位計(jì)費(fèi),每天18:00統(tǒng)計(jì)前一天的費(fèi)用并進(jìn)行結(jié)算。您可以通過查詢按量付費(fèi)版的賬單詳情,了解按量計(jì)費(fèi)的明細(xì)。
登錄云防火墻控制臺(tái)。
在左側(cè)導(dǎo)航欄,選擇。
在賬單管理頁面,查看按量付費(fèi)流量使用明細(xì),包括保護(hù)的資產(chǎn)數(shù)據(jù)統(tǒng)計(jì)、已開通的防護(hù)功能、防護(hù)資產(chǎn)的流量數(shù)據(jù)。
單擊查看賬單詳情,查看詳細(xì)的賬單明細(xì)。具體操作,請(qǐng)參見明細(xì)賬單。
相關(guān)文檔
如果您在使用云防火墻按量版過程中有疑問,請(qǐng)參見售前常見問題。
如果您想了解云防火墻按量版支持的功能特性,請(qǐng)參見功能特性。
如果您希望降低云防火墻按量版的費(fèi)用成本,您可以搭配使用按量節(jié)省套餐包。具體操作,請(qǐng)參見按量節(jié)省套餐包。
如果您需要將云防火墻按量版轉(zhuǎn)換為包年包月版,請(qǐng)參見升級(jí)和降配。
如果您的業(yè)務(wù)不再需要使用云防火墻,您可以手動(dòng)釋放云防火墻按量版。具體操作,請(qǐng)參見釋放實(shí)例。