大型攻防演练 | 云防火墙最佳实践

自1949年世界上第一种计算机病毒——约翰·冯·诺依曼提出的一种可自我复制的程序设计问世，到1990年世界上第一款网络防火墙产品出现，经过几十年的发展，攻防对抗已经进入白热化阶段。

攻防演练场景边界安全挑战

1.混合环境导致的边界复杂

互联网出入方向、分支机构互访、VPC间互访、VPC子网间互访等错综交织的复杂流量导致边界模糊，造成暴露面增大。

2.异构环境间的专线连接防护薄弱

VPC与IDC、多云之间的专线通路易被攻破，通过打穿办公网拿到权限入侵成功的案例时有发生。

3.0day漏洞高频产出

2022年攻防演练期间共披露近80个0day漏洞，防御规则实时更新与虚拟补丁成为刚需。

4.远程命令执行“一招即毙”攻击方式备受欢迎

从漏洞利用方式上，蓝军最喜欢的攻击方式为远程命令执行“一招即毙”攻击方式，占比33%。

攻防视角下的八大能力优势

经过对大量实际攻防场景总结，阿里云安全团队梳理出攻防双方的8大关键动作，如下图：

四大核心场景最佳实践

最佳实践一：暴露面防护

01.使用多账号管理功能实现全集团域网络资产的集中化管控和防护。对于拥有多个账号的企业，通过多账号管理功能，实现对于全集团域各个业务的可视及管控防御。
02.配置精细化的L3-L7流量访问控制策略。如通过细粒度的应用级保护，可以对MySQL、Redis进行精细化管控，从而避免非应用级别的流量恶意访问。
03.下发智能策略。智能策略基于历史流量的学习，可对远程访问控制常见IP、地域进行策略自动化生成，进而实现一键区域封禁、蠕虫防御等能力。
04.利用日志分析功能审计网络流量。云防火墙支持L3-L7全流量日志功能，可以较好地解决对全局流量感知力不强的问题，完整地对南北东西向流量进行监控。

攻防演练TIPS：
1.打开【新增资产自动保护】开关，当云防火墙发现账号下有新增资产时，会自动引流开启保护，避免该资产无任何防护状态下暴露在互联网中。
2.点击【批量操作】可以将公网IP全部开启或者全部关闭，可以快速地进行引流或断开引流。
3.点击【地域->查看详情】查看各个地域资产分布情况，依据资产重要程度选择全部开启或者全部关闭。
4.点击【资产类型->查看详情】查看各个资产类型分布情况，依据资产类型的重要程度选择全部开启或全部关闭。

最佳实践二：混合云VPC互访管控

VPC互访可视化呈现

01.通过云企业网转发路由器（企业版）连接混合云的网络实例，实现混合云网络互通。
02.开启云防火墙VPC防火墙云企业网（企业版），将混合云网络互通流量引流到云防火墙进行防护。VPC防火墙云企业网（企业版）可以防护同地域/跨地域VPC互访、VPC和线下IDC/第三方云互访的流量。
03.配置VPC边界访问控制策略，实现混合云网络互通流量的精细化管控。
04.利用日志分析功能审计混合云网络互通流量，确认流量的管控效果，排查是否有异常流量。

攻防演练TIPS：
通过【流量分析->VPC访问活动】可以查看东西向的暴露面情况。

最佳实践三：止血防御

01.开启云防火墙威胁情报、基础防御、虚拟补丁等防护技术，针对恶意IP、常见网络攻击、高危漏洞利用事件，进行实时攻击防护。
02.重保期间启用威胁引擎严格拦截模式，支持更多范围的安全事件防护。
03.利用异常外联通知功能，排查处置主动外联风险IP/域名的事件，对于恶意IP/域名可以一键配置访问控制策略及时阻断。

攻防演练TIPS：
打开【攻击防护->防护配置->拦截模式-严格】，虽然严格模式组可能误报更高，但防护粒度最精细，覆盖基本全量规则，更适合对安全防护漏报要求高的场景。以2022年攻防演练为例，60%企业在使用云防火墙中开启了“严格模式”防御，超8成企业选择了中等以上的模式。
对于误拦截或企业自有IP资产，可以通过【攻击防护->防护配置->防护白名单】进行加白，白名单策略为单向加白，出向、入向、目的IP、源IP等为“或”条件，例如不能同时指定源IP和目的IP作为加白的条件。加白后基础防御、智能防御、虚拟补丁对白名单中IP不再生效。
对于威胁情报出现误拦截情况，可以通过【访问控制->互联网边界防火墙->外到内】创建对源IP的放行策略。

最佳实践四：主动外联&入侵回溯

云防火墙除了支持各类木马通信的检测，同时支持常见的反向连接及其外联恶意行为的检测，通过蛛丝马迹可以有效发现蓝军的外联行为，从而进行阻断、反制等操作。


云防火墙提供的外联能力

通过设置页面可以对上述行为进行24小时的监控&通知，避免人员24小时蹲守，浪费人力。

攻防演练TIPS：
1.企业如果有自己的威胁情报源或入侵溯源需求，可以在【日志分析->日志分析->日志查询】中建立符合企业自身业务的监控项，以满足对云上流量的实时监控和响应需求。
2.对于使用NAT服务的企业，如果需要对NAT EIP到私网IP的流量进行追踪，可以在【防火墙开关->NAT防火墙】中开启对应开关，日志可在【日志分析->日志审计->流量日志->NAT防火墙】中查询。如您无法创建NAT防火墙，请联系您的商务经理。
3.今年年初，云防火墙进行企业级方案2.0升级，VPC防火墙可以通过CEN-TR一键自动开启，建议参与攻防演练的企业使用VPC防火墙进行防护。

阿里云云防火墙连续两年入选Gartner网络防火墙魔力象限“挑战者“象限，获得国际权威安全检测机构ICSA Labs的云安全IPS认证，阿里云是唯一一家通过测评的提供云原生防火墙的厂商。