本文介紹云防火墻攻擊防護常見問題的解決方案。
云防火墻如何放行云安全中心及其他掃描器的漏洞掃描IP地址?
原因分析
由于云安全中心掃描應用漏洞時,是通過公網模擬黑客入侵攻擊進行漏洞掃描探測,可能會命中云防火墻攻擊防護策略或訪問控制管控策略。
解決辦法
如果您需要執行漏洞掃描,建議您將云安全中心及其他掃描器的IP地址加到云防火墻攻擊防護白名單中進行放行。關于云安全中心的掃描IP地址,請參見應用漏洞Web掃描器IP地址說明。關于如何添加云防火墻攻擊防護白名單,請參見設置防護白名單。您也可以將云安全中心掃描IP添加到一個地址簿,然后再防護白名單中直接引用地址簿即可。關于如何添加地址簿,請參見地址簿管理。
配置了攻擊防護的威脅引擎運行模式為攔截模式,為什么攻擊流量沒有被攔截?
原因分析
基礎防御、虛擬補丁、威脅情報的開關沒有開啟。
配置了防護白名單,放行匹配的流量。
雖然威脅引擎運行模式設置為攔截模式,但攻擊流量對應的規則支持的引擎模式為觀察(即所有攔截模式等級下均觀察),或規則設置的自定義動作為觀察。
解決辦法
為什么資產存在漏洞但云防火墻漏洞防護無數據?
可能存在以下三種情況:
云防火墻會從攻擊流量中分析漏洞利用行為并進行防護,漏洞沒有被攻擊的流量就不會展示該漏洞的防護數據。
云安全中心軟件成分分析(通過軟件信息檢測)檢出的漏洞,云防火墻暫不支持同步(僅同步網絡掃描類漏洞)。
資產的漏洞是內網漏洞,云防火墻只同步公網資產暴露的漏洞。
關于漏洞防護的詳細信息,請參見IPS配置。
云防火墻如何獲取攻擊樣本?
攻防對抗場景中,云防火墻如何基于殺傷鏈增強防御和檢測能力?
攻防演練逐級體系化、規模化、常態化,覆蓋到各行各業的主要業務系統上,攻擊手段發生轉變,開始嘗試“更隱蔽”的攻擊方式,逐步向釣魚、供應鏈、水坑等攻擊手段轉變。網絡殺傷鏈描述了攻擊者每個攻擊階段,每一個環節是對攻擊作出偵測和反應的機會,從而實現識別和阻止。利用網絡殺傷鏈來防止攻擊者潛入網絡環境,需要情報支持和數據分析響應能力。云防火墻通過收斂暴露面、攻擊快速響應、失陷感知、日志溯源等能力,增強防御方的檢測和響應能力。
云防火墻如何實現失陷感知,建議如何設置安全策略?
云防火墻如何實現失陷感知
云上威脅形式多樣化、復雜化,APT攻擊等高級威脅讓客戶面對更大挑戰。失陷主機通常指攻擊者獲得控制權的主機,可能以該主機為跳板繼續滲透內網的其他主機。從殺傷鏈模型來看,攻擊者在經過漏洞利用階段,進行安裝植入、命令與控制、獲取數據、橫向滲透等行為。失陷感知通過檢測手段,分析、定位和溯源攻擊,及時處置和快速響應,降低攻擊對企業造成的影響和損失。云防火墻威脅檢測引擎檢測入侵活動,記錄詳細信息,主動外聯檢測實時展示主機的主動外聯數據,及時發現可疑主機。
開啟和設置安全策略
配置云防火墻南北向訪問控制策略,縮小暴露面,請參見配置互聯網邊界訪問控制策略。
開啟云防火墻IPS入侵防護,攔截互聯網對云上主機的入侵行為,請參見IPS配置。
通過安全正向代理和智能策略,實現內網訪問互聯網的流量控制和防護,請參見訪問控制。
關注云防火墻外聯檢測和失陷感知告警,及時處置,請參見告警通知。
同時開啟透明WAF和互聯網邊界防火墻,防護引流端口的入侵防御事件在哪里查看?
您可以通過WAF查看入侵防護事件。具體操作,請參見安全報表。