文档简介:
流量分析页面发现流量日志和攻击日志不全怎么办?
CFW只记录云防火墙基础版开启阶段的用户流量日志和攻击日志,如果反复开启、关闭云防火墙,会导致关闭期间的日志无法记录。
因此,建议您避免反复执行开启、关闭CFW的操作。
配置了策略为什么没有生效?
配置了仅放行几条EIP的规则,为什么所有流量都能通过?
云防火墙开启EIP防护后,访问控制策略默认状态为放行。如您希望仅放行几条EIP,您需配置阻断全部流量的防护规则,并设为优先级最低,可按如下步骤进行:
步骤 1 登录管理控制台。
步骤 2 在左侧导航树中,单击左上方的
,选择“安全 > 云防火墙”,进入云防火墙的概览页面。
步骤 3 在左侧导航栏中,选择“访问控制 > 访问策略管理”,进入“访问策略管理”页面。
步骤 4 配置全局阻断规则。单击“添加规则”按钮,在弹出的“添加防护规则”对话框中,填写参数如下,其余参数可根据您的部署进行填写。
“源地址”:0.0.0.0/0
“目的地址”:0.0.0.0/0
“源端口”:0-65535
“目的端口”:0-65535
“动作”:阻断
建议您添加完所有规则后再开启“启用状态”。
步骤 5 配置放行规则。
单击“添加规则”按钮,在弹出的“添加防护规则”对话框中,填写新的防护信息,填写规则详见下表。
添加防护规则-互联网边界
| 参数名称 | 参数说明 | 取值样例 |
|---|---|---|
| 方向 | “防护规则”选择“EIP防护”时,需要选择防护方向: 1. 外到内:外网访问内部服务器。 2. 内到外:客户服务器访问外网。 | 内到外 |
| 名称 | 自定义规则名称。 | test |
| 源类型 | 选择IP地址、IP地址组或 地域 。 1.IP 地址 :支持设置单个IP地址、连续多个IP地址、地址段。 2.IP 地址组 :支持多个IP地址的集合。 3. 地域 :支持地域防护,可在“源地址”中选择地区。 | IP地址 |
| 源地址 | 设置访问流量中发送数据包的IP地址、IP地址组。 源IP地址支持以下输入格式: 1. 单个IP地址,如:192.168.10.5 l 多个连续地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10 2. 地址段,使用"/"隔开掩码,如:192.168.2.0/24 | 192.168.10.5 |
| 目的类型 | 选择IP地址、IP 地址组 。 1.IP 地址 :支持设置单个IP地址、连续多个IP地址、地址段。 2.IP 地址组 :支持多个IP地址的集合。说明“方向”为“内-外”时,支持选择“域名”类型。 | IP地址 |
| 目的地址 | 设置访问流量中的接收数据包的IP地址、IP地址组。 目的IP地址支持以下输入格式:1. 单个IP地址,如:192.168.10.5 2. 多个连续地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10 3. 地址段,使用"/"隔开掩码,如:192.168.2.0/24 4.域名,支持多级别单域名(例如,一级域名example.com,二级域名www.example.com等),输入后需单击右侧“测试”,以测试域名有效性。说明配置“目的地址”为“域名”的防护规则后需进行DNS解析,请参见《云防火墙用户指南>配置DNS解析》。 | 192.168.10.6 |
| 服务类型 | 选择服务或 **服务组。1. 服务 :支持设置单个服务。 2. 服务组 :支持多个服务的集合。 | 服务 |
| 协议类型 | 协议类型当前支持:TCP、UDP、ICMP、Any、ICMPV6。 | TCP |
| 源端口 | 设置需要开放或限制的源端口。支持设置单个端口,或者连续端口组,中间使用“-”隔开,如:80-443 | 80 |
| 目的端口 | 设置需要开放或限制的目的端口。支持设置单个端口,或者连续端口组,中间使用“-”隔开,如:80-443 | 443 |
