本文档将为您介绍云防火墙安全基线的基本概念及运行流程,及如何通过云防火墙控制台使用安全基线功能,维护产品健康稳定。
背景信息
什么是云防火墙的安全基线
安全基线指云防火墙通过观察一定时间范围内的流量访问情况,形成一个初步的 IP 地址或域名访问列表,用户可以根据安全评分、关联安全事件以及网络访问情况,通过添加或删除 IP 地址或域名,维护基线列表,从而形成最终的 安全基线。
当安全基线设置完成后,每新增一个在基线之外的 IP 地址或域名访问都会触发安全告警。用户可以在告警列表中对 IP 地址或域名进行处理,安全基线适用于重保期间的流量基线防护。
安全基线运行原理
安全基线运行原理如下图所示:
安全基线通过学习流量日志,结合访问情况并关联告警记录,生成初步的安全基线列表,用户可以在该基线列表中,通过智能清理,添加地址,删除地址和清空基线功能维护基线列表,提升基线评分,生成最终的 IP 访问白名单(即安全基线列表)。
安全基线建立完成后,后续访问的 IP 地址若属于安全基线内,则被判定为信任 IP,归并到日志审计的 流量日志 中。若在基线之外,将均被判定为恶意地址触发告警,归并到告警中心中,用户可以在 告警中心 的安全事件告警页面,将安全基线告警的 IP 地址进行“拦截”或“忽略”,完成安全事件处置。
前提条件
操作步骤
步骤1:配置安全基线规则
步骤1:配置安全基线规则
1. 登录 云防火墙控制台,在左侧导航栏中,单击入侵防御,进入入侵防御页面。
2. 在入侵防御页面,找到安全基线模块,单击查看规则,进入安全基线页面。
3. 首次进入安全基线页面,需配置安全基线规则。
字段说明:
开始时间:安全基线开始流量观察的时间,单击“日历”,可自定义起始时间,最早可以选择30天之前的0点。
结束时间:安全基线完成流量观察的时间,单击“日历”,可自定义终止时间,最晚可以选择30天之后的23:59:59。
注意:
可分析时间范围从防火墙使用日期起至未来30天数据。
流量类型:选择建立安全基线的流量方向。
说明:
剔除资产:被剔除资产下的相关流量,将不被计入安全基线的分析对象。
4. 单击确认,即可配置成功。
步骤2:执行安全基线学习任务
1. 在 配置安全基线规则 后,页面会自动开始执行基线学习,用户可以通过右下角查看基线学习进度。
说明:
后台会根据剔除后的资产进行基线学习,后续也仅针对基线内的资产触发警告。
分析任务需要一定的时间(根据网络情况而定),可通过右下角任务状态查看进度。
可单击结束任务,强制结束安全基线分析,并根据已分析列表作为安全基线。
2. 学习结束后,安全基线会根据用户所选时间范围对该时间段流量进行学习,提炼信息,为用户生成统计结果 ,并在当前页面下方建立一个访问详情列表。
基线评分:是根据列表中恶意 IP 地址占比,对当前访问环境进行的评估,为用户后续的安全基线维护提供参考指标,引导用户不断提升基线安全。
访问详情列表:则包含外部访问和主动外联两个方向的IP/域名。用户可以选择基线学习时间/基线检测时间来查看不同时间范围内的安全基线中的IP信息。
基线学习时间:加入基线时间到基线结束时间范围内的统计数据。
基线检测时间:加入基线时间到当前时间范围内的统计数据。
步骤3:编辑和维护安全基线
学习进程结束后,用户可以根据基线评分 ,通过智能清理,手动添加或删除来提高当前基线列表的安全指数 ,可通过如下两种方式维护安全基线:
用户可以在安全基线页面,通过单击智能清理或添加地址,自动或手动编辑安全基线列表。
在安全基线列表中,选择基线地址或域名,单击清空基线或者删除,来删除安全基线列表中的 IP 地址或域名。
智能清理
智能清理
一键清除基线列表中的恶意地址。云防火墙将自动对流量基线中的入侵防御告警进行关联统计,并将标有“未信任的”的恶意 IP 或域名从基线中删除,后续访问将触发警告。
注意:
当外部访问和主动外联列表中,所有地址或域名均拥有信任标签后,智能清理功能将不能使用。
1. 登录 云防火墙控制台,在左侧导航栏中,单击入侵防御,进入入侵防御页面。
2. 在入侵防御页面,找到安全基线模块,单击查看规则,进入安全基线页面。
3. 在“基线评分”模块,单击智能清理,将弹出“智能清理安全基线”弹窗。
