【云安全最佳实践】使用T-Sec云防火墙及时防范服务器漏洞

前提情况

本文结合实际的环境，介绍云防火墙是如何防御常见的漏洞攻击。漏洞攻击行为的防御是通过云防火墙的入侵防御模块来实现的，目前 IPS 版、高级版、企业版和旗舰版均支持入侵防御功能，可以防御漏洞攻击。

操作步骤

进入云防火墙控制台。初次使用，我们需要去授权一下

 互联网边界防火墙控制的是公网 IP 的公网访问流量。

互联网边界是指互联网与腾讯云内网的边界，互联网边界流量就是您的云上资产与互联网之间通信的流量，也称南北向流量。

开通之后我们需要对所需防护的服务器打开防火墙开关，开启之后保护才会生效

• 当前版本支持的资产类型为：云服务 CVM、负载均衡 CLB、NAT 网关、VPN 网关，轻量级服务器 LH，目前支持中国大陆及中国香港地域资产。
• 开启开关：当开启开关时，该公网 IP 的所有流量将经过云防火墙，且访问控制、入侵防御、日志审计功能将对该公网 IP 生效。
• 关闭开关：当关闭开关时，该公网 IP 的所有流量将不会经过云防火墙。

然后点击 入侵防御-----虚拟补丁进行开启

具体规则您可以在旁边的查看规则进行查看

我们可以选择观察模式，拦截模式，严格模式。（具体区别如下）

• 【观察模式】：威胁情报、基础防御、虚拟补丁、安全基线为检测模式，针对发现的恶意访问或网络攻击行为，只告警，不自动阻断连接
• 【拦截模式】：自动拦截高置信度的网络攻击/恶意访问，基础防御支持自动拦截高置信度规则告警，虚拟补丁支持自动拦截所有被检测为漏洞利用的流量，威胁情报、安全基线暂不支持自动拦截
• 【严格模式】：威胁情报（出站域名威胁情报检测除外）、基础防御、虚拟补丁均为封禁模式，针对任何检测到的告警，自动阻断连接（或自动将IP加入封禁列表）可能产生误报，适用于重保/攻防场景。安全基线暂不支持自动拦截

云防火墙防范漏洞原理

当开启之后通过云防火墙，帮助您梳理资产在互联网暴露情况。可一键开启 IPS 虚拟补丁和威胁情报，进行精准防护。

写在最后

1.为什么主机安全有修复漏洞功能，还需要使用云防火墙来进行防范漏洞？

答：主机上的补丁，一般是由官方发布，官方的补丁发布时间比较长，一般要几周甚至几月才能修复，且有些需要重启 CVM 云服务器。而云墙上的 IPS 虚拟补丁，是根据漏洞的利用特征，在云防火墙 IPS 系统中实时更新的防御规则，可以做到小时级别的更新，且不需要对业务有任何改造，也不需要重启业务系统。

2.有了虚拟补丁，我还需要在主机修复补丁吗？

答：还是需要的，虚拟补丁可以为您做最前线的防护，但是根本漏洞还是需要做彻底的解决，才能做到最安全

3.云防火墙这么厉害能否识别shiro 漏洞的流量？

答：可以检测，但是不一定可以覆盖全部场景，因为有些是加密流量。