| 是否支持长连接 | 选择“是”或“否”,设置是否配置长连接。 1. 是:设置长连接时长。 2. 否:保留默认时长,各协议规则默认支持的连接时长如下: − TCP协议:1800s。 − UDP/ICMP/Any/ICMPv6协议:60s。说明最大支持100条规则设置长连接。 | 是 |
| 长连接设置时长 | “是否支持长连接”选择“是”时,需要配置此参数。 设置长连接时长。输入“时”、“分”、“秒”。 说明 支持时长设置为1秒~1000天。 | 60时60分60秒 |
| 动作 | 选择“放行”或者“阻断”。设置相应流量是否通过云防火墙。 | 放行 |
| 策略优先级 | 设置该策略的优先级: 1. 置顶:表示将该策略设置为最优先级别。 2. 移动至选中规则后:表示将该策略优先级设置到某一规则后。说明设置后,优先级数字越小,策略的优先级越高。 | 置顶 |
| 启用状态 |
设置该策略是否立即启用。 :表示立即启用,规则生效; :表示立即关闭,规则不生效。
|
 |
| 描述 | 标识该规则的使用场景和用途,以便后续运维时快速区分不同规则的作用。 | - |
步骤 6 将步骤4中全局阻断规则的“优先级”置为最低,具体操作请参见《云防火墙用户指南》中《设置优先级》。
步骤 7 启用所有规则。建议先开启“放行”规则,后开启“阻断”规则。
配置了全局阻断,为什么没有放行的IP还是能通过?
云防火墙中设置的防护策略是根据“弹性公网IP管理列表”执行的,若您已开启全局(0.0.0.0/0)阻断,但仍有未配置“放行”策略的EIP通过,需检查该IP是否在列表中,若不在,需进行资产同步操作,具体操作请参见《云防火墙用户指南》中《开启弹性公网IP防护》。
Apache Log4j远程代码执行漏洞攻击,云防火墙如何启用检测和防御?
Apache Log4j2存在一处远程代码执行漏洞(CVE-2021-44228),在引入Apache Log4j2处理日志时,会对用户输入的内容进行一些特殊的处理,攻击者可以构造特殊的请求,触发远程代码执行。目前POC已公开,风险较高。
12月16日,官方披露低于2.16.0版本除了存在拒绝服务漏洞外,还存在另一处远程代码执行漏洞(CVE-2021-45046)。
Apache Log4j2是一款业界广泛使用的基于Java的日志记录工具。云提醒使用Apache
Log4j2的用户尽快安排自检并做好安全加固。
云防火墙CFW已支持检测和拦截Apache Log4j2 远程代码执行漏洞。
漏洞名称
Apache Log4j 远程代码执行漏洞。
影响范围
影响版本:
2.0-beat9 <= Apache Log4j 2.x <
2.16.0(2.12.2 版本不受影响)。
已知受影响的应用及组件:spring-boot-starter-log4j2/Apache
Solr/Apache Flink/Apache Druid。
安全版本:
Apache Log4j 1.x 不受影响。
Apache Log4j 2.16.0。
防护建议
步骤 1 登录CFW控制台,在CFW页面建议操作如下:
需要购买云防火墙CFW服务的 标准版 。
启用入侵防御的基础防御功能,并开启 拦截模式 。请参考《云防火墙用户指南》中《配置入侵防御策略》。
Spring Framework远程代码执行漏洞攻击,云防火墙如何启用检测和防御?
Spring是一款主流的Java EE轻量级开源框架,面向服务器端开发设计。近日,Spring框架被曝出可导致RCE远程代码执行的漏洞(CVE-2022-22965),该漏洞攻击面较广,潜在危害严重,对JDK 9及以上版本皆有影响。
云防火墙CFW已支持检测和拦截Spring Framework远程代码执行的漏洞攻击。
漏洞名称
Spring Framework远程代码执行漏洞。
影响范围
JDK 9及以上的。
使用了Spring框架或衍生框架。
防护建议
步骤 1 登录CFW控制台,在CFW页面建议操作如下:
需要购买云防火墙CFW服务的 标准版 。
启用入侵防御的基础防御功能,并开启 拦截模式 。请参考《云防火墙用户指南》中《配置入侵防御策略》。