4. 在“智能清理安全基线”弹窗中,选择系统监测到的基线类型以及 IP 数量。
5. 单击确定,系统将开始自动清除基线列表中,标有“未信任的”IP 或域名。
添加地址
添加地址
1. 登录 云防火墙控制台,在左侧导航栏中,单击入侵防御,进入入侵防御页面。
2. 在入侵防御页面,找到安全基线模块,单击查看规则,进入安全基线页面。
3. 在“基线评分”模块,单击添加地址,将弹出“添加基线地址/域名”弹窗。
4. 在“添加基线地址/域名”弹窗中,选择将 IP 地址添加到全部、外部访问或主动外联的安全基线列表中,并手动输入信任的 IP 或域名。
全部:该地址将被同时加入外部访问和主动外联的安全基线列表中。
外部访问:该地址将只加入下方外部访问列表中。
主动外联:该地址将只加入下方主动外联列表中。
5. 单击确定,该 IP 将自动添加到所选基线类型列表中。
删除地址
删除地址
1. 登录 云防火墙控制台,在左侧导航栏中,单击入侵防御,进入入侵防御页面。
2. 在入侵防御页面,找到安全基线模块,单击查看规则,进入安全基线页面。
3. 在安全基线页面下方,单击外部访问或主动外联。
4. 选择不信任的 IP 地址,在右侧操作栏,单击删除。
5. 在删除确认框中,单击确定,该 IP 地址将从安全基线列表中移除,后续该 IP 地址访问将会触发警告。
清空基线
清空基线
如需停用安全基线功能,清除外部访问或主动外联列表中所有 IP 地址或域名,可使用清空基线功能,将清理掉所有安全基线内的 IP 地址和域名。
1. 登录 云防火墙控制台,在左侧导航栏中,单击入侵防御,进入入侵防御页面。
2. 在入侵防御页面,找到安全基线模块,单击查看规则,进入安全基线页面。
3. 在安全基线页面下方,单击外部访问或主动外联。
4. 在列表上方,单击清空基线,将弹出确认弹窗。
5. 单击确定,则安全基线所有 IP 地址和域名将被清空,同时关闭警告基线开关。
注意:
清空基线并不会删除日志中的原 IP 地址或域名记录,仅删除选中的安全基线列表。
步骤4:启动安全基线管控
打开基线警告开关
安全基线建立完成后,用户需要打开基线告警开关,后续 IP 地址或域名访问,若不在安全基线中,将一律触发告警。
1. 登录 云防火墙控制台,在左侧导航栏中,单击入侵防御,进入入侵防御页面。
2. 在入侵防御页面,找到安全基线模块,单击查看规则,进入安全基线页面。
3. 在“基线评分”模块,选择需要警告的流量方向。
开启外部访问时:针对入站方向流量,出现不属于基线内的访问时,将会触发安全告警。
开启主动外联时:针对出站方向流量,出现不属于基线内的访问时,将会触发安全告警。
查看安全告警追溯流量记录
查看安全告警
1. 登录 云防火墙控制台,在左侧导航栏中,单击告警中心,进入告警中心页面。
2. 在攻击告警汇总页面中,单击安全基线,进入该页面,可以看到所有安全基线类型的告警信息,用户可以选择封禁、放通或者忽略,对该地址或域名进行处理。
单击封禁,则该 IP 地址将被加入封禁列表,后续访问将被阻断,可以在告警中心的攻击拦截统计页面中查看。
单击放通,则该 IP 将被加入基线列表,指定方向的访问将不再会经过安全基线的检测。
单击忽略,则该 IP 的告警事件将不会出现在告警列表和统计中,后续的流量也不会进行检测,可在列表中选择已忽略来查看被忽略的所有事件。
追溯流量记录
被列为安全基线内的 IP 或域名,可以在流量中心或流量日志中查询。
方式1: 登录 云防火墙控制台,在左侧导航栏中,选择日志审计>流量日志,查看入站流量或出站流量的 IP 或域名具体信息。
方式2:登录 云防火墙控制台,在左侧导航栏中,单击流量中心,查找已通过的 IP 或域名。
步骤5:重置安全基线(可选)
在基线建立一段时间后,如需更新基线列表,可以通过“重置安全基线”功能重新学习后续 IP 情况。
1. 登录 云防火墙控制台,在左侧导航栏中,单击入侵防御,进入入侵防御页面。
2. 在入侵防御页面,找到安全基线模块,单击查看规则,进入安全基线页面。
3. 在“基线评分”模块,右上角选择
注意
一旦重置基线,手动添加的地址以及手动添加标签将被清空。
4. 重置基线后,可根据需求重新配置安全基线规则,详情请参见 配置安全基线规则。
