前提情况
本文结合实际的环境,介绍云防火墙是如何防御常见的漏洞攻击。漏洞攻击行为的防御是通过云防火墙的入侵防御模块来实现的,目前 IPS 版、高级版、企业版和旗舰版均支持入侵防御功能,可以防御漏洞攻击。
操作步骤
进入云防火墙控制台。初次使用,我们需要去授权一下
互联网边界防火墙控制的是公网 IP 的公网访问流量。
互联网边界是指互联网与腾讯云内网的边界,互联网边界流量就是您的云上资产与互联网之间通信的流量,也称南北向流量。
开通之后我们需要对所需防护的服务器打开防火墙开关,开启之后保护才会生效
- 当前版本支持的资产类型为:云服务 CVM、负载均衡 CLB、NAT 网关、VPN 网关,轻量级服务器 LH,目前支持中国大陆及中国香港地域资产。
- 开启开关:当开启开关时,该公网 IP 的所有流量将经过云防火墙,且访问控制、入侵防御、日志审计功能将对该公网 IP 生效。
- 关闭开关:当关闭开关时,该公网 IP 的所有流量将不会经过云防火墙。
然后点击 入侵防御-----虚拟补丁进行开启
具体规则您可以在旁边的查看规则进行查看
我们可以选择观察模式,拦截模式,严格模式。(具体区别如下)
- 【观察模式】:威胁情报、基础防御、虚拟补丁、安全基线为检测模式,针对发现的恶意访问或网络攻击行为,只告警,不自动阻断连接
- 【拦截模式】:自动拦截高置信度的网络攻击/恶意访问,基础防御支持自动拦截高置信度规则告警,虚拟补丁支持自动拦截所有被检测为漏洞利用的流量,威胁情报、安全基线暂不支持自动拦截
- 【严格模式】:威胁情报(出站域名威胁情报检测除外)、基础防御、虚拟补丁均为封禁模式,针对任何检测到的告警,自动阻断连接(或自动将IP加入封禁列表)可能产生误报,适用于重保/攻防场景。安全基线暂不支持自动拦截
云防火墙防范漏洞原理
当开启之后通过云防火墙,帮助您梳理资产在互联网暴露情况。可一键开启 IPS 虚拟补丁和威胁情报,进行精准防护。
写在最后
1.为什么主机安全有修复漏洞功能,还需要使用云防火墙来进行防范漏洞?
答:主机上的补丁,一般是由官方发布,官方的补丁发布时间比较长,一般要几周甚至几月才能修复,且有些需要重启 CVM 云服务器。而云墙上的 IPS 虚拟补丁,是根据漏洞的利用特征,在云防火墙 IPS 系统中实时更新的防御规则,可以做到小时级别的更新,且不需要对业务有任何改造,也不需要重启业务系统。
2.有了虚拟补丁,我还需要在主机修复补丁吗?
答:还是需要的,虚拟补丁可以为您做最前线的防护,但是根本漏洞还是需要做彻底的解决,才能做到最安全
3.云防火墙这么厉害能否识别shiro 漏洞的流量?
答:可以检测,但是不一定可以覆盖全部场景,因为有些是加密流量。